1

CIOs: Sus redes ya han sido comprometidas

Los CIOs deberían detener su enfoque de detección de intrusos y prevención de sistemas y empezar a tratar con las computadoras de sus propias redes que ya han sido comprometidas por los cibercriminales.

Nasir Memon, profesor de ciencias de la computación e ingeniería en el Instituto Politécnico de NYU, ha desarrollado una red basada en un sistema de detección de infecciones para identificar computadoras anfitriones comprometidas en grandes redes.

“En lugar de enfocarse en bloquear las infecciones que ingresan, debemos asumir que es una infección y nos enfocamos en detectar la infección”, dijo Memon. “La prevención de intrusos no es suficiente. Tiene que ver la red desde adentro muy cuidadosamente y buscar infecciones”.

Memon describió su sistema – llamado INFER- en la Conferencia de Protección de Ciberinfraestructura que tuvo lugar en el City College de New York el jueves.

INFER está diseñado para detectar la clase de blanco, ataques por robo que el crimen organizado y países extranjeros tienden a lanzar contra redes corporativas y gubernamentales. Esos ataques de movimiento lento son difíciles de detectar para los administradores de red con firewalls, anti-virus, sistemas detección o prevención de intrusos que se enfocan en malware conocido tratando de infiltrarse en las redes.

INFER, por otro lado, se enfoca en el malware que ya está dentro de las redes. INFER usa sensores implementados junto a los routers y switches para monitorear pasivamente el tráfico de red y resumirlo. INFER tiene un motor de minería de datos que analiza los resúmenes y busca máquinas infectadas.

La consola de INFER dota a los administradores de red con una lista de las 10 computadoras anfitrionas que parecen estar infectadas. También tiene un componente forense que le permite al administrador de la red seguir los patrones históricos de tráfico en anfitriones específicos.

INFER no busca malware conocido o ataques, no busca las firmas o los patrones de comportamiento asociados con ellos. En su lugar, INFER busca anfitriones que muestren síntomas que una máquina infectada podría exhibir, a pesar no tener la infección.

INFER revisa docenas de síntomas tales como apagones repentinos, reinicios frecuentes, reconexiones DNS y la actuación del servidor de alojamiento como proxie o distribuidor.

“Al momento en que el atacante comienza a hacer las cosas con una máquina comprometida, comenzará a dejar huellas en la red. Eso es en lo que nos enfocamos”, asegura Memon. Es como una cámara de vigilancia que graba todo lo que está pasando en la red”.

INFER crea una sinopsis del tráfico de red, en lugar de almacenar el tráfico de red para análisis. Al usar una sinopsis en el tráfico de red, INFER hace más fácil para los usuarios el almacenamiento de tres meses de datos y transfiere los datos sobre una red para una revisión central.

El Instituto Politécnico de NYU ha estado corriendo INFER por dos años para seguir el comportamiento de 3.000 PCs en su red. “Descubrimos botnets cada día y le reportamos a IT que hay ahí”, dice Memon.

Memon y sus estudiantes han  creado una compañía llamada Vivic para comercializar INFER. De esta manera, Vivic ha atraído a un cliente pagado: el Laboratorio de Investigación Militar de los Estados Unidos, que planea usar el sistema para el sistema de monitoreo de redes Interrogator.

INFER también ha atraído a varios clientes piloto incluyendo al gobierno del condado Westchester en New York, que están usando INFER para monitorear 3.000 anfitriones y el departamento de IT de la ciudad de New York está usando el sistema para monitorear 43.000 servidores.

En modo de prueba hasta ahora, Vivic planea crecer por sí mismo en vez de atraer capital de riesgo. Actualmente, la compañía está desarrollando una estrategia de mercadeo para INFER.

INFER representa una “forma diferente de pensar”, afirma Memon. “Los administradores de red se levantan y piensan como deben tratar con los chicos malos, pero ignoran que los chicos malos ya están adentro”.

-Por Carolyn Duffy Marsan
Network World (US)
FRAMINGHAM/NEW YORK

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.