miércoles, 16 de noviembre de 2011

Evolución de los sistemas de detección, prevención y análisis de incidentes

La importancia de poder identificar y detectar el tráfico malicioso se justifica en el hecho de que este tipo de tráfico es el que puede alterar el funcionamiento de una red o, en el peor de los casos, causar tal impacto que interrumpa por completo la actividad general del entorno.
Por ejemplo, un usuario común que utiliza algún procesador de texto, crea presentaciones electrónicas, navega en Internet buscando noticias o algún artículo de interés, etc. de pronto ve interrumpida su tarea por alguna causa extraña. Su computadora despliega mensajes de error, cada minuto que pasa se complica navegar en Internet y controlar el equipo debido a la lentitud de respuesta hasta que finalmente, llega al extremo de un reinicio desesperado, cuya probabilidad de pérdida de información es alta.

El usuario está exasperado y asustado, no sabe qué pasa pero por alguna razón no puede continuar trabajando. Al reiniciar el equipo e intentar reanudar sus actividades, advierte que su información está incompleta y que la lentitud para trabajar es ahora recurrente. Lo primero que le viene a la mente: “es un virus, mi máquina está infectada”. Esto en parte demostraría la creencia de que todo lo malicioso que ocurre en una computadora se debe a “un virus”, sin embargo podría tratarse de algo mucho más complejo. Identificar la causa real del problema o algún indicio certero, puede no sólo corregir el problema, sino también evitarlo en el futuro.

Con el fin de atender esta tarea, el SANS Institute[1], a través del Internet Storm Center (ISC), cuenta con un cálculo denominado “Survival Time”[2], el cual consiste en medir el tiempo promedio que tarda un equipo de cómputo en ser atacado o alcanzado por algún tipo de malware en propagación, considerando que se expone a una red pública sin restricciones. En caso de que el equipo no contara con los parches adecuados, entonces esta medición significaría el tiempo en que el equipo sería infectado o vulnerado. En la siguiente figura se aprecia como las últimas mediciones indican que el “survival time” de un equipo Unix es de aproximadamente 3700 minutos, mientras que el de un equipo Windows es casi de 450 minutos. Esto nos da una muestra del verdadero problema con el tráfico de red malicioso.





Fuente: Blog Gilbertsecure



 



No hay comentarios: