16/12/2005 - Las amenazas a la seguridad de las redes ya no se restringen sólo a los computadores de usuarios finales, portátiles y servidores. Los ataques contra los componentes básicos de la infraestructura de red, que incluye routers y switches, ahora son una cruda realidad. Esto quedó de manifiesto hace muy poco en la conferencia Black Hat 2005 realizada en Las Vegas, NV, en donde un ex investigador de seguridad describió nuevas técnicas de exploit que se podrían usar para lograr control remoto de dispositivos de infraestructura crítica de la marca Cisco. Esto sólo viene a acentuar los problemas y riesgos asociados con la implementación y el mantenimiento de cualquier tecnología de red en un entorno amenazado donde todo el equipo de la infraestructura es vulnerable a un ataque. En los equipos de infraestructura existe una serie de problemas únicos de seguridad, entre los que se incluyen:
• Falta de herramientas de seguridad local: el equipo de la infraestructura de red no está diseñado para ejecutar herramientas de seguridad local como Antivirus o Prevención de intrusos en hosts, con lo cual queda totalmente expuesto a ataques una vez que se descubre la vulnerabilidad.
• Las exigencias son muy altas: si una máquina host es atacada, el atacante toma el control de una sola máquina en una parte específica de la red, mientras que si se compromete un router o switch, el atacante puede asumir el control de toda la red.
El desafío
Es casi imposible dimensionar las consecuencias del tiempo improductivo de la red, junto con la pérdida potencial de la disponibilidad del negocio, cuando se produce un ataque exitoso a los activos de la infraestructura crítica. Como resultado, para las organizaciones es imperativo minimizar las “ventanas de vulnerabilidad” que existen entre el descubrimiento de la nueva vulnerabilidad y el lanzamiento inicial de un ataque de exploit. Sin embargo, lograr esto mediante la administración efectiva de parches puede imponer una serie de desafíos causados por los problemas que se pueden presentar en los procesos de aplicación de parches. Entre las realidades de la aplicación de parches en infraestructura crítica de redes se cuentan:
• Muchas organizaciones no aplican parches de seguridad en ruoters y switches críticos debido a la falsa percepción de que los atacantes no pueden tomar control de estos dispositivos.
• Los dispositivos de infraestructura de red crítica no están aislados, los problemas que surgen de la aplicación de parches pueden tener como resultado la pérdida total de la disponibilidad de la red y del negocio.
• Las pruebas de parches son procesos lentos y extensos, que toman semanas (incluso meses) de pruebas, especialmente en las organizaciones que poseen cientos o miles de dispositivos.
Las soluciones proactivas de seguridad de redes de clase empresarial ofrecen el único medio efectivo para superar estos desafíos y proteger la infraestructura crítica durante la “ventana de vulnerabilidad” que existe antes de que los parches se prueben y se implementen. La base de este enfoque es la protección proactiva de día cero. Pese a que la protección de los dispositivos de infraestructura crítica a este nivel avanzado ha representado un desafío de proporciones en el pasado, McAfee proporciona a sus clientes la solución líder en la industria para prevenir nuevas amenazas y ataques de día cero.
La solución
El sistema de prevención de intrusos (IPS, Intrusion Prevention System) de red de próxima generación de McAfee IntruShield brinda protección preventiva de día cero contra amenazas y ataques orientados a vulnerabilidades actuales y futuras en la infraestructura de red de misión crítica. La tecnología de detección y prevención avanzadas de IntruShield inspecciona todo el tráfico que viaja a través de la red mientras bloquea proactivamente los ataques a los dispositivos y componentes de la red. Lo más importante es que ofrece protección de día cero inigualable contra las vulnerabilidades de la infraestructura mientras se realizan pruebas exhaustivas e implementan en la red nuevos parches de seguridad. La protección de día cero de IntruShield a la infraestructura se brinda mediante su tecnología patentada de detección de shellcode, que es una parte integral de los motores de firmas, anomalías y detección y prevención de DoS de próxima generación de IntruShield. De la misma forma, los equipos diseñados a medida basados en ASIC proporcionan el rendimiento necesario para inspeccionar en tiempo real todo el tráfico de la red, mientras protege a los clientes de la vulnerabilidad subyacente, en comparación con solamente un exploit en particular. La protección de día cero sin paralelo que proporciona IntruShield para infraestructura de red crítica se proporciona mediante su galardonada tecnología de IPS, que incluye las siguientes funciones clave:
• Inspección completa de anomalías de protocolos: la mayoría de las soluciones utilizan correspondencia simple de patrones dentro del tráfico para identificar un ataque, lo que es similar a reconocer palabras en otro idioma (lenguaje) sin la capacidad de hablarlo ni de comprender su gramática. IntruShield decodifica completamente más de 100 protocolos diferentes mientras entiende a cabalidad la comunicación y la gramática del protocolo en sí. Esto permite que IntruShield proteja de manera proactiva la infraestructura de red sin actualizaciones de firmas al identificar anomalías o variantes en el lenguaje del protocolo que a menudo son indicadores de un ataque.
• Detección heurística de shellcode: la mayoría de los ataques intentan ejecutar programas o controlar un sistema. Esto a menudo se logra usando "shellcode" o el lenguaje de comandos del sistema que está siendo atacado. IntruShield utiliza algoritmos avanzados para detectar la presencia del shellcode y bloquear su uso por parte de un atacante, con lo cual bloquea efectivamente la ejecución de programas y el control remoto de un sistema sin necesidad de actualizaciones de firmas o software.
• Detección de anomalías con estadísticas: IntruShield rastrea más de 100 valores individuales asociados con el tipo y cantidad de tráfico que pasa a través del sensor. La elaboración y el mantenimiento de este “perfil” detallado de tráfico normal en la red permite al sistema detectar y bloquear las variaciones que indican ataques DoS o DoS distribuidos que a menudo afectan los componentes de la infraestructura en la red.
• Plataforma de hardware diseñada a medida: las técnicas descritas anteriormente requieren gran potencia computacional para que se ejecuten efectivamente a tasas de tráfico con velocidad IP. Los sistemas IPS basados en computador simplemente no proporcionan la potencia necesaria para ejecutar este tipo de motores sofisticados de detección y prevención, mientras ejecutan simultáneamente un motor avanzado de firmas como el que utiliza IntruShield para detectar y bloquear ataques conocidos. El diseño exclusivo del sensor de IntruShield utiliza varios clusters de procesadores de alta velocidad dedicados y ASIC especializados para alcanzar un nivel de precisión y rendimiento sin comparación en la industria.
• Respaldo de McAfee Research: todos los productos McAfee están respaldados por la organización de investigación de antivirus y vulnerabilidades mejor calificada de la empresa, McAfee AVERT, cuyos investigadores de nivel internacional combinan su experiencia en las organizaciones McAfee IntruShield, McAfee Entercept y McAfee Foundstone para proteger de manera proactiva a los clientes las 24 horas del día, los siete días de la semana.
El resultado
El galardonado IPS de red de próxima generación de McAfee IntruShield, que es líder en el mercado, brinda protección preventiva de día cero contra amenazas y ataques orientados a vulnerabilidades actuales y futuras en la infraestructura de red de misión crítica. Como resultado, los beneficios del enfoque único de IntruShield hacia la protección de día cero para la infraestructura incluyen: seguridad integral para componentes críticos de la red, eliminar la “ventana de vulnerabilidad” que existe antes de que se puedan probar e implementar los parches, evitar el costoso tiempo improductivo y maximizar la disponibilidad del negocio, eliminar los costos de corrección de los ataques y ofrecer la tranquilidad que implica la implementación del IPS de red líder en el mundo, de la empresa de seguridad más grande y de mayor confianza a nivel internacional.
McAfee refuerza la importancia de IntruShield para minimizar las “ventanas de vulnerabilidad” en las organizaciones. 
