Uno de los aspectos más perjudiciales de los #Ciberataques modernos es cuando un atacante logra #Persistencia: la capacidad de penetrar en una red y permanecer residente durante largos períodos de tiempo, pasando de un sistema a otro, recopilando datos valiosos para robar.

El objetivo de la industria de la seguridad debe ser negar la persistencia [VIDEO]de un atacante. Tres tecnologías relativamente nuevas pueden jugar un papel importante en la protección de los servidores y la red para negar los ataques persistentes.

Microsegmentacion

Esta es una nueva versión de una vieja idea: firewalling. El concepto fundamental detrás de un firewall es que no todos los servidores deben poder conectarse a cualquier otro servidor.

La mayoría de los cortafuegos se colocan en un límite de la red para controlar estrictamente el tráfico entrante o saliente.

Pero todos los servidores dentro de ese límite o perímetro generalmente se consideran de confianza y, por lo tanto, se les permite comunicarse sin restricciones. Una vez que un atacante penetra el firewall perimetral, puede moverse con relativa facilidad de un servidor a otro, buscando lo que quiere.

La microsegmentación es como un firewall en miniatura que puede poner un límite alrededor de un único servidor, por lo que no se permiten las conexiones aleatorias entre los servidores en el centro de datos. Esta es una forma muy efectiva de detener la propagación interna de malware dentro de una empresa.

La microsegmentación [VIDEO] puede realizarse en el sistema operativo en sí, pero esta estrategia tiene una debilidad: una vez que un atacante ha penetrado en el sistema operativo, puede eludir cualquier control.

La forma más efectiva de microsegmentación se realiza en la capa del hipervisor, una capa debajo del sistema operativo. Los principales proveedores de hipervisores como VMware y proveedores de servicios como Amazon, Google y Microsoft ofrecen alguna forma de microsegmentación.

Una fuente importante de ataques es el contenido de ingeniería social que atrae a un usuario a hacer clic en un enlace. Los atacantes luego usan el tráfico web para entregar una carga útil en la máquina del usuario y obtener un punto de apoyo en la red.

Intentar mantenerse al día con cada vulnerabilidad de la Web es una tarea imposible, por lo que una gran cantidad de nuevos proveedores han desarrollado una tecnología llamada aislamiento web. La idea es ejecutar páginas web en un contenedor seguro y luego simplemente entregar las páginas web terminadas al navegador.

Aislamiento de la web y la Inmutabilidad

El enfoque de aislamiento web tiene la gran ventaja de no necesitar ningún conocimiento previo de un ataque, ya que el malware se mantiene en una "placa de Petri" donde no puede hacer ningún daño al usuario final.

Es una estrategia muy efectiva y está siendo rápidamente adoptada por los equipos de TI en todo el mundo. Los principales proveedores incluyen proveedores tradicionales de #seguridad web como Symantec y Proofpoint, y también nuevos pioneros como Menlo Security.

La inmutabilidad del servidor se basa en la idea de que la mayoría de los componentes de un servidor nunca deberían cambiar una vez que se haya cargado en la memoria y se esté ejecutando. El desafío con esta creencia es que una vez que un atacante obtiene acceso privilegiado en el sistema operativo, puede realizar los cambios que desee. El sistema operativo no puede protegerse del ataque.

Varios proyectos de código abierto han dado grandes pasos en esta dirección: App Armor y SC Linux son dos de los más notables. Estos proyectos no han logrado una adopción generalizada porque pueden ser difíciles de usar. Sin embargo, los nuevos avances en la tecnología de virtualización de servidores pueden crear una plataforma para proporcionar sistemas inmutables verdaderamente sólidos y utilizables.

Además, el movimiento hacia aplicaciones "nativas de la nube" basadas en contenedores significa que las aplicaciones son menos dependientes de un sistema operativo. El sistema operativo nunca debe ser parchado o actualizado, sino simplemente "repavimentado, "O se genera un nuevo servidor.

En este tipo de entorno nativo de la nube, donde un servidor es más desechable, sin necesidad de actualizarse ni modificarse, es posible bloquear la configuración del servidor y reducir la superficie de ataque. La inmutabilidad es un área #prometedora y es probable que sea una solución activa en el #próximo año.