CIBERDEFENSA EN TIEMPO REAL
Los temas referidos al ciberespacio parecen siempre ser algo mas de futurología o Sci Fi de lo que verdaderamente son. Cuando he tratado el tema desde la visión de la Seguridad Pública
Volvamos al ámbito de la Defensa que es el que nos preocupa en este artículo. En la esfera Militar tendemos a tener todo parametrizado, estandarizado, para cada evento hay una protocolo de actuación, los famosos PON (Procedimiento de Operaciones Normales o como le dicen en inglés los SOP – Standar Operating Procedure -), hasta hay uniforme para cada tipo de actividad, llegamos así a la existencia de las Reglas de Empeñamiento (RDE), y aquí surge una primera pregunta cuya respuesta dejaremos para mas luego, ¿Por qué los PON y RDE para defender el ciberespacio son aparentemente diferentes que en el mundo físico? Y esto cobra más relevancia cuando se trata de defender en el sector privado.
Pensemos lo siguiente, si un misil golpeara a una empresa privada, y para hacerlo mas justo y realista el ejemplo situémoslo en Estados Unidos (USA), no hay duda cuáles serían los protocolos. Sin embargo, el ciberespacio ofrece un paradigma diferente, el mismo General (R) del US Army (ex Director de la NSA y del US Ciber Comando), reconoce que los enfoques actuales no son los que se necesitan para enfrentar la amenaza en el ciberespacio.
Retomemos el tema del misil, supongamos que un Estado lanzara un misil y este fuera dirigido a una multinacional en USA, la que quieran, a Sony Corporation para destruir a todas las PS4, el hecho sería que la responsabilidad del Comando Norte detener ese misil, no hay duda que NORAD lo vería, se activarían los protocolos y derribarían a ese misil. Eso sería y es una respuesta militar. En el espacio de lo ciber, la cuestión es cómo crear las RDE que vayan a la velocidad de la red del ciberespacio. Tengamos presente que el vuelo promedio (dependiendo de donde se dispare) es de 25 a 30 minutos, tiempo en que NORAD procesa su curso de acción. En el mundo ciber un ataque de una punta a la otra del mundo puede tardar algo así de 134 milisegundos.
Acá empieza a aparecer el dilema, y no es otro que la inmediatez, todo es ahora, en este instante, ya no se mide en horas, ni en minutos, hablamos de milisegundos o nanosegundos, y además hablamos de una necesaria e inminente simbiosis entre lo Estadual y lo Privado.
Esta simbiosis se da porque podríamos decir que hay un oponente en común, sumemos a ello la responsabilidad que a cada uno le cabe, el Estado para con sus ciudadanos (incluye al sector privado) y las Empresas para con sus clientes (suelen ser los ciudadanos y a veces el mismo Estado). En la mayoría de los países desarrollados esto esta medianamente claro y aceptado. Uno de los inconvenientes se dá que no todos pueden ver a ese misil venir en camino, NORAD si, lo mismo sucede en el ciberespacio, si la Empresa no puede ver venir al Malware o lo que fuere que lo esté atacando, no podrá pedir asistencia o repelerlo per se.
Volvemos entonces a las RDE, estas tienen que estar presentes tanto en mundo físico como el del ciberespacio, y por sobre todo estar en manos de quienes las aplicarán. Si en el caso de Sony no sabe que está siendo atacado por un Estado, para cuando lo comprenda o se dé cuenta, todo va a haber terminado y por más RDE que tengamos de nada va a servir.
Claro esta que esto es comprendido y conocido por todos los involucrados, sean Estado o Privados, en el mundo de la Ciberdefensa. En tal sentido los Estados tratan de tomar cartas en el asunto, y así es como el año pasado, allá por el mes de Julio, se firmaba la Directiva de Política Presidencial de USA N°41, en la que se esboza una respuesta ante los incidentes cibernéticos que afectan tanto al sector público como privado. Y digo esbozo porque es lo que es, se define esencialmente un conjunto de los llamados esfuerzos conjuntos encaminados a disuadir las acciones maliciosas y responder incidentes, como diría la abuela, pura chachara.
Muchos en el US Cibercomando, hablan de formar un gran 911 de ciberdefensa, de forma tal que una empresa o conjunto de empresas y sectores privados, pudieran remitir lo que le está sucediendo, el ataque en si, pero que esto fuera automatizado y a la velocidad de la red en que suceden las cosas, toda esa info y el pseudo llamado en si, debería canalizarse al Departamento de Defensa (DoD) desde donde contarían con sus propias RDE y por ende aplicarían la defensa correcta.
Este gran 911 con sus RDE, tiene anexados inexorablemente prácticas y simulaciones en tiempo real. Pero por sobre todo y la gran diferencia con otros Organismos o Agencias del Estado, es que los Centros de Cibercomando ó Ciberdefensa no solo están preparados para atender la amenaza sino y por sobre todo para atacar, es decir poseer capacidades ofensivas, y esto es la gran diferencia.
Volvamos al ejemplo de lo que sucede en USA, y tomo el caso de USA porque es donde mayor cantidad de Agencias hay que entienden en la materia, por ejemplo la National Security Agency (NSA por sus siglas en inglés) proporciona reconocimiento y algunas capacidades de operaciones encubiertas, el Departamento de Seguridad Nacional (DHS por sus siglas en inglés) tiene la responsabilidad de mantener operativo el sector afectado y perseguir a los criminales, pero la capacidad ofensiva la tiene el DoD a través del US Cibercomando.
Para tomar una dimensión más ajustada, cambiemos el objetivo del ataque, ya no se trata de Sony Corporation, es otra empresa del sector privado pero que brinda servicios esénciales, digamos una Empresa de Energía Eléctrica, cuál sería la respuesta a este ataque, es cierto que ya hablamos de Infraestructura Crítica, pero la esencia es la misma.
Para ello dentro del campo de la ciberdefensa, aparece el ACD (Active Cyber Defense) que tiene como premisa central la integración y automatización de muchos servicios y mecanismos para llevar adelante una respuesta en tiempo cibernético relevante. Según lo expresa y entiende el propio DoD, el ACD es “la capacidad de sincronizada y en tiempo real para descubrir, detectar, analizar y mitigar amenazas y vulnerablilidades”.
La defensa en el campo de lo ciber incluye 3 categorías complementarias: “proactiva”, “activa” y “regenerativa”. Las actividades "proactivas" endurecen el entorno cibernético y mantienen la máxima eficiencia para su misión y la infraestructura cibernética. Las actividades "activas" detienen o limitan el daño del adversario, esta actividad se da en tiempo cibernético. Las actividades "regenerativas" restablecen la eficacia de la misión o eficiencia después de un ataque cibernético exitoso. Estas categorías forman un conjunto de actividades de ciberseguridad que se producen continuamente y simultáneamente en redes, integradas por un marco de automatización que incluye ACD como un subconjunto de la defensa cibernética integrada. El foco Aquí está en el ACD.
Los ataques en los dominios no cibernéticos requieren proximidad física y tiempo para ejecutar (por ejemplo, una bomba debe estar cerca de un objetivo para causar daño y cumplir con su objetivo; Una bala debe golpear físicamente su blanco). En el campo del ciber bla bla, es el único que no tiene la necesidad de proximidad física para ejecutar un ataque (es decir, cualquier persona con una conexión a Internet es un potencial participante ó combatiente en este espacio de batalla mundial), y el tiempo requerido para perpetrar el mismo es muy reducido (por ejemplo, los bits en un cable viajan mucho más rápido que tener que movilizar tropas ó municiones en la forma tradicional). ACD aborda este tema del tiempo reduciéndolo enormemente, de forma tal que ante un ataque exitoso ha integrando muchas soluciones para proporcionar acciones de respuesta en tiempo cibernético relevante.
El tiempo cibernético es un término deliberadamente vago que satisface las necesidades del campo de batalla cibernético. Si El espacio de batalla es una unidad de procesamiento central (CPU) y memoria de acceso aleatorio (RAM), y los combatientes son aplicaciones de software que compiten por el control, el tiempo cibernético es de nanosegundos a microsegundos. Si el campo de batalla se encuentra entre dos ordenadores de proximidad física cercana, el tiempo relevante es de milisegundos a segundos. Para un campo de batalla entre dos ordenadores en lados opuestos del mundo que comunican vía los acoplamientos de los satélites, el tiempo ciber-relevante es segundos. Con operadores humanos y los retrasos inherentes en el procesamiento cognitivo, trazos clave y clics del ratón, el tiempo ciber-relevante es de segundos a minutos. Los requisitos para el ACD aumentan a medida que el adversario se hace más inteligente y más rápido.
Como vamos observando el campo de batalla se va complejizando y requiriendo cada vez una solución que no solo sea eficiente y eficaz sino que cumpla con la premisa de la inmediatez o en tiempo real. Está claro que esa inmediatez requerirá de una respuesta automatizada en principio pero que a su vez sea procesada y analizada, con lo que necesariamente nos acercamos más a la Inteligencia Artificial.
Permítanme el lapsus mental, pero como buen cinéfilo, no resisto a tener presente en mi memoria a la firma Cyberdyne Systems Corporation, seguramente muchos no tendrán presente que es la firma contratista del US Army que en la saga Terminator desarrolla SKYNET, para así en forma automatizada y parametrizada hacer frente a las amenazas en tiempo real, dando lugar así a un Inteligencia Artificial que aprende. Un poco antes que llegara SKYNET, a fines de los 60´ se estrenaba el Colosus: el proyecto Forbin, en la que una super computadora toma el control una vez que aprende y se hace más inteligente que le hombre. Lo que sucede en Hollywood, lo que algunos imaginan y/o fantasean hoy más temprano que tarde se convierte en realidad.
Lo cierto es que ya nadie desatiende que el Ciberespacio es el 5to campo de batalla, en una época el dominio fue terrestre, luego las flotas navales que surcaban los mares construyeron imperios, pasamos a la supremacía aérea para controlar el campo de batalla, luego vino el espacio, la cohetería y los misiles intercontinentales, hoy son las computadoras y el ciberespacio. No comprenderlo y atender este campo de batalla es haber perdido antes de empezar.
No hay comentarios.