Control Interno - Seguridad y Auditoría Informática

Algunos argumentos empleados por Gartner Group en esta predicción tienen sentido, pero las conclusiones han sido fuertemente criticadas por varios especialistas en todo el mundo.

Vayamos por partes, ¿qué es un “Sistema de Prevención de Intrusos” o IPS? Tal como muchos otros conceptos en seguridad informática, el significado depende del contexto y de la persona que lo emplea. Muchos especialistas afirman (y con toda razón) que el término en sí, es demasiado ambiguo, y que estaría contemplando a muchos controles de seguridad informática. En este sentido, un firewall podría ser perfectamente un IPS (indirectamente previene intrusiones).

Sin embargo, el término IPS en el contexto que es empleado por Gartner Group, parece hacer referencia a una combinación de filtro (firewall) con un sistema de detección de intrusos (IDS por sus siglas en inglés). El principal argumento de mercadotecnia para este tipo de sistemas es su supuesta “proactividad”. Otras  supuestas ventajas incluyen:

• Capacidad de reacción automática ante incidentes - el sistema aplica nuevos filtros conforme detecta ataques en progreso)

• Mínima vigilancia - el sistema no requiere tanta dedicación como un IDS tradicional; esto en consecuencia requeriría menos inversión en recursos para administrar y operar estos sistemas (en comparación con un IDS).

• Menos falsas alarmas

Gartner Group ha analizado desde el punto de vista del mercado la situación y ha concluido que los sistemas de detección de intrusos no hacen mucho por la seguridad y han sido un fracaso; por esto recomienda que se utilicen otros sistemas con enfoque más preventivo: firewalls con capacidades de detección de eventos de seguridad (IPS).

Es cierto que la mayoría de las instalaciones de sistemas de detección de intrusos no ha brindado los resultados esperados, pero Gartner Group está pasando por alto un dato muy importante. Los sistemas de detección de intrusos no son sistemas autónomos, son herramientas de notificación para personal de seguridad (generalmente un grupo de respuesta a incidentes).

La mayor parte de los problemas en una instalación de sistemas de detección de intrusos se debe a una incorrecta configuración de los mismos o a la asignación de personal inadecuado para respuesta a incidentes, entre este tipo de problemas destacan los siguientes:

• Poca o nula depuración de las alertas que se vigilan (muchas organizaciones cometen el error de activar todas las alertas del producto de IDS porque creen que les va a dar mayor seguridad; lo único que esto genera es una gran cantidad de trabajo de revisión de alertas, que es totalmente innecesario).

• Falta de capacitación del personal (el personal no es capaz de comprender el significado y el impacto de cada alerta reportada, en consecuencia, no se toman las medidas apropiadas).

• Asignación incorrecta (colocación de IDS en puntos inadecuados, protección de sistemas que no lo requieren, etc.)

Debemos aceptar que los sistemas de detección de intrusos no son para todas las organizaciones, así como no todas las organizaciones pueden beneficiarse de una PKI. Si una organización no puede o no requiere de personal especialista para respuesta de incidentes, el contar con sistemas de detección de intrusos (tal como afirma Gartner Group) no les brindará mayor seguridad.

Pero en aquellas organizaciones donde la seguridad es altamente crítico el contar con personal de respuesta de incidentes es prácticamente una obligación (en estos ambientes un sistema de detección de intrusos instalado y configurado apropiadamente suele ser muy valioso); algunas organizaciones donde este tipo de sistemas suelen ser más efectivos son:

• Instituciones gubernamentales (principalmente aquellas relacionadas con seguridad pública)

• Instituciones financieras

• Empresas que manejan gran cantidad de información confidencial

Analicemos ahora la propuesta de Gartner: definitivamente un firewall tradicional no va a solucionar los problemas de seguridad que resuelve un IDS, simplemente tienen propósitos distintos y su arquitectura es diferente. 

Los IPS, por otro lado, aparecen como una solución ideal que bajará los costos de las empresas e incrementará la seguridad, pero a Gartner Group le faltó un análisis técnico más detallado de este tipo de soluciones.

En primer lugar, la capacidad de detección de intrusos no desaparece en un IPS simplemente se mezcla con otro tipo de controles. Los IDS desde hace varios años ya interactúan con controles de seguridad distintos como lo son los firewalls, la diferencia está en el grado de integración: una misma consola y caja en el caso de los IPS (Gartner Group pareció olvidar que también existen sistemas de detección de intrusos locales, que vigilan los eventos dentro de un sistema de cómputo a diferencia de los que revisan patrones de ataque por la red).

Los sistemas de prevención de intrusiones presentan también una serie de desventajas y generan serios cuestionamientos sobre su efectividad, algunos de ellos se listan a continuación:

• No existen tecnologías nuevas; fuera de una mayor integración entre controles de diferentes tipos, los IPS utilizan las mismas tecnologías que los IDS para la detección de eventos de seguridad (patrones, funciones estadísticas, algoritmos de inteligencia artificial, etc.)

• La concentración de elementos de seguridad en un solo punto genera los llamados “puntos únicos de fallo”

• La concentración de controles en una misma caja (IPS) genera la pérdida de detección pasiva que se podía tener con un IDS (un IDS configurado de manera pasiva no tendría ningún impacto sobre la red, además, no podría ser atacado directamente y su detección sería sumamente difícil por parte de un atacante)

• El compartir recursos puede traer problemas; cuando se combina un IDS con un Firewall, un equipo con el doble de capacidad de procesamiento no es lo mismo que 2 equipos con la mitad de capacidad de procesamiento (ambos utilizan un mismo procesador, así como las mismas entradas y salidas de datos; esto genera cuellos de botella si la carga de trabajo es excesiva). Hoy en día muchos IDS tienen problemas de desempeño (incluso aquellos que están bien configurados) debido al volumen de datos que tienen que analizar, ¿Cómo solucionarán los IPS este problema? ¿terminarán separando nuevamente cada tipo de control en una caja individual?

• La capacidad reactiva de un IPS puede generar fácilmente situaciones de negación de servicio. Si no confiamos en la tecnología de los IDS (sabemos que tiene problemas), si sabemos que los IPS no utilizan nuevas tecnologías y sabemos que son más reactivos ¿cómo esperamos que estas herramientas detengan eficazmente ataques mientras permiten actividades legítimas?

El problema de la efectividad es serio y se puede demostrar fácilmente que esta efectividad de  en los IPS no depende de su tecnología, sino del medio ambiente.

Hoy en día Internet trabaja todavía sobre protocolos que carecen de características de autenticación, no repudiación y huellas de auditoria: prácticamente todo se puede falsificar. El caso de los sistemas operativos no es muy distinto, el uso de sistemas operativos que incorporan modelos de seguridad robustos (TCSEC nivel B o superior, o algún equivalente) es muy bajo.

Supongamos que nuestro IPS es un sistema perfecto, al grado de que alguien se tomó la molestia de demostrar formalmente su correcto desempeño (por lo tanto, nuestro sistema IPS ideal siempre bloquearía los ataques y nunca filtraría tráfico ni eventos legítimos). El problema es que el IPS no controla el ambiente; si la entrada de datos que procesa este sistema es incorrecta desde el punto de vista del contexto, la salida (reacción) del sistema será por definición incorrecta (será sólo correcta para el IDS, dentro de su contexto).

Por ejemplo, si un atacante falsifica el origen de un patrón de ataque, de manera que parezca que proviene de un cliente de nuestra organización, este sistema probablemente lo bloqueará (aún cuando el patrón de detección del ataque sea correcto).

Para que el IPS pueda evitar este tipo de complicaciones, necesitaría comprender la estructura de la organización, su proceso de negocio, la infraestructura tecnológica utilizada y mucho más; en realidad necesitaría comprender todo el medio ambiente, algo que un ser humano puede hacer relativamente bien (aunque obviamente no al mayor nivel de detalle).

Inclusive los genios de la Inteligencia artificial hace tiempo concluyeron que estos sistemas (que emularían por completo el comportamiento del cerebro humano) están muy lejos de nuestro alcance y se han limitado a resolver pequeños problemas bien acotados (aquí es donde han demostrado su efectividad).

Al final de cuentas regresamos a lo mismo: hay actividades que requieren la presencia de un ser humano altamente capacitado, nos guste o no nos guste y diga lo que diga el mercado. ¿Acaso usted se imagina a un IPS llamando por teléfono al administrador de una red en China, para solicitar mayor información sobre un incidente de seguridad que, presuntamente, se originó desde ahí?

En conclusión podemos decir que las tecnologías de detección de intrusos sí necesitan mejorar, sin embargo, los expertos consideran que estos esfuerzos deben enfocarse en buscar una mejor capacidad de correlación de eventos, involucrando capacidades de minería de datos e integración de información de otros controles de seguridad (firewalls, antivirus, aplicaciones criptográficas, sistemas de cómputo, etcétera). La idea de que podemos crear sistemas altamente complejos que identifiquen ataques y los bloqueen, de manera eficiente, efectiva y autónoma, simplemente no es viable en este momento (aunque ciertamente es muy atractiva).

Mi predicción es que para el 2005, el sistema que predominará para detección de intrusos será, en esencia, un gran minero de datos y éste será a su vez la nueva definición de IPS.

D. Omar Herrara
e-mail: oherrara@prodigy.net.mx
Área de seguridad del Banco de México

Artículo de virusprot.com