Estimación de la probabilidad de infección por virus informáticos: Una aplicación de las redes Bayesianas (parte 2)

En este artículo vamos a poner a prueba el modelo de red de creencias Bayesiano que desarrollamos en la anterior entrega. El objetivo del modelo es estimar la probabilidad de que un equipo de usuario corporativo resulte infectado por un programa malicioso. El modelo (que es tan sólo un borrador inicial) ha sido desarrollado con la participación de varios expertos en seguridad informática y tomando en consideración la literatura existente al respecto. En el modelo propuesto, la potencial infección de una estación de trabajo corporativa depende de:

  • El grado de conciencia del usuario (awareness) sobre las amenzas de Internet y sobre los hábitos de navegación segura.
  • El nivel de restricciones que el usuario tiene a la hora de navegar por Internet y usar el correo eléctronico. Estas restricciones son normalmente articuladas en las empresas a través de reglas de filtrado en los proxys y las pasarleas de correo. Por ejemplo, se puede restringir la navegación de los usuarios a sitios no relacionados con el trabajo, la descarga de archivos desde Internet o el correo, etc… Este tipo de restricciones dependen de la política de seguridad formal o informal de la empresa.
  • La efectividad de otras medidas de seguridad técnicas aplicadas en el equipo, como por ejemplo:
    • Efectividad de los sistemas Anti Virus
    • Los privilegios del usuario a nivel del Sistema Operativo y el dominio
    • La existencia y la efectividad de soluciones que prevengan la instalación de software no autorizado (ej: lista blanca de aplicaciones)
    • El grado de parcheo de los sistemas y aplicaciones usados por el empleado
    • La aplicación consistente de directrices de instalación y configuración segura de equipos y aplicaciones (hardening)

El siguiente diagrama describe estas relacionas en forma de red Bayesiana:

POST_1

Inicialización del modelo

Una vez definido el modelo inical, el siguiente paso es inicializar las probabilidades asociadas a las variables. Partiremos para esta fase de distintos tipos de información:

  • Información empírica obtenida en la organización donde se ha desarrollado el modelo
  • Información procedente de informes de seguridad de fuentes externas
  • El criterio profesional de expertos en el domino de la seguridad de la informacón.

La información usada para la inicialización del modelo ha sido:

  • Efectividad de los sistemas Anti Virus: Varios estudios apuntan a que la efectividad de los sistemas antivirus, al menos en lo que se refiere a las amenazas más frecuentes, es de alrededor del 40%; es decir, estos sistemas son capaces de detectar y neutralizar 4 de cada 10 amenazas a las que el equipo está expuesto.
  • Permisos de administración de los usuarios: El departamento de sistemas de la empresa en donde se prueba el modelo, por su parte, informa de que el 10% de los usuarios tiene permisos de administración del dominio.
  • Control del aplicaciones en el end-point: El departamento de sistemas confirma que en los equipos de la empresa no hay instalada ninguna solución de control de aplicaciones del tipo AppLocker.
  • Configuración segura de los equipos: Según el director de sistemas, no se conocen datos exactos del procetanje de equipos configurado de acuerdo a la plantilla de seguridad (baseline); sin embargo, el responsable cree que este porcentaje puede ser próximo al 100%.
  • Efectividad del parcheo de sistemas: No se han podido obtener estimaciones sobre la efectividad que una política de parcheo rigurosa de los equipos tiene a la hora de eliminar vulnerabilidades conocidas. A este respecto, los distintos expertos que han participado en el modelo, han sugerido como hipoótesis de trabajo inicial que la efectividad es de un 75%; es decir, un sistema parcheado en base a una metodología rigurosa, estará expuesto a un 25% de vulnerabilidades no conocidas.
  • Grado de concienciación: En cuanto al grado de concienciación de los usuarios, según el departamento de Recursos Humanos, el 60% de los empleados han recibido uno o más cursos sobre seguridad, política de Internet, etc.
  • Restricciones a la navegación por Internet y al uso del Correo electrónico: Tras hablar con el responsable de sistemas, sabemos que el 10% de la plantilla navega por Internet sin ninguna restricción a nivel de proxy o correo. Este grupo está integrado por el comité de dirección de la organización y los administradores de sistemas. Por otro lado, otro 10% de los empleados no tiene correo electrónico externo ni puede navegar por Internet. El 80% restante puede navegar por Internet, pero tiene restricciones en los dominios a los que puede acceder y/o en la descarga de contenidos; de igual forma, en cuanto al uso del correo eléctronico.

Partiendo de este conocimiento inicial de la realidad de nuestra empresa (en algunos casos, no muy preciso), obtenemos el siguiente modelo:

POST_2

Estimación preliminar

El siguiente paso es definir, con la ayuda del equipo de expertos, las tablas de pobabilidad asociadas al nodo “efectividad controles en el dispositivo” y a nuestra variable dependiente “dispositivo expuesto a infección”. Una vez parametrizada esta información, el modelo nos proporciona las primeras estimaciones cuantitativas:

POST_3

Podemos ver que según nuestro modelo, la exposición de los dispositivos de la empresa (normalmente estaciones de trabajo) a una infección por virus es del 28,4%; es decir, que podríamos esperar que de 100 veces que un equipo de la empresa estuviese expuesto a un software malicioso, en casi un 30% esta exposición resultaría en una infección del dispositivo. La otra cara de esta estimación es que en un 71,59% de los casos esta exposición no resultaría en infección. Otro dato interesante calculado por nuestro modelo es la estimación de la efectividad de los controles técnicos implementados en el dispositivo que se cifran en un 73,54%.

Primeros ajustes y estimaciones posteriores

Establecido nuestro modelo inicial, y aún siendo conscientes de las limitaciones del mismo, podemos empezar a usarlo para hacer estimaciones sobre distintos escenarios de cara a valorar opciones para reducir la exposición de nuestros equipos. Veamos algunos escenarios:

Resrticciones en la navegación y el correo

Ante esta situación, la tentación de muchos responsables de seguridad, y la solución teóricamente más sencilla y efectiva, sería convencer a la dirección de la compañía de que permitir la navegación Internet y el uso del correo electrónico a los empleados es un riesgo innecesario. Nuestro modelo nos permite mostrar cómo con esta “sencilla medida” el incremento en la seguridad es instantánea. Para ello, basta con ajustar las probabilidades asociadas al nodo “restricciones Web e e-mail”:

POST_4Vemos como ahora la exposición a la infección de los dispositivos corporativos es del 0%. Obviamente, esta es una solución no aceptable. No en vano, nos pagan para dar soluciones y no para frenar innecesariamente al negocio. ¡No se me ocurren muchas situaciones de empresa en donde, hoy por hoy, se pudeira trabajar de manera efectiva sin ningún acceso a Internet por parte de los empleados!.. Sin embargo, puede ser útil explorar los resultados que arroja el modelo al minimizar el número de empleados que navegan sin restricción.

Ajuste de la efectividad de los Antivirus

Entre el equipo de expertos que está trabajando con el modelo se establece un debate sobre las estadísticas inicialmente usadas para calibrar la efectividad de los sistemas antivirus. La estimación usada se ajusta al consenso de expertos externos y a diversos estudios publicados sobre la materia, existiendo un acuerdo general de que está efectividad del 40% es esperable en el caso de las amenazas más frecuentes de código malicioso; sin embargo, existen algunos estudios que afirman que en, cuanto al software empleado en ataques dirigos tipo APT, diseñado en gran medida para sortear los sistemas antivirus, la efectivida se reduce drásticamente cifrando ésta entre el 1% y el 5%. Decidimos ajustar nuestro modelo para hacer estimaciones un poco más pesimistas que nos permitan estudiar la exposición a este tipo de amenazas sofisticadas. Acordamos ajustar la efectividad al 5%, obteniendo el siguiente resultado:

POST_5Una vez recalculadas las probabilidades bajo este nuevo supuesto, vemos como la exposición a la infección de los dispositivos corporativos se ha incrementado pasando del 28,40% al 32,74%. De igual manera, la efectividad de los controles técnicos en el dispositivo desciende del 73,54% al 66,83%.

Hardening de los equipos

Tras la realización de una auditoría de seguridad el equipo confirma que, a diferencia de la suposición inicial del responsable de sistemas de que el 100% de los equipos estaba securizado de acuerdo a las buenas prácticas de seguridad, esto es cierto solamente en un 40% de la muestra revisada. Actualizamos nustro modelo con esta información empírica y recalculamos las probabilidades para comprobar como afecta esta evidencia a la exposición de los equipos:

POST_6Observamos que la estimada de la efectividad de los controles en el dispositivo se ha reducido algo más de un 5%, pasando del 66,83% al 61,55%; por otro lado, el nivel de exposición global a la infección se ha incrementado en un 3,42%, pasando del 32,74 al 36,16%. Con los ajustes debidos a la efectividad de los sistemas antivirus y el “baño de realidad” que ha arrojado la auditoría, nuestro modelo muestra un empeoramiento del 7,75% en nuestra creencia sobre el nivel de exposición a infecciones.

Estimación de la efectividad de planes de mitigación del riesgo

Tras verificar que no es posible reducir el número de usurios que tienen privilegios de administracion y la negativa por parte de la dirección a renunciar a sus privilegios de navegación y correo sin restricciones, decidimos evaluar dos posibles planes de acción para reducir el nivel de exposición de las estaciones de trabajo. En un primer escenario trataremos de evaluar el impacto que tiene el plan con menor coste, consistente en la realización de un programa de formación a todos los empleados sobre el uso seguro de Internet y el correo electrónico y en la securización del 100% de los equipos; en el segundo escenario, además, estimaremos la mejora marginal que se obtendría con la instalacion de un sistema de control de aplicaciones en las estaciones de trabajo:

Los resultados del primer escenario evaluado, según nuestro modelo:

POST_7Los del segundo escenario:

POST_8En la siguiente tabla puede verse de manera resumida la mejora relativa de cada una de las alternativas:

POST_9Según estos datos y tomando en consideración los posibles impactos para la compañía en caso de infección con software malicioso avanzado, el equipo del proyecto propondrá obviamente la aprobación del plan 2, que resulta en una reducción del nivel de riesgo del 22,73%, frente a la alternativa 1 cuya reducción es del 5,93%.

Epílogo

Finalizamos aquí esta entrega, esperando que hayamos podido mostrar la forma de usar las redes de creencias Bayesianas y el beneficio que este enfoque puede proporcionar. El modelo mostrado no pretende ser una “verdad” absoluta; sino solamente la plasmación del modelo conceptual (o creencias) de los expertos que han participado en su diseño. Una de las ventajas es que este método nos ha permitido combinar en el modelo datos empíricos obtenidos de la realidad y otras hipótesis más subjetivas. La ventaja del  modelo es que permite cuantificar los cambios relativos en la magnitud de las variables a medida que ponemos a prueba diferentes escenarios u obtenemos nuevos datos empíricos de la realidad. La utilidad de este tipo de modelos aumenta considerablemente en el caso de sistemas complejos con un gran número de variables, dado que éstos superan la capacidad mental de los analistas para  reproducir de manera intuitiva el impacto de diferentes tipos de escenaros.

Un fuerte abrazo, muchas gracias por la atención prestada y esperamos vernos pronto.

Miguel A. Sánchez Barroso

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s