“Hem substituït i ampliat la protecció antivírica que teníem fins a la data amb un sistema EDR

Els sistemes de protecció d’equips informàtics davant de programari maliciós han anat desenvolupant-se com a conseqüència del context cada vegada més hostil i farcit d’amenaces que poden comprometre les dades personals i de les institucions. La Universitat Autònoma de Barcelona posa tots els seus esforços per evitar que es repeteixi un incident similar al de l’octubre de 2021.
Més dispositius, més riscos

Fins fa pocs anys teníem molt clar quan estàvem al campus, estàvem dins del perímetre informàtic de la UAB. En conseqüència, tractàvem la seguretat que afectava a la xarxa interna i la connexió entre els dispositius que s’hi trobessin (servidors, ordinadors del personal, impressores…). Per protegir la informació institucional i la resta de dades dipositades als ordinadors, disposàvem d’eines com els tallafocs, antivirus i anti-programari maliciós, així com sistemes de còpies de seguretat per restituir-la en cas de pèrdua. Per a prevenir els possibles riscos, utilitzàvem sistemes de detecció de vulnerabilitats i sistemes automàtics d’actualització de programari.

Ara vivim una realitat completament diferent a causa del creixement frenètic de la quantitat i varietat de dispositius connectats, que tenen tecnologies que ja no es troben físicament dins l’espai físic del campus de la Universitat. A la xarxa interna cal afegir el núvol, la interconnexió amb proveïdors de serveis i el teletreball, amb el qual el perímetre queda ampliat i, els riscos que el poden comprometre, també. Però la informació i els serveis segueixen sent de la Universitat i cal continuar protegint-los.

Les amenaces latents

Les amenaces més comuns davant les quals cal defensar-se són l’accés a la informació confidencial, el bloqueig i control de les xarxes (denegació de servei), la suplantació d’identitat, el robatori d’informació i de contrasenyes i el programari de segrest (ransomware). La seguretat perimetral aplica doncs, ara, a les xarxes, els sistemes centrals, les aplicacions i les dades (al núvol o al campus), el lloc de treball (dins i fora de campus) i les identitats i els accessos que tenen permesos.

El sistema EDR com a garantia de seguretat

Per millorar la protecció dels llocs de treball, identitats i accessos després de l’incident de programari de segrest (ransomware) que vam patir a la UAB l’octubre de 2021 hem substituït i ampliat la protecció antivírica que teníem fins a la data amb un sistema EDR (acrònim en anglès de Endpoint Detection Response). Així doncs, tots els equips gestionats de la UAB l’incorporen.

Aquest sistema combina les proteccions que ofereixen els antivirus tradicionals, basats pràcticament en signatures, (detecció de codi maliciós, o programari maliciós, com virus, cucs, troians, portes del darrera, programari no desitjat o programes espia) amb altres eines de monitorització, d’intel·ligència artificial i dades massives (Big Data) que permeten millorar la detecció d’amenaces complexes. Per exemple, si intentem accedir amb el nostre dispositiu (de manera conscient o portats per l’engany) a una adreça que s’ha comprovat per diverses fonts de dades massives (Big Data) que és maliciosa, l’EDR ens farà saltar una alerta i, en general, ens hi evitarà l’accés. També és capaç de detectar els petits canvis que pot adoptar el codi maliciós per a evitar els sistemes antivírics. L’EDR disposa de moltes regles automatitzades que executen les millors accions previstes per a cada cas detectat. A més, també té la possibilitat de crear-ne de noves adequades a l’àmbit on s’està executant.

Malgrat tot, a aquesta intel·ligència artificial se l’ha de dotar del coneixement propi de la nostra manera de treballar. Les millores que poden aportar els sistemes EDR a empreses com els filtres d’accés a planes web segons contingut (violència, pornografia, activitats criminals), poden no tenir sentit en un ambient d’estudi i recerca com el nostre.

Les alertes que detecta l’EDR han de ser estudiades en molts casos per a esbrinar si l’incident és un comportament normal i habitual o realment s’ha de parar atenció a l’alerta. En una institució com la UAB, els falsos positius salten ràpidament, i se li ha d’ensenyar al sistema que ho són.

Una característica molt interessant de l’EDR és que es pot combinar fàcilment les alertes que dona amb alertes provinents d’altres sistemes de protecció: el mateix antivirus Microsoft Defender, el sistema de protecció de correu electrònic i col·laboració al núvol, tallafocs, sistemes de prevenció d’intrusions i sistemes de protecció dels comptes d’usuari. La combinació d’alertes provinents de diferents emissors ens dona una visió global del risc al perímetre en un sistema SIEM, Security Information & Event Management, que ens permet monitoritzar les activitats als serveis de la UAB des del punt de vista de la seguretat.

SUBSCRIU-TE AL BLOG: CANALTIC.UAB.CAT PER REBRE TOTES LES ACTUALITZACIONS I SEGUEIX-NOS AL TWITTER @TIC_UAB I A INSTAGRAM @TIC_UAB !