Hace casi un año exacto, hacia una publicación de AppDefense más bien introductoria a lo que era el producto (Appdefense). En esta ocasión quiero profundizar un poco más en ella y contarles cómo funciona.

Seguridad, la palabra que más se repite en estos días en las empresas e instituciones de nuestro país. Cada vez más, la seguridad se transforma en un desafio más grande y difícil cuando tenemos millones de ataques de Malware, que constantemente salen muchos más y además nos encontramos con algunas falencias en nuestros equipos, algunas de ellas a veces desconocidas por las mismas marcas las cuales nos ayudan con los futuros parches y hotfix. Lamentablemente, a veces tenemos que ser el “conejillo de indias” al cual atacaron para darnos cuenta de ese problema de vulnerabilidad detectado.

Bajo ese escenario, las herramientas de hoy en día para la defensa de nuestro entorno se encargan de tratar de frenar todos estos ataques y muchas veces quedan expuestos porque nos encontramos con un nuevo método de ataque que nuestros sistemas no tenían en sus registros.

Bajo ese punto de vista, y si cambiamos la forma de afrontar estos problemas? Y si en vez de buscar los posibles problemas aseguramos un buen comportamiento del sistema?

VMWare AppDefense es el producto de seguridad que ayuda a trabajar a la detección de posibles amenazas, respuesta y corrección de su entorno, pero desde el punto de vista de garantizar el buen funcionamiento de este. Una vez que establecemos una carga de trabajo, estable, normal y productiva en nuestra plataforma, nos enfocamos que esa carga de trabajo se mantenga trabajando lo que ayuda a reducir considerablemente los puntos de falla.

La forma de trabajar de AppDefense cambia la forma de establecer una carga de trabajo estable bajo 3 parámetros principales:

Capturar: AppDefense comienza capturando el estado previsto de una aplicación y utilizando el aprendizaje automático para recopilar información sobre el estado de tiempo de ejecución de la aplicación para obtener una imagen completa de la infraestructura. AppDefense utiliza las propiedades únicas de la virtualización para proporcionar una visibilidad mejorada de la aplicación. El hipervisor vSphere puede ver tanto el estado previsto como el estado de tiempo de ejecución de una aplicación implementada. En otras palabras, AppDefense va entender tu plataforma, va saber cómo funciona y desde ahí, va a mantener ese buen punto de funcionamiento.

Cómo funciona la captura?

Estado previsto: el propósito de una aplicación y la función que debe realizar.

Ejemplo:

  • Un servidor web ejecuta servicios web o un servidor de base de datos ejecuta servicios de base de datos.
  • El servidor web puede haber sido creado usando vRealize Automation, Ansible, Puppet o Chef.
  • El servidor web puede tener paquetes desplegados desde Maven o Jenkins.

Estado de tiempo de ejecución: una aplicación puesta en servicio ejecutará los servicios y procesos previstos y puede requerir otros procesos y comunicaciones que necesita para ser completamente funcional.

Ejemplo:

  • Un servidor web que habla con un servidor de Application Intelligence o un servidor de base de datos.
  • El servidor web también puede requerir servicios como NTP, DNS, LDAP, etc. Estos procesos y comunicaciones se identifican como parte del estado de ejecución una vez que la máquina está activa y realiza operaciones.

Toda esta información se recopila en el archivo de manifiesto y se almacena en un espacio protegido en el hipervisor vSphere para ser monitoreada, prevenir la manipulación y alertar sobre cambios inesperados / no deseados automáticamente.

Detectar: AppDefense utiliza la propiedad de virtualización única de un fuerte aislamiento, utilizando la posición privilegiada del hipervisor para proporcionar el mejor contexto para detectar anomalías. En otras palabras, desde la virtualizacion es mucho más sencillo al momento de detectar algún intruso en una VM poder aislar esa VM para que el ataque no se propague al resto de la infraestructura.

Los enfoques de seguridad típicos basados ​​en host se dividen en dos métodos tradicionales:

Seguridad basada en host

Pro: normalmente implementado con un agente invitado, por lo que el contexto sobre lo que protege es excepcional.

Contra: normalmente se implementa como un agente interno que es susceptible de desactivarse, ya que se ejecuta en el mismo espacio de usuario que la mayoría de los ataques.

Los atacantes eventualmente comienzan a atacar el software de seguridad para deshabilitarlo. Dado que el software de seguridad generalmente se ejecuta dentro del mismo dominio de confianza que es atacado, por lo cual, es poco lo que se puede hacer para proteger el sistema y proporcionar aislamiento.

Seguridad basada en hardware

Pro: una pieza de hardware en red que proporciona un gran aislamiento, ya que no suele estar en contacto directo con el invitado. Esto significa que mantiene su propio dominio de confianza que tendría que verse comprometido además del invitado. Dos puntos de ataque que el atacante tendría que perseguir para tener éxito.

Contra: una pieza de hardware en red generalmente no tiene contexto del invitado y lo que está sucediendo. Estos sistemas tendrían que realizar ingeniería inversa y gastar ciclos de cálculo pesados ​​para obtener contexto. La mayoría de las veces, es adivinar qué hacer.

La seguridad basada en hardware puede proporcionar un gran aislamiento. También proporciona una superficie de ataque adicional en la que un atacante posiblemente tendría que comprometerse para tener éxito. El problema con el hardware es la falta de contexto. La mayoría de las veces bloquean o permiten sin saber cuál es el tráfico. Los firewalls de próxima generación pueden proporcionar beneficios en contexto, pero solo en el cable y no sin motores de computación pesados ​​para realizar las tareas.

AppDefense reside en el hipervisor, que es un dominio de confianza separado y tiene la capacidad de proporcionar tanto contexto sobre la aplicación como aislamiento. El hipervisor tiene visibilidad en el invitado desde una posición privilegiada mientras mantiene límites de confianza dispares.

Responder: AppDefense utiliza la propiedad de virtualización única de la automatización para proporcionar respuestas automáticas a las alertas que se activan. La infraestructura virtualizada es totalmente capaz de ser automatizada. Está construido completamente en software. Esto significa que AppDefense puede aprovechar las mismas propiedades que encontramos con las máquinas virtuales, como apagar, suspender e instantáneas, para tácticas de reparación de actividades maliciosas.

Las herramientas de seguridad tradicionales requieren corrección manual para la mayoría de las tareas. Un administrador tiene que realizar alguna acción contra la alerta encontrada. Esto puede retrasar y causar daños aún mayores a la infraestructura mientras espera una respuesta. AppDefense puede tomar medidas inmediatas, basándose en una política de seguridad predefinida para cualquier anomalía con la confianza de que una anomalía es representativa de actividad maliciosa.

Para una segunda parte, voy entrar como es la arquitectura del AppDefense, requisitos, compatibilidad y ver cómo funciona en detalle.

Siempre es bueno recordad que en Infoworld somos especialistas en las solcuiones de Vmware y si esta información te hace sentido, no dudes en contactarnos para tener una reunión con los especialistas y ver que solución se acomoda más para tu plataforma.