BLOG

La dirección IP como identidad es seguridad ineficiente

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 16 de agosto de 2018

También es en gran medida ineficaz

Internet funciona en gran medida gracias al DNS. La capacidad de asociar un sitio con una dirección IP (necesaria para enrutar solicitudes y respuestas a través de Internet) es lo que en última instancia hace que Internet sea utilizable. Es probable que la mayoría de los usuarios desconozcan en primer lugar la existencia de direcciones IP. Porque cheese.com es mucho más fácil de recordar.

Pero esta asociación –de una identidad singular con una dirección IP– está ahora tan arraigada en nuestras cabezas que tendemos a aplicarla a otras áreas de la tecnología. Incluso cuando es completamente ineficaz.

Me gusta la seguridad.

En el pasado, las direcciones IP eran cosas bastante fijas. Las rutas eran flexibles, las direcciones IP en su mayoría permanecieron donde fueron asignadas. Hoy en día, sin embargo, las direcciones IP son como caramelos. Se distribuyen e intercambian con mayor frecuencia de la que el SPAM llega a mi bandeja de entrada.

La nube convirtió la red en mercancía. Las direcciones IP son mías únicamente mientras el recurso al que fueron asignadas esté en servicio. Los dispositivos móviles también han contribuido a convertir las direcciones IP en octetos prácticamente sin sentido. Una búsqueda rápida arrojará como resultado una variedad de dramas técnicos en los que una empresa legítima que ejecuta una aplicación en una nube pública ha sido bloqueada automáticamente por listas de denegados porque el anterior cesionario de esa dirección IP la utilizó de forma indebida.

Si a esto le sumamos el hogar moderno y conectado con su creciente número de dispositivos que dependen de Internet, no tiene ningún valor asociar direcciones IP a ninguna cosa o persona en particular.

La seguridad tradicional que se basa en direcciones IP (generalmente a través de listas de denegación y bloqueos) falla frente a esta flexibilidad.

Dispositivos por persona 2021

Por eso no sorprende que aparezca un informe que señala que la capacidad de los bots maliciosos para cambiar sus hábitos de IP hace que sea difícil identificarlos y bloquearlos. Especialmente aquellos bots que se han conectado a un dispositivo móvil.

Usar direcciones IP como base para identificar cualquier cosa (dispositivos, bots, usuarios) es una decisión perezosa. Es el dato más sencillo de extraer, sí, pero también es el menos confiable.

Esto no es nuevo. La industria de la seguridad de la información lleva varios años predicando que las técnicas tradicionales basadas en firmas ya no nos protegerán. Esto se debe a que se basan en la premisa de que los malos actores son reconocibles y que sabemos su aspecto. Si bien eso es cierto, sólo es cierto en lo que respecta a los ataques de ayer . Realmente no nos ayuda para el ataque de mañana , porque no tenemos idea de cómo será.

Combinado con el uso cada vez mayor del cifrado de extremo a extremo en todo, incluido el malware, las opciones de seguridad tradicionales dejan en la incertidumbre de si una interacción determinada es legítima o maliciosa. Las soluciones basadas en firmas, cegadas por el cifrado, se convierten en poco más que protuberancias en el cable. Sin la capacidad de inspeccionar el tráfico, la seguridad en la red es una especie de tecnología en extinción, de la cual los robots se burlan mientras pasan en camino a establecerse entre sus recursos.

Se requiere un mínimo esfuerzo para utilizar únicamente direcciones IP para identificar puntos finales. Cuando se combina con información como el agente de usuario de un encabezado HTTP (que es una entrada del usuario y en sí misma no es confiable), hay mejoras en el éxito apenas mensurables. Con la capacidad de procesamiento de que disponemos hoy en día, no hay razón para que no podamos tomarnos unos pocos microsegundos para extraer de las conexiones y la interacción un conjunto más amplio de características de las que podemos deducir, si no la identidad, al menos la intención

El uso de direcciones IP o firmas por sí solo no es suficiente para proteger las aplicaciones y las redes de la infiltración. Será necesario utilizar en conjunto el análisis del comportamiento, el desafío-respuesta y la inspección profunda para separar eficazmente lo malo de lo bueno.