Un experto de la Universidad de Nueva York propone una novedosa forma de securizar las redes
Los CIO deberían dejar de enfocar tanto sus esfuerzos en la detección y prevención de intrusiones y empezar a ocuparse de los ordenadores dentro de sus redes que ya se encuentren comprometidos por los ciberdelincuentes, según un experto en informática de la Universidad de Nueva York.
Nasir Memon, Catedrático de Ingeniería y Ciencia Informática del Instituto Politécnico de la Universidad de Nueva York, propone un novedoso enfoque para descubrir los ordenadores infectados dentro de las redes empresariales. Ha desarrollado un sistema de detección de infecciones basado en red capaz de identificar las máquinas comprometidas.
“En lugar de centrarse en bloquear la entrada de infecciones, asumamos que la infección existe ya y centrémonos en detectarla”, propone Memon. “La prevención de intrusiones no es suficiente. Es necesario vigilar dentro de la red con toda meticulosidad y buscar los focos de infección existentes en ella”.
El sistema de Memon, denominado INFER, está diseñado para detectar el tipo de ataques dirigidos y sigilosos que el nuevo crimen organizado en Internet tiende a lanzar contra las redes corporativas y gubernamentales. Este tipo de ataques, debido a su naturaleza furtiva, resulta difícil de descubrir mediante las tradicionales soluciones de cortafuegos, antivirus, prevención y detección de intrusiones, etc., que suelen centrarse en identificar el malware conocido que intenta entrar en las redes.
INFER, como se ha dicho, se centra en atacar el malware ya existente dentro de las redes. Utiliza sensores desplegados cerca de los routers y conmutadores para monitorizar el tráfico de red de forma pasiva –es decir, sin influir en su funcionamiento- y proporcionar un resumen de sus características. El sistema cuenta con un motor de minería de datos que analiza tales resúmenes y busca signos de infección en máquinas concretas.
La consola de INFER permite a los gestores de red una lista de los diez principales ordenadores host que parezcan estar infectados. También incorpora un componente de análisis forense con el que los gestores de red pueden seguir los históricos de patrones de tráfico sobre host específicos.
Una de las características que distingue a este sistema de otros disponibles en el mercado es que no busca malware o ataques ya conocidos, ni las firmas o patrones de comportamiento a es ellos asociados. En lugar de ello, investiga los hosts intentando descubrir síntomas de posibles infecciones, independientemente de cuál sea el mal que les afecte. Concretamente, INFER chequea los PC para comprobar si muestran alguno de doce síntomas diferentes, incluida su ralentización, reinicios demasiado frecuentes, reconexiones DNS y modos de funcionamiento tipo “relay” y “proxy”.
Vivic comercializará el producto
El Instituto Politécnico de la Universidad de Nueva York lleva utilizando INFER desde hace dos años para seguir el comportamiento de los 3.000 PC integrados en su red. “Descubrimos botnets todos los días e informamos al departamento TI de su existencia”, explica Memon.
Memon y un grupo de sus estudiantes han lanzado una compañía Vivic para comercializar INFER. Hasta el momento, Vivic ha conseguido atraer a un gran cliente de pago: el Laboratorio de Investigación de la Armada de Estados Unidos.
En el pasado, Vivic ha trabajado sin llamar la atención, pero actualmente está desarrollando una estrategia de marketing para INFER.
