Aun cuando todas las presentaciones de especialistas de seguridad dicen que el 80% o más de las violaciones de seguridad provienen de personal interno, personalmente difiero de esa apreciación (quizás porque mi experiencia se limita a Venezuela): mientras estuve trabajando en instituciones financieras, los robos, estafas y afines (que SI ocurrieron) fueron perpetrados por personal que tenía acceso a los sistemas, no tuvieron necesidad de apropiarse de algún password poniendo un sniffer en la red, simplemente ejecutaron operaciones que podían realizar! Para enfrentar estas amenazas hay que tomar medidas que, definitivamente, no corresponden a la plataforma de TI como tal, no se trata de meter IDS o IPS o analizadores de logs para detectar ingresos sospechosos a los servidores, sino de analizar los accesos a los sistemas con los reportes propios de auditoría de los sistemas en cuestión.
Lo que SI definitivamente es una amenaza a la continuidad de la operación en cualquier empresa, es una propagación de virus en la red ya que puede fácilmente comprometer los servidores Windows y el acceso a Internet; si la contaminación es mayor, podrían colapsar servidores de otras plataforma (típicamente Linux/Unix) tales como el servidor de correos, las aplicaciones internas basadas en Web, los servidores DNS e inclusive la red como tal (lo cual impediría hacer cualquier cosa). Contra este tipo de amenazas definitivamente hay que estar preparados.
Dado que no hay una solución perfecta, es bueno tener elementos de seguridad en distintas “capas” tales como:
Antivirus en el perímetro
Hoy en día prácticamente todos los Firewalls del mercado poseen un motor antivirus que es actualizado sistemática y automáticamente por el proveedor, estos elementos atrapan una gran cantidad de Virus tratando de propagarse, así como Spyware que viajan en correos electrónicos. Indudablemente los firewalls son un factor clave en la seguridad, sin embargo su eficacia puede socavarse cuando algún usuario trae su portátil contaminado desde su casa. En nuestro caso usamos firewalls Fortigate 400 de Fortinet, son elementos muy buenos, eficientes, relativamente simples de usar, versátiles… quizás lo único malo es el precio de renovación de la licencias para la actualización del software y de las huellas de antivirus, IDS e IPS, pero desconozco los precios de las otras marcas.
Antivirus en el servidor de Correos
Hay soluciones de antivirus que se instalan en el servidor como tal, en nuestro caso el servidor era un Sun con Solaris (antes había sido un Linux Red Hat) y servicios de correo Postfix standard que viene en la caja (sobre esto volveré próximamente). Instalamos entonces un software libre antivirus denominado ClamAV con quién nos fue bastante bien.
Antivirus en los PC y Servidores
Como herramienta antivirus se seleccionó a Kaspersky la cual resultó ser bastante buena (no perfecta), con una buena administración centralizada y un buen firewall personal. Este último módulo casi no se usó debido a la interferencia que producía con aplicaciones del negocio… se hubiese podido ajustar perfectamente, pero no se tuvo el tiempo necesario para hacerlo.
Políticas específicas en los PC
Para prevenir la difusión de virus como Conficker (o Kido) cuya reproducción se hacía mediante la ejecución automáticas de drives de Windows (típicamente los Pen Drives), se establecieron políticas de seguridad en el directorio activo para prevenir este tipo de situaciones. Eso incluía, por ejemplo, la desactivación del Schedule para la ejecución de tareas (que virtualmente ningún usuario utiliza) o inclusive compartir carpetas. Siempre gracias a la difusión de políticas de seguridad del directorio activo, se incorporaron algunas reglas que permitieron tener funcionando el Personal Firewall del SP2 sin que afectara las aplicaciones del negocio.
Actualización sistemática de Windows
Para mi ésta es la primera “trinchera” para la defensa de los PC y los Servidores de los ataques de los virus, troyanos, gusanos y afines. Generalmente es el mismo Microsoft quién descubre una falla de seguridad en el sistema operativo y otras aplicaciones, tales como el IE ó el Media Player, y difunde el remedio correspondiente, pero los hacedores de virus programan el explotador de la debilidad sabiendo que van a conseguir la mayoría de PCs y servidores sin haberse actualizado… por lo tanto es clave aplicar los “patch” de seguridad de Microsoft a la brevedad posible. Sobre este último punto hablaré la próxima semana.
De esta manera los Virus tenían que vencer a varios filtros distintos para poder penetrar todas las defensas: el antivirus del Firewall, el antivirus del servidor de correo (cuando éstos vienen embebidos en mensajes) y el antivirus del PC. Así se disminuyó la incidencia de virus notablemente.
No hay comentarios:
Publicar un comentario