Siete maneras de proteger sus sistemas virtuales contra un ataque digital

Por Danie D. Taylor

En lo que se refiere a los sistemas virtuales, la realidad nos muestra que las amenazas están en constante evolución.

La virtualización permite a las empresas agrupar sus sistemas operativos, sistemas de almacenamiento y centros de datos. Esos entornos virtuales permiten a los negocios escalar de manera más eficiente e implementar más rápidamente nuevos servicios. Según Forrester Research, un 75% de las empresas utiliza la virtualización de servidores o comenzará a usarla a fines de 2014. Pero ese cambio también podría conllevar un falso sentido de seguridad.

“Las empresas consideran que los sistemas virtuales no necesitan ningún cuidado especial para la seguridad”, explica Candid Wueest, analista de Symantec. “Y, por lo tanto, olvidan incluirlos en un grupo de seguridad especial. Además de esto, un pequeño número de clientes aún piensa que el software malicioso no se ejecuta en sistemas virtuales, lo que es, por supuesto, una suposición equivocada”.

Los sistemas virtuales son tan susceptibles al software malicioso como los servidores físicos. “Una vez que el software malicioso ejecuta su carga, no hay mucha diferencia entre los sistemas virtuales y físicos”, comenta Wueest. “El impacto depende más del contenido y de los servicios proporcionados por cada sistema”.

Además, el software malicioso está diseñado específicamente para evitar la detección dentro de los sistemas virtuales. Esos sistemas son básicamente una serie de archivos en el disco del servidor host. Pueden manipularse o montarse. Y, después, pueden propagarse.

Ataques que pueden propagarse

Los ataques a sistemas virtuales pueden propagarse a otros sistemas virtuales conectados a la misma red. Los sistemas de detección de intrusiones o las herramientas de prevención contra la pérdida de datos no detectarán esos ataques porque la información nunca pasa por un servidor físico.

También es posible para un atacante acceder a un servidor host y crear un nuevo sistema virtual capaz de ejecutar un ataque. Este software malicioso, denominado “software malicioso de crisis”, puede atacar varios sistemas operativos. Se agrega como un archivo de Java y roba información antes de intentar propagarse a los sistemas virtuales conectados.

Software malicioso más inteligente

Mediante la revisión de archivos específicos, claves del registro o direcciones MAC, el software malicioso puede detectar si se está ejecutando en un sistema virtual. Los analistas de seguridad de Symantec han estudiado 200.000 muestras de software malicioso desde 2012. Un 82% de esas muestras se ejecuta correctamente en sistemas virtuales e infecta a los usuarios.

Asimismo, el software malicioso se escribe y rescribe para evitar la detección. Las visualizaciones estándares de muestras sospechosas pueden durar de 5 a 10 minutos. El software malicioso puede escribirse para retrasar su ejecución, ya sea por tiempo, cantidad de clics o reinicios del sistema.

Protección de sistemas virtuales

Según Wueest, la inclusión es la mejor protección. “Las empresas deben asegurarse de incluir los sistemas virtuales en el proceso de seguridad (como copias de seguridad, instalación de parches, supervisión, etc.) y verificar que cumplan con los requisitos especiales de los sistemas virtuales. Actualizar específicamente las instantáneas y supervisar las redes virtuales es esencial”.

Wueest ofrece el siguiente consejo a las empresas que trabajan para proteger sus sistemas virtuales. Puede encontrar prácticas recomendadas adicionales en este webcast sobre la implementación de sistemas virtualizados.

1. Fortalecimiento: el servidor host necesita estar bien protegido, dado que proporciona acceso a varias máquinas virtuales. Los administradores pueden ajustar políticas y listas blancas para que solo permitan que se ejecuten aplicaciones de sistemas de confianza.
2. Protección avanzada contra software malicioso: deben instalarse mecanismos de protección con componentes proactivos que van más allá del analizador antivirus clásico. En función de la instalación, la protección contra amenazas puede implementarse en cada máquina virtual por separado o sin agente desde el servidor host a fin de mantener un nivel alto de rendimiento.
3. Control de acceso: los administradores necesitan aplicar administración adecuada de control de acceso a servidores host de máquinas virtuales para garantizar que solo los usuarios que cumplan con los requisitos puedan realizar cambios.
4. Recuperación después de un desastre: las máquinas virtuales deben integrarse al plan de recuperación después de un desastre y continuidad empresarial. Los administradores deben aplicar estrategias de copia de seguridad y alta disponibilidad para los datos.
5. Protección de la red virtual: los administradores deben garantizar que las herramientas de seguridad de la red tengan acceso al tráfico en la red virtual entre varias máquinas virtuales en el mismo servidor host.
6. Actualización: las instantáneas y las imágenes de máquinas virtuales deben incluirse en el ciclo de parches y actualizaciones para que estén actualizadas al implementarse.
7. Registro: las máquinas virtuales deben integrarse en el registro de seguridad y los sistemas de visualización de SIEM como cualquier otro dispositivo de TI. Dado que las máquinas virtuales pueden aprovisionarse y moverse dinámicamente por la red, estas acciones también deben registrarse de manera constante.

Danie D. Taylor es una periodista ganadora de un premio Emmy®, productora de contenidos y escritora de blog, residente de San Francisco