Las implementaciones de acceso a nivel de red no se aplican a nivel de archivo o funciones
Un grupo de investigadores de la UNSW Sydney, Macquarie University y Purdue University ha publicado un documento sobre una nueva y muy prometedora solución basada en la red para prevenir ataques internos.
Denominada Gargoyle, la solución:
• Evalúa la confiabilidad de un contexto de solicitud de acceso a través de un conjunto de Atributos de Contexto de Red (NCA) que se extraen del tráfico de la red
• Aprovecha las capacidades de la Red Definida por Software (SDN) para la aplicación y la implementación de políticas
• Aprovecha el controlador de red para una mayor protección/defensa
• Evita un enfoque binario al hacer autorizaciones. En cambio, dependiendo del contexto, algunas funciones (por ejemplo, copia, correo electrónico) pueden no estar permitidas para el solicitante de datos.
Los investigadores quieren que Gargoyle se implemente como una aplicación para controladores SDN (Gargoyle SDN o GSDN). La aplicación se encargaría del control de acceso dinámico a nivel de red.
Para el control de acceso basado en host, desarrollaron la aplicación móvil Gargoyle (GAPP) capaz de aplicar restricciones de funciones para objetos de datos.
La arquitectura de Gargoyle
Gargoyle funciona así:
El solicitante de datos (usuario, potencial interno) realiza una solicitud de datos a través de la aplicación móvil Gargoyle.
El componente Network Context Analyzer de GSDN extrae del tráfico de la red los atributos de contexto de red (NCA) pertinentes para el usuario (por ejemplo, capacidades del dispositivo del usuario, nivel de seguridad, interacciones actuales y anteriores con otros dispositivos, estado de la conexión de red y actividades sospechosas en línea).
Las NCA se recuperan analizando el tráfico de red recopilado para los dispositivos del usuario utilizando el módulo Analizador de Contexto de Tráfico. Los informes del Sistema de Prevención de Intrusiones (IPS) del plano de datos SDN se integran al evaluar la confiabilidad del contexto.
"Finalmente, el componente de Gestión de Riesgos de acuerdo con las políticas especificadas por el Repositorio de Políticas y el Depósito de FBAC remite un conjunto de autorizaciones de acceso al componente de Punto de Envejecimiento Avanzado (AEP)", explicaron los investigadores.
"Las instrucciones de AEP incluyen acciones para los módulos de control de acceso 'Basado en host' y 'Basado en red'. El control de acceso de nivel de host implica permitir o restringir un conjunto de funciones para objetos de datos, que son aplicadas por la aplicación móvil de Gargoyle (GAPP). El módulo de control de acceso basado en red implementa un conjunto de restricciones a nivel de red a través de la aplicación SDN de Gargoyle (GSDN) - estos son completamente independientes de las restricciones de nivel de host y tienen un nivel de granularidad mucho más alto. En otras palabras, las implementaciones de acceso a nivel de red no se aplican a nivel de archivo o funciones, sino que aplican restricciones de acceso como desconectar el dispositivo de la red".
¿Qué tan efectivo y viable es?
Comparado con otros enfoques independientes como Control de Acceso Basado en Roles (RBAC), Control de Acceso Basado en Funciones (FBAC) y Control de Uso (UCON), Gargoyle demostró ser considerablemente más eficaz en la protección de recursos contra escenarios internos.
"En nuestros escenarios simulados, más de la mitad de las solicitudes de acceso se otorgaron a pesar de detectar una amenaza. Esto demuestra la aplicabilidad de Gargoyle en el contexto del mundo real al permitir que las organizaciones funcionen de manera segura incluso en presencia de amenazas", agregaron los investigadores.
Además de esto, Gargoyle no afecta el rendimiento de la red y es imperceptible la sobrecarga de energía de la aplicación móvil de Gargoyle.
Todo esto es muy prometedor, y los investigadores planean ahora investigar el rendimiento de Gargoyle para redes más grandes. Pero, en última instancia, no significan que Gargoyle haga todo el trabajo de marcar amenazas internas. "Integrar Gargoyle como complemento a las soluciones existentes puede ser el enfoque más práctico para el despliegue en el mundo real", concluyeron.
Estudio científico: Gargoyle: A Network-based Insider Attack Resilient Framework for Organizations
