A raíz del surgimiento de las tecnologías Web 2.0 se ha producido en el mundo una evolución de las aplicaciones que ha permitido que estas sean cada vez más intuitivas y amigables, pero como consecuencia de ello se ha incrementado su complejidad, provocando que la probabilidad de que existan vulnerabilidades sea mucho mayor. Algunos datos que ejemplifican esta situación son los siguientes: 95% de las aplicaciones tiene vulnerabilidades[1], las vulnerabilidades críticas y altas representan hasta 64% del total[2] y 79% de las vulnerabilidades en el mundo Web están en las aplicaciones[3].
Por otro lado, derivado de la necesidad de las organizaciones de contar con mayor velocidad y agilidad, cada vez es más frecuente que los usuarios que ejecutan los procesos críticos de negocio estén geográficamente dispersos y no necesariamente en instalaciones de la empresa, por lo que el correo electrónico y las aplicaciones Web se han convertido en mecanismos primordiales de comunicación, tanto al interior de la misma como en el exterior.
Desafortunadamente, estos mecanismos son foco de atención de los atacantes y presentan un sinnúmero de problemas de seguridad, prueba de ello es que 90% de los correos son spam[4] y que 85% del spam contiene URL que dirigen a sitios Web maliciosos[5].
Hoy en día los ataques a usuarios finales normalmente siguen iniciando con un correo electrónico que a través de “engaños” provoca que aquellos den click en una liga que los lleva a un sitio Web malicioso o a uno legítimo que ha sido comprometido previamente debido a vulnerabilidades existentes en las aplicaciones que aloja. Ya no es necesario que el correo contenga el ejecutable con el exploit como archivo anexo al correo. Es decir, el punto inicial de comunicación del ataque es el correo electrónico y el mecanismo a través del cual fluye el ataque en sí es el tráfico Web que se genera al acceder al sitio donde los atacantes han infiltrado su código malicioso, captando así un gran número de víctimas, mientras que permanecen ocultos y dificultan la capacidad de detectarlos y detenerlos.
El objetivo final es tomar control del equipo para reclutarlo como parte de un botnet o para extraer información a la que le puedan sacar provecho.
.
Protección Web y de correo en la nube
Los servicios en la nube están ofreciendo a las organizaciones una alternativa para lograr esa velocidad y agilidad que están buscando, lo cual incluye al sector de la seguridad de la información, donde ha surgido el concepto de “seguridad como servicio (Security as a Service, SecaaS), el cual se define como la implementación de controles de seguridad que son entregados y gestionados a través de infraestructura tecnológica, operativa y física perteneciente al proveedor.
Un servicio que ya se está ofreciendo de manera estable bajo este concepto es el de protección de Web y de correo electrónico, donde muchos de los grandes fabricantes de software de seguridad y de TI en general ya tienen una oferta definida. Algunos ejemplos de ello, además de las grandes Telcos, son:
- Mcafee, a través de su adquisición MX-Logic.
- Symantec, que adquirió a Message Labs.
- Google, vía su compra de Postini.
- Zscaler.
- Proofpoint.
- Bluecoat.
- Cisco, a través de su adquisición de Scansafe.
- Websense.
- Spamina.
Gartner estima que 11% del presupuesto de seguridad de las organizaciones se dedicará a la adquisición de servicios tipo SecaaS/MSS, además de que para 2015 más de 25% de las adquisiciones de soluciones de protección Web y de correo serán bajo esta modalidad.
El objetivo general de estos servicios es prevenir que el malware entre a la red de la organización, ya sea a través de tráfico Web o de correo electrónico. De manera específica ayuda a detectar redes bot, bloquear sitios de phishing, detectar y bloquear virus, detectar y bloquear spyware, proteger contra amenazas avanzadas, controlar los accesos Web, filtrar URL en función de diferentes criterios (categorías, horarios, usuarios, etcétera), controlar aplicaciones Web 2.0, complementar las soluciones de prevención de fugas de información a través del análisis de contenidos y del cifrado de correos.
El esquema general de funcionamiento consiste en hacer pasar el tráfico Web y de correo electrónico a través de una conexión entre la red de la organización y la de uno o más centros de datos del proveedor donde se aloja la solución de seguridad, normalmente compuesta tanto de tecnología comercial, (escaners de virus por ejemplo) como propio, para hacer el análisis del tráfico de la manera más eficiente.
En el caso del tráfico Web, esta conexión se realiza a través de alternativas como las listadas a continuación:
- Proxy chaining. Cuando las organizaciones ya cuentan con un proxy y los navegadores de Internet ya están configurados para utilizarlo, esta es la opción más directa y consiste en que el proxy existente reenvíe todas las peticiones HTTP y HTTPS al servicio en la nube, de tal forma que no se requiere modificar ninguna configuración en los equipos finales.
- Túneles GRE (Generic Routing Encapsulation). Permite encapsular los paquetes IP para que estos sean enviados a través de Internet utilizando un túnel, de tal forma que las peticiones sean recibidas y analizadas por el proxy del servicio en la nube.
- VPN (Virtual Private Network). Contempla la creación de un túnel seguro sitio a sitio desde la red corporativa a la red del proveedor del servicio en la nube, para que todo el tráfico Web pase a través de él.
- Archivos PAC (Proxy Automatic Configuration). Normalmente se aplica para los usuarios remotos o itinerantes y se utiliza sobre todo para que los usuarios se conecten de forma directa al servicio en la nube cuando no se encuentran conectados a la red corporativa. A través de un archivo PAC, que se descarga del propio servicio en la nube, se establece cómo el navegador de Internet elegirá el proxy adecuado para ir por un URL específico, evitando así configuraciones manuales o instalaciones de clientes o agentes en los equipos finales.
En el caso del tráfico asociado con el correo solo se requiere una redirección de los registros MX (Mail Exchanger) para que estos apunten a la infraestructura del proveedor de servicios en la nube.
.
¿Qué hay que considerar para contratar el servicio?
Las consideraciones más importantes a tomar en cuenta son las siguientes:
- Efectividad en la protección. Debe tener amplias capacidades para detectar los ataques conocidos así como los de día cero, además de poderse adaptar a las nuevas amenazas que vayan surgiendo.
- Latencia generada para los usuarios finales. El tiempo de latencia que se agregue debe ser mínimo, de tal forma que el usuario final no se vea afectado y la calidad de su experiencia en el uso de los servicios sea prácticamente la misma. Este aspecto es crítico para la parte de Web, no tanto para el correo.
- Confiabilidad. Deben contemplarse altos niveles de disponibilidad así como esquemas robustos de redundancia.
- Flexibilidad. La forma de contratación, manejo de reglas y los diferentes aspectos del servicio deben adaptarse a las necesidades de la organización.
- Footprint/cobertura geográfica. Hay que considerar la cantidad de centros de datos que el proveedor tenga implementados en la zona geográfica de interés para que los esquemas de conexión sean lo más eficientes posible.
- Capacidad de gestión. Lo cual incluye que consolas de configuración y monitoreo que tendrá el usuario-administrador de la empresa sean de fácil uso y que tengan las funcionalidades necesarias así como la capacidad de generar reportes e información para la toma de decisiones.
- Costo. Definitivamente un factor elemental, deben ser mucho más económicos que las soluciones “on-premise” (aquellas que se implementan en las instalaciones del cliente a través de software o de dispositivos dedicados).
Los beneficios de estas soluciones prestadas desde la nube son importantes y diversos, sin embargo podemos agruparlos en tres grandes temas:
- Aspectos económicos.
- No se requiere adquisición de hardware ni de software, por lo que no hay una inversión inicial para contar con el servicio. Asimismo, no existen costos de mantenimiento pues todos los costos son asociados a Opex (Operating Expenditures) y no a Capex (Capital Expenditures).
- Reducción del costo de operación ya que no se requiere tener personal experimentado en seguridad ni mucho menos en las tecnologías de protección de correo y Web. No se requiere personal de operaciones 7×24.
- Flexibilidad en la forma de pago del servicio, es decir, se paga según se consuma o se use el servicio, ya sea por número de usuarios, buzones, etcétera.
- Uso más eficiente del ancho de banda de los enlaces a Internet, pudiendo incluso generar ahorros importantes, pues el tráfico malicioso entrante no ocupa ancho de banda de la empresa ya que todo es filtrado por el proveedor de los servicios en la nube antes de ser enviado al cliente.
- Mejores costos debido a que los proveedores de este tipo de soluciones logran economías de escala.
-
Aspectos operativos
- Facilidad de implementación ya que existen diferentes alternativas de despliegue; todas ellas son relativamente sencillas.
- El tráfico malicioso nunca llega a la red de las empresas por lo que se reduce el número de casos de virus, spam, phishing, etcétera.
- Aumento de la productividad del personal al no dedicar tiempo a correos spam o a acceder a sitios no productivos.
- Mayor escalabilidad y confiabilidad, ya que el proveedor dispondrá de uno o más centros de datos que permitirán el crecimiento de la solución de acuerdo a las necesidades de la organización, además de contar con capacidad de balanceo de cargas y redundancia en caso de contingencia.
- Mejores prácticas de operación utilizadas por el proveedor, maduradas a través de los años de experiencia. Por otro lado, el volumen de clientes les permite contar con soluciones “best of breed” además de garantizar la constante evolución tecnológica y de prácticas operativas sin que esto implique un costo adicional para el cliente.
- Gestión a través de niveles de servicio establecidos al inicio del contrato y medidos recurrentemente.
- Protección de usuarios tanto locales como remotos y móviles sin necesidad de desplegar agentes y sin importar dónde esté el usuario y cómo se conecte a Internet.
-
Otros
- Ayudan a mantener la continuidad del negocio en la parte de correo ya que los proveedores puede retener los correos por periodos definidos en caso de la caída de los servidores corporativos de la empresa.
- Cuando funcionan como complemento a soluciones de prevención de fugas de información, se reduce el riesgo de pérdida o daño a la imagen de la empresa al enviar contenido inapropiado o ilegal.
- Ayuda al cumplimiento normativo y de regulaciones.
.
Conclusión
Para la mayoría de las organizaciones el correo electrónico y las aplicaciones Web son habilitadores de negocio indispensables, sin embargo, implican retos importantes para la seguridad de la información, por lo que resulta prioritario contar con mecanismos de protección para estos servicios.
Aunque cada organización tiene necesidades particulares, las soluciones de protección de Web y de correo electrónico en la nube, en modalidad SecaaS, ya son suficientemente maduras como para ofrecer beneficios concretos y rápidos a la mayoría de las empresas, por lo que pueden ser una alternativa a considerar en el corto plazo.
[1] Estudio realizado por Application Defense Center de Imperva
[2] Estudio realizado por Application Defense Center de Imperva
[3] Estudio realizado por Cenzic Intelligent Analysis Lab
[4] Estudio realizado por Messaging Anti-Abuse Working Group
[5] Estudio realizado por Websense Security Labs
Deja tu comentario