Investigando por Internet sobre sistemas de monitorización en el ámbito de la seguridad informática me encontré con IPViking, una tecnología creada por la empresa de seguridad Norse Corp con el fin de monitorizar en tiempo real los últimos ataques y amenazas en la red. Surgió ante la necesidad de disponer de datos más actualizados en un ámbito que ya de por sí es crítico: el de la seguridad informática. La mayoría de herramientas hasta entonces han sido reactivas (hoy en día en gran mayoría siguen siendo así), es decir, recogen datos de diversas fuentes y elaboran estadísticas en función de esos datos más o menos precisos. La desventaja de este antiguo método radica en el hecho de que en seguridad informática el tiempo es oro para tomar medidas de contingencia frente a potenciales vulnerabilidades como para mitigar los efectos de un ataque ya consumado.
Esta monitorización en tiempo real de amenazas a nivel global permite determinar mejor los focos conflictivos y segmentar por áreas geográficas y según el tipo de amenaza que se emite desde las mismas. La capacidad de respuesta de una organización frente a una brecha de seguridad es mucho mayor, y al disponer de un sistema de valoración global de amenazas (Norse IPQ Score) las decisiones se pueden tomar en cuestión de minutos reduciendo enormemente riesgos y posibles daños, especialmente en las vulnerabilidades tipo zero day.
Te preguntarás cómo se hace todo esto en líneas generales… básicamente se realiza a través de “agentes” (para entendernos, como los que utilizan Nagios, Icinga, etc…) que se pueden integrar tanto en sistemas operativos, routers, switches y demás infraestructura. Estos agentes son la base sobre la que se recogen las estadísticas en tiempo real para realizar el cómputo Norse IPQ Score con el que después los sistemas que estén utilizando IPViking tomen decisiones inteligentes en función de esa “base de datos de amenazas global y en tiempo real”. La fortaleza de este sistema reside en la integración de una gran cantidad de agentes a nivel global y en honeypots situados estratégicamente para atraer a los atacantes y obtener información valiosa de los mismos.
Además, para mantener la base de datos Norse IPQ Score lo más precisa posible sobre las últimas amenazas, la tecnología IPViking se centra en analizar un tipo de tráfico en concreto, lo que llaman “inteligencia oscura” (dark intelligence), es decir, el procedente de zonas de proxies, botnets, IRC, servidores web comprometidos y demás lugares conflictivos.
Aquí tenéis una muestra interesante de las hostias del último DDoS del 19 de junio que prácticamente tumbó Facebook:
Para ver el mapa en tiempo real, podéis hacerlo aquí. Eso sí, tendréis que utilizar Google Chrome para visualizarlo. En otros navegadores funciona pero con bastante lentitud.