Enterese.net - La web que te informa mejor






	"Redes Autodefensivas contra amenazas de Zotob" *A: Gastón Tanoira, Gerente de Soluciones de Seguridad de Cisco para Latinoamérica* Un nuevo worm, Zotob y sus varias versiones, más de 6 en este momento, está circulando por Internet a nivel mundial desde hace unos días. Zotob ataca una vulnerabilidad del Plug and Play del sistema operativo Windows. Gastón Tanoira, Gerente de Soluciones de Seguridad de Cisco para Latinoamérica, explica los alcances de este worm y por qué está afectando a tantas empresas. ¿ Qué es Zotob? A raíz de la publicación por parte de Microsoft de una vulnerabilidad en su sistema operativo Windows 2000 y XP en el boletín de seguridad de Agosto, un nuevo worm ha surgido aprovechando esta información que afecta el servicio de Plug and Play de las máquinas que no tienen el parche correspondiente. Así, Zotob escanea Internet buscando máquinas sin el parche de seguridad de Windows 2000. Una vez infectada, la máquina abre unas 300 conexiones en búsqueda de propagar la infección e inhabilita a la maquina a contactar ciertos sitios de web entre ellos los proveedores de antivirus para evitar ir en busca de ayuda. En un tercer paso, la máquina se conecta a un canal de IRC en una dirección predefinida y espera instrucciones del atacante los cuales pueden ser: “Desconectar/reconectar del Canal IRC”, “Solicitar información del sistema”, “bajar y ejecutar archivos”, “remover el worm del sistema”, “manipular las configuraciones de seguridad del sistema”. La variante zotob.c también envía el archivo infectado vía email, convirtiéndose en un híbrido worm/virus... ¿ Cuáles son los efectos? Los efectos inmediatos del worm en las máquinas infectadas son degradación de desempeño y reseteo constante del sistema. Otro de los efectos es la creación de un backdoor que le da al atacante la habilidad de agregar o borrar carpetas compartidas en red, robar información, ejecutar aplicaciones o lanzar ataques de negación de servicio indiscriminadamente. ¿ Por qué Zotob está afectando a tantas empresas? Actualmente el tiempo que transcurre entre el descubrimiento de una vulnerabilidad y la creación o lanzamiento del ataque que comprometa esa vulnerabilidad se ha reducido enormemente. Por ejemplo, Microsoft anunció la vulnerabilidad MS05-039 el martes de la semana pasada y en menos de una semana Zotob fue lanzado a Internet afectando varias compañías importantes como ABC, CNN, GM, NY Times, Caterpilar, etc. Las empresas no dan a basto para tener todos sus sistemas con los parches de seguridad al día y al basar sus sistemas de seguridad en productos puntuales y reactivos, en lugar de contar con una plataforma de seguridad que se defienda a sí misma, se adapte a las amenazas conocidas y desconocidas y esté en la arquitectura misma de la red, quedan expuestas a nuevos ataques que están fuera de las firmas de sus software de antivirus o sistemas de detección de intrusos. ¿ Qué tecnología de Cisco puede hacerle frente a Zotob? Fundamentalmente el Cisco Security Agent o CSA. Cisco Security Agent entrega protección contra amenazas a sistemas de cómputo como servidores o computadores de escritorio, también conocidos como puntos finales. CSA adicionalmente ayuda a reducir los costos operativos al identificar, prevenir y eliminar amenazas conocidas y desconocidas. Cisco Security Agent analiza el comportamiento del dispositivo en lugar de analizar solo las amenazas conocidas, por lo que no requiere conocer la estructura del virus o worm para detener un ataque. Esta arquitectura puede identificar y prevenir las llamadas amenazas de “Día Cero”. En otras palabras, si una PC o servidor basa su seguridad en Antivirus, los nuevos worms o virus como Zotob, solamente podrán ser detenidos cuando el proveedor del antivirus actualice su información e incluya las nuevas amenazas. Con Cisco Security Agent esto no sucede. El sistema identifica que existe un comportamiento malicioso y actúa proactivamente para defenderse de la nueva amenaza no identificada. ¿ Qué lección se puede aprender? Fundamentalmente que los sistemas de seguridad, para ser efectivos, deben estar en capacidad de identificar, prevenir y adaptarse a las amenazas de seguridad. La única defensa viable a los ataques modernos de seguridad, debido a su complejidad y rapidez de expansión, es mitigar estos riesgos en la propia red. No se puede depender de dispositivos puntuales que estén en la periferia sino que la red en sí misma debe defenderse. La seguridad de la red debe ser integrada a nivel del sistema. Todos los componentes de la red tienen que ser punto de defensa e interactuar entre sí mismos. Los routers tienen que hablar y trabajar con los switches, los firewalls, los sistemas de prevención de intrusos, servidores, PCs, los puntos de acceso inalámbricos, etc. Todo debe trabajar como un sistema unificado. Además, la defensa debe adaptarse automáticamente las nuevas amenazas. Este es un enfoque proactivo y no reactivo, donde la red se adapta a la evolución de los nuevos ataques. De esta manera la red puede identificar comportamientos sospechosos de los distintos dispositivos conectados a una red, independientemente que el ataque sea conocido o no. Cisco concibe la infraestructura de TI como un ser viviente, donde la red es el sistema inmunológico. Los seres vivientes estamos expuestos a virus y enfermedades en nuestra vida diaria, pero a pesar de esto el cuerpo se defiende solo, sin que nos enteremos. En las ocasiones que el virus traspasa las primeras defensas, las funciones vitales siguen trabajando. De esta misma forma las redes deben auto defenderse para proteger sus aplicaciones de misión crítica.
	« regresar

COMUNIQUESE A NUESTRA NUEVA CENTRAL TELEFONICA: (511) 624-6132

Recomienda esta página a un amigo