Nada está libre de vulnerabilidad: Algunos consejos útiles

2 Dic 2003 en Seguridad

Virus como Slammer, por ejemplo, pudieron haber logrado un efecto mucho más devastador si hubiesen tenido un poco más de código. Algunos gusanos multithreaded pueden ejecutar tareas en paralelo y aprovechar los servidores de mail para lanzar a la red piezas de información que pueden ser vitales para una empresa. Esta capacidad de infectar una máquina e investigar sus contenidos al mismo tiempo, es la que hace tan temibles a los nuevos virus.
Información confidencial de una organización puede ir a parar a manos de sus competidores, incluyendo planes, productos, contabilidad, clientes, etc. Cuando las alarmas detecten el problema en las consolas operativas, algunos servidores ya habrán dejado de responder o se colgarán. Mientras tanto, la actividad se extenderá a otros servidores de mail infectados del exterior y las direcciones de e-mail de su compañía estarán en danza. Una vez que ingresa, un gusano multithread utiliza uno de sus threads para buscar otras máquinas que infectar. Los que son locales, caerán fácilmente. Las empresas han invertido en proteger el perímetro, pero los servidores de producción o prueba, son accesibles. Un segundo thread irá por los mensajes almacenados en la empresa y, luego de enviarlos a Internet, activará su último comando autodestructivo para borrar información y mutilar las máquinas infectadas. Los ataques que explotan tecnologías como las de los servidores de e-mail o Web, no serán detenidos por firewalls.
La primer respuesta a este problema es el monitoreo intensivo. Si se detecta un ataque cuando se cae un servidor de e-mail, será tarde. Las herramientas de monitoreo en tiempo real analizan datos desde los IDS (Intrusion Detection Systems) y firewalls en tiempo real y pueden dar aviso de un ataque.
Lo siguiente será proteger los activos vitales de información. Contemplen la modificación de los procesos en función de la vulnerabilidad y asegúrense de que las máquinas más importantes tienen el mayor nivel de protección individual. Los ataques que logren ingresar a la red (y siempre habrá alguno que lo logre), tendrán un impacto muy reducido si se actúa de esta forma.
El aislamiento de los servidores infectados, especialmente si se trata de uno que está en Internet y no internamente, debe realizarse a través de su desconexión inmediata para evitar mayores daños. El firewall sigue siendo importante cuando es necesario interrumpir el tráfico interno y externo en puertos comunes. Por último, si se correlacionan las alarmas en tiempo real para configurar alertas ‘maestras’, se evita la repetición de miles de alertas y permite detectar el origen del ataque.