The Next Next Generation Firewall

Estamos asistiendo a una curiosa evolución en los dispositivos de seguridad perimetral, comúnmente conocidos como Firewalls.

Después de una larga temporada en la que prácticamente no tuvieron evolución ninguna, anclados alrededor de la tecnología conocida como Stateful Inspection (tecnología de inspección de estados – en breve seguimiento del estado de las conexiones de red) que permitía un control adecuado de las conexiones a través de puertos y protocolos, con un gran rendimiento pero con reducidas posibilidades de inspección del contexto, estos dispositivos parecían haber “pasado de moda” en favor de nuevos elementos de seguridad como los IDS/IPS (Detectores/prevención de intrusiones) o los dispositivos de filtrado de navegación.

Sin embargo, con la llegada de las tecnologías Deep Packet Inspection, que permitían la inspección del contenido de los paquetes y su aplicación a estos dispositivos, comenzó una nueva carrera por evolucionar y consolidar nuevas funciones de seguridad en donde el firewall tenía una posición privilegiada, al centralizar todo el tráfico que entraba y salía de una red corporativa. La acuñación del término Next Generation Firewall por la consultora Gartner (así como otros relacionados como UTM – Unified Threat Management) selló una nueva evolución y puso nuevamente de moda a estos dispositivos, que empezaron a incluir nuevas funcionalidades y desplazar en muchos casos a soluciones especializadas (Best of Breed) como los IPS o los dispositivos de filtrado web.

Con la capacidad de integrar gestión y reconocimiento de las aplicaciones y los usuarios ya no era necesario definir y restringir a un puerto/protocolo específico un tipo de tráfico, siendo además posible controlar los usos de la navegación web y el “puerto 80” realizando un filtrado efectivo y granular de los flujos que atravesaban el firewall perimetral.

Así la consolidación de una “primera generación” de funcionalidades de seguridad aupó a los fabricantes de Firewalls como plataformas primarias de seguridad, fagocitando en muchos casos segmentos enteros de tecnologías específicas de seguridad y permitiéndoles construir plataformas integradas y convertirse en actores principales de la industria de la seguridad.

Pero la evolución no ha acabado ahí y asistimos a una nueva carrera por incluir nuevas funcionalidades más allá de las comentadas hasta ahora y que nos llevan a incluir un nuevo “Next” en el término para los Firewalls de última generación.

La mayor parte de estas nuevas funcionalidades giran alrededor del cambio de paradigma que se ha dado en el panorama del malware o los ataques dirigidos.

Los tiempos de ataques masivos con piezas de malware de baja complejidad técnica pero gran difusión ha dado paso a ataques basados en códigos muchos más complejos y dirigidos al objetivo conocidos como APTs (Advanced Persistent Threat o Amanaza Persistente Avanzada). Este tipo de códigos, que constituyen actualmente el principal vector de riesgo de ataque a las organizaciones (junto con la nueva amenaza derivada del mercado doméstico, el Ramsonware) requiere de un nuevo enfoque a la hora de proteger los sistemas empresariales que quedan detrás de los Firewalls perimetrales. Las funcionalidades de Antivirus o AntiBots integradas en los Next Generation Firewall, en muchas ocasiones apoyadas en sistemas de compartición de información de amenazas basados en la nube eran efectivos contra los malware genéricos, distribuidos masivamente, que podían ser detectados y aislados en un paciente cero y cuya información, rápidamente distribuida, llegaba a todo el parque de usuarios del fabricante X, de forma que quedaban protegidos desde ese momento con los sistemas de filtrado implementados.

Sin embargo, las amenazas APT, cuyas principales características las hacen ser silenciosas, dirigidas a un objetivo concreto y en muchas ocasiones utilizando vulnerabilidades (conocidas o desconocidas – Dia 0), requieren un enfoque distinto.

Para ello han surgido distintas tecnologías, que como en su día ocurrió con las funcionalidades de seguridad incluidas en los Next Generation Firewalls, están siendo integradas, bien como servicios, bien como funcionalidades añadidas en esta nueva generación. Con diferentes denominaciones comerciales, características y sabores, podemos diferenciar varios grupos:

• Sandboxing: Nos podemos encontrar esta familia de tecnologías, tanto a nivel local en los dispositivos como un servicio que se da “en la nube”. Es la primera generación de tecnologías que intenta emular y “detonar” una posible amenaza avanzada APT, simulando que se ha alcanzado un objetivo, normalmente un puesto final de usuario, y monitorizando la actividad realizada en dicho escenario simulado. Simplificando, ejecutan máquinas virtuales o porciones de ellas con sistemas operativos de cliente (Windows XP, Windows 10…) ejecutando el código recibido en dichas máquinas virtuales, intentando engañar a la posible amenaza para que realice sus acciones en un entorno aislado y monitorizado y del análisis de dichas acciones se toma una decisión sobre el posible contenido malicioso o no del tráfico para dejarlo pasar y entregarlo. Aunque es una buena aproximación, tiene una serie de limitaciones, como puede ser, la capacidad de los códigos avanzados para detectar que se les está ejecutando en un entorno simulado y no “detonar”, la imposibilidad de ejecutar todo el tráfico (por motivos obvios de carga), los ataques no basados en ficheros, los recursos de computación necesarios para ejecutar múltiples instancias de entornos virtuales, los retrasos en la entrega de tráfico necesarios para ejecutar el análisis…

• Extracción de contenido “activo”: Otra tecnología utilizada, principalmente con documentos y ficheros que permiten embeber contenido activo consiste en extraer esta parte del flujo, entregando el tráfico al usuario final sin dicha parte. Básicamente es un complemento al sandboxing que permite evitar la problemática del retraso en la entrega mientras se realiza el análisis.

• Forensics: Aunque no es una nueva funcionalidad en si, las plataformas de análisis y detección de APTs tienen que tomar una decisión basada en acciones que realizan las posibles amenazas analizadas, lo que genera una rica información en cuanto a procedimientos, técnicas y tecnologías utilizadas (comúnmente conocidos como TTP en inglés) que permiten caracterizar grupos organizados de ataque así como buscar patrones similares en el interior de las redes para detectar otros puntos de infección e infiltración.

• Inteligencia de Seguridad: Íntimamente ligado con el punto anterior, estos servicios permiten poner en contexto la información de amenazas avanzadas y que otras vías y metodologías de infiltración y ataque podemos esperar, de forma que podamos estar preparados e incluso realizar un análisis proactivo en nuestros sistemas para poder detectar trazas de estos ataques y mitigar sus riesgos y posibles consecuencias lo antes posible.

• Machine Learning /Inteligencia Artificial: Estas tecnologías, aplicadas al tráfico que atraviesa los firewalls, permiten generar patrones de comportamiento y posibles anomalías, así como correlar diferentes situaciones, que individualmente pudieran parecer inocentes, pero que pueden componer los elementos de un ataque dirigido. Los firewalls en muchas ocasiones son un punto clave para estas tecnologías, ya que procesan un alto flujo de información, con gran rapidez, y por tanto tienen una alta visibilidad de lo que acontece en una organización. Estas tecnologías normalmente son un punto de partida para un análisis en profundidad posterior por parte de un analista humano, en conjunción con varias de las anteriores, si bien, ya empiezan a aparecer capacidades de reconocimiento automático de amenazas dirigidas, en algunos casos tras un período de aprendizaje y en otros directamente integrada en la capacidad de la tecnología (según sean sus algoritmos de inteligencia y/o aprendizaje) que permiten aumentar la capacidad de análisis y bloqueo de amenazas, sin las limitaciones que veíamos en las tecnologías de Sandboxing, si bien normalmente son menos concretas, probablemente son las que mayor recorrido futuro veremos en el desarrollo de la lucha contra estas amenazas.

Vemos por tanto como unas nuevas generaciones de funcionalidades se están integrando en los Firewalls ya llamados de nueva generación, con lo que esperamos que se acuñe un nuevo término pronto… esperemos que mejor que el que hemos utilizado aquí de Next Next Generation Firewall.

Ricardo Hernández

The Next Next Generation Firewall

9 de cada 10 ciberataques se llevan a cabo a través del acceso remoto

Fallos de acceso y exposición de datos en las aplicaciones web corporativas

La red, clave para la seguridad en las empresas