Open Source And Security Services

Open Source And Security Services

El ataque de los RANSOMWARE

De un tiempo a esta parte se habla mucho del término RANSOMWARE en el ámbito de la Ciberseguridad y en los departamentos de IT dentro de las organizaciones. Todos conocemos sus terribles consecuencias desde una perspectiva de impacto en la continuidad de los procesos de negocio de las organizaciones. En los ultimos años se ha erigido como el enemigo número uno de las empresas en materia de ciberseguridad. Extraña es la persona, que aunque fuera del sector, no conozca alguna infección por RANSOMWARE.

En este nuevo artículo de nuestro blog, describiremos que es por definición un RANSOMWARE, como ha ido evolucionando desde su aparición allá por el año 2017 ( p.e Wannacry o Petya) y explicaremos a través de un caso práctico como afrontar un episodio de ataque de un RANSOMWARE, desde nuestro punto de vista.  Todo ello desde nuestra experiencia esperamos destacar porque consideramos tan importante la prevención en materia de seguridad y la protección de nuestros sistemas.

Definición y evolución

Un RANSOMWARE también conocido como Scareware es una categoria de malware (software malicioso) que «secuestra» los sistemas informáticos a través de una herramienta tan común, como legítima en seguridad como es el cifrado de datos, y creemos que es allí donde radica su complejidad, porque este mecanismo de protección la realizamos a diario en nuestros desarrollos. Los RANSOMWARE, una vez propagados restringen el acceso a los sistemas, exigiendo posteriormente un rescate para eliminar esta restricción.

En su inicios los primeros malware criptograficos empleaban una clave simétrica, lo que suponía el uso de la misma clave tanto para cifrar como para descifrar.  Con el tiempo los ciberdelicuentes empezaron a evolucionar hacia algoritmos de cifrado asimétricos, teniendo sólo ellos las claves privadas para el descifrado de los ficheros. La evolución se ha producido tambien hacía variantes de algoritmos cada vez más sofisticados.

Pero no sólo la evolución radica en la concepción de los mecanismos de cifrado sino en la forma en que se produce el ataque. Los primeros RANSOMWARE se propagaban de manera más general, por ejemplo a través de campañas masivas de spam, los actuales se presentan a través de ataques dirigidos a menor escala, pero más efectivos al momento de penetrar, atacando objetivos concretos explotando vulnerabilidades, ofuscando código antes del proceso de compilación o simplemente actuando sobre proceso o servicios para lograr acceder a sistemas «core» dentro de las organizaciones.

Precisamente un ejemplo de esta evolución ha sido el RANSOMWARE denominado RYUK y que es una variante más sofisticada que el HERMES, que ha establecido ataques dirigidos a organizaciones muy concretas. Verticales como industria , sanitario y aquí en España concretamente a Ayuntamientos. Su mecanismo de cifrado está diseñado para operaciones de pequeña escala, penetrando en primera instancia descifrando una contraseña RDP débil para escalar privilegios realizando la propagación en los sistemas informáticos antes de encriptarlos, teniendo un nivel de profundidad de ataque que lo hace aún más peligroso y difícil de detectar.

Caso real de un ataque.

Como no hay mejor manera de demostrar conocimiento sino a través de la experiencia, recientemente nos tocó asesorar a uno de nuestros clientes para afrontar un ataque de RANSOMWARE en sus sistemas informáticos, donde se detectaron los primeros sintomas en el mal funcionamiento del servidor de base de datos y posteriormente se detecto en algunos equipos la presencia de ficheros encriptados y un fichero .html con dos direcciones de correo, habitual en este tipo de ataques, para el envío del rescate de los sistemas secuestrados.

Se confirma que el RANSOMWARE es el RYUK, porque se detectan inicios de sesión en escritorios remotos con un usuario desconocido ajeno a la organización. EL ATAQUE ERA INMINENTE

Como sucede en estos casos, como primera medida, se apagaron los equipos y se aislaron los servidores de la red para que no continue la propagación y se procedió a la actualización del antivirus corporativo Kaspersky en los equipos y servidores.

Se detectó un segundo síntoma, se observan rastros del virus en forma de ejecutables y  la afectación a las políticas GPO del servidor de dominio de Windows, realizándose la propagación a través del despliegue de las políticas, era evidente que la profundidad del ataque era tal, que resultaba casi imposible evaluar el impacto y el alcance de las afectaciones en los sistemas informáticos.

Se realizan pruebas y análisis con el antivirus Kaspersky para la detección y eliminación del virus, sin éxito.

Se decide restaurar de copia de seguridad e instalar los sistemas desde su configuración inicial, después del fallido intento de resolución a través del software corporativo de antivirus, al intentar restaurar las copias de seguridad se detectaron dos problemas, el tiempo de recuperación debido a la infraestructura actual de protección de datos y backup y sus elementos que lo componen dentro de un proceso de restauración y lo más grave, la inaccesibilidad a algunas copias de seguridad, dentro del sistema de backup.

Era más que evidente que nos encontrábamos ante un escenario, no sólo de ataque inminente de un RANSOMWARE y sus consecuencias, sino ante una situación posterior de aplicación de correctivos y mitigación de la incidencia que no daban los resultados esperados y que en un escenario de crisis, disrupción e indisponibilidad de los procesos de negocio se hace más que patente, porque el tiempo jugaba en contra y no se encontraba una solución definitiva al problema ni la garantía de que no se vuelva a producirse un nuevo brote de los síntomas, dada la profundidad del ataque, característica fundamental de estas nuevas variantes de ataque de RANSOMWARE como hemos mencionado.

Por tanto, quedaba un largo camino hacía el restablecimiento de los sistemas, con las consecuencias que esto supone a nivel operativo, pero sobre todo de negocio.

Diagnóstico

De acuerdo con los síntomas, la afectación y a las características de ataque, todo indica que el inicio del incidente provino de una campaña específica de envío masivo de correos maliciosos que suplantaban la identidad de un usuario en los que había anexado un documento de tipo «WORD», a pesar de que a nivel de cabecera del mensaje se veía claro que no provenía del servidor de correo corporativo, es probable que muchos usuarios procedieran a ejecutarlo, pensando que era un documento inofensivo de trabajo habitual, esto provocó la ejecución de una «macro» incluida en este documento que debía instalar algún tipo de software malicioso (p.e trickbot) para poder desplegar el ransomware Ryuk tras una fase de post-explotación y utilizando herramientas tipo «Cobalt Strike» de índole profesional.

El software de antivirus Kaspersky no pudo detectarlo como un posible elemento malicioso posiblemente porque muchos de los equipos de los usuarios no tenían actualizada la última actualización y las firmas asociadas.

Una vez dentro y antes de encriptar ficheros, este tipo de RANSOMWARE buscó los elementos Core sobretodo servidores de Bases de Datos o de Directorio Activo  aprovechando vulnerabilidades de sistema operativo y deficiencias en gestión de contraseñas y permisos habilitando sesiones de escritorio remoto con usuarios desconocidos, como fue en este caso, además del mal uso de las cuentas con privilegios de administrador que facilitó la propagación de la GPO y la profundidad del ataque, precisamente esta facilidad de accesos a los sistemas pudo ser el motivo de la posible afectación del sistema de backup con el objetivo de no poder recuperar los datos afectados.

Resolución y planes de acción

Ante este tipo de situaciones, desde Open3s recomendamos, aunque suene a tópico, mantener la calma en la toma de decisiones, porque cualquier paso en falso en los planes de acción estipulados puede suponer una pérdida importante de tiempo que impacta directamente en los plazos establecidos de restauración y por ende en el negocio.

No tener una visión clara de la afectación, es un problema común en estos episodios de ataque, por tanto, nuestra recomendación fue empezar desde la configuración inicial de los sistemas, restaurando de manera rápida los datos y los servicios, estableciendo un orden a partir de los sistemas más críticos conociendo la correlación entre ellos, para el restablecimiento de manera escalonada de los servicios, por tanto…

Fue fundamental encontrar un sistema de antivirus, que sea capaz de detectar y eliminar este tipo de ataques y que además sea de fácil despliegue y gestión ante este tipo de situaciones. Por este motivo nuestra recomendación fue SentinelOne, porque no sólo detecto y eliminó el virus, sino que nos garantiza desde el Endpoint una protección con más profundidad que su antecesor. Sobre todo entiende el comportamiento para identificar cuando algo es malicioso, venga de una GPO o con credenciales validas ..

Establecimos un plan de acción por fases para ir restableciendo los servicios, para esto fue sumamente importante tener un gobierno de la infraestructura y cada una de sus capas y elementos, para no dejar ningún cabo abierto, desde el usuario, servidores y los sistemas de backup.

De esta manera garantizamos, una vez detenido el ataque, tener un control de los servicios a medida se vayan restableciendo.

Lecciones aprendidas.

Es evidente que por naturaleza somos reactivos más que proactivos y actuamos en consecuencia, como hemos mencionado, este tipo de ataques evolucionan muy rápidamente y es razón fundamental para estar prevenidos y sobre todo tener definidos planes de acción en constante evolución para prevenir, identificar y mitigar lo máximo posible las afectaciones ante un episodio de esta índole, es importante tener los elementos necesarios en nuestra infraestructura para establecer un plan de continuidad de negocio en condiciones.

Les dejamos unas recomendaciones, de acuerdo con nuestra experiencia, que debemos de tomar en cuenta.

  • Tener un inventario y diagramas actualizados de nuestra infraestructura IT en sus diferentes capas y elementos.
  • Tener un plan de actualización periódico de los sistemas y aplicaciones, esencialmente a nivel de sistema operativo.
  • Tener un plan de seguridad de las aplicaciones y sistemas informáticos, a través de políticas por ejemplo de contraseñas seguras.
  • Tener actualizado el software de antivirus en todos sus niveles, desde el usuario, servidores y los sistemas de ficheros.
  • Tener una solución de protección de correo, que nos garantice la detección, análisis y detención de cualquier ataque de Malware o Pishing. Con la granularidad y visibilidad adecuada para la rápida detección de un episodio de ataque.
  • Establecer un gobierno elaborado y actualizado de los servicios de directorio, como el Directorio Activo, para la gestión de usuarios, permisos, grupos y políticas de toda nuestra infraestructura.
  • Tener un sistema de backup que nos garantices niveles de recuperación inmediata, consistencia de las copias de seguridad en función de las aplicaciones y sobre todo ser inmutables y seguros ante cualquier ataque de RANSOMWARE o de otra índole.
  • Tener un sistema de ficheros estructurado a nivel de accesos y permisos, que posea o se integre a un sistema de protección antivirus. Así mismo, se debe valorar tener analíticas de comportamiento de ficheros y auditorias, siendo una de las maneras de detectar un ataque.
  • Tener políticas, procedimientos o formación de concienciación a nivel usuarios finales, con la finalidad de que sean capaces de detectar o sospechar que están siendo víctimas de un ataque.

Si después de leer este artículo, sientes que tu organización podría ser víctima de un ataque de estas características, desde Open3s estaremos encantados de poder ayudarte a definir un plan de seguridad y de gobierno de tu infraestructura para prevenir episodios de este tipo, tenemos en nuestro portfolio soluciones que nos permiten garantizar de manera eficiente, la continuidad de negocio dentro de las organizaciones.

Créanme, en estos tiempos donde los ciberdelicuentes están constantemente buscando y perfeccionando métodos de ataques, no debemos ser menos así que…

No debemos bajar la guardia…

Autor: Carlos Zavala Pasco, Area manager Sistemas, Virtualización y Cloud.

 

 

 

 

 

Las soluciones de Backup Hiperconvergente toman la palabra

Por todos es sabido que las infraestructuras de backup, en los últimos tiempos, están inmersas en una profunda transformación, con la finalidad de cubrir las necesidades actuales de gestión, recuperación, resiliencia y continuidad de negocio requeridos por los centros de datos y las aplicaciones de las organizaciones que se deben adaptar a modelos actuales de la gestión de sus datos.

En este sentido, el último informe (Q3 2019) de Forrester ha situado a tecnologías como Rubrik y Cohesity, pertenecientes a nuestro portfolio, dentro del cuadrante de líderes de soluciones de “Data Resiliency”.

En este artículo, explicamos los principales conceptos y características, por lo que estas tecnologías han otorgado una nueva dimensión dentro de la gestión de los datos y las copias de seguridad.

Resiliencia de los datos

Una de las características de las soluciones hiper convergentes y definidas por software son la capacidad de resiliencia que poseen sus arquitecturas, puesto que permiten tener un grado óptimo y eficiente de alta disponibilidad y de protección de los datos a través de factores de replicación (RF) o distribución de los datos entre todos sus componentes (Erasure Coding) ante fallos, disrupciones e indisponibilidades. Esto produce una alta fiabilidad en las infraestructuras.

Eficiencias en la capacidad

Tener una solución que garantice una eficiencia en cuanto al manejo del almacenamiento es algo imperativo hoy en día, la gestión de la compresión y la deduplicación como conceptos que nos garantizan optimizar el espacio utilizado, es algo que se debe definir por cargas de trabajos y tipo de datos, estas soluciones no sólo gestionan este tipo de eficiencias, sino que determinan cuando se aplican y en que situaciones, tomando en cuenta la penalización en rendimiento que puede suponer aplicarlas.

Almacenamiento secundario

La protección de datos y la copia de seguridad está directamente relacionado con el almacenamiento, el alto crecimiento de los datos y la retención de los mismos nos ha llevado a optimizar la gestión de la capacidad de nuestros entornos, en ese sentido el almacenamiento secundario o segundo nivel de almacenamiento, paradójicamente ha tomado un papel relevante en el modelo de almacenamiento actual, discernir entre las cargas de trabajo de las aplicaciones de negocio para optimizar los procesos y llevarlos hacía un almacenamiento de más capacidad donde no se prioriza el rendimiento, se torna fundamental hoy en día en las infraestructuras de los centros de datos, permitiendo también ejecutar aplicaciones sobre este almacenamiento de acuerdo a las necesidades de las aplicaciones y a como se gestionan las operaciones de lectura y escritura.

Gestión centralizada

La dispersión y la fragmentación de los datos en los diferentes entornos y aplicaciones, nos ha llevado a una ineficiencia en la gestión de los entornos de protección de datos y copias de seguridad, siendo esta característica un factor esencial cuando se requieren operar tareas de respaldo y recuperación, por tanto, las soluciones deben ser simples y fáciles de operar, dando una visión global de toda la infraestructura para minimizar los tiempos de respuesta en caso se requieran tareas de recuperación. Tener una consola única de gestión para los diferentes modelos de nuestra infraestructura (cloud privado, público, híbrido) de protección de datos y copias de seguridad minimiza los tiempos de indisponibilidad y demuestra la eficacia de este tipo de soluciones, en lo referente a gestión.

Recuperación de desastres

La recuperación de los datos es el punto esencial de las soluciones de protección de datos y copias de seguridad, alcanzar niveles óptimos de tiempos de recuperación (RTO) y el punto de recuperación de los datos (RPO), determinará el impacto y la continuidad de negocio de las organizaciones ante episodios de disrupción (caídas de centros de datos), pérdidas (eliminación de datos) o ataques maliciosos que se presentan en las infraestructuras. Estas soluciones ponderan y sitúan esta característica como parte esencial de su infraestructura cuyo objetivo es llegar a valores mínimos de casi cero.

Entornos de Test y Desarrollo

Uno de los aspectos revolucionarios en este tipo de soluciones es la facilidad de despliegue de entornos tanto de Test como de Desarrollo, cada vez más, las aplicaciones presentan cambios y evolucionan de acuerdo a las necesidades para las que son diseñadas, por tanto, desplegar de una manera rápida y eficiente un entorno a partir de una copia de seguridad sin necesidad de causar disrupción y a un coste operativo mínimo, es una de las características más valoradas en este tipo de soluciones. El ciclo de vida de las infraestructuras de Test y Desarrollo se controla de una manera eficaz y la validez de los datos para realizar pruebas consistentes, ofrecen total garantía de uso.

Copias de seguridad de corta y larga retención

Cambiar los modelos de operación, basándose en las políticas de copias de seguridad, automatizando las ventanas de ejecución y la retención de estas para determinar los datos susceptibles a ser recuperados, será un factor fundamental en la arquitectura de estas soluciones de protección de datos y copias de seguridad.

Estas soluciones ofrecen funcionalidades de desbordamiento a diferentes infraestructuras (cloud, NAS, objetos, unidades de cintas), esto hace establecer una distribución efectiva de lo que consideramos un factor fundamental en cualquier solución, como es la retención para su posterior recuperación. Tener el control, aún cuando los datos han desbordado a otras infraestructuras es un beneficio operativo muy valorado en este tipo de soluciones.

Seguridad de los datos

El ciclo de vida de los datos, también se sitúan en este tipo de soluciones, por tanto, es necesario que ofrezcan un grado de seguridad bastante alto con algoritmos de encriptación robustos y de difícil vulnerabilidad. Estas soluciones de copias de seguridad ofrecen inmutabilidad para las copias, de tal manera que no puedan ser borrados de forma maliciosa o afectados por algún Malware o Ransonware. Tener definida estas características, hoy en día, es algo imperativo en la gestión del dato.

Desde open3s, venimos trabajando con estas soluciones desde hace un tiempo ya, siendo visionarios y entendiendo las necesidades de nuestros clientes en lo que respecta a continuidad de negocio y redefinición de la gestión de los datos y la importancia de estos.

«El enfoque ha cambiado, debemos adquirir soluciones de acuerdo con nuestras necesidades y no adaptar nuestros requerimientos en función de lo que conocemos del mercado».

Estas nuevas plataformas como Cohesity o Rubrik basadas en la hiperconvergencia tienen mucho que decir aún, por ahora, parece ser que…

Han tomado la palabra y tienen ya seguidores….

Autor: Carlos Zavala Pasco, Area manager Sistemas, Virtualización y Cloud.

¿Se puede innovar en Data Center Networking en 2019? El caso Arista.

De manera recurrente en las organizaciones surge la necesidad de renovar o instalar equipamiento de red en el data center. Y al responsable de IT siempre le asalta la primera duda: ¿sigo la línea continuista o intentamos innovar? (En realidad la primera duda es, cuanto presupuesto me van a asignar :)). Y aquí es donde viene el dilema, porque no es simple separar el grano de la paja. O dicho de otra manera, la innovación real contra el marketing del fabricante.

Siempre me gusta hacer la misma broma: el Networking de Data Center es una tecnología con más de 20 años que seguimos gestionando como hace más de 20 años. Y es así de simple. La opción principal sigue siendo acceso por ssh y a darle al show y al conf. Por supuesto, este sistema es totalmente ineficiente y propenso a errores humanos, y más importante, no da respuestas las necesidades actuales de los Data Center.

Durante este artículo vamos a exponer las necesidades que tienen las empresas hoy día en Networking de Data Center, que elementos innovadores existen en el mercado y cual es la propuesta de Arista para resolverlo.

 

¿Que necesidades existen en el Networking de Data Center?

Redes suele ser el patito feo de la pila tecnológica en el Data Center, y en ocasiones se simplifica su estado a: la red funciona, la red no funciona, la red va lenta. Esta visión es legítima desde una perspectiva exterba. Es decir, el empleado medio lo único que necesita es que la red funcione y vaya rápido. Y el nivel directivo necesita que no lleguen quejas sobre la red del grupo anterior.

Pero, ¿que ocurre si estamos en un puesto como CIO, CTO, Responsable de IT o Técnico de redes? El objetivo es el mismo, que la red funcione. Pero somos nosotros quien debemos estructurar los mecanismos para conseguir el objetivo, que deberían ser:

  • Punto único de fallo. Hablamos de sistemas críticos con muchos 9 de disponibilidad, que no se estropee la estadística por la red. Recuerda, que la infraestructura física es tan resistente como lo es su eslabón más débil (me niego a usar el engendro de palabro resilencia).
  • Automatización procesos. Las operaciones sobre la red pueden se lanzadas por un operador, pero deberían ser ejecutadas y supervisadas por una maquina. El error humano continua siendo uno de nuestros mayores enemigos.
  • Gestión de la red. Una red actualiza y una configuración coherente es una estupenda señal de la salud de un data center. Aprovechemos e implementemos las buenas prácticas sobre la infraestructura de red.
  • Visibilidad. El tráfico de red ha evolucionado en la última década hacia cargas virtuales, es un hecho sin retorno. El siguiente paso potencial son los containers. Si nuestra red no «ve» ese tráfico, estamos fuera del juego.
  • Virtualización. Mención especial a la virtualización de red. ¿La red está en el switch, en el hypervisor o en ambos?. VXLAN está pasando rápidamente de concepto de laboratorio a opción por defecto.
  • Cloud. Si tienes toda o parte de tu infraestructura en la nube, vas a necesitar herramientas que aporten un plus de interacción con los entornos cloud.
  • Velocidad y latencia. Todo lo anterior está muy bien, pero no olvidemos que «el hierro» tiene que ser rápido y sin retardo. Y es que 1 microsegundo puede suponer mucho dinero en según que sectores.

 

¿Donde se sitúa Arista en el mercado de Data Center Networking?

Los fundadores de Arista entendieron pronto estas necesidades, y en 2004 se lanzaron a diseñar un sistema de Data Center Networking. 14 años después, el resultado no puede ser más concluyente:Gartner Magic Quadrant

Y es que Arista ha ido año tras año ganando cuota de mercado, y marcando la tendencia en el Data Center. Las comparaciones son odiosas, pero podríamos decir que, Arista hoy es el Cisco de hace 20 años. Unos innovan, otros van a rebufo aguantando.

Pero, ¿cuales son las características que hacen brillar a Arista en un entorno tan saturado como el Data Center? Por citar algunas de las más importantes:

  • Latencia. El tiempo es dinero, y en redes pueden ser millones. Arista irrumpió con mucha fuerza en el mercado HFT, donde sus equipos con ultra baja latencia han sido killers durante mucho tiempo. Esta obsesión por la latencia ha parido funcionalidades como, LANZ para el monitoreo de lantecias de red, o buffers hardware del orden de GB.
  • SysDB. Programar un sistema de cero te permite diseñar el código «como debería ser». Los ingenieros de Arista decidieron que las variables del sistemas y los estados de red iban a estar accesible en una Base datos. Esto es un cambio de paradigma, ya que ahora tenemos procesos independientes leyendo de una Base de datos. Y si hay que reiniciar algún proceso, no hay problema, tomamos las variables instantáneamente de la SysDB.
  • NetDB. En línea con lo anterior, ¿porque no almacenamos todos y cada uno de los cambios que ocurren en la red? Se acabó el ejecutar de manera recurrente «show arp» hasta que cazamos el cambio. Ahora es el switch quien internamente registra toda la información relevante sobre la red.
  • Linux. El sistema operativo EOS que cargan los switches no está «basado en Linux», sino que «es Linux». Esto abre la puerta a acceder al bash de Linux y ejecutar literalmente cualquier comando estandar: top, grep, cat, vi, etc. Por supuesto, seguimos teniendo disponible el CLI estandar de la industria que inventaron nuestros amigos de Cisco.
  • Programabilidad. Las redes son cada vez más heterogeneos y la relación con terceros es inevitable. El sistema EOS expone los switches mediante una API muy bien documentada para que literalmente enganchemos el sistema externo que queramos. Ya sea herramientas de gestión, de monitorización, de negocio, cualquier necesidad de integración puede ser cubierta vía API.
  • CloudVision. La integración y la orquestación está genial, pero ojo porque ponerlo en marcha cuesta tiempo y dinero. Por esa razón, Arista nos proporcionar su suite CloudVision con la mayor parte de necesidades ya resueltas.

Y podría seguir con un sin fin de funcionalidades básicas y avanzadas que harán las delicias de cualquier profesional relacionado con el Networking. En este sentido, muy recomendable el libro Arista Warrior de Gary A. Donahue disponible en Amazon.

 

¿Cuales son los siguientes pasos evolucionar mi red de Data Center Networking?

En este punto, te puedes preguntar: «Vale, me habéis convencido, ¿y ahora qué?».

El primer paso es saber que grado de madurez tiene nuestro Data Center. La evolución del Data Center es una carrera de fondo. Por poner un ejemplo real que comentaba con un cliente, no podamos pasar de una red sin segmentación VLAN a una red automatizada con SDN. Todo cambio debe ser gradual y acorde a las necesidades de la organización.

El segundo paso es definir un plan director de redes adecuado. Se debe marcar las necesidades actuales, pero también las futuras para no limitar el posible crecimiento de nuestro Data Center. Es importante crecer y evolucionar, pero de una manera ordenada.

Y el tercer paso es, ejecutar. Sabemos donde estamos, sabemos donde queremos llegar, ¡planifiquemos el arranque!.

 

Y aquí es donde podemos ayudarte desde Open3s. En 2014 iniciamos una estrecha colaboración con Arista, siendo el primer Partner que apostó por ellos decididamente. Tenemos casos de éxito en todos los sectores y tamaños que pueden servir de referencia.

Así que no lo dudes más y lánzanos un mail para que te asesoremos en tu proyecto de Data Center Networking.

La importancia de la Gestión del Dato.

¿En qué punto estamos?

 

Hoy en día en el mundo digital, una incidencia a nivel de IT puede tener afectación directamente a los procesos de negocio y en este sentido existen múltiples posibilidades de recuperación, tomando en cuenta los niveles de RTO (Recovery Time objective)  y RPO (Recovery Point Objetive) establecidos, pero la pregunta es ¿Qué pasa si perdemos los datos o no sabemos dónde están?, es evidente que es una tarea que en ocasiones puede resultar imposible, por eso nos surge la necesidad de tener bien definido e implementado lo que llamamos el CICLO DE VIDA DEL DATO.

En la era de la transformación digital los datos representan un valor incalculable en los procesos de negocio, en los últimos años nos encontramos con una masificación de datos e información a procesar, por lo que es importante categorizar y evitar la fragmentación de los datos.

Por consiguiente, nos encontramos con la imperiosa necesidad de tener los datos de una forma ordenada y coherente para tener un acceso rápido a ellos, en función de los requerimientos de nuestras aplicaciones y entornos que en definitiva determinarán el tipo de dato y la categorización a la que pertenecen.

Nuestra experiencia como integradores de soluciones en este ámbito, nos permite adaptar los diferentes modelos de arquitecturas en función de los requerimientos y necesidades de las organizaciones y de nuestros clientes.

Desde Open3s entendemos la importancia de la gestión del dato como algo crítico dentro de los procesos de transformación digital en la que se embarcan las organizaciones, saber determinar y categorizar los tipos de datos definiendo un ciclo de vida en función de su utilización e importancia supone una optimización destacable en los procesos de IT.

El problema de la Fragmentación de los Datos.

 

Este problema ya lo estamos viendo en las organizaciones, la falta de control sobre el estado de los datos, su utilización y la evolución dentro de los procesos de negocio, es uno de los puntos importantes a tomar en cuenta si se quiere acometer cualquier proceso de transformación digital. Desde nuestra experiencia, el problema de la fragmentación de los datos se debe a los siguientes puntos que detallamos a continuación.

Crecimiento de los Datos

Los datos están creciendo de una manera exponencial, esto produce un deterioro dentro de los procesos de IT y lo que es peor pone en relieve sus deficiencias. Es común encontrarnos con disrupciones de servicio por falta o mal manejo de la gestión de las capacidades en términos de espacio y la mala gestión de datos que consideramos obsoletos o en desuso. No teniendo control sobre ellos.

Operaciones de los Datos

Los datos son categorizados de acuerdo, a su uso y a los procesos funcionales que los requieren, por tanto, su utilización se diversifica en función de los despliegues, de las necesidades de testeo, desarrollo y como no, de los procesos de análisis que cada vez son más comunes dentro de las organizaciones. Esto supone tener un conocimiento más exhaustivo del estado de los datos y las operaciones que se realizan, de tal forma que tengamos una mayor visibilidad sobre ellos.

Protección de Datos

Hoy en día las organizaciones realizan copias de datos por muchas razones, no sólo para tener respaldos y protección de los datos, sino para la ejecución de tareas dentro de sus procedimientos de control, esto produce un crecimiento no controlado de los datos, sin importar la consistencia de estas copias, el problema es que se distribuyen en diferentes ubicaciones y los métodos de recuperación resultan ser lentos y tediosos.

Por tanto, podemos afirmar que:

 

“IT está limitada por infraestructuras de datos obsoletos y no controlados”
“No tener claro el ciclo de vida del dato empeora la adopción al Cloud”

 

Es hora de consolidar los datos y las operaciones

 

La mejor manera de dar solución a esta problemática es identificar los tipos de datos y distribuirlos en una solución integral que nos proporcione un nuevo enfoque en la gestión y en la manera de entender la importancia de los datos en los procesos de continuidad de negocio, dotando a las organizaciones de las siguientes características

Integración y eficiencia

Eliminando duplicidad y sobredimensionamiento de infraestructuras, con una gestión única e integrada que nos permita ejecutar procesos automáticos, eliminando así, tareas manuales y rutinarias. Obteniendo visibilidad sobre los datos y su evolución dentro de su ciclo de vida.

Rapidez y Flexibilidad

Soluciones definidas por software para mejorar considerablemente el acceso a los datos y a su distribución, en función de sus casos de uso, permitiendo la ejecución de aplicaciones y tareas desde cualquier ámbito de nuestra infraestructura. Teniendo la posibilidad de desbordamientos de datos a diferentes modelos de infraestructuras Multicloud.

Seguridad y Operación

Realizar búsqueda de los datos de manera rápida, segura y predictiva sin importar su ubicación, garantizando niveles de RTO/RPO óptimos y eficientes, por los tiempos de recuperación establecidos y los que demandan cada vez más los procesos de negocio dentro de las organizaciones. Garantizando en todo momento la continuidad de los procesos de negocio.

Escalabilidad y soluciones abiertas

Facilidad de crecimiento en función de necesidades y demandas de infraestructuras, soluciones explotables a partir de APIs para desarrollos e informes a medida, así como la integración con otras soluciones.

En resumen, el reto está servido, debemos poner foco y considerar que vamos a almacenar, gobernar, acceder, proteger y tener una responsabilidad importante sobre nuestros datos, es hora de ponerse manos a la obra para diseñar un plan eficiente de continuidad de negocio y gobierno de los datos y desde Open3s queremos ayudarte en este proceso.

Autor: Carlos Zavala Pasco, Area manager Sistemas, Virtualización y Cloud.

Open Data Madrid: Os contamos nuestra experiencia

Que vivimos en la era de la transformación digital es un hecho. Todos habréis oído hablar de ella y aplica en mayor o menor medida a diferentes ámbitos de nuestra vida: ámbito laboral, personal, compras, comunicaciones, entretenimiento… Una de las características principales de esta transformación es la generación de grandes cantidades de datos, que procesados y analizados de la manera correcta pueden aportar valor.

En este artículo queremos contaros cuál ha sido nuestra experiencia intentando explotar datos abiertos. Esta iniciativa surgió un día en una sesión de brainstorming del equipo de Big Data. Ese día dimos con la web de open data del Ayuntamiento de Madrid, la cual contiene colecciones de datos abiertos del ayuntamiento que puedes utilizar descargándolos e incluso explotándolos vía API. Tras analizar las fuentes que ofrecían y el potencial que podían tener se nos ocurrió que si esas fuentes se pudieran correlar podríamos generar contenido útil, valioso e interesante tanto para ciudadanos como para distintas áreas del Ayuntamiento.

A continuación os contamos nuestra experiencia.

Datos

Inicialmente pensamos en dos casos de uso: uno de ellos zonas calientes de accidentes de tráfico y multas, y el segundo análisis del impacto de la calidad del aire en la salud de la ciudadanía. Nos vamos a centrar en el primero de ellos, que es el que los datos nos han permitido crear de manera más óptima. Para ello contábamos con las siguientes fuentes:

  • Accidentes de tráfico.
  • Accidentes con implicación de bicicletas.
  • Multas de tráfico.
  • Intervenciones del Samur.

 

Retos

El primer reto al que nos enfrentamos fue el procesamiento de los datos. El hecho de que los datos en cada fuente no estuvieran normalizados hizo que se disparase el tiempo invertido en hacer de ellos datos útiles para aplicar lógicas y análisis, ya que dichos datos no siguen el mismo formato en los distintos conjuntos de datos. Por ejemplo, la ubicación no se detalla igual en los accidentes de tráfico que en las multas (calles con distintos formatos), o en las intervenciones de Samur que en lugar de especificar la calle se especifica únicamente el distrito.

Tras una labor de “cocinado” de los datos que los habilitara para incluirlos en Splunk, vino el problema de la correlación. Nos faltaban campos en algunas fuentes con las que relacionarlas con el resto de datos; y datos básicos como la fecha completa estaban ausentes en algunas de ellas. Esto hizo que el nivel de detalle que se puede llegar a obtener se viese disminuido, ya que sólo se puede analizar por mes y año, con lo que las conclusiones pueden ser distorsionadas.

Un claro ejemplo de diferencia entre formatos lo encontramos en la ubicación de accidentes y multas. En los datos de accidentes venía la calle, por lo que haciendo una correlación con datos de callejero pudimos obtener coordenadas para geoposicionamiento; sin embargo, en los de multas venían calles incompletas y cruces, lo cual dificultó la posibilidad de posicionar geográficamente.

Otro problema que encontramos fue la falta de datos actuales. Para poder materializar la idea que teníamos en mente lo óptimo hubieran sido datos actualizados de manera diaria, pero nos encontramos con que muchos de los datos que ofrece la web de open data se publican de manera anual a año vencido. Para hacer un “análisis forense” a tiempo pasado y analizar el histórico puede ser útil, pero pierde la versatilidad y el valor que te da tener datos cercanos a tiempo real.

No obstante, seguimos trabajando en ello para ver el potencial que podía tener la idea, y a continuación os contamos lo que conseguimos.

 

Resultado

Hemos conseguido desarrollar un dashboard de analytics sobre los datos obtenidos sobre accidentes de tráfico. Tenemos distintas visiones de los accidentes que se producen, pudiendo ver la segregación por distrito, tipo de accidente, edades y horas/días.

Como podemos ver, y sin aplicar ningún tipo de filtro ya podemos empezar a sacar conclusiones:

  • En cuanto a distritos, los accidentes de tráfico se reparten de manera bastante homogénea, no destacando ningún distrito sobre otro. Tiene un porcentaje ligeramente mayor el distrito de Chamartín pese a que cualquiera pensaríamos que sería el distrito centro.
  • Los accidentes que más se producen son colisiones dobles, acaparando así un 75% de todos ellos. Llama la atención una tipología de accidente con suficiente representación como para salir en el gráfico que es “Caída viajero bus”.
  • Los resultados de tramo horario son totalmente los esperados y deducibles por la afluencia de coches correlando los tramos horarios con las horas de trabajo.
  • El abanico de edades que se registran va de 0 a más de 74 años. Es curioso ver como la segregación de accidentes va en aumento en los tramos menores de edad hasta llegar a los 25-29 (un 12,44% de los accidentes), y a partir de ese tramo empieza a disminuir de nuevo.
  • El lunes gana por poco margen el día con más accidentes de tráfico, siendo el resto bastante equitativos.
  • Respecto a las horas, refleja que hay más accidentes por la tarde que por la mañana. Esto puede dar lugar a pensar que los desplazamientos para trabajar por la mañana pueden estar más escalonados que los de la tarde.

 

Los filtros superiores nos permiten “jugar” con la información, para obtener conclusiones curiosas como las siguientes:

  • Seleccionando accidentes cuyos implicados tienen una edad superior a 74 años vemos como la segregación por tipo de accidente aumenta considerablemente hacia “Atropello”, y que la tipología “Caída viajero bus” se ve incrementada.

  • Si queremos analizar los accidentes de tipo “Choque contra objeto fijo” llama la atención de éstos a qué hora se producen más, como vemos en el siguiente gráfico. Es el horario de madrugada y noche el que se lleva casi el 50% de estos accidentes.

  • Al seleccionar accidentes producidos de madrugada y por la noche, las edades que más aparecen son de los 21 a los 39 años. Sin embargo, la división por días de la semana es más homogénea de lo que se esperaría

  • Sorprende que seleccionando aquellos accidentes con bicicleta implicada, en tipología siga saliendo “Caída viajero bus”.

  • Analizando el geoposicionamiento de accidentes se aprecia una ocurrencia mayor por el barrio de Salamanca, siendo el resto repartido homogéneamente.

  • Si contamos los accidentes por día/tramo horario, tipo de accidente, gravedad y tramo de edad los accidentes que más se producen son los sábados de 00 a 00:59, la mayoría por colisión doble, sin heridos de gravedad y en tramos de edades bastante dispares.

  • Por último, algo de esperar, si vemos un gráfico con la evolución temporal de los accidentes por mes apreciamos que en el mes de agosto disminuyen drásticamente. Llama la atención el aumento en octubre sin mucha razón lógica a la que achacarlo.

 

Qué hubiéramos necesitado para conseguirlo

Para conseguir lo que teníamos en mente hubiéramos necesitado principalmente:

  • Campos para correlar las distintas fuentes.
  • Datos en real time o near real time.
  • Presencia de datos ausentes: por ejemplo, día del mes el cuál no está presente y dificulta aplicar ciertos análisis (por ejemplo, analizar los accidentes en función de medidas de contaminación activas).
  • Calidad en los datos, por ejemplo, en los de ubicación.

 

Conclusiones

Pese a que se ha avanzado mucho en estos temas y ya se ha dado un gran paso como crear un servicio de consumo de datos abierto de los ayuntamientos (presente no sólo en Madrid, sino también en ciudades como Barcelona), aún queda camino por andar.

Hemos extraído bastantes conclusiones, pero si hubiésemos contado con todo lo necesario se podría haber hecho algo con mucho más potencial permitiendo extraer todo el jugo que los datos y la correlación entre estos aportan.

 

Esperamos que el mundo de los datos siga evolucionando, ¡nosotros estaremos ahí para experimentarlo y vivirlo!

 

Autora: Nerea Sánchez Fernández, Area Manager Big Data.

 

Como optimizar el tráfico a internet con un Firewall NGFW

Hace ya tiempo que los Firewalls evolucionaron de esa barrera perimetral con secuencias de IPs y puertos a equipos con funcionalidades avanzadas. Integración con directorio activo, identificación de aplicaciones en capa 7, gestor de conexiones remotas VPN y una larga lista que dan forma a lo que se conoce como Next Generation FireWalls. Hoy vamos a hablar de una característica poco publicitada de algunos NGFW, la capacidad de gestionar múltiples líneas de conexión al exterior en general (y a internet en particular).

Situación de partida, ¿que necesidades de comunicación al exterior tienen las empresas?

En lo que respecta a comunicaciones hacia el exterior, a la persona en el puesto de Director técnico, CIO o responsable de comunicación se le exige varios de los siguientes puntos:

  1. Comunicación segura y confiable entre sedes
  2. Conexión a Internet con parámetros de rendimiento aceptables.
  3. Redundancia de todo lo anterior
  4. Con el menor coste posible.

Analicemos cada uno de los requisitos en mayor detalle

  1. Para la comunicación entre sedes la opción por defecto por la que optan muchas organizaciones es una red MPLS contratada a un ISP mayorista. Disponemos de una red privada donde la configuración y el mantenimiento la realiza un tercero y con unos ancho de banda garantizado. Todo muy bonito, ¿verdad? La realidad es que la red es compartida a nivel físico, los anchos de banda son muy bajos (especialmente cierto en MPLS internacionales), la privacidad depende de la confianza en el ISP de turno y la capacidad de realizar operaciones técnicas complejas está muy limitada.
  2. La navegación a internet siempre ha sido un tira y afloja entre las capacidades de las líneas ISP y los requisitos de las aplicaciones. En algún punto, este equilibrio se rompió por las nuevas necesidades corporativas en materia de seguridad. A día de hoy ocurre que parte o toda nuestra operativa IT está en formato cloud con aplicaciones SaaS pero nuestra conexión a Internet se basa en la tunelización de tráfico hacia una sede central donde controlo todo el flujo. A esto hay que sumar que muchas aplicaciones no solo requieren un ancho de banda mínimo, sino que además los parámetros de latencia y jitter deben permanecer en valores óptimos (pensemos en una llamada VoIP, una videoconferencia).
  3. Hoy día no se tolera perdida de servicio. A menos que seamos amanuenses en un convento, la mayor parte del tiempo requerimos conexión a internet para desempeñar nuestra tarea. De manera general, un corte de conexión a internet suele ser desastroso para la operativa de a empresa. Y porque no decirlo, una mancha en la imagen del departamento de IT.
  4. Y por supuesto, con el menor coste económico y operativo posible. Atención a la diferenciación, económico y operativo. El euro pesa mucho en las decisiones pero no debemos obviar que carga operativa nos va a suponer cada opción y por supuesto que flexibilidad técnica brinda.

El problema

Con todo esto, el esquema de partida de la mayoría de empresas comienza siendo un conjunto de sedes remotas unidas a una sede central por MPLS y un firewall y una salida a internet bien grandota en la central por donde pasa todo. Gráficamente algo así:

Si tu red esta representada por esta imagen o similar, habrás sufrido los inconvenientes que tiene:

  • Las redes MPLS son en general caras y lentas además de ser poco ágiles ante cambios.
  • La conexión a internet agregada en DataCenter no da respuesta a necesidades específicas.
  • No tenemos ningún mecanismo de seguridad en las sedes.
  • No existe visibilidad de lo que está ocurriendo en las tripas de nuestra red
  • La redundancia de conexiones al exterior no es fácil de gestionar desde un punto de vista técnico

La pregunta, ¿como gestionar el tráfico de salida a internet de forma eficiente técnica y económicamente?

De acuerdo, ya eres consciente de las deficiencias de la red de comunicaciones de tu empresa. Pero, ¿que alternativas tienes? No hay una respuesta unificada porque cada organización tiene sus necesidades particulares. Lo que sí hay es una serie de pautas a seguir como por ejemplo:

  • Añadir en las sedes al menos una segunda línea de conexión con la central por redundancia. En lugar de una MPLS puede ser una conexión a internet con un tunel IPSec para comunicación segura.
  • Descargar el control de seguridad en un firewall en la sede y derivar parte del tráfico directamente a Internet sin pasar por la sede central
  • Valorar la sustitución de la costosa línea MPLS por una línea genérica a internet con las medidas de autenticación y encriptación suficientes.
  • Aumentas el número de líneas de internet para asegurar la conexión al exterior con la mejor disponibilidad en todo momento.

Es decir, estamos pidiendo la capacidad de analizar y gestionar el tráfico de salida desde cada una de las sedes hacia el exterior. ¿Como lo conseguimos? Efectivamente, instalando un Firewall de tipo NGFW en cada una de las sedes.

La solución, SD-WAN de Fortinet

Llega el momento de aterrizar la idea. Somos conscientes de las carencias de nuestra red, queremos reducir costes y mejorar nuestra operativa. ¿Como lo hago? En este articulo os explicamos que aporta Fortinet y su tecnología SD-WAN. Te explicamos en que consiste.

SD-WAN de por si es un concepto marketiniano, algo parecido a lo que ocurre con SDN que cada vendor empuja su idea del concepto. Para Fortinet, SD-WAN es la tecnología que permite optimizar los flujos de conexión a internet de manera dinámica según las necesidades de cada usuario y aplicación. Ahí es nada. Dicho de otra manera, es capaz de sacar el tráfico por una u otra línea según los parámetros técnicos de la línea en cada momento. Pongamos un par de ejemplos reales para entenderlo mejor:

  • Nuestra empresa ha apostado por Office365 y la aplicación Teams de Microsoft requiere una latencia determinada en las sedes. En lugar de tunelizar el tráfico hacía la sede central y sacarlo a  internet, pasemos a un modelo donde identificamos el tráfico a nivel de aplicación en la sede en local con un NGFW y derivemos el tráfico directo a Internet. Y en caso que la línea a internet falle o tenga parámetros de latencia malos, derivemos el tráfico temporalmente a través de la conexión hacia la sede central.
  • Hemos apostado por reducir nuestra factura y desvincularnos de nuestro ISP sustituyendo la MPLS por dos líneas de fibra FTTH domésticas más una línea con radioenlace todo ello con conexión a la central con túneles IPSec. Por defecto voy a sacar todo el tráfico no crítico a través de la línea 1 de fibra, el tráfico critico a través de la línea 2 de fibra y me reservo el radioenlace en caso de problemas. Por ejemplo, si detecto una perdida de paquetes del 1% en la línea 1 de fibra considero que la línea ha dejado de ser confiable y comienzo a sacar todo el tráfico por el radioenlace que tiene menor capacidad pero me asegura la entrega de los paquetes. De manera continua se comprueba la línea de fibra hasta que vuelve a los parámetros de calidad aceptable y volvemos a enrutar el tráfico como anteriormente.

Este y múltiples ejemplos más se consigue gracias a la combinación de diferentes tecnologías punteras proveídas por Fortinet:

  • Funcionalidad SD-WAN para gestionar el tráfico de salida al exterior.
  • Identificación de aplicaciones para categorizar cada flujo.
  • Establecimiento de túneles IPSec de manera dinámica.
  • Gestión centralizada de NGFW mediante software específico como FortiManager.

Finalizando este artículo te estarás preguntando si esta solución realmente es tan buena y si es aplicable a ti. En Open3s nos gusta hacer una venta consultiva donde estudiamos cada caso en detalle. Si estás interesado, déjanos tus datos que estamos encantando de charlar contigo sobre este y otros temas.

Autor: Miguel Angel Corzo, Área manager Networking y Seguridad.