AMENAZA DIGITAL, SOLUCIÓN HOLÍSTICA: una forma de combatir en el ciberespacio @uliman73
Por si quedaran dudas, les vengo a anoticiar que en el ciberespacio hay igual o mas cantidad de amenazas que las que estamos acostumbrados a ver en el mundo analógico (físico), vasta hacer una pasada por la red de noticias y ver todo cuanto sucede, desde robo de identidad, grooming, pornografía infantil, ciberataques variados en forma y tipo.
Sin embargo, el hombre está acostumbrado a vivir bajo
amenaza y a través de su capacidad intelectual de pensar y planificar
estrategias para combatir esas amenazas y vivir así con niveles de
incertidumbre aceptables para él. A lo largo de la historia moderna hemos visto
que esto es así, mas aún se da desde los ámbitos Militares o Gubernamentales,
donde se trata con las amenazas y oponentes y se planifica en virtud de ellos.
Esto se ve claramente en el mundo analógico, donde a
cada acción concreta hay una respuesta, ya sea esta preventiva o reactiva. Así
es como hemos visto aparecer términos como el de Guerra Justa o la teoría de la
Guerra Preventiva. El hombre en esos años en el entorno analógico, inicialmente
tenía respuestas lineales, así hemos sido educados. Vale decir que de alguna
manera nuestras respuestas estaban precondicionadas, si A + B entonces C, para
cada interrogante solo había una respuesta posible o una forma única de llegar
a esa respuesta. Pero los grandes estrategas se fueron dando cuenta que las
respuestas lineales no siempre daban resultados o no siempre traían los mismos
resultados, aparece entonces la toma de decisiones no lineales, un ejemplo
tradicional Militar es el desembarco en Normandía, nadie esperaba que se
desembarcará en la fecha de las peores tormentas, donde la singladura era
cuanto menos desfavorable, no era lógico, sin embargo la solución adoptada por
las Aliados no fue lineal; así como este son varios los ejemplos que podremos
ver.
Sin embargo, aquello que hace mas de 50 años no era
lineal, podríamos decir que era un pensamiento lateral, hoy día ya es lo
habitual y esperado, ningún Comandante cometerá el mismo error, sin embargo,
aquello que ya no es lineal, pero que tampoco es tan lateral, comienza a sufrir
una nueva distorsión, y esa distorsión está dada por el espacio donde se
desarrolla, así es el 5to dominio, el ciberespacio trae aparejados nuevos
desafíos y paradigmas a los que hay que enfrentar. La amenaza ya no solo es
analógica, sino digital también y tiene repercusiones en ambos mundos
(analógico y digital).
Veamos algunas de las amenazas y grupos que en los
últimos años han estado activos como para tener una idea de donde estamos. Eso
sí, hay que tener presente que algunos ciberataques fueron muy publicitados otros
obviamente no, pero si en portales informativos del rubro:
·
Ataque con TRITON 2017
TRITON es uno de un número limitado de familias de
software malicioso identificadas públicamente dirigidas a los sistemas de
control industrial (ICS). Sigue a Stuxnet que fue utilizado contra Irán en 2010
e Industroyer que se cree fue desplegado por Sandworm Team contra Ucrania en
2016.
En Agosto 2017 se produjo un ciberataque a una
Infraestructura Crítica de Medio Oriente (Empresa Petroquímica de Arabia
Saudita), el atacante obtuvo acceso remoto a una estación de trabajo de
ingeniería del ICS e implementó el marco de ataque TRITON para reprogramar los
controladores ICS. Durante el incidente, algunos controladores ICS entraron en
un estado seguro fallido, lo que detuvo automáticamente el proceso industrial y
provocó que el propietario del activo inicie una investigación.
·
Ataque G20 en China
2016
Durante la realización del G20 en China, mas
puntualmente durante la semana que dura la Cumbre con la presencia de los
Presidentes y/o Jefes de Estado, se recibieron o cometieron más de 133.000
ataques dirigidos a la red. Hay que tener presente que durante la realización
de todo el G20 en China se contaron con 12.728 aplicaciones web y páginas
especiales vinculadas al desarrollo de la Cumbre.
Para tratar este tema de ciberamenazas y teniendo en
cuenta que ya desde el 2011 en las Cumbres del G20 se venían sufriendo ataques,
el Ministerio de Seguridad Pública de China requirió la colobarciòn de Nsfocus
un proveedor global de soluciones inteligentes de seguridad hibrida. Para lo
cual Nsfocus, adoptó un enfoque holístico e implementó una solución en capas,
asimismo la compañía proporcionó 28 sistemas que ofrecían depuración de tráfico
de ataque, prevención de intrusiones y seguridad de aplicaciones web los cuales
se actualizaban continuamente con un sistema de amenazas inteligentes de diseño
propio.
·
Grupo TURLA al
ciberataque
Este es un grupo de ciberespionaje mundial de habla
rusa, es conocido por utilizar tácticas únicas y sigilosas. Llegaron a los
titulares cuando sus servidores de comando y control (C & C) se encontraron
escondidos en la sección de comentarios de las publicaciones de Instagram de
Britney Spears. El malware que entregaron se presentó como una extensión /
complemento de seguridad para Firefox y se distribuyó a través de un sitio web
suizo comprometido. En septiembre de 2015, pudieron ocultar sus servidores de C
& C explotando y abusando de servicios de Internet basados en satélites
poco seguros. En diciembre de 2014, el grupo empleó una puerta trasera de
código abierto que se dirigió a máquinas que ejecutaban el sistema operativo
Linux (SO).
La cadena de ataque de una de sus últimas campañas se
asemeja a una empleada por otros grupos de cyberespionage Pawn Storm y
ChessMaster. Los eventos reales y los documentos legítimos se usaron como señuelos
para instalar puertas traseras en las máquinas de sus objetivos de interés.
Esto les permite moverse lateralmente dentro de la red comprometida y robar
datos confidenciales y de misión crítica.
Como podemos ver, son numerosos y variadas las
amenazas que el ciberespacio podemos encontrar y lo mismo sucede con las
respuestas que hay para dar. Sin embargo, hay un factor que es constante en
ambos mundos (analógico vs digital) y en ambas formas de pensar (lineras vs
lateral), y ese factor es el Humano. No importa en que mundo o que forma de
pensar se tenga, el humano estará presente inexorablemente en toda la ecuación,
ya sea siendo quien amenaza, quien es amenazado o quien protege.
Con esto en mente, surge que antes que tener presente los
tipos de amenazas, sean malwares o APT´s y el tipo de defensas, en primer
lugar, se debe comprender que el problema es el adversario que tenemos en
frente. Esto significa que alguien está sentado frente a un teclado y PC,
elaborando una estrategia para entrar en nuestro entorno o sistema.
Otro tanto tienen las Ciberoperaciones por las que el
factor Humano cobra relevancia, aunque este se desarrolle en un entorno
cibernéticos, las tácticas y técnicas buscan lo mismo, vulnerar el sistema a
través de ganar confianza de un elemento Humano que luego brinde información,
sea consiente o no de ello. Ya en otro artículo hable sobre Ciberoperaciones de
Inteligencia por lo que no vale repetir acá. Sin embargo, nuevamente el factor
Humano está presente, incluso descuidamos a los usuarios finales, por darles
poca importancia olvidamos que también son parte de la cadena de seguridad, y
como siempre la cadena es tan fuerte como su eslabón más débil.
Entonces, para contrarrestar las ciberamenazas de la
actualidad, se debe aceptar el hecho que no hay una sola solución al problema,
hay que concentrarse en construir una estrategia en constante evolución que
incorpore nuevas herramientas, procesos, políticas, experiencia y contemple el
factor humano en todo su universo, para tener éxito en asegurar que nuestros
datos no sean robados, modificados, destruidos o secuestrados.
Podemos decir así que no hay una solución estática. Un
accionar y pensar Holístico es lo que debemos hacer, en ello va también en asegurarnos
de entender a los adversarios a fondo para poder detener una intrusión
cibernética. Si no podemos detenerlo, entonces nos aseguramos de mitigar el
impacto al no permitir que el adversario logre su objetivo.
El enfoque Holístico implica la integración de tecnologías,
procesos y personas. Esta práctica dependerá mas de la Gestión de Riesgos de la
Información. Ello requiere una estrategia activa en detección, reconocimiento,
identificación, respuesta y remediación de amenazas.
Un programa de seguridad integral se centra en la
protección a través del monitoreo continuo de sistemas y datos. Esto implica
pasar del enfoque tradicional de reactividad defensiva a un enfoque
defensivo-proactivo (predictivo), utilizando el análisis cibernético para
fomentar la "inteligencia de seguridad" que también protege la
privacidad.
Los mandatos de OMB y NIST ahora exigen un monitoreo
continuo, que se puede complementar con el uso de ciberanálisis para resaltar
los riesgos de forma proactiva e identificar, monitorear y abordar las
amenazas. A medida que las empresas refuerzan sus defensas de seguridad, el
análisis predictivo desempeña un papel cada vez más importante. Las empresas
pueden realizar correlaciones sofisticadas para detectar amenazas persistentes
avanzadas, al tiempo que implementan la gobernanza de TI y los procesos de
riesgo empresarial automatizados, elementos fundamentales para habilitar la
inteligencia de seguridad.
Esto incluye la capacidad de:
- Identificar patrones de incumplimiento previos y amenazas externas para predecir posibles áreas de ataque;
- Analizar el comportamiento interno para identificar patrones de posible uso indebido; y
- Monitorear el entorno externo para detectar posibles amenazas a la seguridad.
Específicamente, las soluciones cognitivas tienen tres
capacidades críticas que se necesitan para lograr inteligencia de seguridad:
- Compromiso: Estos sistemas brindan asistencia experta al desarrollar profundos conocimientos de dominio y presentar la información de manera oportuna, natural y utilizable.
- · Decisión: Estos sistemas tienen capacidades de toma de decisiones. Las decisiones tomadas por los sistemas cognitivos se basan en evidencias y evolucionan continuamente en base a nueva información, resultados y acciones.
- · Descubrimiento: Estos sistemas pueden descubrir ideas que de otro modo no se podrían descubrir. El descubrimiento implica encontrar ideas y conexiones y comprender la gran cantidad de información disponible.
Mediante el uso de dichos sistemas, los ejecutivos de
las agencias involucradas en la ciberseguridad pueden pasar de un nivel básico
a uno optimizado de inteligencia de seguridad como se describe a continuación.
Gobernabilidad, riesgo y cumplimiento
Correlación avanzada y análisis profundo
|
||||
Personas
|
Data
|
Aplicaciones
|
Infraestructura
|
|
Optimizado
|
Análisis basados en roles
|
Análisis de flujo de datos
|
Desarrollo seguro de aplicaciones
|
Monitoreo de red avanzado / forenses
|
Control de usuario privilegiado
|
Datos de governancia
|
Detección de fraude
|
Sistemas seguros
|
|
Competente
|
Gestión de identidad
|
Monitoreo de actividad
|
Aplicación de Firewall
|
Gestión de activos
|
Autenticación fuerte
|
Prevención de pérdida de datos
|
Escaneo de código fuente
|
Gestión de seguridad de endpoint/network
|
|
Básico
|
Contraseñas e ID de usuario
|
Encriptación
|
Escaneo de vulnerabilidades
|
Seguridad perimetral
|
Control de acceso
|
Anti-Virus
|
|||
Cerrando
ideas
Como vemos, el mundo digital y analógico comparten el
elemento esencial, el Humano, es allí donde nace todo y también donde finaliza.
En estas sociedades que son autocomplacientes de la tecnología, parece querer
disipar la huella de lo humano, sin embargo vemos que no es tan simple.
El desarrollo de tecnología continúa evolucionando con
la introducción de nuevas innovaciones para abordar el marco de ciberseguridad
que incluye redes, cargas útiles, puntos finales, firewalls, software antivirus
y encriptación. Este marco proporcionará una mejor capacidad de recuperación y
también de análisis forense. Algunas áreas más nuevas de inversión en
ciberseguridad serán las áreas de nube, autenticación, biometría, movilidad y
automatización, incluidas las unidades de autocifrado. Y, por supuesto,
supercomputación e informática cuántica.
La automatización, incluida la inteligencia
artificial, es una vía de seguridad cibernética emergente y futura. En un
esfuerzo por proteger mejor el ciberespacio gubernamental de USA, el
Departamento de Seguridad Interior (DHS) ha implementado un sistema de
cibervigilancia automatizado que monitorea el tráfico federal de Internet en
busca de intrusiones maliciosas y proporciona una identificación casi en tiempo
real de la actividad maliciosa llamada EINSTEIN 2.
Sin embargo, para incorporar una verdadera protección
de seguridad cibernética, Holística, no hay que dejar de lado la importancia
del factor Humano, una concientización de seguridad básica de los empleados,
establecer protocolos de seguridad y tener una fuerza de trabajo capacitada y
entrenada permanentemente.
Lograr la protección de seguridad cibernética preserva
el éxito de la misión al tiempo que se logran objetivos clave para el programa
de seguridad de los Organismos de Gobierno y Empresas. Al desarrollar una
verdadera ciberseguridad Holística e Inteligente, se puede pasar de una postura
básica (manual y reactiva) a una optimizada (automatizada y proactiva) para
proteger los sistemas críticos y la valiosa información que se posee. Mientras
no se avance en ese sentido, viviremos en el Siglo XXI pero con los resguardos
de hace 20 años atrás.
No hay comentarios.