Nuevas estrategias de análisis de datos de escaneos de la red chilena para el monitoreo periódico de su seguridad

Abstract

Las amenazas informáticas dirigidas a computadores conectados a Internet generan problemas de gran impacto en nuestra sociedad, debido a la importancia que esta red tiene en nuestras vidas, la cual se observa en el carácter cada vez más sensible de los datos personales almacenados y las operaciones realizadas en estos dispositivos. Por lo tanto, es importante que los administradores de sistemas se mantengan informados de la existencia y alcance de vulnerabilidades que puedan ser aprovechadas por algún agente malicioso, tomando las medidas necesarias para parcharlas y resguardar la información que manejan. Una forma de aportar a la prevención de estos ataques es a través del monitoreo activo (escaneos de puertos/protocolos) y pasivo ("honeypots" y "darknets") de Internet, y en particular, el escaneo en búsqueda de dispositivos vulnerables a amenazas conocidas. La tecnología existente en la actualidad permite realizar escaneos sobre subredes de miles de millones de IPs versión 4 en unas pocas horas, por lo que monitorear el espacio de dispositivos entero asignado a un país o región en específico es hoy factible. Sin embargo, la sola recolección y revisión de estos datos permite encontrar un conjunto reducido de estos problemas, por lo que se requiere de estrategias más sofisticadas que las actualmente usadas para identificar problemas claves en seguridad y asegurar una buena salud en el ecosistema de dispositivos conectados a las redes estudiadas. Este trabajo propone dos grupos de estrategias novedosas para el uso de datos de monitoreo de red, que pueden ayudar a prevenir y detectar problemas de confiabilidad, resiliencia y seguridad de subredes de Internet. El primero consiste en el análisis de concentración de servicios sobre los dominios del "Top Level Domain" de un país, cuyos servicios asociados están enfocados al uso de sus habitantes, por lo que la existencia de métricas recurrentes de confiabilidad y resiliencia permite elaborar políticas que prevengan deficiencias en seguridad y disponibilidad a futuro. El segundo considera el uso de datos de reportes de vulnerabilidades de IPs de múltiples fuentes, con el objetivo de clasificar las máquinas vulnerables según cantidad y tipo de reportes recibidos. El presente trabajo analiza el impacto y la eficiencia de ambas estrategias en el contexto de la red chilena. Los procedimientos detallados, sin embargo, pueden ser replicables en otros conjuntos de subredes de gran tamaño sin problemas. Además, para la ejecución eficiente y periódica de las estrategias propuestas, se aporta con el diseño y la implementación de un sistema de código abierto que facilita la recopilación, el procesamiento y la transformación de los datos de escaneos, mejorando la calidad y rapidez de entrega de los resultados de monitoreo. Si bien el sistema está diseñado a partir de las necesidades del Laboratorio de Seguridad Computacional de la U. de Chile (CLCERT), su uso puede ser extendido a cualquier grupo interesado en la realización de esta práctica.