la información - telmexdownloads.telmex.com/pdf/magazcitum_agosto_17.pdf · 2018-09-06 · mucho...
TRANSCRIPT
Fortaleciendo el“Firewall humano”
La tecnologíainformáticay el control
Modernización,innovación y
gobernabilidad
La informaciónestá en todos lados
EJEMPLAR GRATUITOAÑO 8, NÚMERO 2
www.magazcitum.com.mxEscanea este códigocon tu teléfono móvil
o smartphone
´
2017 3
23no. Contenido
Magazcitum, revista periódica de Scitum S.A. de C.V. Año 8, número 2, 2017. Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.Para cualquier asunto relacionado con esta publicación, favor de dirigirse a [email protected]
AÑO 8, NÚMERO 2, 2017
» Editorial
» Conexiones
» Opinión
» CiberSeguridad
Héctor Acevedo Juárez
Cambiando la cultura sobre protección de activos de la información
Ciberextorsión, cuando la imaginación es el límite
El arte del engaño como mecanismo de defensa
La importancia de conocer, crear y manipular los archivosrobots.txt
Mitad de año, ¿cómo vamos?
La información está en todos lados
Programas de bug bounty
La tecnología informáticay el control. Modernización, innovación y gobernabilidad
Active defense: ¿Qué es? ¿Lo necesito?
Miguel Alejandro Gallegos
Daniel Axelrod Segal
John Walker
Imelda Flores Monterrosas
Marcos A. Polanco
Gerardo Caudillo
Jorge N. Nunez
Eduardo Patricio Sánchez Díaz
Dirección GeneralUlises Castillo Hernández
Editor en jefeHéctor Acevedo Juárez
Consejo EditorialUlises Castillo HernándezPriscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres
ColaboradoresDaniel Axelrod Segal Gerardo CaudilloImelda Flores MonterrosasMiguel Alejandro GallegosJorge N. NunezMarcos A. PolancoEduardo Patricio Sánchez DíazJohn Walker
Marketing y ProducciónKarla Trejo CerrilloSofía Méndez Aguilar
Correctora de estiloAdriana Gómez López
DiseñoSilverio Ortega Reyes
4
66
20
28
8
4
14
10
16
24
10
28
EN EL PENSAR DE...
4
Como suelo decir en mis presentaciones, “la ciberseguridad sigue de moda”. Cada vez es más común que los medios masivos de información difundan noticias relacionadas con el tema y para muestra, un botón: la enorme cobertura mediática que tuvo Wannacry, que se convirtió en tema del momento (trending topic).
Por ello en Magazcitum mantenemos nuestra visión de ser un vehículo para la divulgación de temas de ciberseguridad, aportado con ello nuestro granito de arena en la búsqueda de un entorno digital más seguro. Así pues, en esta edición presentamos una mezcla de artículos que tocan desde temas tecnológicos puntuales hasta cuestiones de gobernabilidad y mejores prácticas, sin dejar de echar un vistazo a lo más actual en ciberseguridad.
Mitad de año, ¿cómo vamos?
CISSP, CISA, CGEIT, ITIL y [email protected]
Héctor Acevedo Esperamos sean de interés para todos ustedes.
Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes.
Como siempre, muchas gracias por su atenta lectura.
Atentamente
Héctor Acevedo JuárezEditor en jefe
Learn More: checkpoint.com
WELCOME TO THE FUTURE OFCYBER SECURITY
Wherever you are. Wherever you go. Whatever the future br ings.
Check Point keeps you one step ahead.
C L O U D M O B I L E T H R E A T P R E V E N T I O N
Learn More: checkpoint.com
WELCOME TO THE FUTURE OFCYBER SECURITY
Wherever you are. Wherever you go. Whatever the future br ings.
Check Point keeps you one step ahead.
C L O U D M O B I L E T H R E A T P R E V E N T I O N
6
Cambiando la cultura sobre protección de activos de la informaciónMiguel Alejandro Gallegos [email protected] ¿A quién no le ha sucedido en algún momento de su labor diaria proponer una acción referida a proteger los activos de información, contar con todo el apoyo de la dirección y escuchar la famosa frase “Hazlo para toda la empresa, pero excluye a la alta gerencia de esa acción”?, es decir, protege pero a la vez mantén desprotegida toda la información más sensible de la organización, puesto que esas áreas son las que manejan, como ninguna otra, políticas, estrategias y planes de acción relevantes para el desarrollo del negocio.
¿Todo un desafío verdad? Estamos frente a un problema muy común que es la resistencia del director o gerente general a ser controlado, solo porque considera que los controles de seguridad no deberían afectarlo.
En cualquier empresa, sea chica, mediana o grande, si no existe el compromiso de la alta gerencia para adherirse a las normas, la aplicación de las mismas tiende a fracasar inexorablemente.
Lógicamente es más fácil aplicarlas si son normas exigidas por terceros, ya sea su casa matriz, como es el caso de SOX, o bien en cumplimiento de requisitos que los entes contralores de cada país imponen. No cumplir puede acarrear multas o calificaciones que atentan contra el desarrollo del negocio.
Por lo tanto, al verse obligados, y como está en juego el crecimiento de la empresa, los accionistas y la dirección deben aplicar acciones tendentes a mejorar el nivel de madurez de la seguridad que posee la organización, aun si esto les pesa.Pero, ¿qué pasa con aquellas organizaciones que no necesitan cumplir ninguna norma y a las que no les interesa mejorar el control interno?, y argumentan además que gastar presupuesto en software y hardware sobre un evento que tal vez no suceda no es prioritario, como sí lo son los gastos para obtener más volumen de negocio y, por ende, más ganancia.
2017 7
En estos casos la estrategia a seguir, desde las áreas de protección de activos de la información, es diagramar una política de capacitación y concientización sobre aspectos de seguridad en TI, apoyados por un análisis de riesgos que permita mostrar a la alta gerencia las consecuencias de no poseer una política adecuada de protección. El desafío es presentar los resultados cuantificados, es decir, mostrando en números la pérdida que provocaría no poseer la política antes mencionada.
Siempre hay que tener en cuenta que la mayoría de los accionistas o directores no comprenden el negocio en términos computacionales, sino más bien en términos monetarios, por lo tanto, ese es el lenguaje que debemos utilizar para las presentaciones hacia esa audiencia.
Otro enfoque muy útil es representar una amenaza de riesgo de TI materializada desde el punto de vista del riesgo reputacional, ya que este riesgo en particular afecta directamente la credibilidad ante los clientes y todas las organizaciones que interactúan con la empresa. Si se demuestra que el hecho ocurrió porque la empresa no tomó las precauciones respectivas, lo más probable es que el cliente que se vio afectado comente con otros lo que le sucedió, de manera tal que la pérdida de confianza y la incertidumbre impacta directamente sobre la rentabilidad del negocio. En estos casos es muy útil utilizar ejemplos con casos que le hayan sucedido a una empresa con características similares a la del cliente potencial.
En conclusión, es obvio que los controles son odiosos y generan rechazo: es mucho más fácil pedir el desbloqueo de una clave vía telefónica y no llenando el formulario respectivo, por mencionar un control mínimo de seguridad que debería existir en cualquier empresa, y que sorprendentemente aún hoy en algunas no existe.
Así pues, para realizar nuestra tarea, no solo basta tener bien claro cuáles son las medidas de seguridad a adoptar, sino elegir el diseño de la estrategia que se llevará a cabo para aplicarlas y para que todos los integrantes de la organización, incluida la alta dirección, se adhieran a esas medidas. Un área de protección de activos de la información que no cuente con el respaldo y patrocinio adecuado, inexorablemente fracasará en su intento por mejorar los controles internos en materia de seguridad de TI.
8
La importancia de conocer, crear y manipular los archivosrobots.txtDaniel Axelrod Segal [email protected] Internet ha revolucionado la manera en la que accedemos a la información; se ha vuelto natural para nosotros hacer una consulta en un teléfono inteligente, tablet o computadora. Este fenómeno se debe en gran parte a los buscadores de Internet, programas de cómputo que, de manera automática, acceden e indizan tantas páginas como puedan encontrar.
Tras bambalinas, los buscadores utilizan servicios de búsqueda y seguimiento de contenido conocidos como arañas. La función de una araña es acceder a una página pública de Internet, leer e interpretar su texto, imágenes, ligas y demás. Una vez que termina de trabajar esa página, sigue todas las ligas que haya encontrado.
La teoría de los 7 grados de separación indica que, entre dos personas, cualesquiera que sean sus orígenes en el mundo, existen 7 personas intermedias que los conectan. Esto quiere decir que entre tú y el presidente Bounnhang Vorachith (Laos) existen 7 personas intermedias. Se tiene la misma creencia para el contenido en Internet, de ahí que se le conoce como “la red”. Todos los nodos se encuentran interconectados mediante este espacio digital.
Una vez que la araña termina de revisar una página, la envía de regreso al buscador para que pueda ser indizada y de esta manera encontrada por los usuarios. Esto representa una gran ventaja al momento de dar a conocer un servicio, pues el usuario indica ciertas palabras clave las cuales serán buscadas en el índice, y el buscador regresará los resultados que más se parezcan.
Como sabemos en el mundo de ciberseguridad, con cualquier pedazo de información que demos a conocer estamos otorgando ventaja a algún posible atacante. En el caso de los servicios Web, cuando utilizamos el método GET del protocolo HTTP para intercambiar información con el servidor, es probable que estemos enviando información en texto claro que inclusive puede ser visto en la URL por el usuario. Esto es una mala práctica de programación. Como programadores, queremos que el usuario tenga el menor conocimiento posible sobre el funcionamiento de nuestro sistema, entonces de igual manera debemos evitar exponer datos a cualquier fuente.
En los últimos meses, el equipo de SCILabs de Scitum ha detectado una gran cantidad de fugas de información a través de lo que los buscadores indizan de nuestros clientes y que no debería ser información pública.
2017 9
Para corregir este comportamiento, las arañas cuentan con un mecanismo que previene la indización de una página determinada. El mecanismo consiste en crear un archivo de nombre “robots.txt” en cualquier carpeta que contenga instrucciones para los robots, separadas por líneas. El formato básico del archivo es el siguiente:
User-agent: *Disallow: /
El archivo consta de la descripción de un agente, seguida por una o más reglas que debe seguir ese robot. En este caso, el archivo indica a través de User-Agent:* que las reglas aplicarán para cualquier araña. La siguiente línea Disallow:/ indica que de la carpeta raíz hacia adelante no se debe indizar nada. Este archivo tiene como consecuencia que ningún contenido sea indizado por los buscadores.
El ejemplo arriba mostrado es un caso extremo, pues el objetivo de tener una página Web pública es justamente que cualquier usuario pueda acceder a la información o servicios, por lo que el archivo del ejemplo sería contraproducente. Supongamos que la empresa “Gran Empresa” tiene una página Web en el dominio granempresa.com y que su sitio incluye lo siguiente:
Para acceder a los servicios, Juan debe entrar a granempresa.com/cuenta.php; si Juan no cuenta con una sesión válida, entonces deberá llenar un formulario con su contraseña. Una vez que Juan se autentica es redirigido a granempresa.com/cuenta.php?sesion=abc123 donde puede ver sus facturas. En este caso, la variable sesión es enviada a través de método GET del protocolo HTTP en texto claro. Juan termina de consultar su información y después navega hacia google.com para realizar una nueva búsqueda. Cuando Juan navega hacia google.com envía una cabecera HTTP-REFERRER con valor granempresa.com/cuenta.php?sesion=abc123. Al ser google.com un buscador, cuando recibe un URL que desconoce, inmediatamente envía una araña a indizar el sitio. En este caso el URL, que incluye el valor de la sesión, es indizado por la araña, causando que cuando alguien más busque granempresa.com en google.com, encuentre la liga que contiene una sesión válida y pueda acceder a la información de Juan.
Con el fin de evitar que este tipo de fuga de información se lleve a cabo, un desarrollador debe crear un archivo robots.txt en la carpeta raíz que contenga lo siguiente:
User-agent: *Disallow: /cuenta.php
Esto causará que las arañas indicen todo el sitio, a excepción de cuenta.php con cualquiera de sus posibles valores, como por ejemplo “sesion=abc123”. De esta manera podemos garantizar que solo el contenido aprobado por nosotros se encuentre indizado en los registros públicos.
El archivo robots.txt es de carácter público, es decir, cualquier ente puede acceder a él. Tomando en cuenta el ejemplo anterior, un atacante tiene la posibilidad de descubrir que el archivo cuenta.php es de interés para la organización y comenzar un ataque desde esta. Esto quiere decir que, una vez que hacemos de conocimiento público esta página, también debemos cerciorarnos de que esta es segura. Las organizaciones deben estar conscientes del contenido que exponen en Internet y los riesgos que esto representa.
a) La misión y visión de la empresa en el archivo mision-y-vision.html.
b) Las ventas en la página ventas.html.
c) Un formulario de contacto, contacto.html.
d) Una sección privada para que los clientes puedan acceder a su cuenta, para ver facturas y cuentas por pagar en la página cuenta.php.
10
bug bountyGerardo CaudilloGSEC y [email protected]
La búsqueda por la solución de oro en materia de seguridad informática ha llevado a las empresas a tomar medidas que en otras ocasiones no se habían observado para mantener sus aplicaciones lo más seguras posible. A los miles o incluso millones de dólares que las organizaciones invierten en diversas herramientas como firewalls, IDS/IPS, soluciones anti-DDoS, correlacionadores, HoneyPots, consultoría de pruebas de penetración, e incluso equipos completos dedicados a investigar las vulnerabilidades, se han sumado los programas de “bug bounty” como un elemento adicional para la defensa en profundidad.
Los programas de bug bounty exponen hacia la gran comunidad de seguridad informática las aplicaciones de las organizaciones, ofreciendo una recompensa a cambio de identificar errores o vulnerabilidades en estas, con el permiso explícito de la organización para intentar comprometerlas. Estas actividades ofrecen múltiples ventajas en comparación con los procesos tradicionales de seguridad informática:
» El pago único a cambio de la vulnerabilidad.
» Diferente monto de remuneración según el tipo de error reportado.
» No se necesita un contrato permanente entre la organización y el “cazarrecompensas”, ni ningún otro tipo de procedimiento adicional para el pago.
» La organización no tiene que preocuparse por la gestión del programa, pues ya existen múltiples empresas que gestionan todos los procedimientos que la institución requiere para realizar un programa efectivo de bug bounty.
Programas de
10
» Al exponer las aplicaciones hacia la comunidad de seguridad informática es posible robustecer de manera significativa las aplicaciones, mucho más que con un equipo de aseguramiento de la calidad (QA) o incluso un hacker ético.
Muchas de las organizaciones más importantes en el mundo se están sumando a este tipo de programas; como ejemplos se pueden mencionar Apple, Facebook, Uber y Netgear, que han ofrecido programas de bug bounty por más $15,000 dólares.
¿Quién se opone a los bug bounties?
Comúnmente los equipos de seguridad informática prefieren restringir toda su información, creyendo que de esta manera pueden evitar ser comprometidos, por lo que es sencillo encontrar organizaciones que prefieren mantener en lo más oculto el código o los módulos de su aplicación tanto de clientes externos como de los internos, incluso hasta de las mismas empresas consultoras que la organización ha contratado para analizarlas, colocando obstáculos importantes de comunicación entre áreas y analistas.
Este tipo de mentalidad suele ocasionar que las vulnerabilidades se identifiquen lentamente como resultado de la burocracia, falta de experiencia o conocimiento, así como la falta de recursos para analizar las aplicaciones, e incluso generar falta de interés por parte del equipo de ingenieros, ofreciendo más tiempo a los atacantes para que puedan descubrir, explotar o vender vulnerabilidades que incluso podrían ser críticas, poniendo en riesgo a la organización.
2017 11
bug bounty
11
¡Los programas de bug bounty son flexibles!
Estos programas podrían generar en el cliente un sentimiento de riesgo, planteándose el cuestionamiento de “¿cómo voy a ofrecer mi programa a pruebas de penetración de externos?, podrían intentar comprometerme o robar mi información sin que lo note”. Es importante mencionar que esta es una impresión no del todo precisa, ya que los programas de bug bounty están respaldados por ciertos contratos temporales, incluso existen organizaciones, como HackerOne o BugCrowd, que ofrecen a las empresas interesadas todo lo necesario para la creación, reclutamiento y pago.
Los profesionales autorizados a vulnerar las aplicaciones no pueden vulnerar otra cosa que no sea lo explícitamente permitido por el programa; por ejemplo, una organización que tenga una aplicación de streaming de video disponible en ciertas plataformas, podría permitir únicamente las pruebas sobre la aplicación en Android y en iOS, o incluso solo sobre algunos módulos de la misma, tal como las aplicaciones que permiten ver películas, pero no permiten ver streaming en vivo, por mencionar algunas variantes.
Esta granularidad ofrece a las organizaciones armar correctamente el programa de bug bounty de la manera en que mejor les convenga, ya sea en sus activos más críticos, en aquellos que se encuentren relacionados directamente a la empresa, o incluso en todas sus aplicaciones.
¿Qué gano con ofrecer mi aplicación a la comunidad?
Un ejemplo de lo que se puede ganar con este tipo de programas es lo que sucede con los algoritmos criptográficos, que tradicionalmente han sido puestos al alcance de la comunidad para su análisis en busca de vulnerabilidades. Esta actividad ha permitido que algoritmos como AES, RSA o Diffie-Hellman sean considerados como seguros, los algoritmos han sido y continúan siendo revisados, auditados y analizados en múltiples ocasiones por los mejores criptoanalistas del mundo a fin de encontrar fallas. De la misma manera, las organizaciones deberían tener la confianza de ofrecer sus aplicaciones a la comunidad para revisión por parte de los mejores expertos en el mundo.
¿Necesito más soluciones si mi bug bounty mantiene mi sistema seguro?
Como en cualquier mecanismo de seguridad, no sustituyen a ninguna de las demás soluciones; por muy atractivo que pudiera sonar el hecho de que los mejores ingenieros del mundo se encuentran participando en ello, haciéndola cada vez más segura y mejor en cada revisión.
Los programas de bug bounty únicamente proveen protección a un vector de ataque relacionado con las vulnerabilidades que la aplicación en curso podría tener; a pesar de esto, y como en cualquier otro programa, es posible que conforme la tecnología y los programas avancen, los vectores de ataque cambien rápidamente.
Por otro lado, las soluciones de firewall, IDS/IPS, Honeypots, soluciones de DDoS, soluciones de DLP, antivirus, y sobre todo los programas de concientización, proveen solución a múltiples vectores de ataque que se encuentran bajo riesgo constante incluso sin que la organización se entere. Por ello estos programas deben siempre acompañarse de una estrategia adecuada de defensa en profundidad, que permita controlar los vectores de ataque que más preocupan a la organización. Es importante recordar que “las soluciones mágicas no existen”.
2017
12 WWW.TELMEX.COM/IT
¿Cuánto debo ofrecer en un programa de bug bounty?
Las organizaciones deben plantear una estrategia adecuada para las recompensas, dependiendo de la criticidad de los activos. Por ejemplo, si los ingresos de la organización dependen de la aplicación que se intenta asegurar, el programa de recompensa debe ser alto para la aplicación mencionada, a fin de que a los ingenieros en el mundo les atraiga la recompensa, lo que resultará en la disminución del tiempo en el que los bugs son reportados.
Las organizaciones podrían basarse en las recompensas que ofrecen otras empresas. A continuación, presento una lista que incluye los cinco bug bounties más reconocidos por la empresa HackerOne, de acuerdo al sitio zdnet[.]com.
» Pornhub: Fue identificado como el sitio que más errores ha reportado, el cual ha distribuido recompensas por al menos $150,420 dólares en reportes debido a fallas de seguridad en su sitio Web. La recompensa máxima que esta organización ha ofrecido es de $20,000 dólares.
» LocalTapioca: El sitio finlandés de seguros tenía una recompensa máxima de $18,000 dólares por una falla crítica y hasta de $50,000 dólares para fallas críticas fuera de los parámetros del programa, y ofrecía todas sus aplicaciones a la comunidad para su revisión.
» Twitter: Más de 365 hackers han enviado hasta 549 problemas de seguridad en la conocida plataforma de microblogueo; el monto máximo para el pago de un reporte ha sido la cantidad de $15,120 dólares. Twitter ha pagado en total $561,980 dólares a través de la plataforma HackerOne.
» Snapchat: La plataforma de videoblogueo ha pagado a más de 125 investigadores de seguridad aproximadamente $70,000 dólares; a la fecha el pago mínimo por reporte de un bug ha sido de $100 dólares y el máximo de $15,000.
» Uber: El programa de bug bounty de esta organización ha generado reportes sobre la posibilidad de recibir desde ataques de XSS hasta de ejecución remota de código; a la fecha los pagos máximos han sido de $10,000 dólares; sin embargo, el promedio es entre $759 a $1,000 dólares.
Conclusión
Los programas de bug bounty pueden ser una opción para mantener seguras las aplicaciones de una organización; como se puede observar en los ejemplos antes mencionados, no es necesario realizar programas millonarios para que la gente se interese. Adicionalmente, debido a la gran aceptación que ha generado este tipo de actividad, existen investigadores de seguridad informática que viven de los bug bounty mediante el ofrecimiento a la comunidad de mucha experiencia en el descubrimiento y reporte de fallas de seguridad, lo que brinda a los clientes confianza al acceder a su aplicación y un poco más de tranquilidad a las organizaciones que se preocupan por su seguridad y la de sus clientes.
WWW.TELMEX.COM/IT
14
La información está en todos ladosJohn [email protected] La información es el elemento vital de un cibercriminal, sin mencionar el enorme valor que tiene para una gran variedad de malhechores con intenciones deshonestas que buscan aprovechar el valor de la información para sus fines. Y mi interacción reciente con todo tipo de organizaciones, agencias gubernamentales e incluso asociaciones de abogados no hacen más que mantenerme pensando al respecto.
Hace poco tuve que realizar cierto trámite y la organización con la que interactué se comportó adecuadamente, obligándome a suministrar lo siguiente:
» Detalles de la cuenta bancaria
» Estado de cuenta bancario
» Número de seguridad social
» Prueba de registro VAT
» Fotocopia del pasaporte
Parte de la información que proporcioné es de dominio público, mientras que otra parte no lo es tanto y es valiosa para el que ostenta su propiedad. Lo que sí es cierto es que cuando se conjuntan ambas partes, pueden proporcionar una imagen muy completa de un objetivo potencial para un ataque o robo de información, a pesar de que este tipo de solicitudes sea una práctica aceptada y es común en los negocios día a día.
Peor aun en esta ocasión, al presentar una factura, parte de la información ya proporcionada fue solicitada por segunda vez, lo que me dejó preguntándome, ¿dónde están las copias de mi primera entrega?, ¿en qué servidor de archivos se almacenan?, ¿en qué buzón de correo electrónico se conservan? Y, sobre todo, ¿quién tiene acceso a esta información?
El mismo tipo de preguntas vinieron a mi mente con respecto a un proyecto reciente en el que participé y en el que había más de tres partes involucradas en la cadena de información. Una era la empresa principal (que por cierto estuvo en los medios informativos después de un caso de exposición no autorizada de información sensible)
2017 15
La conclusión es que todos debemos hacerlo mejor, incluyendo políticas robustas de retención/divulgación en nuestro flujo de trabajo diario, asegurando que tenemos controles adecuados para administrar, procesar y disponer de la información al final del ciclo operativo. Es necesario comenzar a pensar en el ciclo completo, produciendo registros y certificados de destrucción, para demostrar que el proceso ha sido completado, de tal manera que no seamos parte del problema global de exfiltración de información hacia las manos de los criminales.
y las otras dos eran agencias offshore localizadas en India, en un ejemplo claro de riesgo de exposición al ser tres áreas separadas, al menos, las que poseían información sensible.
Otro ejemplo de riesgo de divulgación, aunque ahora en sentido inverso: hace tiempo fui contratado como testigo experto; para ello me proporcionaron información en formato electrónico e impreso. Al finalizar el caso no había algún requerimiento que me obligara a eliminar de forma segura la información proporcionada.
Y mi mente sigue y sigue… digamos ahora que usted es el custodio de un documento clasificado como TS (top secret) y se requiere una copia del mismo, o de una parte de él. Las reglas son muy claras: usted debe obtener el permiso del custodio o propietario del documento, y luego la copia será registrada para documentar su existencia, además de que deben cumplirse todos los requisitos de almacenaje y destrucción segura, tanto del documento original como de sus copias o extractos (un proceso que se ha llevado a cabo y probado durante muchos años para asegurar que la información sensible de organizaciones y naciones está sujeta a controles robustos).
¿Pero si la información está en formato electrónico? Aun aquella clasificada como secreta puede ser fácilmente copiada de un archivo a otro, de un sistema a otro, y transportada hacia y desde los ministerios, juzgados u oficinas, en dispositivos no cifrados, incrementando mucho el riesgo de exposición y exfiltración, en aras de la comodidad.
16
Jorge N. Nunez [email protected]
Modernización, innovación y gobernabilidad
Impacto de la informática en la sociedad actual
Hasta hace no muchos años, cuando se hablaba de computación y de tecnologías de la información y comunicación (TIC), venía a la mente una computadora, una impresora y un disquete, y más recientemente la navegación por Internet. Hoy eso ha cambiado.
El alcance es más amplio, dado el gran avance de las comunicaciones, las capacidades inalámbricas y la proliferación de los dispositivos móviles y servicios electrónicos que se prestan en la nube.
Una característica de estos tiempos son las redes sociales, que han conectado a las personas de una manera distinta, han permitido relacionarse, reencontrarse, comunicarse. Este fenómeno que crece día a día, ha incorporado en la cultura social el manejo de la tecnología, el concepto de “tiempo real”, los problemas típicos de las comunicaciones y del software, y los conceptos de “app” y “upgrade”, que para generaciones anteriores era algo ininteligible.
Todo ello favoreció la expansión del correo electrónico, la banca en línea, las clases no presenciales, y se está incorporando el nuevo concepto de Internet de las cosas (IoT –por las siglas en inglés de Internet of things).
La transformación digital conlleva un cambio de mentalidad, es la transformación de la organización e implica la transformación de las personas. Por lo tanto, en las organizaciones se debe actualizar el modelo de servicio y negocio, dándole un enfoque digital alineado con la exigencia de las personas que tienen “cultura digital”. Para ello es necesario saber distinguir entre modernizar la tecnología o innovar con la tecnología.
y el controlLa tecnología informática
Muchas organizaciones realizan grandes inversiones a fin de modernizar su plataforma tecnológica, sin un concepto de innovar en los servicios y negocios, lo que posibilita esa nueva tecnología.
En la medida en que no se realice un enfoque sistémico del proceso que se quiere mejorar, que no se realice una evaluación de las necesidades, de las herramientas disponibles, de los cambios que se deben incorporar, los objetivos no se alcanzarán y los proyectos fracasarán.
Para ello se debe obtener, entre otras cosas, un mayor conocimiento de la realidad, de las tendencias del momento, entender qué es lo que ha cambiado concretamente y del motivo o motivos por los que se ha producido dicho cambio. Esto nos permitirá saber de qué manera podremos relacionarnos con los ciudadanos/clientes en el entorno digital.
Este concepto es así, pero comprende ciertas restricciones según el país en el cual vivimos o la provincia que habitamos. La situación internacional es distinta, teniendo en cuenta la distinción entre países desarrollados o en vías de desarrollo. En los países llamados del primer mundo, la evolución hacia el mundo digital ha transcurrido de manera consistente; sin embargo, en países donde los presupuestos son reducidos, el proceso se encuentra atrasado, con la consiguiente implementación de hardware y software desarrollado en otro contexto y circunstancias socio-económicas. El limitado acceso a Internet es uno de los principales obstáculos para el crecimiento de la red y de los negocios vía Internet en América Latina.
En los países de América se identifica una similitud respecto al mundo digital, donde existe un avance en las grandes urbes, pero una realidad distinta en las provincias/distritos. En muchas localidades del interior del país el acceso a la tecnología, a las redes y a los conocimientos está muy distante de esas grandes ciudades, principalmente de las capitales.
16
2017 17
Modernización, innovación y gobernabilidad
17
y el controlLa tecnología informática
El Estado, transformación clave
Cuando nos preguntamos sobre "aplicaciones informáticas en el Estado" nos referimos a los sistemas que se utilizan para mejorar los servicios que brinda un gobierno a sus ciudadanos. Los más extendidos son las páginas Web de información de trámites que, si están bien administradas, permiten conocer los requisitos y costos de los trámites y le ahorran al ciudadano el tiempo y molestia de trasladarse hasta una oficina pública sólo para averiguarlo.
Una segunda aplicación muy extendida es el registro de las operaciones financieras del gobierno.
El sistema de compras es otra aplicación de gran uso a nivel mundial, que reduce la discrecionalidad de los compradores, aumenta la participación de los proveedores, mejora los precios de compra para el gobierno y puede ser también un mecanismo para consolidar la transparencia en el uso de los recursos públicos.
Los gobiernos deben dar el ejemplo del uso eficiente y eficaz de las tecnologías de la información aplicándolas en su gestión pública.
Con el impacto de la informática en la sociedad, los ciudadanos (principalmente los millennials) poseen una nueva visión y una mayor exigencia hacia los servicios que les pueden brindar los sistemas, por ello las expectativas hacia las aplicaciones del Estado son mucho mayores que las que este les ofrece.
Esta dificultad que enfrentan los organismos públicos para seguir el ritmo del mercado o implementar proyectos informáticos que brinden una solución integral que conforme a los ciudadanos presenta tres ejes claves:
1) Administración de proyectos: los cambios que deben efectuarse para modificar el servicio a los ciudadanos son profundos y deben tener como objetivo básico la mejora en la prestación de servicios. Para tal fin se requiere establecer un programa o plan a largo plazo (dos a cinco años) que contenga todos los procesos del organismo involucrados y se encuentre totalmente integrado y alineado con las mejoras o innovaciones que quieren realizarse. Estos cambios no solo incorporan mejoras en los procesos o mejores recursos tecnológicos, generan modificaciones culturales, por lo cual no debe ser un crecimiento disruptivo, sino que habrá que realizar proyectos que incorporen en sus etapas elementos clave de gestión de cambios, particularmente subprocesos de capacitación ajustados a los objetivos de transformación previstos. No se debe descartar ni minimizar la resistencia al cambio, dado que se modifica el ambiente de trabajo de las personas y sus zonas de confort. La capacitación puede acompañar este proceso apoyando a los participantes en la adquisición de los conocimientos específicos y a reposicionarse frente al cambio. Sauber (1995) afirma que para fortalecer las transformaciones, no solo se debe formar al personal en la esfera de la informática administrativa, sino que debe capacitarse para el cambio.
2) Adquisición de recursos tecnológicos: como parte del programa o plan seguramente será necesaria la adquisición de recursos tecnológicos. Hay que tener en cuenta que la evolución y los cambios en la tecnología se producen con vertiginosa velocidad junto con su creciente diversidad, lo que hace que coexistan varias alternativas para dar solución a una misma necesidad. Por ello, la inversión en componentes tecnológicos en las organizaciones supone en sí un problema, mayor en ocasiones que la propia necesidad que lo motiva. Optar por soluciones tecnológicas que no se ajusten a las características de nuestras necesidades, por considerarlas más ventajosas económicamente o pensar que con ello se está en la vanguardia, puede en muchos casos ocasionar perjuicios tanto económicos como de servicio y, en consecuencia, de imagen y reputación. También es aconsejable considerar que la incorporación masiva y no planificada de tecnología a la organización no produce más que puntuales mejoras y, por el contrario, puede desarticular procesos manuales eficientes.
2017
18
3) Gobernabilidad: uno de los elementos críticos de los proyectos informáticos son los controles. El Estado necesita contar con organismos en los cuales existan estructuras y capacidades que garanticen el máximo desempeño de sus funciones; para ello debe utilizar la tecnología de información y comunicación que ha revolucionado conceptos y ha impuesto nuevas formas de gestión. Las organizaciones deben resolver un problema de eficacia administrativa o de buena conducción y gerenciamiento del aparato de gobierno (gobernabilidad). Sería de vital importancia que las organizaciones se focalizaran en las siguientes funciones para cumplir con sus prácticas de gobernabilidad de TI:
» Definir un planeamiento estratégico de arquitectura tecnológica y su integración con la misión total de la organización.
» Establecer relaciones de funcionamiento entre los distintos estamentos por medio de la estructura organizacional.
» Elaborar informes o reportes que transmitan información y decisiones de un nivel a otro, a fin de facilitar la toma de decisiones eficiente y la resolución de problemas. Incorporar en los procesos clave indicadores de gestión y rendimiento.
» Revisar periódicamente los criterios de decisión en los distintos niveles de la organización, así como las pautas de cumplimiento y responsabilidad en los procesos de implementación de tecnología.
» Asignar recursos adecuados para sustentar sus actividades decisorias, de control y seguimiento.
» Revisar regularmente la calidad de los insumos para asegurar decisiones oportunas, objetivas y acordes con los objetivos y las metas, tomando a los recursos tecnológicos como herramientas y no como fin.
» Desarrollar nuevos procesos a fin de mejorar la atención y bajar los gastos (la atención en “ventanilla” es muy costosa).
» Generar eficiencia en los procesos.
Los participantes en el proceso de gobernabilidad de TIC requieren disponer de:
» Experiencia en gestión de proyectos, que es la base de la estructura de gobernabilidad.
» Capacidades y habilidades para llevar adelante el proceso, con comprensión del “negocio”, conciencia de las políticas vigentes, así como de adecuados métodos y herramientas de toma de decisiones.
» Conocimiento de las diferentes formas de planificar, administrar, ejecutar y evaluar el desempeño de cada sector de la organización involucrada en los procesos.
» Práctica en la implementación de métodos y herramientas de medición, decisión y supervisión dentro de cada sector de la organización.
Servicios al ciudadano
Cuando se incorpora tecnología y no se desarrollan nuevas formas de gestión y de actividades (reingeniería de procesos), se genera un concepto de modernización aparente. En muchos casos la tecnología se adapta a la estructura vigente sin modificar los procesos, se automatizan tareas que antes se realizaban manualmente, sin analizar ni evaluar su necesidad o la optimización brindada por las bondades de las nuevas herramientas. No se adecuan las normas y circuitos que entorpecen la fluidez de los procesos, por lo tanto la informatización es absorbida por la burocracia de la organización.
Las organizaciones deber ser rediseñadas, transformar su estructura, alcance, mecanismos de gestión con reportes e indicadores de control, implementación de mejores prácticas, nuevos flujos de trabajo, nuevos y mejores servicios.
Para lograr un impacto en el servicio al ciudadano y obtener una verdadera innovación de los procesos de las organizaciones, se deben tener en cuenta ciertas premisas que son clave para el éxito de cualquier proyecto de modernización. A continuación se describen algunas de estas premisas:
2017 19
1) Necesidad de los ciudadanos (principalmente de los millennials). En general, los ciudadanos requieren interacciones integradas entre múltiples servicios y no una acumulación de múltiples interacciones inconexas.
a. Capacidad de autoservicio: el objetivo es brindarle más efectividad al proceso, de agilizar y de darle mayor comodidad al ciudadano en relación al tiempo, modo y lugar de hacer los trámites. Esta opción hoy puede ser implementada por la capacidad que ha adquirido la sociedad en el manejo de la tecnología y el cambio cultural que se expuso en la introducción de este artículo.
b. Acceso móvil a los servicios: acceder a los servicios en forma remota, a cualquier hora y cualquier día, a través de un dispositivo móvil o conectado a una red, tiene para el ciudadano un valor incalculable y le permite disponer de más tiempo para sus necesidades.
c. Seguridad: un tema clave en toda esta transformación y nueva forma de conectarse. En la medida en que los procesos no sean seguros, que no brinden un adecuado control, se corre el riesgo de perder confiabilidad e imagen, además de alguna acción o reclamo legal por falencias en los procesos.
2) Mejor atención.
a. Brindar servicios a través de diferentes canales (omnicanalidad). Proporcionar un servicio mediante distintos canales obliga a tener unificado el proceso y disponible en forma homogénea. No es posible ofrecer servicios por distintos canales, con diferentes requerimientos o distintas condiciones.
b. Aumentar la capacidad de atención. Al incorporar más canales de atención, se mejora el servicio y se le brindan al ciudadano alternativas acordes a sus necesidades.
c. Transformar experiencias del ciudadano. Como fue expuesto en el punto anterior, en la actualidad el ciudadano cuenta con la experiencia suficiente para utilizar distintos medios y recursos tecnológicos. Esto facilita la implementación y ahorra el costo de agregar a los proyectos la capacitación del usuario. Esta situación hace algunos años no existía.
ConclusiónEs de esperar que lograda una solución moderna e innovadora a los procesos de las organizaciones se generarán resultados favorables de una forma rápida y eficiente.
Es necesario iniciar el proceso de modernización y aprendizaje para incorporar tecnología en los organismos del Estado, junto con el cambio cultural que ello implica, en lo inmediato y de forma eficiente, de manera que se genere una plataforma tecnológica adecuada, procesos sistemáticos y gobernabilidad que puedan soportar los servicios de modo seguro y controlado.
Esta es una necesidad real dado que se está avanzando en forma acelerada en la interconexión digital de objetos con Internet (IoT), lo que hoy se llama “revolución digital”, es decir, las relaciones entre los objetos y las personas . . . pero este es un tema que dejaremos para desarrollar en otra oportunidad.
La generación Y o los 'Millennials' (los milenarios) son las personas nacidas a partir de1980, conocidos también como los nativos digitales.
20
Ciberextorsión, cuando la imaginación es el límiteImelda Flores MonterrosasCISSP, ITIL, CCNA Security, Cisco IPS y Optenet administrator [email protected] noticias que abordan el tema superan las decenas de miles en una búsqueda rápida en Google, sin embargo, lo que llama la atención son los nombres de las organizaciones afectadas: encontramos desde agencias de seguridad nacional como el FBI, hasta empresas pequeñas en todo el mundo, pasando por bancos, hospitales, hoteles de lujo, entre otros. En resumen, ningún sector es inmune a la ciberextorsión, la cual con el paso del tiempo ha evolucionado de tal forma que los ciberatacantes inventan nuevas formas para obtener un beneficio económico en el menor tiempo posible.
Una de las caras más conocidas de la ciberextorsión es el ransomware, el cual remonta su inicio a 1989, cuando un biólogo creó y distribuyó un artefacto malicioso a través de unidades de disco a miles de personas que asistieron a una conferencia sobre el virus del SIDA, y en estas máquinas, al infectarse, aparecía una pantalla que indicaba la cantidad que tenían que pagar a un apartado postal en Panamá a cambio de volver a tener acceso a sus equipos.
El ransomware se reinventa continuamente para evadir los mecanismos de protección de las herramientas de seguridad, además de que pasó de ser distribuido masivamente, a volverse en algunos casos un componente de una amenaza avanzada.
En el segundo caso, los atacantes se preparan buscando información de la organización víctima en fuentes abiertas, para saber cuáles son los equipos más importantes y quienes son los altos ejecutivos, qué herramientas son usadas para respaldos, qué tipo de bases de datos emplean, etcétera. Además, diagnostican que tan preparada se encuentra la institución para responder a un secuestro masivo de dispositivos. Con esta preparación pretenden asegurar el éxito de la operación, ya que el siguiente paso es introducir el artefacto malicioso, el cual comúnmente es enviado a través de un correo electrónico muy bien diseñado, para conseguir una alta probabilidad de que sea abierto. Una vez comprometidos los equipos, los atacantes tienden a moverse a los respaldos para infectarlos y asegurar que sean inservibles, con lo que aumentan la probabilidad de que la víctima pague el rescate.
2017 21
En los últimos años se ha popularizado la ciberextorsión asociada a los ataques de DDoS (denegación de servicio distribuida): los atacantes envían un correo electrónico, usualmente al contacto que está registrado en el nombre del dominio, diciendo que si la organización no paga cierto número de bitcoins, recibirá un ataque de muy alta intensidad que lo dejará fuera durante días. Incluso se llegan a ver, dependiendo del grupo detrás de la amenaza, ataques de prueba de entre 6 Gbps y 10 Gbps para demostrar que están hablando seriamente.
También se han identificado casos en los que los atacantes penetran las organizaciones y extraen información crítica de los clientes, para posteriormente amenazar con liberarla en caso de que no se pague la cantidad demandada, y llegan incluso a hacer pública la amenaza con la finalidad de que los mismos usuarios y clientes presionen a la organización para que pague y no se exponga la información de aquellos.
Un caso emblemático fue el de Nokia, que en 2014 pagó varios millones de dólares a cambio de que los atacantes no revelaran el código fuente de su teléfono inteligente. Lo que le pasó a Nokia le podría pasar a cualquier organización ya que es prácticamente un hecho que todas las empresas guardan información que, de ser pública, podría poner en riesgo la supervivencia de la compañía (propiedad intelectual, contratos de interés público, planes estratégicos, estados financieros, campañas para el lanzamiento y comercialización de nuevos productos, entre otros).
22
Otra variante de ciberextorsión consiste en que los atacantes toman control de equipos críticos y cambian las credenciales para evitar que sean usados por sus administradores legítimos, situación que se agrava cuando los equipos se encuentran en la nube: ha habido casos como el de la compañía Code Spaces, hospedada en Amazon, que al ser atacada trató de recuperar el acceso y los atacantes simplemente eliminaros los equipos virtuales y sus respaldos.
Es importante mencionar que las víctimas no siempre son corporaciones, hay muchos casos de personas que sufren de este tipo de ataques. Un ejemplo en México es el de sitios que han ofrecido suscripciones para tener acceso a fotografías íntimas extraídas de teléfonos comprometidos, y al mismo tiempo le piden a la víctima pagar cierta cantidad para no mostrar las fotos en dicho sitio.
SCILabsMR (Scitum Cyber Intelligence Laboratories) ha detectado campañas dirigidas a México, en las que malware embebido en macros compromete a los usuarios para posteriormente extraer información financiera, capturar imágenes de la pantalla, tomar fotografías a través de la Webcam y grabar las conversaciones que se realizan frente a la computadora. Aunque no existe evidencia de que las conversaciones obtenidas se hayan usado para extorsionar a las víctimas, no se descarta que sea un patrón que empiece a aparecer en nuestro país en el mediano plazo.
Como se expone, las formas de ciberextorción son muy variadas, y con la adición de nuevos dispositivos a Internet de manera insegura los riesgos aumentarán, por lo que no dudemos que pronto aparecerán casos de ransomware dirigidos a autos, equipos industriales, servidores que controlen procesos críticos, por mencionar algunos. Tampoco se puede descartar que los atacantes sean más disruptivos con la finalidad de garantizar el pago de sus demandas, por ello se puede esperar que cuando secuestren equipos de alto valor para las organizaciones fijen un tiempo límite para pagar, y en caso de no recibir el pago empiecen a causar un daño irreparable, de esta forma las víctimas no tendrán tiempo de reaccionar y probablemente terminen cediendo a las demandas de los ciberactores.
Si bien es cierto que la recomendación en estos casos es no pagar jamás a los atacantes, con la finalidad de desalentar que sigan cometiendo estos crímenes, la presión por la que pasan los altos ejecutivos es tal que a veces terminan por cumplir las demandas de los ciberactores.
Vale la pena recordar que el cibercrimen es una industria millonaria. De acuerdo con un estudio de Europol, las ganancias son mayores a las del tráfico de mariguana, cocaína y heroína en su conjunto. Al ser una industria en forma, busca optimizar sus esfuerzos para obtener la mayor cantidad de ganancias con la menor inversión posible de recursos humanos y técnicos, por ello siempre serán víctimas más fáciles las organizaciones que no cuenten con una estrategia de seguridad de defensa en profundidad.
2017 23© 2017 WatchGuard Technologies, Inc. Todos los derechos reservados.
RANSOMBEAR ESTÁ AL ACECHO.
No sea su pró
ximo bocadillo
El ransomware es la principal amenaza que las pequeñas y
medianas empresas enfrentan en la actualidad, y mientras el
ransomware sigue haciendo estragos no es de extrañar que los
equipos de TI estén redoblando la apuesta en lo que hace a la
protección contra estos peligrosos ataques.
¿Está listo para comenzar a prevenir ataques de ransomware?
Obtenga más información acerca de por qué Total Security Suite de WatchGuard es la mejor decisión para detener los ataques de ransomware a tiempo.
Visite: www.watchguard.com/es
24
Active defense: ¿Qué es? ¿Lo necesito?Eduardo Patricio Sánchez DíazCISSP-CISM-GCIH-GWAPT-C|[email protected] a quienes nos apasiona el mundo de la ciberseguridad, nos encontramos con un entorno que cambia muy rápido, desde la información que se genera sobre eventos relevantes en la industria, hasta nuevos modelos de defensa y ataque que se salen a luz. Hoy en día incluso se puede llegar a pensar que la batalla la están perdiendo los equipos defensivos de las organizaciones; con el fin de minimizar el impacto de una posible brecha de seguridad, una empresa invierte muchos recursos económicos y de gente para fortalecer su arquitectura de seguridad, que debe ser capaz de dar cumplimiento a las regulaciones y enfrentar las amenazas, e incluso soportar oportunidad de negocio.
EN EL PENSAR DE...
Una característica fundamental de una arquitectura de seguridad es que debe ser resiliente, lo que representa un gran reto para las organizaciones que están acostumbradas a mantener una postura pasiva de prevención y en algunos casos de simple detección de las amenazas que enfrentan; pero, ¿qué pasa si mi arquitectura de seguridad comienza a ser más activa e incluso permite la interacción con una amenaza o actor que pretende causar un daño a la organización?
En los últimos años ha comenzado a sonar el termino active defense, sin embargo, aunque no es algo nuevo, a veces se malinterpreta como algo ofensivo y relacionado solo con actividades que realiza un gobierno o un órgano de justicia, pero, ¿qué pasa con la adopción del sector privado? En octubre de 2016 el Center for Cyber & Homelan Security de la Universidad George Washington liberó el documento “INTO THE GRAY ZONE The Private Sector and Active Defense Against Cyber Threats“1 en el cual se aborda el tema y se trata de desmitificarlo.
2017 25
10 | The Cyber Threat and Active Defense
While less common, cyber denial and deception is an-other low-risk defensive technique that can be used to observe attacker behavior, tailor other active defense techniques, and improve incident response capabili-ties. It can involve concealing and making apparent both real and false information to skew an aggres-sor’s understanding of the information contained on a computer system, vulnerabilities in that system, and defenses deployed on a network.58 The process of hunting for and removing threat actors who have already breached fortified perimeter defenses is sur-prisingly uncommon, yet a relatively impactful cyber-security measure for its low level of risk. Hunting is as much about having actionable procedures and re-sponses in place for eliminating threats as it is about exposing them, whether they be active or dormant in a network.
Towards the middle of the active defense spectrum are activities that carry more risk, in that they gener-ally involve operations outside of one’s network, and have the potential to lead to minor collateral damage or privacy concerns if used without the requisite level of precision. These activities include beaconing, the use of dye packs,59 and intelligence collection in the deep web and dark net. Beacons are pieces of code
that are embedded into files that contain sensitive in-formation. They can be operationalized in two main ways. First, less impactful beacons will simply alert the owner of a file if an unauthorized entity attempts to remove that file from its home network, acting as a built-in burglar alarm. Second, more aggressive bea-cons are designed to return to the victim information about the internet addresses and network configura-tions of the computer systems that a stolen document is channeled through, ideally assisting with attribu-tion and forensic evaluation of remote devices.
Increasingly, network defenders are realizing that the information that travels through the dark net can be helpful to inform defensive strategies and alert in-formation security officials of a breach. This realm of the Internet—in which websites are dissociated from traceable servers, user anonymity is common, and information travels between trusted networks of peer groups—is popular for criminal trade in stolen information and malware services, and thus offers a promising trove of human intelligence possibilities for network defenders. For example, a bank’s securi-ty team can search through illicit marketplaces and compare the personal or financial information on sale with the information the bank keeps on its custom-
Tarp
its, S
andb
oxes
& H
oney
pots
Info
rmat
ion
Shar
ing
Hunt
ing
Deni
al &
Dec
eptio
nBe
acon
s
Inte
lligen
ce G
athe
ring
Beac
ons
Notif
y own
er in
cas
e of
thef
t
Prov
ide
info
rmat
ion
on e
xter
nal n
etwo
rks
in D
eep
Web
/Dar
k Ne
t
Botn
et T
aked
owns
Whi
te-h
at R
anso
mw
are
Coor
dina
ted
Sanc
tions
,Re
scue
Mis
sion
s to
Indi
ctm
ents
& T
rade
Rem
edie
sRe
cove
r Ass
ets
FIGURE 2. ACTIVE DEFENSE: THE GRAY ZONE
Higher Impact/RiskLower Impact/Risk
ACTIVE DEFENSE: THE GRAY ZONEOFFENSIVE
CYBERPASSIVE
DEFENSE
Hacking back/operations intended to disrupt or destroy external networks or information without authorization, etc.
Basic security controls, firewalls, antivirus, patch management, scanning and monitoring, etc.
Requires Close Government Cooperation
En la siguiente imagen se muestra de manera muy visual qué tipo de controles podemos implementar en la organización que ya podrían considerarse active defense:
Active Defense: The Gray Zone1.
En la zona azul podemos colocar todos aquellos controles tradicionales que van volviéndose commodities, que toda organización debería tener ya. En la parte roja aparecen las medidas 100% ofensivas, cuya legalidad está no del todo definida en muchos lugares.
En medio está la zona gris, que se divide a su vez en bajo y alto impacto. Las medidas de alto impacto deben ser coordinadas y ejecutadas con apoyo o autorización de entes gubernamentales, e incluso en algunos casos requieren de cooperación internacional. La zona de bajo impacto pretende apoyar y fortalecer las capacidades de nuestra arquitectura de seguridad, sin embargo, el espíritu de cada iniciativa requiere en cierta medida un nivel de madurez de las capacidades pasivas defensivas de la organización.
26
John Strand y Paul Asadoorian en su libro “Offensive Countermeasures: The Art of Active Defense”2 hacen una analogía de la manera de adoptar active defense al comparar poison vs venom, donde poison es algo que colocas y un actor interactúa con él, y venom es algo que inyectas al actor. La manera más adecuada de tener un acercamiento al active defense es a la manera poison, ya que sigue sin ser algo ofensivo directo.
Ahora bien, al ver el panorama que trata de cubrir el active defense y el ámbito donde el sector privado puede participar, la siguiente pregunta es ¿Debería implementar esto en mi arquitectura defensiva? No existe una respuesta sencilla, sin embargo, y dado el escenario actual de riesgo, considero que la respuesta debería ser: sí, arrancando con pequeñas acciones como las siguientes:
» Comenzar a compartir información interna y con mi sector sobre las amenazas; en algunos casos incluso esto ya podría ser inteligencia de amenazas.
» Implementar un plan de hunting de amenazas, el cual podría incluir un plan de Insider Threats.
» Implementar una arquitectura de deception.
» Definir una postura de investigación vs contención en eventos relevantes, y establecer métricas como el tiempo promedio de actuación contra una actividad sospechosa.
¿Qué cosas deberían manejar con cuidado?:
» Si hay una intrusión, jamás atacar directamente al actor o su infraestructura, siempre accionar la respuesta a incidentes.
» Para el tema Deepweb y Darkweb, lo mejor es abordarlo mediante un servicio especializado que apoye con estas tareas.
» El tema de atribución de un ataque es muy complejo, por tal razón todo el manejo de hipótesis y su comprobación debe manejarse de manera muy delicada.
Para concluir, solo deseo comentar que nuestros equipos defensivos deben contar con todas las capacidades para adaptarse a los nuevos entornos de amenazas.
1“INTO THE GRAY ZONE The Private Sector and Active Defense Against Cyber Threats, https://cchs.gwu.edu/gray-zone-active-defense-private-sector-against-cyber-threats This work is licensed under CC-BY version 4.0 https://creativecommons.org/licenses/by/4.0
2Strand John, Asadoorian Paul, “Offensive Countermeasures: The Art of Active Defense”, PaulDotCom, 10 de junio de 2013.
2017 27
28
El arte del engaño como mecanismo de defensaMarcos A. Polanco ITIL, CISSP, CISA y [email protected] muchos años los atacantes han usado la ingeniería social y otras técnicas de engaño para hacer que los usuarios (el eslabón más débil) fallen y proporcionen información que les permita perpetrar su objetivo. Un ejemplo muy claro son los correos de tipo spear phishing, los cuales son creados pensando en el contexto de la persona u organización que los va a recibir, para que la probabilidad de que lo lean y abran los anexos o den clic en las ligas sea muy alta. Al abrir los anexos o dar clic, los atacantes explotan las vulnerabilidades en el sistema, logrando comprometerlo.
Gracias a los avances y simplificación en el uso de la virtualización y de SDN (software defined networking) también el arte del engaño puede utilizarse como una capa más en las arquitecturas de defensa contra las amenazas avanzadas. Las tecnologías de engaño o deception technologies, cuyos orígenes provienen de los famosos honeypots (originalmente lanzado por el Honeynet Project en 1999), son ya accesibles para todas las organizaciones, por eso en los últimos años ha habido mucho interés en ellas y su uso ha crecido de manera importante. Estas tecnologías permiten desplegar múltiples trampas y señuelos en una red, utilizando un camuflaje que aparenta equipos o recursos reales, con el fin de que los atacantes los rastreen, ataquen, e incluso los vulneren, es decir, que caigan en ellas pensando que están logrando comprometer a la organización. Se utilizan como mecanismos de defensa enfocados a la detección, investigación (hunting) y respuesta.
Los objetivos que se buscan son:
» Obtener información valiosa acerca de las técnicas y artefactos que están utilizando los atacantes, así como de sus posibles objetivos y métodos, proporcionando inteligencia accionable a los equipos de ciberseguridad para actuar de manera más oportuna y eficiente.
» Retrasar, distraer o frustrar las actividades de los atacantes, sobre todas aquellas asociadas con el reconocimiento y los movimientos laterales.
Sus componentes generales son: » Trampa (decoy). Es un sistema en la red, real o emulado, para que sea encontrado directamente por los atacantes o por medio de un señuelo.
2017 29
Debe ser colocada en lugares (segmentos de red) estratégicamente seleccionados. De acuerdo a su complejidad son catalogadas como de baja interacción, normalmente basadas en sistemas emulados con servicios o aplicaciones con capacidades limitadas, o de alta interacción, basados en sistemas reales y completos.
» Señuelo (lure). Es un recurso plantado en los sistemas reales con el fin de que los atacantes “muerdan el anzuelo” y sean dirigidos a una trampa; pueden ser caches, scripts, credenciales, cookies, bitácoras, certificados, drivers de red, etcétera. El uso de los señuelos para dirigir al atacante a una trampa permite que el índice de falsos positivos sea muy bajo.
» Token. Es una pieza de datos “artificial” (archivos, registros de una base de datos, credenciales, etc.) colocado en un sistema real que es vigilado constantemente, y en el momento en que alguien interactúa con ella se activan las alertas que son vigiladas por el personal de monitoreo.
El principio fundamental de estas tecnologías es que para que los atacantes logren con éxito su objetivo final, en la mayoría de los casos, utilizan herramientas automatizadas las cuales funcionan a partir de las respuestas que obtienen de los protocolos de red, los servicios de los puestos de trabajo (endpoints), los comportamientos de los sistemas operativos, y los datos que encuentran durante el propio proceso del ataque.
Si las analizamos desde la perspectiva del ciclo de vida de los ataques avanzados (para mayor detalle sobre este concepto véase el artículo “Ciclo de vida de los ataques avanzados”, revista Magazcitum, año 6, número 2), se observará cómo ayudan en cada una de las diferentes etapas:
Etapa del ciclo de vida del ataque Objetivo
Preparación Etapa en la que el atacante identifica y selecciona a la organización víctima, y hace la investigación de la misma, es decir, recolecta tanta información como sea posible acerca de su objetivo, ya sea de forma pasiva o activa.
» Tener diversos recursos simulados para que el reconocimiento que hagan los atacantes tenga cierto nivel de “ruido”.
Obtención de acceso En esta etapa el atacante envía las ciberarmas por diversos medios para explotar vulnerabilidades en el sistema de la víctima, produciéndose así la intrusión inicial. Se activa el código malicioso del intruso, se crean accesos remotos ocultos y se utiliza, a través de la infraestructura de comando y control (C&C), el sistema comprometido para ejecutar los siguientes pasos.
» Utilizar equipos emulados y servicios falsos para que las ciberarmas no lleguen a equipos reales.
» Lograr que el atacante ejecute sus ciberarmas en equipos trampa o servicios señuelo para observar sus técnicas, tácticas y procedimientos.
Creación de la persistencia En esta etapa el atacante busca afirmar y ampliar su presencia y control en la red de la víctima, para lo cual empieza a moverse dentro de ella a través de lo que se conoce como movimientos laterales. Su meta es llegar a los activos tecnológicos que contienen lo que busca, y conseguir claves con el mayor nivel posible de privilegios (a esto se le denomina elevación de privilegios).
» Lograr que el atacante realice los movimientos laterales hacia recursos y equipos señuelo, permitiendo detectarlos y tomar acciones.
» Retrasar al atacante mediante trampas y recursos falsos para que tarde más en llegar a los recursos verdaderos.
Ejecución de acciones En esta etapa el atacante selecciona, recolecta y extrae la información deseada (exfiltration).
» Engañar al atacante para que la información que extraiga sea falsa.
30
En el momento en que nos demos cuenta de que hay alguien interactuando con los señuelos, trampas o tokens, podremos identificar y actuar sobre el ataque para intentar detenerlo. Las principales características que debe tener una plataforma de engaño son:
» Facilidad de implementación de la plataforma.
» Simplicidad y automatización del despliegue y de la gestión de las trampas, señuelos y tokens a lo largo de la red de la organización.
» La capacidad de “camuflaje”, es decir, qué tan reales parecen ser las trampas, señuelos y tokens para que no sean detectados por los atacantes.
» Manejar diversas capas de engaño, en las que se pueda atraer, distraer, confundir o interrumpir a los adversarios. Preferentemente las capas deben ser: red, endpoint, aplicaciones y datos.
» Emulación de diversos tipos de endpoint, servicios de red, aplicaciones y datos.
» Uso de inteligencia de amenazas para dar mayor contexto a los hallazgos que se vayan identificando.
» Facilidad para el monitoreo de la actividad e interacciones que tienen los señuelos, trampas y token.
» Capacidad de aprendizaje que permita diseñar y crear mejores trampas, señuelos y tokens, conforme la misma infraestructura de la organización va cambiando y evolucionando.
Conclusiones: » Es indispensable considerar las tecnologías de engaño como complemento en las arquitecturas de seguridad enfocadas en habilitar la detección, investigación (hunting) y respuesta.
» Actualmente existen ya múltiples fabricantes y varios de ellos ya han alcanzado un nivel de madurez importante.
» En general se considera que las tecnologías existentes en el mercado son relativamente sencillas de instalar y no intrusivas.
» El principal foco de muchas de las plataformas actuales en el mercado está en la detección de los movimientos laterales.
Fuentes:• Gartner: Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities.
• Gartner: Applying Deception Technologies and Techniques to Improve Threat Detection and Response.
• Frost&Sullivan: Why Deception is Essential to Your Cyber Security Strategy• Frost&Sullivan: Deception as a Security Discipline, Going on the Offensive in the Cybersecurity Battlefield
• TrapX Security: BOD Series. Introduction to Deception Technology for the Chief Executive Officer and The Board of Directors
