8 tecnologías que EEUU está tratando de comercializar (II Parte)

Las nuevas tecnologías de ciberseguridad han sido financiadas con la intención de que las empresas privadas puedan hacerlas comerciales.

PC World en Español

La intención de EEUU de mantenerse como líder en tecnología a nivel mundial, no sólo está anclada en el desarrollo de productos, hierros y plataformas sociales como Google, Facebook Twitter, entre otros.

El país también esta trabajando en el desarrollo de tecnologías ligadas a análisis de datos, seguridad, entre otras y, en este caso, está buscando empresas que quieran comercializarlas.  Es decir, que el Estado las desarrolla, pero busca quien las haga comerciales.

El Departamento de Seguridad de Estados Unidos, en  su cuarto Cyber Security Division Transition to Practice Guide, informó sobre esa decisión y, además, sobre las ocho tecnologías a las que está buscándole empresa para que se hagan comerciales.

Aquí exponemos las cuatro restantes.

  1. Dynamic Flow Isolation: El DFI aprovecha las interconexiones definidas por software para aplicar políticas de seguridad bajo demanda basadas en las necesidades empresariales o en el estado operativo actual. Esto se consigue activando, desactivando o limitando la velocidad de las comunicaciones entre los usuarios individuales y los servicios de red. Se puede hacer de forma automática o manual. El software toma conciencia del estado operativo de la red integrándola con dispositivos como servidores de autenticación y sistemas de detección de intrusos. También se integra con controladores SDN para cambiar las conexiones de red admisibles en respuesta a los cambios de estado de la red. Esto permite poner en cuarentena máquinas individuales o grupos y bloquear ataques activos para que no lleguen a los recursos críticos. El software incluye un núcleo de aplicación de políticas implementadas en el marco de controladores SDN para actualizar las reglas de acceso de los conmutadores de la red. Funciona con hardware SDN ya existente y se puede transferir de un controlador SDN a otro.
  2. TRACER, Timely Randomization Applied to Commodity: El Executables at Runtime (TRACER), es un medio para alterar la distribución interna y los datos de código cerrado de aplicaciones de Windows como Adobe Reader, Internet Explorer, Java y Flash. Debido a que estas aplicaciones son cerradas y tienen datos estáticos y disposición interna, los adversarios pueden crear ataques que pueden ser efectivos a gran escala. Al distribuir aleatoriamente los datos internos confidenciales y su organización cada vez que sale algo de la aplicación, los atacantes no pueden preparar ataques efectivos contra ellos. Incluso aunque durante una salida de datos se filtre algún dato o distribución, la próxima vez la organización será distinta. De este modo, TRACER puede frustrar los ataques de control-secuestro contra estas aplicaciones de Windows. Se instala en cada máquina y no interfiere con el funcionamiento normal. El inconveniente es que aumenta el tiempo de ejecución en una media de un 12%. Otros sistemas de aleatorización, como Address Space Layout Randomization, la aleatorización de código basada en el compilador o la aleatorización de conjuntos de instrucciones, realizan asignaciones al azar una sola vez. Los atacantes pacientes pueden esperar a que se filtren datos de las aplicaciones para crear ataques efectivos.
  3. FLOWER: El FLOW AnalyzER de red inspecciona los encabezamientos de los paquetes IP para recopilar datos sobre los flujos bidireccionales que se pueden utilizar para identificar el tráfico de base y los flujos anómalos para detectar posibles infracciones y amenazas internas. Los datos, recogidos a través de pequeños dispositivos en toda la red y en su perímetro, también pueden usarse como recurso para realizar investigaciones forenses sobre los incidentes. Desde 2010, FLOWER se ha desplegado en más de 100 redes gubernamentales y empresariales. Ha detectado y mitigado ataques coordinados y se ha utilizado para crear firmas de ataque.
  4. SilentAlarm: Esta plataforma analiza los comportamientos de red para identificar comportamientos maliciosos y detener ataques, incluyendo ataques de día cero para los que no hay firmas. Los eventos de red se envían a su motor de análisis desde los sensores existentes. El motor incluye nodos de información, segmentos de análisis ajustados a ciertos tipos de comportamientos de red, como intentos SMTP exitosos o fallidos o conexiones a Internet fallidas. Basándose en el comportamiento histórico, cada evento nuevo se caracteriza como normal o anómalo. Estas caracterizaciones se envían a nodos de hipótesis que determinan si el comportamiento observado indica una actividad maliciosa. Si se detecta una actividad maliciosa, SilentAlarm puede enviar una alerta o intervenir.