Garantizar el funcionamiento ininterrumpido de los sistemas de
importancia crítica y al mismo tiempo reducir los
riesgos de ataques
contra la red corporativa son las principales tareas del departamento TI
de cualquier compañía. Una de las estrategias más efectivas para
realizar estas tareas es poner límites a los privilegios de los usuarios
de los sistemas informáticos.
Desde el punto de vista de la seguridad informática, los sistemas de
importancia crítica poseen dos cualidades fundamentales, la integridad y
disponibilidad, de las cuales depende su funcionamiento ininterrumpido.
Para proteger la red corporativa contra los ataques, es necesario
reducir la "superficie de ataque" (
attack surface), minimizando
la cantidad de dispositivos y servicios de red accesibles desde fuera de
la red corporativa y garantizando la defensa de los sistemas y
servicios de red que necesitan este
acceso (servicios web, portales,
enrutadores, estaciones de trabajo, etc.). En particular, los equipos de
los usuarios (en la red corporativa) conectados a Internet son el
principal vector de ataque contra la red corporativa.
Formalmente, para proteger los sistemas de importancia crítica contra
modificaciones no sancionadas y reducir la posibilidad de ataques contra
la red corporativa hace falta:
- determinar qué objetos (equipos, sistemas, aplicaciones de negocios,
documentos de valor, etc.) de la red corporativa necesitan protección;
- describir los procesos de negocio de la compañía y de conformidad
con los mismos determinar el nivel de acceso a los objetos de la
protección;
- cerciorarse de que cada sujeto (usuario o aplicación corporativa) tenga una sola cuenta de acceso al sistema;
- limitar al máximo el acceso de los sujetos a los objetos, es decir,
limitar los privilegios de los sujetos en los procesos de negocios;
- asegurarse de que todas las operaciones de los sujetos sobre los
objetos se registren en logs, y que éstos se guarden un lugar seguro.
En la práctica, en la red corporativa ocurre lo siguiente:
- todos los documentos corporativos se guardan de forma centralizada,
en directorios comunes en uno de los servidores de la compañía (por
ejemplo, en un servidor que cumple el papel de Document Controller)
- el acceso a los sistemas de importancia crítica está prohibido a
todos, excepto a los administradores: cualquier administrador, en caso
de fallos, puede entrar al sistema de forma remota para hacer
reparaciones rápidas
- a veces los administradores usan una sola cuenta “común” de acceso
- las cuentas de acceso de todos los empleados comunes y corrientes
tienen sólo los reducidos privilegios propios de un “usuario común”,
pero pueden sin dificultad obtener los privilegios de administrador
local.
Técnicamente, proteger los sistemas de importancia crítica es mucho más
fácil que proteger las estaciones de trabajo, ya que en los primeros los
procesos de negocios cambian con poca frecuencia, su reglamento de
implementación casi no cambia y por eso se lo puede elaborar tomando en
cuenta los detalles más mínimos. Por otra parte, el entorno de trabajo
de los usuarios es caótico, los procesos cambian con extrema rapidez, y
junto con ellos cambian las exigencias de seguridad. Como si esto fuera
poco, muchos usuarios tienen una actitud excéptica e incluso negativa
ante cualquier tipo de limitación, incluso si no afecta a los procesos
de negocios. Por esta razón la protección tradicional de los usuarios se
basa en el principio
"es mejor dejar pasar software peligroso que bloquear algo necesario".
El año pasado la compañía Avecto
llevó a cabo una investigación
sobre las vulnerabilidades conocidas del software de Microsoft y llegó a
la conclusión de que “la renuncia al uso de privilegios de
administrador local permite reducir los riesgos de explotación del 92%
de las vulnerabilidades críticas del software de Microsoft”. La
conclusión parece bastante lógica, pero hay que destacar que la compañía
Avecto
no realizó una verificación real de las vulnerabilidades, sino que analizó los datos del
Boletín de Vulnerabilidades Microsoft 2013.
De todos modos es evidente que el software malicioso ejecutado sin
privilegios de administrador local no puede instalar drivers, crear o
modificar ficheros en los catálogos protegidos (
%systemdrive%, %windir%, %programfiles%,
etc.), modificar la configuración del sistema (por ejemplo, escribir en
la rama HKLM del registro) y sobre todo, no puede usar las funciones
privilegiadas del API.
Pero en realidad la ausencia de privilegios de administrador local no es
un obstáculo serio ni para el software malicioso, ni para los hackers
que han logrado penetrar a la red corporativa. En primer lugar, en
cualquier sistema se puede encontrar decenas de vulnerabilidades que
permiten obtener los privilegios necesarios, hasta incluso los
privilegios de nivel de núcleo. En segundo lugar, existen amenazas que
sólo necesitan los privilegios de usuario común para concretarse. En el
esquema de abajo se muestran los posibles vectores de ataque que no
necesitan privilegios de administrador. Y son justo el tema que queremos
abordar.
Ataques locales
Un delincuente que disponga sólo de los privilegios de un usuario
normal tendrá acceso irrestricto a la memoria de todos los procesos
que funcionen bajo la cuenta de acceso del usuario. Esto es suficiente
para incrustar código malicioso en los procesos, con el objetivo de
obtener acceso remoto al sistema (backdoor), interceptar pulsaciones de
teclas (keylogger), modificar el contenido del navegador de Internet,
etc.
Como la mayoría de los antivirus controlan los intentos de
incrustación de código desconocido en los procesos, los delincuentes
suelen usar trucos más sutiles. Así, un método alternativo de
implementación de un backdoor o un keylogger en el proceso de, por
ejemplo, un navegador es el uso de
plugins y extensiones.
Para cargar un plugin son suficientes los privilegios de un usuario
común, y el plugin puede hacer casi todo lo que hace un código troyano,
por ejemplo administrar el navegador a distancia, registrar en un log
los datos ingresados en el navegador y su tráfico,
interactuar con los servicios web y modificar el contenido de las páginas (phishing).
A los delincuentes también les interesan las aplicaciones comunes de
ofimática (por ejemplo, los programas de correo y de mensajería
instantánea) que se pueden usar para lanzar ataques contra otros
usuarios en la red (entre ellos phishing e ingeniería social). El
delincuente puede obtener acceso a programas como Outlook, The Bat,
Lync, Skype, etc. no sólo incrustando código en los procesos
correspondientes, sino también mediante el API y los servicios locales
de estas aplicaciones.
Es evidente que no sólo las aplicaciones, sino también los datos
almacenados en el ordenador pueden representar gran valor para el
delincuente. Además de documentos corporativos, los delincuentes con
frecuencia buscan ficheros de diferentes aplicaciones que contengan
contraseñas, datos cifrados, llaves digitales (SSH, PGP y otros). Si en
el equipo del usuario hay códigos fuente, el delincuente puede tratar
de incrustarles código malicioso.
Ataques de dominio
Como las cuentas de acceso de la mayoría de los usuarios son de
dominio, los mecanismos de autorización en el dominio (Windows
Authentication) le proporcionan al usuario acceso a diversos servicios
de red en la red corporativa. šCon frecuencia el acceso se
proporciona de forma automática, sin verificación adicional del login y
la contraseña. Como resultado, si el usuario infectado tiene
privilegios de acceso a alguna base de datos corporativa, el
delincuente puede usarla con facilidad.
Con la ayuda de la autorización en el dominio el delincuente también
tiene acceso a todas las carpetas y discos de red accesibles al
usuario, a los recursos de intranet y a veces acceso a otras
estaciones de trabajo en el mismo segmento de la red.
Además de las carpetas y bases de datos de red, en la red corporativa
no es raro encontrar diferentes servicios de red, como acceso remoto,
FTP, SSH, TFS, GIT, SVN, etc. Incluso si para ingresar a estos
servicios se usan datos de acceso que no son del dominio, el
delincuente puede usarlos cuando el usuario está trabajando (es decir,
durante la sesión activa).
Protección
Es casi imposible garantizar un alto nivel de seguridad en las
estaciones de trabajo negándoles a los usuarios los privilegios de
administrador. Incluso la instalación de software antivirus en la
estación sólo aumenta su protección, pero no resuelve todos sus
problemas. šLa tecnología de Control de Aplicaciones puede ayudar a
alcanzar un alto nivel de seguridad, y consta de tres elementos clave:
- Modo "Prohibido por defecto" (Default Deny), que permite instalar y
ejecutar sólo el software aprobado por el administrador. No es
obligatorio que el administrador ponga cada aplicación en la lista de
permitidas (hash). Y es que tiene a su disposición una gran variedad de
instrumentos genéricos que permiten agregar de forma dinámica a la
lista de permitidas todo el software firmado por uno u otro certificado,
creado por determinados fabricantes, recibido de una fuente fiable o
que esté presente en la lista blanca de algún proveedor de software de
defensa.
- El modo de control de aplicaciones fiables permite limitar el
funcionamiento del software permitido, haciendo que ejecute sólo
aquellas funciones que debe ejecutar. Por ejemplo, para su
funcionamiento normal un navegador debe tener la posibilidad de crear
conexiones de red, pero no es necesario que lea o escriba en la memoria
de otros procesos, que se conecte a bases de datos en la red o que
guarde ficheros en las carpetas de red.
- El control de instalación de actualizaciones, que permite
actualizar sin interrupción el software de las estaciones de trabajo
(en el modo de "Prohibido por defecto"), reduciendo al mismo tiempo el
riesgo de que los mecanismos de actualización se usen para introducir
infecciones.
Además de todo lo enumerado, los productos en concreto que contienen
la tecnología Control de Aplicaciones pueden proporcionar diferentes
funciones útiles basadas en ésta. En particular, inventariado, control
de software instalado desde la red, recopilación de logs de sucesos
(que pueden ser útiles durante la investigación de incidentes), etc.
La combinación de tecnologías permite, por una parte, dar al usuario
todo lo que necesita para trabajar e incluso para divertirse, y si
mañana necesita alguna cosa más, puede obtenerla sin ninguna
dificultad. Por otra parte, las posibilidades del delincuente que ha
obtenido acceso al sistema protegido están muy limitadas. Sin duda,
este es el balance “ideal” entre flexibilidad y seguridad en la
protección de la red corporativa.
Fuente:
VirusList
