Como director ejecutivo de AlienVault, Barmak Meftah se enfrenta todos los días a enemigos que atacan desde lugares remotos con armas aparentemente inigualables.
Barmak Meftah, director ejecutivo de AlienVault
Una de las armas que utiliza AlienVault con el apoyo de la comunidad de código abierto es un informe global llamado Open Threat Exchange, que rastrea las amenazas a las redes informáticas. Los resultados permiten que estos intercambios de amenazas gratuitos para que los usuarios de software de seguridad identifiquen puntos de falla en sus escudos de red y tomen medidas correctivas.
En esta entrevista, LinuxInsider habla con Meftah sobre cómo está cambiando el panorama de amenazas y por qué los sistemas operativos Linux ahora corren un mayor riesgo.
LinuxInsider: ¿Qué tan diferente es el enfoque adoptado por las soluciones de seguridad de código abierto versus el software propietario?
Barmak Mefta: Mi sensación es que cuando tienes a mucha gente en todo el mundo, descargas algo varias veces, lo instalas en todo el mundo y pasas por pruebas y tribulaciones, ha sido probado y probado más que cualquiera de sus contrapartes comerciales. Creo firmemente que cuantas más personas descarguen, instalen y prueben un producto de manera objetiva y abierta, más estable y robusto será el producto.
Lee: Dados los niveles de amenaza emergentes de hoy, ¿existen diferencias en los umbrales de seguridad para los sistemas operativos Linux que son atacados con mayor frecuencia?
Mefta: Usamos Debian 6. En general, el sistema operativo hace un muy buen trabajo al aislar partes del sistema operativo que podrían convertirse en superficies de ataque. Hace un muy buen trabajo manteniendo alejados a los malos. Es realmente difícil de entender, especialmente en comparación con el sistema operativo Windows, incluso con las mejoras de la plataforma. Por diseño, Windows está abierto a permitir que intrusos provoquen desbordamientos de pila.
Li: ¿Estás diciendo que el sistema operativo Linux se ha vuelto indestructible?
Mefta: Los piratas informáticos inicialmente eligen el camino fácil. Ahora persiguen objetivos aún más exóticos. Todos estos vectores de ataque siguen existiendo en los sistemas operativos Linux. Simplemente es más difícil acceder. Pero es sólo una cuestión de la sofisticación del hacker y del tiempo que esté dispuesto a invertir.
LI: ¿Qué métodos ha encontrado para proteger capas potencialmente vulnerables encima del sistema operativo Linux?
Mefta: Asumimos que cualquier activo puede verse comprometido; es sólo una cuestión de tiempo y complejidad. La pregunta entonces es: ¿está lo suficientemente bien equipado para tener observación, análisis y visibilidad completos de lo que sucede en su entorno?
LI: ¿Cómo garantizan las soluciones de código abierto que los usuarios estén equipados adecuadamente? ¿Esto requiere soporte de TI de alto nivel o habilidades que un usuario final típico puede adquirir?
Mefta: No quiero restar importancia a los cortafuegos, antivirus y soluciones antimalware (creo que son muy importantes), pero si nos fijamos en el mercado objetivo, aquellos que tienen departamentos de TI y usuarios conscientes generalmente saben cómo implementar estos productos. .
Una vez que se mira el lado analítico de las operaciones informáticas, tradicionalmente ha requerido mucha experiencia técnica, y sólo ha sido en el ámbito del segmento alto del mercado donde pueden darse el lujo de gastar mucho dinero en estas cosas. La gran mayoría del mercado son pequeñas y medianas empresas y medianas empresas. No tienen recursos económicos.
Lee: Dejando a un lado los recursos de capital, ¿cuáles son las razones de las deficiencias en el uso de análisis de seguridad en el mercado de nivel medio?
Mefta: En la mayoría de los casos, este nivel de soporte de TI (administradores de sistemas Linux) no tiene el nivel de experiencia en seguridad para comprender lo que sucede desde esta perspectiva. Por lo tanto, las empresas de seguridad deben simplificar integrando los controles de visibilidad de seguridad necesarios en un conjunto de productos en un formato muy abierto.
Li: Entonces, siempre que el producto esté configurado correctamente, ¿puede abordar eficazmente la superficie de ataque de Linux sin construir pesados muros de seguridad que reduzcan la eficacia?
Mefta: Si tiene los recursos financieros, la solución ideal es comprar e implementar los cinco software de seguridad necesarios: detección de intrusiones, análisis de vulnerabilidad, análisis de comportamiento o análisis forense, gestión de inventario de activos e inteligencia de seguridad. Su otra opción es suscribirse a una solución de servicio integrado que ofrezca los mismos productos a un precio más asequible.
LI: ¿Los usuarios de Linux de escritorio y las pequeñas y medianas empresas necesitan este nivel de seguridad sofisticada?
Mefta: Nuestra solución no es un verdadero firewall. Lo que hacemos es dejar que el firewall le diga al usuario lo que sucedió. Los cortafuegos sólo intentan bloquear las intrusiones. La suposición es que en algún momento te romperás. No proporcionamos cobertura protectora. Solo brindamos servicios de detective.
LI: ¿El nivel de amenaza cambia según el entorno informático de una tienda PYME o una oficina en casa en comparación con una fábrica de una gran empresa?
Mefta: La única manera de determinar esto es realizar una evaluación de activos y violaciones. Luego, los usuarios pueden personalizar las respuestas de seguridad en consecuencia. Es más importante descubrir qué está ejecutando es vulnerable que en qué lo está ejecutando.
Li: Uno de los servicios que desarrolló basándose en la comunidad de código abierto es un proyecto para mapear niveles de amenaza. ¿Cómo ayuda Open Threat Exchange a los usuarios a resolver problemas de seguridad?
Mefta: La idea detrás de esto es compartir amenazas informáticas mediante colaboración colectiva. Open Threat Exchange es un gran activo que tenemos gracias a los esfuerzos de la comunidad. Durante los últimos cuatro años, la comunidad de seguridad ha estado ansiosa por compartir información sobre amenazas. Existe mucha información valiosa sobre amenazas. Si podemos acceder a él, finalmente podremos poner a la defensiva a los piratas informáticos a largo plazo.
Li: ¿Por qué este concepto no ha despegado todavía?
Mefta: Todo el mundo quiere obtener los datos de amenazas de todos, pero nadie quiere enviar los suyos propios. Por lo tanto, aprovechamos todos los productos de seguridad que ofrecemos para descargar globalmente a través de la comunidad de código abierto. Si nos envía datos sobre amenazas, los haremos anónimos y le devolveremos los datos sobre amenazas de otras personas. Esta es una forma colectiva de compartir información sobre amenazas.
Li: ¿Confiar en la comunidad de código abierto tiene algún efecto en la recopilación de informes de amenazas de los usuarios?
Mefta: En un corto período de tiempo, llegamos a aproximadamente 10.000 suscriptores. Esta red de amenazas cubre aproximadamente 140 países. Si elige enviar un informe de amenazas a través de nuestro software, recibirá los resultados completos compartidos de forma gratuita. De lo contrario, puedes pagar una tarifa de suscripción para obtener lo mismo. Ya sea que descargue la versión gratuita de código abierto o utilice nuestra versión comercial, incluso para entidades comerciales, obtendrá el servicio de forma gratuita si decide unirse. Esto se basa en un modelo de exclusión voluntaria. Incluso anima a los usuarios del producto gratuito a compartir los resultados de sus amenazas con la comunidad de código abierto.
Lee: Suponiendo que soy un usuario de código abierto y acepto participar, recibo informes completos de amenazas. ¿Qué puedo hacer con él para fortalecer mi propia respuesta a posibles violaciones de seguridad?
Mefta: Lo que entonces sucede es que a medida que nuestro producto realiza un análisis de seguridad para encontrar sus amenazas, vulnerabilidades y anomalías, le enviamos el análisis de correlación del perfil de amenaza que se compartió con usted. Ese es un contexto realmente valioso porque entonces puedes comenzar a hacer preguntas como: «Si estuviera comprometido, o si estuviera observando esta intrusión o esta vulnerabilidad, ¿soy la única empresa que ve esto?» ¿Están otras empresas de mi industria experimentando la misma situación? ¿Otras empresas de mi zona también están analizando esta área?
Lee: Según el flujo de datos que está viendo, ¿está al tanto de algún cambio o tendencia en el nivel de amenaza en este momento? ¿Puedes ver alguna diferencia entre la situación actual y la de hace tres años?
Mefta: La sofisticación de los vectores de ataque y las técnicas de piratería utilizadas es asombrosa. Estamos viendo más ataques patrocinados por el Estado. Estamos viendo más ataques de estados-nación en lugar de ataques tradicionales de niños que intentan entrar. Los métodos de ataque son tan sofisticados que casi se puede decir que están patrocinados por el crimen organizado. Cuanto más sofisticados nos volvemos en la protección y detección de ataques en nuestro entorno, más sofisticación y habilidades de los piratas informáticos crecen exponencialmente.
Lee: ¿Cuáles crees que son los dos o tres problemas de seguridad más importantes que enfrentan los usuarios de Linux hoy en día?
Mefta: Puedo decirles tres cosas en las que creo sinceramente que todo administrador de sistemas, toda persona de operaciones de TI y todo responsable de operaciones de seguridad debería centrarse. Esto es especialmente cierto para las empresas que se encuentran en la etapa de mercado medio a PYME. Una es evitar que se produzcan ataques o amenazas. Muchos controles de seguridad tradicionales, como firewalls, antivirus, antispyware y filtrado web (todo lo que llamamos muros gruesos) siguen siendo importantes entre los piratas informáticos y sus activos, pero estos muros no son suficientes por sí solos.
El segundo es tener capacidades integrales de visibilidad de amenazas. No basta con decir «He configurado el firewall». Es fundamental continuar monitoreando y analizando las amenazas, vulnerabilidades y anomalías que ocurren en este entorno.
Finalmente, debes tener una forma sofisticada de contrarrestar estos ataques. Necesita un mecanismo de respuesta inmediata para evitar que suceda lo que observó.