21 mayo 2012

Llegan los recortes, también a la seguridad

Lamentablemente, nos estamos acostumbrando a que, todos los viernes, tengamos una sorpresa nueva de recortes por parte del gobierno de España. La crisis se ha extendido, con la velocidad de la peste, a todos los sectores. Empresas en las que la seguridad era algo en lo que NO se podía recortar, porque "imagínate si no invertimos en seguridad, nos la pueden liar",… han pasado a tener el presupuesto justo para pagar los mantenimientos de los medios de seguridad más importantes y nada más. He llegado a ver casos extremos en que ni siquiera los discos de una SAN, donde se almacenaba la información más valiosa de la organización, estaban bajo mantenimiento...

En épocas de bonanza en las que las empresas destinaban cantidades ingentes de dinero en adaptarse a la mitigación de las últimas amenazas, se veían grandes infraestructuras formadas por una legión de máquinas especializadas en protección perimetral.

Bueno, y si ahora hubiese que recortar: ¿con qué nos deberíamos quedar?

La verdad es que es difícil para un responsable de seguridad, acostumbrado a "un estado de bienestar" con infraestructuras que le ayudan a su trabajo diario, tener que sacrificar a uno o varios de sus "hijos" para poder seguir adelante. Como cada día, en la vida, las decisiones se toman evaluando los riesgos y priorizando lo que realmente es imprescindible, ante lo que es necesario y lo deseable. 

Después de leer artículos en los que se llega a dudar de la importancia/necesidad de elementos de seguridad como los propios cortafuegos, he querido elaborar mi propia lista de recortes explicando el por qué.

Recortemoshh pueshhh…
  • Los cortafuegos, en mi opinión, serían "la Sanidad", y NO deberían "recortarse"/"eliminarse" en ninguno de los casos. En los artículos que menciono anteriormente, los autores se refieren a los firewalls como aquellos elementos que simplemente filtran tráfico en base a origen/destino/puerto… Creo que se plantean la "imprescibilidad" de los firewalls porque tienen en mente la funcionalidad que tenían estos dispositivos de los años 90. En este siglo los firewalls, además de dotar de mecanismos de mitigación de ataques propios de red (SYN-Flood, Land, Smurf, etc,…) comenzaron a incluir en la misma caja montones de funcionalidades: VPN, Antimalware, Antispam, IPS, gestión de ancho de banda, gestión de contenidos y proxy saliente (análisis de tráfico web), etc… es decir, que los UTM (Unified Thread Management) no pueden ser eliminados de las infraestructuras. Una opción de recorte, para evitar pagar altos precios en mantenimiento de estas soluciones, sería buscar una opción libre. Sin embargo, en una sola caja, aún no doy con un pack de funcionalidades UTM con una GUI elaborada, que me convenza totalmente contra soluciones comerciales (aunque típicamente caras) como Checkpoint, Fortinet, Juniper, Stonesoft o NetASQ.
  • Antimalware: Aunque hay opciones libres como ClamAV o Avast!, en general las políticas de compras de las grandes y medianas corporaciones, prefieren que estas soluciones sean "de marca". En mi caso, llamadme tradicional si lo preferís, pero yo también lo prefiero. No voy a mostrarme más a favor de unos que de otros: pero mis top serían los que llevan años funcionando durante años: McAfee, Trendmicro, Kaspersky, Symantec, NOD32 o el producto nacional Panda. En general, las buenas prácticas de seguridad, recomiendan que los antimalware que se incluyen en el gateway y en los puestos de trabajo, sean de diferente fabricante/marca/tecnología. Si tuviésemos que recortar en algo, evidentemente no se puede prescindir de solución antimalware, pero sí que se puede aunar en un mismo fabricante (siendo consciente que el nivel de seguridad puede disminuir) a fin de conseguir una mejor oferta.
  • Sondas IDS/IPS: Si además de enterarnos/bloquear ataques de aplicación a nivel del firewall, es necesario almacenar eventos de ataque en otro tipo de redes no separadas por algún firewall/UTM (quizá sea un problema de diseño de la red), las sondas IDS/IPS deberían mantenerse, aunque puede migrarse a soluciones libres como Snort, el IDS/IPS libre por referencia.
  • Consolidación y correlación de eventos: Típicamente muy caras, las soluciones comerciales tipo RSA Envision o HP Arcsight. Dado el gran número de elementos de una red grande, este tipo de dispositivos, hace manejable el saber "qué está pasando" en la red en todo momento, y ser capaces de encontrar un problema de forma rápida. Sin embargo, en época de recortes, se puede perder calidad de eventos/reporting yendo a herramientas económicas (o gratuitas) como OSSIM o Syslog-NG (salvando las enormes diferencias entre uno y otro) por ejemplo.
  • Sistemas de monitorización: Herramientas comerciales conocidas y muuuy caras del estilo de HP Openview, pueden ser sustituidas por opciones libres como Cacti y/o Nagios.
  • Sistemas Anti-DoS: Aquellas organizaciones que cuenten con este tipo de soluciones "anti-Anonymous" del estilo de Arbor Networks (siempre he dudado de su efectividad ante un ataque con suficientes seguidores, pero bueno), deberán plantearse, si no suelen aparecer en las charlas de 4Chan, el considerar estas soluciones como algo "deseable" en vez de imprescindible. 
Como vemos, hay tecnologías de seguridad perimetral en las que se puede ir a soluciones más baratas/libres, y aunque es complicado decidir qué piezas sacrificar, cierto es que nos hemos hartado de escribir posts en SbD en los que alertamos que ante ataques dedicados y cuidadosamente preparados, es muy complicado mitigar, incluso no contando con más herramientas que la propia formación y costumbres de los usuarios. Por eso, una vez más repetimos eso de que "no hay que recortar en educación", porque no se saca nada con disponer de herramientas que fortifiquen el acceso externo a una organización, cuando la peor amenaza es tener gente poco formada en seguridad trabajando dentro de ella.

13 comments :

Estebancostablanco dijo...

El Avast! libre?? según su página indica que Avast free está destinado a uso personal no comercial.

Lorenzo_Martinez dijo...

O sea que en aquellas organizaciones que para recortar gastos promuevan el BYOD... encaja, ¿no?

miguel dijo...

Lorenzo, hablando de cortafuegos, me gustaría saber que opinión te merece la solución libre IPCop. Si lo has probado y si lo recomiendas para empresas medianas y pequeñas.

lost-perdidos dijo...

¿Tu top es McAfee, Trend Micro y Symantec? Normal que os recorten, jaja..!

Lorenzo_Martinez dijo...

Igual estoy equivocado. Dime cuáles propondrías tú, los pruebo y te digo a ver :D

Único Recorte: La recortada. dijo...

Eso no es recortar, sino economizar yendo a soluciones free.. pero eso implica una mayor inversión en formación, porque si ya les era difícil con esas gui tan rimbombantes...poco les veo yendo a consola con por ej. IP tables.

De todos modos esos "recortes" hacia lo free es la tendencia que están siguiendo todos los departamentos IT, no sólo los de seguridad. Aun así es difícil ya que no es fácil migrar e implica un coste que a priori puede ser igual de costoso que no cambiar, pero al menos sí es una inversión rentable a uno ó dos años mínimo.

Lo veo también chungo porque aquí lo que se lleva es el "te hunto", el amiguismo y el enchufismo, a ver cómo recortas eso. Mientras tanto el recorte será lo de siempre, tener la misma mierda cara de antes pero con la mitad de recursos, así de cortos de miras somos.

Un saludo.

Angel Alvarez Nuñez dijo...

buen Artículo Lorenzo, lo primero un saludo y luego una consulta:
Como muy bien dices el Firewall es hoy en dia mucho mas complejo analizando y detectando ataques de capa 6,7 pero ¿que soluciones en software libre podriamos implementar (aunque fuera mas dificil configurarlas y manejarlas), ¿se puede configurar IPTABLES mas alla de capa 4 (OSI) de ACLs Protocolo/Puerto?
Gracias por la Informacion XD

Saludos, I. dijo...

y la protección del dato¿? Ah! claro que como en la mayoria de los sitios no existe implantación de este tipo de soluciones no es posible recortar, simplemente se sigue sin instalarlas...¿no?

Lorenzo_Martinez dijo...

Hola Ángel, podrías utilizar Suricata por ejemplo. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux
Como ves, tienes que configurar Iptables para que la acción a realizar ante el tráfico que desees analizar, sea nfqueue.
Hace años usé Snort inline, pero el proyecto está parado. Por cierto que aquí http://www.aldeid.com/wiki/Suricata-vs-snort tienes una buena comparativa entre ambos.

Lorenzo_Martinez dijo...

 Pues la verdad es que nunca lo había probado. Ayer, después de leer tu comment, me animé a darle una oportunidad en una máquina virtual. Por lo que sé, es un fork de Smoothwall. Parece sencillo, la verdad. Sin embargo, yo creo que para montar uno a tu medida, quizá sea interesante utilizar cualquier linux con instalación mínima, eliminación de servicios y paquetes innecesarios, y utilizar Fwbuilder para la gestión del firewall o webmin + shorewall.

BTW, otro de los que tenía en mente retomar es Gibraltar (aunque creo que tampoco está muy al día el mantenimiento)...

Angel Alvarez Nuñez dijo...

gracias, lo probare haber que tal ....

Emilio dijo...

Buen artículo Lorenzo y en la época oportuna. :-)

Sólo un apunte, en sistemas IDS/NIDS ahora parece que está pegando mucho y es un proyecto muy activo/estable la distro Security Onion, permitiendo elegir entre los motores IDS: Snort o Suricata y con una gran cantidad de herramientas de análisis alrededor. Además tiene 3 interfaces para la revisión de datos/alertas: Sguil, Squert y Snorby. Una herramienta que últimamente me ha sorprendido para muy bien.

Saludos

albert dijo...

Hola,

yo recomiendo pfsense (http://www.pfsense.org/). Hace 5 años que lo tenemos en explotación, con alta disponibilidad y va de fábula.