Por otra parte, recientemente se publicaba la existencia de un nuevo virus, bautizado como stuxnet, cuyo objetivo es el sabotaje industrial en oleoductos y centrales eléctricas. Este virus, especialmente diseñado para atacar a una aplicación de Siemens muy habitual en este tipo de centrales, tenía como objetivo, según parece, una central nuclear en Irán.
Como última referencia de la situación actual, a principios de 2010 se hacía pública la intención de Google de abandonar China como respuesta a los constantes hackings a su servicio Gmail, supuestamente realizados o auspiciados por el propio gobierno chino, y a la censura impuesta a los resultados de su motor de búsqueda.
Y con toda esta cantidad de malos profesionales por la Red, ¿somos realmente capaces de garantizar la seguridad de nuestras redes y sistemas?
Los malos juegan con mucha ventaja
La peor de las preguntas que se le puede hacer a un responsable de seguridad (en TI o fuera de ella) es aquella en la que, después de enumerar una por una todas las inversiones en seguridad en los últimos años, se le insta a responder si sus sistemas están a salvo de sabotajes y fallos de seguridad. Porque salvo que el responsable de seguridad sea un inconsciente, es poco probable que responda de forma afirmativa independientemente de los recursos económicos destinados a su área en los últimos ejercicios. Como veremos, los malos tienen algunas ventajas.
La primera ventaja es el tiempo. Los malos tienen todo el tiempo que precisan para centrarse en un tipo de ataque en concreto, aquel que no prevemos. El ataque llegará en cualquier momento desde cualquier lugar incluyendo los 24 husos horarios. Sin embargo, los técnicos en seguridad de las compañías normalmente trabajan en 8x5 y deben abrir su radio de acción a todos los posibles ataques, con lo que no pueden dedicar el tiempo necesario a combatir a su adversario.
La segunda ventaja es la especialización extrema. Los malos disponen de los mejores expertos ya que es muy complicado que las compañías tradicionales mantengan en plantilla a expertos en seguridad al nivel necesario para ser digno adversario de los ciber-delincuentes. Tal vez alguna compañía disponga de personal de ese perfil pero resulta difícil de creer que personas con ese nivel de especialización e inquietud tecnológica (no olvidemos que un anti-malo debe saber de casi todo a nivel técnico) presten sus servicios en compañías fuera del ámbito de la seguridad TI. Por ello, cada día que pasa la diferencia entre el espectro de conocimiento de los malos y los expertos en seguridad de las compañías se agranda.
La tercera ventaja se basa en los condicionantes externos de la seguridad. Los técnicos de seguridad de las compañías deben conjugar sus objetivos con los de sus compañeros de desarrollo de aplicaciones y, sobre todo, con marketing y desarrollo de negocio. Estos últimos siempre tienen urgencia por poner nuevos contenidos y productos en la web incluso aunque para ello haya que sacrificar en parte la seguridad. Por el contrario, los malos no tienen que competir con nadie salvo con ellos mismos; no tienen ningún condicionante externo.
Esta es la base del éxito de los ataques del 11-S. Probablemente la Agencia de Seguridad Nacional estadounidense estaba preparada para una gran cantidad de posibles ataques con armas más o menos convencionales, sobre diferentes puntos, con diferentes tecnologías, ... pero no lo estaban para un ataque con un arma nada convencional: un avión comercial. Tras ello nuestra escasa capacidad para razonar como un experto en estrategia militar nos lleva a convertir los aeropuertos en zonas cuasi-bélicas pese a que la probabilidad de que un ataque así se repita sea baja.
El siguiente cisne negro será aquel para el que nadie estaba preparado y que, una vez que se produzca, todo el mundo pensará que era obvio.
Volviendo a TI, todas las inversiones en seguridad están normalmente destinadas a cubrir los problemas de seguridad que ya se conocen. O sea, los que no son relevantes. Hay muy pocas inversiones -más bien ninguna- para proteger aquello en lo que nadie ha visto aún ningún riesgo pese a que la experiencia demuestra que los grandes ataques tienen éxito justamente en ellos.
Seguridad gestionada, seguridad en la nube
A quienes piensen que su sistema de seguridad es infalible no hay más que recomendarles que contraten un hacking ético en su perímetro. Es decir, contratar a empresas especializadas para que analicen sus sitios web, correo, ftp,..., prueben sus vulnerabilidades e incluso traten de realizar accesos no autorizados. Gran parte cambiaría de opinión a no más de dos horas de comenzar el ataque.
Y para los que resistan ese test -que lo hay- que prueben con esta otra: facilitar una boca de red en la red interna de la empresa (muy recomendable en grandes organizaciones con muchos empleados, centros dispersos, etc.). No es preciso facilitar equipos corporativos, direcciones IP, usuarios y claves, etc; nada de eso, únicamente una toma de red. Es esta una prueba no apta para personas con problemas cardíacos porque es en ese momento cuando se toma verdadera conciencia de lo que un usuario interno (Gartner los considera igual de hostiles, o más, que los externos aunque nunca he tenido claro que sea correcto del todo) podría llegar a hacer. Seguir el ritmo de los malos es realmente muy complejo y en ocasiones bastante tienen los técnicos de TI con los atacantes externos como para preocuparse de los ataques internos que además tienen una superficie de exposición (potencial acceso a todos los sistemas) muy superior al externo.
Para dar respuesta a todas estas ventajas de los malos, cada vez con mayor profusión proliferarán los servicios de seguridad gestionada en los que empresas de seguridad en TI se encargarán de recibir los logs de todos los dispositivos de acceso de sus clientes y los analizarán en tiempo real detectando ataques o accesos no autorizados a sus sistemas. Estos servicios trabajarán en régimen de 24x7 con los mejores técnicos del mercado, porque ellos si pueden mantenerlos.
Estas empresas en ocasiones serán (y de hecho son porque son ya una realidad) organizaciones cuya misión y visión corresponda desde el inicio con una empresa de servicios de seguridad en TI. Pero es también muy probable que a ellas se les unan empresas que actualmente fabrican y venden tecnología de seguridad (antivirus, antispam, firewalls, IDS/IPS,...) y que, tal y como está ocurriendo en otros segmentos (ver Todos quieren ser globales), diversifiquen su actividad para crear servicios alrededor de su propia tecnología.
En definitiva, se trata de trasladar al mundo TI lo que hace varias décadas ocurrió en el mercado de la seguridad tradicional. En los años '70, '80 e incluso '90 del siglo pasado un parte importante de las compañías gestionaban la seguridad de sus edificios con personal propio. Hoy en día, caso de existir alguna, son la excepción en la medida en que son las empresas de seguridad con mayor formación y tecnología quienes se encargan de todo (excepto de la definición de los parámetros de seguridad, lógicamente) desde la instalación de la cámaras y alarmas, su gestión y monitorización, el personal de seguridad insitu, etc.
Un ejemplo muy claro que permite visualizar de forma nítida el modelo es el cambio de los registros MX de correo a la nube. El proveedor de seguridad suplanta el nombre del dominio de correo de su cliente y se encarga de recibir y analizar todos los emails de forma que únicamente remite a los servidores internos de la compañía aquellos que vayan limpios de polvo (spam) y paja (virus). El cliente se olvida de actualizar constantemente sus ficheros de firmas en los sistemas de correo e incluso se beneficia de una drástica reducción en el tráfico de red. La estadística dice que más del 95% del correo que circula por Internet es spam y todos esos correos serían borrados por el proveedor de seguridad. Todo ello, dando por hecho que no se quiere hacer Cloud Computing del servicio completo de correo (ver Cloud Computing, ¿qué hay de nuevo viejo?).
Con este cambio de paradigma los marketinianos tendrán un problema: tendrán que sudar la camiseta para darle nombre dado que SaaS (podría ser de Security) ya está reservado para el Software as a Service y PaaS (de Proteccion) para el Platform as a Service. Tal vez ideen cosas como Cloud Security, XaaS,... o algún nombre algo más esotérico.
Vamos terminando
La obligación de los responsables de seguridad de TI es trabajar para tapar todos los agujeros de seguridad posibles aún a sabiendas de que la seguridad On Promise no llega al cien por cien. Todo sea porque cuando se produzca un ataque su posible éxito se achaque a la conspiración de los malos y no a la incompetencia de los técnicos.
Siempre existirá un porcentaje reducido de problemas de seguridad para los que no se estará preparado, simplemente, porque no se sabe que tales problemas existen. Y lo peor es que este pequeño porcentaje de problemas es el que resulta más dañino, es el más destructivo.
Siempre existirá un porcentaje reducido de problemas de seguridad para los que no se estará preparado, simplemente, porque no se sabe que tales problemas existen. Y lo peor es que este pequeño porcentaje de problemas es el que resulta más dañino, es el más destructivo.
Cada vez que aparece un nuevo virus los usuarios de las redes corporativas no piensan en que el área de TI dispone de contra-medidas para millones de virus y ataques anteriores. Solo piensan en que su problema, el que está basado en una falla de seguridad publicada (cuando se publica) hace no más de 24 o 48 horas, les está provocando un enorme perjuicio. Y están en su derecho de pensar así porque probablemente sus compañías han hecho grandes inversiones en seguridad. Pero lo que no saben es que el personal de TI siempre está, cuando menos, medio paso por detrás de los malos.
Cuando se produce uno de esos momento de crisis se tiende a pensar que es algo nuevo, es un ataque muy específico, centrado en algo no previsto, con un método muy original, ... pero lo cierto es que en su esencia son siempre iguales: el aprovechamiento de un reciente mecanismo de ataque basado en el efecto sorpresa. De no ser así, el personal de TI estaría preparado y el ataque hubiera pasado sin pena ni gloria.
Cuando se produce uno de esos momento de crisis se tiende a pensar que es algo nuevo, es un ataque muy específico, centrado en algo no previsto, con un método muy original, ... pero lo cierto es que en su esencia son siempre iguales: el aprovechamiento de un reciente mecanismo de ataque basado en el efecto sorpresa. De no ser así, el personal de TI estaría preparado y el ataque hubiera pasado sin pena ni gloria.
Hace muchos años un buen amigo me dijo que la seguridad total existe pero tiene un pequeño problema: su coste es infinito. Quienes tengan un presupuesto infinito, enhorabuena, porque no tienen de qué preocuparse. El resto deberán comenzar a analizar las posibilidades de la seguridad en la nube ya que, probablemente, en el corto o medio plazo será la única vía para ofrecer una verdadera mejora en la seguridad sin incrementar el coste en la misma proporción.
Estoy totalmente de acuerdo con el artículo. Los malos son los que llevan la ventaja, tienen todo el tiempo del mundo para investigar lo que quieren. No solo eso, si no que también les pagan para que investiguen como atacar a un objetivo y luego ejecuten la acción.
ResponderEliminarAL final las empresas solo se pueden proteger de los ataques más comunes y pueden poner todas las medidas de seguridad que quieran, pero un ataque dirigido es un ataque dirigido, poco se puede hacer.
Respecto a externalizar el servicio de seguridad en un SOC, ... estamos en las mismas. Estos ataques dirigidos son bastante silenciosos y para cuando te das cuenta (Aunque te gestione un SOC) ya están dentro. Lo único que se consigue es mantener la exposición el menor tiempo posible, pero siempre vas a estar expuesto hasta que te entren y lo detectes.
Es también muy cierta la exposición sobre los técnicos de las empresas. No es rentable para una empresa (a no ser que economicamente invierta mucho en seguridad, ...) mantener certificados y formados a técnicos de Seguridad. El entorno de la Seguridad es muy cambiante y hay que estar al día constantemente, pero esto cuesta dinero y estos perfiles no son baratos.
Estoy bastante de acuerdo con lo expuesto. Es hora de abrir la mente de la seguridad a todo aquel que siga pensando en su propio "bunker". El marketing tiene más trabajo aún que el apellido de concepto. Debería fomentar la premisa de rapidez de desarrollo en incluir mejoras sobre toda solución cloud. ¿Cuanto tardamos en instalar o migrar nuevas funcionalidades de seguridad en soluciones tradicionales?.
ResponderEliminarRL