A medida que continuamos explorando las soluciones de seguridad ofrecidas por HPE, podemos ver cómo los diferentes elementos se conectan entre sí para formar un conjunto unido. Si recordamos términos de los posts anteriores como «Zero Trust«, «Zero-Touch«, «Silicon Root of Trust» y «SPIFFE«, podemos ver cómo estos se relacionan con el tema a tratar y profundizar hoy: el Proyecto Aurora.
La seguridad de la infraestructura de una organización es esencial para evitar posibles ataques de hackers. Los ataques pueden ser multifacéticos, incluyendo dispositivos de hardware, servidores, redes y centros de datos, entre otros. La complejidad de todos estos elementos puede hacer que la tarea de asegurarlos sea un verdadero desafío. Por ello, es necesario adoptar un enfoque de protección “multidimensional” que abarque todo el ciclo de vida de la infraestructura, desde los niveles más bajos de silicio hasta la nube.
Protegernos debe ser una prioridad en cada paso del proceso, desde la certificación de los materiales y componentes antes del ensamblaje, hasta la medición continua y certificación del entorno una vez que los sistemas operativos y las aplicaciones están en funcionamiento. El Proyecto Aurora se enfoca en estos conceptos y nos da una visión completa de la seguridad otorgando protección eficazmente en la infraestructura y los datos, siempre y cuando se implemente un enfoque de protección adecuado.
El Proyecto Aurora ofrece una solución integral de seguridad a través de una arquitectura de bloques que abarca desde el Edge hasta el centro de datos y la nube, de extremo a extremo, desde el silicio hasta las cargas de trabajo.
Se debe validar la seguridad en cada etapa del proceso, desde el encendido hasta la carga y ejecución de las workload. Para lograr tal perfil de seguridad, los entornos deben medirse, comprobarse y verificarse continuamente, desde el arranque inicial hasta el final de su vida útil.
Inicialmente, el Proyecto Aurora se integrará con HPE Cloud Modules para validar de manera continua y automática el estado del hardware, firmware, sistemas operativos, plataformas y cargas de trabajo, incluyendo workload de seguridad de los proveedores. Con un escaneo continuo, puede detectar amenazas avanzadas en segundos, reduciendo la pérdida de datos valiosos.
Recordemos varios términos nombrados al principio.
- “Zero Touch”. HPE tiene un equipo especializado en la cadena de suministro para garantizar la autenticidad y calidad de los componentes y complementa las auditorías con inspecciones in situ. También invierten en capacidades de fabricación segura y validan la infraestructura con certificados de plataforma y firmas criptográficas (IDevID) para asegurar su autenticidad y coincidencia con el manifiesto de fábrica segura.
Ahora le toca el turno a “Silocon Root of Trust”
- La raíz de confianza de silicio, el chip de silicio personalizado de HPE, mide y atestigua el firmware y más de 4 millones de líneas de código ejecutadas antes de que un servidor (u otra infraestructura) arranque un sistema operativo. De esta forma, comprobamos que componentes, controladores y software de soporte son auténticos. Adicionalmente, Integrated Lights Out (iLO) trabaja con la raíz de confianza de silicio para asegurar de forma constante que el firmware está buen estado y rastrear cualquier cambio. Si se detecta un ataque, iLO tiene las herramientas para aislar inmediatamente el malware dentro del firmware y restaurar la infraestructura a su último buen estado conocido.
Cómo interviene el Proyecto Aurora.
Una vez que la infraestructura está en funcionamiento, se realiza una supervisión continua del hardware para detectar cualquier cambio inesperado. Si se detecta algún cambio, se envía una alerta para que se tomen medidas correctivas a través de iLO Amplifier Pack u otras herramientas. Además, los componentes incluyen protecciones integradas como unidades cifradas y protecciones de red para asegurar los datos y las comunicaciones.
Pero no nos detenemos aquí, Proyecto Aurora es un programa altamente efectivo para detectar ataques de rootkit.
Durante el arranque, se realiza una medición de referencia del kernel y se utiliza para escanear continuamente el kernel. Si se detecta algún cambio durante la supervisión, se registra una violación y se genera un evento de seguridad. Este evento activa una regeneración y reinserción automática del código para garantizar un arranque seguro mediante iLO.
Sin olvidarnos de los contenedores.
Es crítico proteger las plataformas y contenedores porque los datos son fácilmente explotados en los middlewares que soportan múltiples cargas de trabajo. Para solucionar esto, el Proyecto Aurora utiliza escáneres de seguridad para supervisar la actividad de los componentes de la plataforma en busca de anomalías de comportamiento. Las anomalías activan alertas para solventar los problemas. En el futuro, la confianza de la plataforma incluirá SPIRE para emitir identidades criptográficas y atestiguar la seguridad en los entornos de múltiples dispositivos.
Aquí otro termino que comentamos, “SPIFFE”.
La protección de las cargas de trabajo es crucial, pero muchas aplicaciones cambian constantemente, lo que aumenta el riesgo de vulnerabilidades. La velocidad y la metodología DevOps pueden hacer que las pruebas de regresión y las auditorías sean menos exhaustivas, lo que permite que las vulnerabilidades pasen desapercibidas. El Proyecto Aurora supervisa estas cargas para evitar la propagación de ataques y proporcionar una mayor garantía de que están sujetas a las políticas de seguridad correctas. La infraestructura de escaneado y supervisión busca desviaciones de la línea base y puede desencadenar eventos que mejoren las operaciones de seguridad utilizando SPIRE para atestiguar y emitir ID criptográficos, lo que facilita las comunicaciones seguras.
Sin embargo, es esencial recordar que una seguridad tan completa es el resultado de una estrategia que abarca toda la organización y que se basa en una filosofía de “confianza cero” con la seguridad como principal pilar en el diseño, la fabricación, la implantación y el soporte de la infraestructura. Esta filosofía de confianza cero es donde HPE demuestra su liderazgo.
Por último, veamos un caso práctico.
Un estudio de seguridad realizado por HPE, recreó el malware Drovorub, un potente agente identificado en el 2020 pero activo desde al menos el 2015, denominado «navaja suiza» del malware. Este kit ha demostrado ser muy eficaz residiendo en la infraestructura atacada y permitiendo la transferencia de archivos, el acceso al shell y el reenvío de puertos. También incluye el módulo Drovorub-kernel, que proporciona funciones de ocultación basadas en rootkits. Este Drovorub-kernel hace que el cliente sea indetectable, lo que le permite causar estragos en una organización, aguardando durmiente hasta recibir órdenes, propagándose mediante phishing y vulnerabilidades de software.
Este estudio basado en recursos facilitados por agencias de seguridad gubernamentales muestra un escenario donde el Proyecto Aurora detectó el kernel Drovorub en una media de 3 segundos.
¿Cuál es la importancia del estudio?
En algunos casos, un ransomware puede ser detectado y bloqueado inmediatamente después de su intento de infiltración, especialmente si se cuenta con medidas de seguridad proactivas y efectivas. En otros casos, puede pasar un período de tiempo considerable antes de que el ransomware sea detectado. Drovorub tiene una estimación de detección media de entre 29 a 280 días.
¡He aquí el resultado! 3 segundos frente al peor de los casos 280 días. Proyecto Aurora realizó unas pruebas internas demostrando unas capacidades de seguridad muy por encima de los estándares medios actuales.
Empresas, sectores públicos, banca, sanidad, etc., deben apostar y utilizar soluciones y servicios de seguridad que proporciona el Proyecto Aurora, permitiendo simplificar procedimientos, tácticas y estrategias de seguridad, reduciendo costes y complejidad, llevado de la mano de HPE Greenlake, desde el perímetro hasta la nube, sin fisuras, dando cobertura y adelantándose a los vectores desconocidos en cualquier superficie de seguridad.