Columnista Invitado. Preocupaciones para los próximos meses

Escrito por  Lunes, 09 Junio 2014 21:05

Una mirada general en materia de seguridad de la información en las organizaciones revela que, aún predomina la postura reactiva.

Fabián Zambrano

A un nuevo incidente de seguridad de la información sufrido se reacciona creando un control. Al parecer, las víctimas (organizaciones atacadas) aprenden con dolor, y se fortalecen cuando viven esta difícil experiencia. Pero, si después de cada evento nos fortalecemos, ¿por qué seguimos sufriendo?

Quizás,  porque seguridad al 100% no existe. Antes de tener en cuenta esta idea como la razón del continuo sufrimiento -siendo sufrimiento la manifestación dolorosa a nivel no físico del éxito de un incidente-, primero considere la respuesta al siguiente interrogante: ¿Qué esperan las organizaciones de una estrategia de seguridad de la información?

Sólo en aquellas organizaciones que tienen un claro entendimiento del porqué y el cómo de la estrategia de seguridad de la información, viviéndolo como parte de su día a día, muestran una postura preventiva. Como organización, cuando reaccionamos sólo ante el dolor, aseguramos la posibilidad de que los autores materiales e intelectuales de un ataque, es decir, el agente de amenaza, logre  éxito en su propósito. Esta postura reactiva, es el principal facilitador en el éxito de todos los ataques cibernéticos.

Quienes están detrás de los ataques han demostrado tener una alta capacidad de organización, y como toda comunidad organizada -criminal o no-, la inteligencia es evolutiva de modo constante. De forma contraría, en las organizaciones donde prevalece la postura de reacción ante el dolor dentro de su comunidad, la inteligencia, fruto de la experiencia al vivir incidentes, no esevolutiva. Esto debido, a que el conocimiento adquirido permanece sólo en las personas que viven esa experiencia, que como fruto de su ciclo de desarrollo profesional, cambian de responsabilidades e incluso de organización, llevándose consigo el conocimiento, lo que dificulta un aprendizaje evolutivo dentro de las instituciones empresariales, por lo tanto: Amenaza Inteligente – Defensa Poco Consiente = Ataque Exitoso

Esta debilidad es abiertamente conocida por los grupos organizados que actúan como agente de amenaza, entienden la reacción del mercado de seguridad de la información, quien cada vez ofrece nuevas alternativas de mitigación a nuevos tipos de ataque. Es por esto, que los agentes de amenaza evolucionan a ataques más sutiles y de un único uso. La estructuración de un ataque exitoso no es reutilizada para un mismo objetivo; se ha observado una misma técnica y metodología de ataque para diversos objetivos, pero para un único objetivo experimentando varios ataques exitosos, se han observado diferentes técnicas y metodologías de amenaza, por cada uno de ellos.

 

Los agentes de amenaza son extraordinariamente inteligentes, entienden las dificultades estructurales o funcionales existentes dentro de una organización, para apropiar y madurar una excelente estrategia de seguridad. Es más sencillo para las organizaciones, adoptar una estrategia de seguridad que evoluciona dentro de una postura reactiva, esto es lo que ellos más aprovechan.

Si bien, las organizaciones soportan su estrategia en tecnologías facilitadoras de control, éstas, las tecnologías, evolucionan como respuesta a incidentes exitosos, no a incidentes prevenidos, dejándonos en esa estrategia siempre un paso atrás. Los esfuerzos de los agentes de amenaza se concentran en tener de forma permanente recursos de ataque de un solo uso, entendiendo que deben ser usados hasta que las tecnologías evolucionen para detectarlos. Una vez esto ocurre, los abandonan o los desarticulan -para los casos de las redes de Comando y Control-. Los agentes de amenaza comprenden que las tecnologías de seguridad de la información evolucionan cada vez más rápido, pero las organizaciones las integran en ciclos de tiempo amplios -semestres y años-, y el factor resultante son meses de posible explotación, dada la ausencia o deficiencia de control para detectar un nuevo tipo de ataque.

Este esfuerzo persistente de evolución de las tecnologías y estrategias de seguridad ante el éxito de los ataques, ha forzado el desarrollo de amenazas de seguridad de difícil detección. Así mismo, la estructura que soporte una sostenible capacidad de desarrollo, distribución y desarticulación de los ataques y sus herramientas facilitadoras. Los grupos organizados desde los cuales surgen o se soportan los agentes de amenaza, se han estructurado de forma modular; ahora cuentan con estructuras de propósito focalizado: grupos internos de desarrollo, grupos de distribución, grupos de control y grupos de estrategia de cambio que se alinean al grupo de desarrollo, sobre cómo guiar los nuevos artefactos ofensivos, toda una estructura de gerencia de proyectos de IT.

En los años venideros, nos enfrentaremos a retos más difíciles que deben plantear desde ya un cambio sustancial en el concepto central de la estrategia de seguridad, definida en cada ciclo. Los agentes de amenaza nos conocen, eso les ayuda a predecir como reaccionamos ante un ataque. Ellos tienen tiempo, demasiado tiempo para lograr el éxito ante una arremetida, están organizados y son inteligentes. Mientras que ellos mantienen la calma durante un ataque, nosotros ordinariamente nos desesperamos.

Encaramos a una generación de ataques y amenazas dinámicas, flexibles y sutiles, que suman a su objeto de ataque la capacidad de mantenerse siempre ocultos. La flexibilidad y el ocultismo en el ataque son el soporte para la reincidencia del éxito de la amenaza, dentro de un mismo objetivo. En cada nueva metodología de ataque, se aprovecha la conquista en la anterior y así, cambia o evoluciona, dificultando la detección y por ende la contención. De ahí que cada vez sea más difícil detectar Malware.

Malware, lo realmente preocupante

El código malicioso ha evolucionado a un nivel tal, que obliga a enfrentarlo de un modo no solamente técnico. La atención a un incidente por epidemia de malware,  no debe aglomerarse en torno a los sistemas infectados -los pacientes enfermos-, debe identificar el mecanismo usado para su propagación, la existencia o no del mecanismo de control remoto, el objeto de su actividad, los usuarios objetivo y el medio usado para materializar su propósito. Se ha observado código malicioso que usa aplicaciones de confianza, respeta su protocolo de comunicación, sólo detectable por los horarios en que se activa. Un error general y sutil en el Malware es su activación en horarios no esperados. Algunas veces esto ayuda para ser detectado, debido a que el Código Malicioso se ha desarrollado sobre la base del concepto de un único uso -o uso desechable-. Las plataformas anti-malware -o antivirus- convencionales no logran detectarlas en los primeros seis meses o hasta que la población de infectados sea significativa -miles de estaciones comprometidas a nivel mundial-, para motivar la generación de una firma de identificación por parte de las casas fabricantes de estos sistemas. Actúa por etapas y cambia, dependiendo de la fase en que se encuentre. Reconocimiento, compromiso, movimiento lateral y ocultismo -estado pasivo-, son parte de las etapas en las que el Malware puede intervenir. Las etapas se repiten conforme se defina el objetivo de ataque; de forma simple, se repite el ciclo según los antojos de quien está detrás del diseño del Malware.

La lucha contra el Malware requiere que la estrategia de seguridad contemple capacidad de simulación o entornos controlados que permitan la ejecución de código. A través de esto,  es posible observar los procesos invocados y cómo actúan en un sistema operativo. De esta forma, sobre el resultado,  se puede determinar la presencia de una amenaza objeto de control. En conjunto con esta capacidad, la visibilidad por comportamiento es indispensable, no limitada al entorno de comunicaciones -a nivel de Red-; debe incluir el comportamiento saliente y entrante de correo sobre los usuarios organizacionales. Al ser el servicio de correo uno de los medios más usados para la propagación del código malicioso,  en cada una de sus etapas de infección -reconocimiento y compromiso-, es necesario observar el flujo de correo para comprender la relación y tendencias de las fuentes y destinos e-mail, lo cual permite identificar de forma temprana el inicio en los intentos para comprometer usuarios objeto de infección y sus sistemas.

El Malware es indiferente al rol que desempeña el usuario, dueño del sistema comprometido. El objetivo puede ser sólo un único usuario dentro de la organización -quien tiene acceso a información o procesos sensibles-, pero la actividad de compromiso puede ser orientada a una población de usuario más amplia que el tamaño de usuarios del objetivo final. Se han observado casos de ataques en los que se usa a un usuario inicial, comprometido por medio de correo, quien una vez estando bajo el control y poder del agente de amenaza, actúa como puente para implicar por otro medio -sistemas de mensajería instantánea-, al usuario objetivo final. Así, la primera oleada de compromiso tiene como propósito llegar por medio de una segunda o tercera infección -con un tipo diferente de malware- al grupo de usuarios o usuario objetivo verdadero.

El código malicioso se está diseñando con el propósito de no ser detectado; de ahí que no deba generar desconcierto confirmar la presencia de un Malware por medios diferentes a los sistemas Antivirus o sus similares -disponibles en el entorno empresarial-, sin que estos generen alertas previas. Se diseñó pensando que eso ocurra. Esta amenaza es una de las herramientas facilitadoras de ataques que mejor representan la inteligencia detrás de los grupos organizados con este fin. Cuando nos enfrentamos a esta preocupación, no debemos olvidar que existe una mente criminal que motivó su creación, y es este factor humano, el que aumenta el grado de dificultad para lograr contener el fin de un ataque que usa el código malicioso como su catalizador del éxito, en la ofensiva. Valore esta amenaza considerando el factor humano; se creó por una mente humana sin barreras éticas y/o morales para afectar a humanos, explotando nuestra debilidad más común: la confianza.

Redes Sociales, nuestros empleados en las redes, versus la seguridad corporativa

Cuando inician las actividades de reconocimiento, como fase inicial preparatoria de una embestida cibernética, las redes sociales son la fuente de información por excelencia.

Nuestros colaboradores ofrecen más información del ecosistema organizacional a través de las redes sociales, que las mismas áreas de mercadeo, en su anhelo de posicionar la marca. El deseo natural de progreso personal por medio del desarrollo profesional en cada colaborador, y su relación con las redes sociales de profesionales, exponen a las empresas a serios riesgos de seguridad. Los currículos disponibles en estos medios, ayudan a la consecución de nuevas oportunidades laborales, pero a su vez, suministran detalles de quiénes son los responsables y de qué. Así mismo, informa a los agentes de amenaza, sobre los sistemas soportados y operados dentro de la organización.

De esta forma, se perfilan los objetivos en sus entornos personales, ambientes comúnmente débiles en materia de seguridad de la información. A través de una falsa oportunidad laboral, en una actividad de ingeniería social bien estructurada, se le envían al interesado -objetivo inicial del ataque- formularios cargados con artefactos de control malicioso, solicitando al usuario objetivo, suministrar en el documento digital la información que demuestre su experiencia, pero su verdadero fin, está en esperar que sea descargado y ejecutado en el equipo organizacional usado por la victima desde su hogar, un lugar de bajo control, logrando que el éxito del ataque inicial sea mayor.

El ejercicio de ataque inicial permite insertar puertas traseras que posteriormente serán usadas, una vez el sistema comprometido regresa al ambiente organizacional, facilitando la evasión de los controles detectivos y preventivos. Mediante este ataque focalizado, los agentes de amenaza logran insertar en las empresas sistemas de comando y control, o drones, desde los cuales, inician sus actividades maliciosas más relevantes -fraude o robo de información-.

Incluso, colaboradores externos que sostienen una relación directa con la organización, a nivel IT, pueden suministrar aspectos internos, por medio de las redes sociales. Al documentar en su experiencia laboral las organizaciones clientes y sistemas que han soportado, describen detalles valiosos para los agentes de amenaza. Pueden incluso ser el objetivo inicial en un ataque; cuando se experimentan fallos tecnológicos, este colaborador externo ingresa a la organización victima usando sistemas previamente comprometidos -dispositvos de almacenamiento USB y Laptops-, que al ser usados durante una emergencia, generalmente saltan los controles preventivos de la organización en su aspiración para recuperar el fallo en el menor tiempo posible. Prevalece el deseo de superar el defecto IT ante la necesidad de protección, combinación perfecta para el éxito de un ataque sofisticado.

Usando un camino similar al de los agentes de amenaza, en sus etapas de perfilamiento focalizado, la estrategia de seguridad de la información debe identificar tempranamente la información que se entrega al dominio público -redes sociales-, desde los usuarios de interés, denominados en los planes de respuesta a incidentes como los Actores de Riesgo. Esta actividad preventiva debe estar combinada con planes para concienciar sobre los riesgos que se derivan, al exponer información abiertamente sobre Internet. El entendimiento del uso adecuado de los recursos de redes sociales disponibles, es muy importante para que los actores de riesgo ayuden a dificultar la elaboración de los ataques.

La inteligencia de los grupos organizados de amenaza, muestra una vez más un nivel muy alto, tanto que logran desarrollar código malicioso específico, según el perfil identificado del usuario, como de los sistemas informáticos asociados a la organización. Esta capacidad granular de desarrollar artefactos según el objetivo,  hace considerablemente difícil la detección, lo que no se identifica no se contiene. Estamos así en el nivel de la ¡Feliz Ignorancia! Feliz la organización por no saber que es atacado, tanto como el agente de amenaza por lograr un ataque oculto, una felicidad compartida, pero definitivamente no una relación de gana y gana.

La simbiosis de Malware y redes sociales es tan exitosa, que debe ser considerada una de las principales preocupaciones, la más relevante en los planes de seguridad de la información de corto plazo. No es algo que preocupe para un mañana, es algo que preocupa hoy.

 

Creer que no te pasará a ti, la falsa sensación de seguridad, el eslabón más débil después del usuario

Sin entrar en un tono sensacionalista, el nivel de éxito en los ataques es incremental, la capacidad continua para desarrollar mecanismos evasivos por parte de los atacantes preocupa en gran medida.

Este continuo crecimiento, se combina con la falta de sensibilización por parte de las organizaciones, quienes consideran que no son tan importantes para ser objeto de un ataque avanzado.  Creer que no te pasará, afianza la postura reactiva de forma natural dentro del plan estratégico de seguridad de la información. Pasan de la prevención a un estado pasivo, en el que sólo se espera a que algo pase, ¿qué justifica así un esfuerzo para prevenir?

Los ataques no dependen del nivel de importancia de la organización. Todos estamos expuestos a ser atacados y con total seguridad seremos atacados. Los atacantes requieren de recursos o herramientas de ataque de forma permanente, por eso, sostienen un continuo empeño en desarrollar artefactos, pero para que funcionen se requiere de redes de distribución, como mínimo necesitan esto.

Por esta razón, todos estamos expuestos a sufrir un ataque, podemos ser objetivos dentro de un plan de ampliación de sus redes de distribución y control, al igual que objetivos en ataques de mayor impacto. La focalización del ataque es indiferente a la importancia de la organización o los usuarios. El simple hecho de tener sistemas de procesamiento conectados a Internet, nos vuelve atractivos en los planes ambiciosos y estratégicos de los grupos organizados de amenaza.

¿Por qué los países trabajan con mayor velocidad para tener capacidad de defensa en el espacio cibernético? Es un hecho, la amenaza en el ciberespacio crece, creer que no serán atacados es un gravísimo error.

Las organizaciones invierten tiempo y presupuesto financiero en sistemas de correlación, pero, lamentablemente, sin un claro entendimiento del beneficio esperado en ello. Al lograr una capacidad de visibilidad -principio fundamental en una estrategia de seguridad preventiva- sin contar con una capacidad de respuesta a incidentes, se logrará fracasar en la estrategia de seguridad. Cuando se declaran eventos -sucesos que potencialmente pueden materializar un incidente- desde la nueva capacidad de visibilidad dentro de las organizaciones, en compañías que sostienen una creencia de no ser atacados -falta de una adecuada sensibilización-, la organización en su conjunto, facilita el éxito del ataque posterior. Es éste quizás el principal fundamento del los fracasos de los proyectos de correlación en las organizaciones.

Al menos cada tres años, una compañía vivirá un incidente de seguridad de alto impacto que pondrá a prueba su capacidad de respuesta a incidentes. El tiempo de recuperación dependerá de esta capacidad, en esto se encuentra el nivel de dolor al vivir un incidente exitoso.

Pocas estrategias de seguridad contemplan como un aspecto fundamental la visibilidad, los actuales y próximos ataques son y serán de difícil detección. Por el momento, observar el comportamiento en el ecosistema organizacional -a nivel de sistemas de información y sus usuarios- complementa las deficiencias conocidas y no conocidas que tienen los controles tecnológicos de seguridad, ante nuevos tipos de amenazas. La visibilidad es necesaria, realmente necesaria.

Lo anterior otorga pasos adelantados de contención, se gana algo de tiempo antes de que un ataque logre el éxito. Esto permite a las organizaciones pasar a una postura preventiva. Evalué sus actuales capacidades de respuesta a incidentes -todas las etapas: detección, análisis y contención-. ¡Tenga Fe! Tarde o temprano será atacado, probablemente ya lo fue, pero aún no lo sabe. Observe la problemática del Malware como algo más que un aspecto exclusivamente técnico, identifique en ello sus actores de riesgo, internos y externos -sus proveedores con acceso sensible- y prepárelos para que entiendan el significado de ser potencialmente un objetivo.

Fabián Zambrano.Es Ingeniero Electrónico y Telecomunicaciones con especialización en Telemática de la universidad de Los Andes. Actualmente, director de iSOC (Centro de Operaciones de Seguridad de la Información), con experiencia en diferentes tipos de industrias. Recientemente, iSOC fue premiada con el “Frost and Sullivan 2011, Andean Region Growth Leadership Award in the Managed Security Services Market”, un reconocimiento al crecimiento y posicionamiento en el mercado regional.

 

 

 

 

 

Califique este elemento
(0 votes)
Leido 5475 veces Modificado por ultima vez Domingo, 15 Junio 2014 20:53

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

EDICIÓN EN CIRCULACIÓN (131)

Patrocinadores Edición 131

        

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información