Embed Size (px)
Citation preview
CiberCriminales.Ahora no hay lugar para ocultarse.Incorpore el poder de la visibilidad en la red a su
arquitectura de CiberSeguridad con GigaSECURE®,
la primer plataforma de Habilitamiento de la Seguridad.
Ayude a sus herramientas actuales de Seguridad a
identiicar las amenazas ocultas en el interior de su red
traduciendose también en mayor valor de su inversión
en CiberSeguridad.en CiberSeguridad.
Es momento de invertir los papeles con los atacantes.
Para conocer mas por favor visite nuestra pagina
http://weightsmart.com/es/index.php
o contáctenos en [email protected]
2016 3
22no.Contenido
Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 8, número 1, 2017. Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.Para cualquier asunto relacionado con esta publicación, favor de dirigirse a [email protected]
AÑO 8, NÚMERO 1, 2017
» Editorial
» Conexiones
» Opinión
» CiberSeguridad
Héctor Acevedo Juárez
Cambiando la cultura sobre protección de activos de la información
El asunto del prepago
La nueva era en la protección de endpoint: la última línea de defensa o, ¿la primera?
La seguridad informática en el sistema bancario panameño
El eslabón más débil
La importancia del factor humano
Factor humano: el origen de los incidentes
¿Seguridad obligatoria?
Inteligencia de amenazas ¿Cómo entenderla?
Alejandro Gallegos
Lilia Liu
Fabián Descalzo
Chris Oparaugo
Marcos A. Polanco
Sara Bursztein
María José de la Calle
Eduardo Patricio Sánchez Díaz
Dirección GeneralUlises Castillo Hernández
Editor en jefeHéctor Acevedo Juárez
Consejo EditorialUlises Castillo HernándezPriscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres
ColaboradoresSara BurszteinMaría José de la CalleFabián DescalzoAlejandro GallegosLilia LiuChris OparaugoMarcos A. PolancoEduardo Patricio Sánchez Díaz
Marketing y ProducciónKarla Trejo CerrilloSofía Méndez Aguilar
Correctora de estiloAdriana Gómez López
DiseñoSilverio Ortega Reyes
4
66
20
24
8
4
14
10
16
28
10
24
EN EL PENSAR DE...
4
En esta edición presentamos una serie de artículos enfocados en la parte humana de la seguridad, que sigue siendo el eslabón más débil de la cadena y por ello requiere atención especial, ya que de nada sirven las mejores soluciones tecnológicas si la gente que las usa no está capacitada para seguir los procesos y mejores prácticas en su vida diaria. Esperamos sean de interés para todos ustedes.
En lo que respecta al origen de quienes escriben en Magazcitum, con mucho gusto informo a nuestros amables lectores que seguimos avanzando en la inclusión de colaboradores de todo el orbe, lo cual sin duda enriquece el contenido de la revista ¡Muchas gracias a nuestros invaluables colaboradores que nos honran con su participación!
El eslabón más débil
CISSP, CISA, CGEIT, ITIL y [email protected]
Héctor AcevedoPor favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes.
Como siempre, muchas gracias por acompañarnos.
Atentamente
Héctor Acevedo JuárezEditor en jefe
Descubre todos los datos en el Security Report 2016
©2016 Check Point Software Technologies Ltd. Todos los derechos reservados.
CADA 5 SEGUNDOS UN USUARIO
ACCEDE A UNA PÁGINA WEB MALICIOSA
900% DE AUMENTO EN LOS ATAQUES DE MALWARE DESCONOCIDO POR HORA
75% DE LAS EMPRESAS ESTÁN INFECTADAS POR BOTS
checkpoint.com/[email protected]
2016SecurityReport_Flyer_Ad_8.5x11inch_Spanish.indd 1 19-Dec-16 13:08:16
Descubre todos los datos en el Security Report 2016
©2016 Check Point Software Technologies Ltd. Todos los derechos reservados.
CADA 5 SEGUNDOS UN USUARIO
ACCEDE A UNA PÁGINA WEB MALICIOSA
900% DE AUMENTO EN LOS ATAQUES DE MALWARE DESCONOCIDO POR HORA
75% DE LAS EMPRESAS ESTÁN INFECTADAS POR BOTS
checkpoint.com/[email protected]
2016SecurityReport_Flyer_Ad_8.5x11inch_Spanish.indd 1 19-Dec-16 13:08:16
6
Cambiando la cultura sobre protección de activos de la informaciónAlejandro Gallegos CRISC, ISACA Silver [email protected]¿A quién no le ha sucedido en algún momento de su labor diaria proponer una acción referida a proteger los activos de información y contar con todo el apoyo del Directorio y escuchar la famosa frase “Hazlo para toda la empresa pero excluye a la Alta Gerencia de esa acción”?, es decir, protege pero a la vez mantén desprotegida toda la información más sensible de la organización, puesto que esas áreas son las que manejan, como ninguna otra, políticas, estrategias y planes de acción sensibles para el desarrollo del negocio.
¿Todo un desafío verdad? Este es un problema muy común referente a la resistencia a ser controlado sólo porque eres el director o gerente general y consideras que no deberías estar al alcance de dichos controles.
En cualquier empresa, sea chica, mediana o grande, si no existe el compromiso de la Alta Gerencia para adherirse a las normas, la aplicación de las mismas tiende a fracasar de manera inexorable.
Lógicamente es más fácil si la empresa debe cumplir con normas que le exige su casa matriz, como es el caso de SOX, o bien el cumplimiento de requisitos que los entes contralores de cada país imponen, ya que no cumplir con el nivel exigido conlleva el riesgo de multas o calificaciones que atentan contra el desarrollo del negocio.
2016 7
Pero qué pasa con aquellas que no están obligadas y no les interesa mejorar el control interno, argumentando además que gastar presupuesto en software y hardware sobre un evento que tal vez no suceda no es prioritario, frente a los gastos que desean hacer para obtener más volumen de negocio y por ende más ganancia. En estos casos la estrategia a seguir desde las áreas de protección de activos de la información es diagramar una política de capacitación y concientización sobre aspectos de seguridad en TI, apoyada por un análisis de riesgos que permita mostrar a la Alta Gerencia las consecuencias de no poseer políticas de protección. El desafío es presentar resultados cuantitativos de la pérdida que provoca no poseer la política antes mencionada.
Siempre hay que tener en cuenta que la mayoría de los profesionales que forman parte del directorio o accionistas no comprenden el negocio en términos computacionales, sino más bien en términos monetarios, por lo tanto, ese es el lenguaje que debemos utilizar para hablar con ellos.
Otro enfoque muy útil es representar una amenaza de riesgo de TI materializada desde el punto de vista del riesgo reputacional, ya que este riesgo afecta directamente la credibilidad ante los clientes y ante todas las organizaciones que interactúan con la empresa. Si se demuestra que el hecho ocurrió porque no se tomaron las precauciones necesarias, lo más probable es que el cliente que se vio afectado comente con otros lo que le sucedió, de manera tal que la pérdida de confianza y la incertidumbre impacta directamente sobre la rentabilidad del negocio.
Así pues, para realizar nuestra tarea no solo basta tener claro cuáles son las medidas de seguridad a adoptar, sino que cobra relevancia el diseño de la estrategia que se llevará a cabo para aplicarlas y para que todos los integrantes de la organización, en especial la Alta Dirección, se adhieran a esas medidas. Un área de protección de activos de la información que no cuente con el respaldo y patrocinio adecuado, fracasará inevitablemente en su intento de mejorar los controles internos en materia de seguridad de TI.
8
La seguridad informática en el sistema bancario panameñoLilia LiuCRISC, Cobit 5 y [email protected] banca es uno de los sectores económicos que más regulaciones ha tenido en nuestro país en los últimos años. La rápida evolución de la tecnología, el robustecimiento de los controles internos y los nuevos mecanismos de seguridad que se requieren para prevenir los riesgos al realizar transacciones financieras, son esenciales para crear valor y brindar confianza en la actividad bancaria.
Cuando nos referimos a la seguridad en el ámbito de la informática, nos vienen a la mente muchos conceptos que se prestan a confusión: seguridad informática, seguridad de la información, ciberseguridad, entre otros.
La seguridad informática es una disciplina que se encarga de proteger la disponibilidad, confidencialidad e integridad de la información que es almacenada en un sistema informático; puede ser lógica (procedimientos que permiten resguardar datos, programas o aplicaciones) o física (cuando aplicamos barreras físicas o procedimientos de control ante amenazas físicas). La seguridad de la información se ocupa de la protección de la información independientemente de su formato, y abarca los documentos en papel, digital y la propiedad intelectual en la mente de las personas, y las comunicaciones verbales y visuales.
Y la ciberseguridad trata de proteger todos los activos digitales, desde las redes, el hardware y la información que se procesa, almacena o transporta por los sistemas de información interconectados.
En la actualidad, se toma muy en serio la seguridad informática como un aspecto altamente estratégico, de manera que si no es administrada correctamente cualquier riesgo crítico para un banco puede ser muy grande y crear gran repercusión en el sector financiero. Cuando la seguridad informática no se evalúa desde un enfoque holístico (como un todo) y se enfoca en procesos muy puntuales, se pierde de vista el control interno, es por ello que se deben gestionar los riesgos de manera integral.
La Superintendencia de Bancos de Panamá ha elaborado una serie de acuerdos relacionados con temas de tecnología que regulan la actividad bancaria. Estos acuerdos se muestran en la Figura No. 1, y uno de los más importantes a considerar es el Acuerdo Nº. 3-2012 del 22 de mayo de 2012, por el cual se establecen los lineamientos para la gestión del riesgo de la tecnología de la información.
Figura No. 1Acuerdos bancarios de la
Superintendencia de Bancos
Acuerdo 3-2012
Gestión del riesgo de la tecnología de la información
Acuerdo 5-2015
Prevención del lavado de activos
Acuerdo 8-2010 Gestión integral de riesgos
Acuerdo 6-2011
Lineamientos sobre banca electrónica y Gestión integral
de riesgos
Acuerdo 9-2005 Tercerización
Acuerdo 5-2011 Gobierno corporativo
Acuerdo 7-2011
Parámetros mínimos para la gestión del riesgo operativo
2016 9
Sobre este acuerdo resaltamos el Artículo Nº 2 que trata sobre el gobierno de TI, que dicta así: “Los bancos deberán contar con una estructura organizacional acorde a su tamaño, complejidad de sus operaciones y perfil de riesgo, que les permita gestionar la TI (tecnología informática) y sus riesgos asociados. El gobierno de TI deberá establecer políticas, planes estratégicos y procedimientos, así como la asignación de recursos necesarios para la gestión de TI, que serán revisadas de manera permanente y continua...”
El gobierno de TI es una parte del Gobierno Corporativo. Pero, ¿qué es el Gobierno Corporativo? Es el conjunto de reglas que guían las relaciones entre la administración, junta directiva, accionistas y los grupos de interés con la finalidad de proporcionar una estructura, objetivos y forma de monitorear una empresa. El Gobierno de TI reúne las mejores prácticas, metodologías, normativas y estándares internacionales que permiten gestionar correctamente la TI.
COBIT es un marco de referencia internacional y su implementación le permite a la organización construir un marco efectivo para un gobierno de TI. Hoy en día, COBIT es utilizado por varias entidades gubernamentales entre ellas: la Superintendencia de Bancos de Panamá, la Contraloría General de la República y la Autoridad de Innovación Gubernamental, y muchos bancos en Panamá han adoptado el uso de COBIT como marco de referencia, su correcta implementación les garantiza el camino hacia el éxito.
La Superintendencia de Bancos de Panamá cuenta con un cuerpo especializado de auditores en riesgo tecnológico quienes realizan inspecciones a los bancos y fiduciarias en materia de tecnología y cuyo objetivo principal es evaluar la gestión de sus controles y la gestión del riesgo en las instituciones reguladas bajo la ley bancaria panameña.
Con las nuevas tendencias tecnológicas nos enfrentamos a nuevos retos y nuevos esquemas de fraudes que los delincuentes utilizan para cometer delitos cada vez más sofisticados.
De acuerdo con una encuesta elaborada a 900 expertos en seguridad informática denominado “Estudio de seguridad de pagos móviles del 2015” y coordinado por la asociación global ISACA (Asociación de Auditoría y Control de Sistemas de Información, www.isaca.org) se clasificaron las principales vulnerabilidades asociadas con los pagos móviles de la siguiente manera:
1. Uso del WiFi público (26%).
2. Pérdida o robo de dispositivos (21%).
3. Phishing (fraude electrónico por correo electrónico) / SMiShing (fraude electrónico por mensaje de texto) (18%).
4. Contraseñas débiles (13%).
En otro estudio realizado sobre el estado de la ciberseguridad en 2016, realizado por la ISACA en la Conferencia RSA, se estima que 82% de las juntas directivas se encuentran muy preocupadas por los temas de ciberseguridad; 6 de cada 10 empleados piensan que no podrán manejar incidentes relacionados con ciberseguridad; 74% tiene expectativas de que existan ciberataques en 2016; 30% experimenta ataques de phishing cada día; y 27% considera que les toma hasta 6 meses cubrir una posición en la que se requiera experiencia en temas de ciberseguridad. En esta encuesta se resalta que las empresas aún consideran la ciberseguridad más un tema tecnológico que un aspecto del negocio. Esto nos indica que los bancos y los grupos bancarios en Panamá deben prepararse ante la realidad que se avecina. Además de toda la tecnología móvil, las conexiones inalámbricas, la integración del Internet de las cosas y la inteligencia artificial aumentarán el riesgo si no se administran correctamente.
10
Factorhumano:
Sara Bursztein [email protected]
Estimados lectores, es un placer ponerme nuevamente en contacto con ustedes para compartir en esta entrega la evolución del impacto del ser humano en los incidentes de seguridad. Así como en el artículo anterior hicimos un análisis del ser humano y su falta de percepción del valor que tiene la información para las organizaciones, transformándose en el talón de Aquiles para la seguridad de la información, en esta oportunidad continuaremos abordando su protagonismo en las brechas de seguridad, como la vulnerabilidad explotada por los ciberdelincuentes que persiste y sigue siendo el principal origen de incidentes.
Cuando analizamos los informes y encuestas sobre la situación de la seguridad de la información, nos encontramos que en la actualidad no hay organización que pueda considerarse exenta de sufrir un incidente. Los ataques crecen en volumen e impacto, generando pérdidas tanto económicas como de reputación con costos que escalan año tras año. Es evidente que los mecanismos de prevención, detección y recuperación no están funcionando; muchas organizaciones se encuentran desorientadas en el contexto actual, y tratan de tapar el sol con un dedo. Para visualizar el tema compartiremos algunos informes presentados en 2015 y 2016.
1.- Evolución de los incidentes
De acuerdo al documento publicado por PWC – Resultados de la Encuesta Global de Seguridad de la Información 2016, se presenta a nivel global la siguiente evolución de incidentes; en el cuadro se visualiza claramente el crecimiento año tras año de los incidentes a nivel global, sobre todo en los últimos dos años, en los cuales vemos un impacto de 42 % y 38 %, respectivamente:
el origen de los incidentes
Además, en el mismo informe se presenta a América Latina con un crecimiento de 109% en los incidentes:
10
Evolución global de incidentes de Seguridad de la información2009 - 2015
70
60
50
40
30
20
10
02009 2010 2011 2012 2013 2014 2015
59.20
3.40 9.4022.70 24.90 29.90
42.90M
illone
s
42%
38%
2.- Origen de los incidentes
Para enfrentar este crecimiento sostenido de incidentes, tendríamos, en primera instancia, que contar con una visión clara de sus causas y orígenes.
Sabemos que los ataques de hoy no son los mismos que se perpetrarán en el futuro, pero mientras los actuales resulten efectivos, los ciberdelincuentes los seguirán explotando ya que para ellos siguen siendo redituables. Tenemos la certeza de que estamos corriendo detrás del problema…. pero es necesario actuar. Y para adentrarnos en la compleja situación comenzaremos presentando diferentes indicadores que nos permitan elaborar el contexto actual de la temática.
América latinaaumento incidentes
en 2015
109%
Origen de incidentes de seguridad de la informaciónEvolución global 2014 - 2015
40%
35%
30%
25%
20%
15%
10%
5%
0%Empleados
actualesExempleados Preveedores
de serviciosExproveedores
de serviciosSocios
del negocio
Año 2014Año 2015
35%34%
30%29%
18%
22%
15%
19%
13%
16%
2016 11
humano:Analizaremos en primer lugar el origen de los incidentes a nivel global, de acuerdo al documento de PWC- The Global State of Information Security® Survey 2016:
Finalmente, en el caso de los socios del negocio, podemos inferir que el punto clave pasa por el intercambio de información sensible del negocio, en el cual no siempre se maneja la confidencialidad en ocasiones por desconocimiento del nivel de clasificación de la información y las consecuencias del impacto negativo que su divulgación pudiera generar.
3.- Panorama de amenazas
Una vez que hemos determinado como principal origen de incidentes al ser humano, analizaremos las causas de los incidentes, cómo logran vulnerar a las personas y cuáles son los ataques a los que están expuestos para penetrar las barreras de seguridad de la información.
Para este análisis nos basaremos en el informe del prestigioso SANS INSTITUTE, Exploits at the Endpoint: SANS 2016 Threat Landscape Survey, de septiembre de 2016.
Antes de abordar dicho análisis en el que se revisan los exploit sobre los endpoint, haremos una breve introducción sobre estos conceptos.
Los exploit son las acciones, comandos o programas que aprovechan las vulnerabilidades –agujeros en la seguridad– en un sistema de información para realizar acciones delictivas con la finalidad de conseguir beneficios o dañar al objetivo. Es importante comprender el concepto de exploit, ya que representa la acción –por ejemplo, un exploit no es un malware sino la acción que permitió que ese malware infecte el sistema-; no es el veneno en sí mismo sino la acción que hace que lo tomemos. Ya que el veneno solo no hace daño, lo hace en la medida en que penetre en nuestro organismo. Por otra parte, existen los exploit sobre los que podemos actuar, los ya conocidos, pero que por falta de información, capacitación o negligencia de organizaciones e individuos continúan generando incidentes sobre la información, a pesar de que en muchos casos tienen un impacto mediático importante. Es sorprendente ver como se asumen riesgos no obstante las alertas. Pero hay otros exploit comúnmente llamados los 0-day que se utilizan en ataques generalmente dirigidos: son acciones de penetración silenciosas que suponen una grave amenaza ya que son muy difíciles de prevenir y detectar.
En cuanto a los endpoint, estos están conformados por las PC, notebooks, tablets, teléfonos inteligentes, cajeros, impresoras y cualquier equipamiento que forme parte de la red y que son la primera línea que tiene que enfrentar los ataques – exploits, y en la medida que sean operados bajo mecanismos de seguridad que permitan prevenir y detectar la amenaza podrán bloquear el ataque y hacer fracasar la intrusión, mitigando el perjuicio que pudiera causar.
Hecha esta introducción, adentrémonos en el actual panorama de amenazas: 80% de las organizaciones encuestadas en el informe de SANS reportaron incidentes de phishing - con un impacto muy significativo de 27%, mientras que el segundo impacto importante reportado por 49% de los encuestados, con un impacto de 19% lo genera el ransomware.
Origen de incidentes de seguridad de la informaciónEvolución global 2014 - 2015
40%
35%
30%
25%
20%
15%
10%
5%
0%Empleados
actualesExempleados Preveedores
de serviciosExproveedores
de serviciosSocios
del negocio
Año 2014Año 2015
35%34%
30%29%
18%
22%
15%
19%
13%
16%
Observemos que el origen de incidentes a partir de empleados actuales y exempleados se mantiene en el orden de 35%/34% y 30%/29% a lo largo de los dos últimos años. Esto significa que no se han podido realizar acciones efectivas en pos de mitigar este origen de incidentes en el que el factor humano se encuentra en primer término.
Intuitivamente podríamos decir que, en el caso de los empleados, el desconocimiento por falta de capacitación y la negligencia por falta de concientización podrían ser el primer motivo de incidentes, pero este no sería el caso de exempleados y de alguno que otro empleado en servicio que, en busca de obtener réditos fraudulentos o dañar a la organización por diversos motivos de insatisfacción, generen incidentes en forma deliberada.
Por otra parte, se visualiza que tanto los proveedores y los ex proveedores de servicios de TI se han incrementado como origen de los incidentes. En este punto debemos considerar que la tendencia a tercerizar servicios es global en las organizaciones con el objetivo de disminuir costos. En este punto hay cada vez una mayor oferta de empresas que proveen soluciones que requieren del acceso de sus empleados de las mismas para gestionar –operar, consultar, soportar, etc.- la información de la organización a la que le prestan servicios, ocasionando situaciones de riesgo en la medida que no exista un marco de seguridad acorde a la información a la que acceden.
11
12
Este es un ataque que se expandió globalmente a partir del año 2012 y que se presenta en general como un archivo adjunto a un correo electrónico, que en una de sus versiones cifra todos los archivos del usuario con una clave, que solo el creador del ransomware conoce, por lo que extorsiona al damnificado para volver a permitirle el acceso a los archivos a cambio de un pago.
Aunque en segundo término figura el spearphishing –ataque de phishing con un objetivo focalizado – este ha tenido un impacto 13% menor al ransomware, igual que el caso de troyanos, con una participación de 53% y un impacto de tan solo 7 por ciento.
¿Cómo los ataques logran penetrar los Endpoint?
Fig. 4 Phishing, ransomware and APT cause greatest impact
80%
60%
40%
20%
0%
Phish
ing
Spea
rphi
shin
gor
wha
ling
Troj
an
Rans
omw
are
Phish
ing
DDoS
SQL
inje
ctio
n, c
ross
-site
scrip
ting
or o
ther
web
app
atta
ck
Wor
m
Adva
nced
per
siste
ntTh
reat
(APT
)
Mob
ile m
alw
are
Privi
lege
esc
alat
ion
Keylo
gger
Man
-in-th
e-m
iddl
eat
tack
Oth
erSeen in our organization Significant impact
Un punto interesante para nuestro análisis es detectar qué amenazas se han incrementado en el último año. Nuevamente vemos que aparecen el phishing, ransomware y el spearphishing en primer lugar, y en los tres casos la puerta del incidente la abre el factor humano. Fig. 5 Phishing, ransomware, spearphishing most on the rise
Increase No change Decrease0% 20% 40% 60% 80% 100%
Phishing
Spearphishingor whaling
Trojan
Ransomware
Spyware
DDoS
SQL injection, cross-sitescripting or other web app attack
Worm
Advanced persistentThreat (APT)
Privilege escalation
Keylogger
Man-in-the-middleattack
Other
Por último, para poder entender el contexto de este panorama, es necesario responder a las siguientes preguntas: ¿cómo llegan los ataques a los endpoit y cuál es la causa de que esos ataques tengan éxito?
¿Cómo llegan los ataques a los Endpoint?
75% Ingresan vía adjuntos de correos electrónicos
46%
41%
Son ejecutados por usuarios al darle clicken Web links enviados por correo electrónico
Downloads realizados desde la Webdesconociendo consecuencias que instalan
En materia de las brechas que abre el ser humano, los errores de usuarios constituyen la causa principal de incidentes con 48%, conjuntamente con 38% que corresponde a la ingeniería social – es decir, la manipulación de los usuarios por parte de los atacantes para obtener información en forma fraudulenta -, en ambos casos la concientización, capacitación y entrenamiento juegan un papel fundamental que define la capacidad de defensa del usuario frente a estos ataques. El ataque de 0-day ocurre cuando el ciberdelincuente conoce y tiene capacidad de explotar una vulnerabilidad no remediada, por lo que se genera una ventana de tiempo entre el posible ataque y el desarrollo/publicación del parche que soluciona la vulnerabilidad. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad.
En este artículo se ha expuesto al factor humano como principal origen de incidentes a lo largo de los últimos años, sin mostrar hasta hoy indicios de algún cambio en la tendencia. Concluimos entonces con que el factor humano es la mayor vulnerabilidad para la seguridad de la información. Para mitigar esta situación es necesario trabajar sobre la concientización de las personas en pos de cambios de hábitos y conductas que, acompañados por capacitación y actualización, generen un marco de continuidad en el que los individuos se apropien de la problemática de seguridad siendo protagonistas del cambio cultural necesario para enfrentar el actual escenario de amenazas.
Los principales ataques tienen éxito si el usuario abre un adjunto o hace clic en un link, de esa manera comienzan la infección del ransomware.
48% Errores del usuario
38%Ingeniería social
41% Ataques de 0-day
WWW.TELMEX.COM/IT
WWW.TELMEX.COM/IT
14
La importancia del factor humanoFabián [email protected]¿Todo se resuelve con la tecnología? ¿Por qué los directivos deben hablar más con sus empleados sobre seguridad? En una investigación global de fraude, encargada por la consultora internacional Kroll y realizada por The Economist Intelligence Unit, se encuestó a 768 altos ejecutivos de todo el mundo, que representaban una amplia gama de industrias y funciones, cuya observación general fue que el fraude sigue en aumento; se determinó que tres cuartas partes (75%) de las compañías informaron que habían sido víctimas de un incidente de fraude en el último año.
El resultado de la investigación revela que para 81% de las compañías encuestadas, la mayor amenaza de fraude proviene de sus áreas internas, y había sido perpetrado por algún miembro de la propia organización. Este hecho representa un importante incremento frente al 72% registrado en la encuesta anterior.
Las empresas encuestadas representan a una amplia gama de industrias, incluyendo servicios financieros, servicios profesionales, comercio, tecnología de la información, telecomunicaciones, salud, farmacéuticas, biotecnología, transporte, ocio, turismo, bienes de consumo, construcción, ingeniería, infraestructura, recursos naturales y manufactura, lo que indica que esta problemática no es privativa de una industria o pocas empresas.
Cuando hablamos de fraude, la primera relación que hacemos está asociada a la estafa o robo económico, pero también debemos incluir aspectos relacionados con la pérdida de confidencialidad y privacidad de la información, y en la coincidencia entre ambos aspectos está la necesidad de proporcionar directrices para la selección y especificación de controles de seguridad que tienen que ver con el factor humano, que sirvan para ser aplicados a cualquier proceso y sistema de información que deseemos fortalecer, con una gestión de riesgos efectiva mediante un enfoque coherente, comparable y repetible para la selección y especificación de los controles de seguridad, proporcionando además un catálogo estable, pero flexible, de controles de seguridad para satisfacer las necesidades de protección de información actuales y futuras, de acuerdo a los cambios en las amenazas, los requisitos y las tecnologías.
Tengamos en cuenta que la pérdida de confidencialidad y privacidad de la información, además de traer como consecuencia aspectos económicos adversos para la organización, también le crea riesgos legales y de imagen ante la comunidad, por lo que la creación de una base para el desarrollo de métodos y procedimientos para determinar la efectividad de los controles requiere que se discutan conceptos de gestión de riesgos asociados a los recursos humanos de toda la organización. Según lo mencionado por el Ministerio de Trabajo y Asuntos Sociales de España en el documento “NTP 537: Gestión integral de riesgos y factor humano”, la gestión de estos riesgos sobre la operación y funciones corporativas debe facilitar un efectivo control de todo tipo de pérdidas, a través del cual las personas, asumiendo que son debidamente respetadas por la estructura de la que forman parte, contribuirán notoriamente al logro de los objetivos empresariales.
2016 15
Tal como lo sabemos, cada uno de los estándares aplicables a los sistemas de gestión contempla el factor humano, tanto en aspectos relacionados con su capacitación y aptitudes técnicas como en su propia gestión del entorno de trabajo y sus responsabilidades en el cumplimiento legal y regulatorio. Las pautas determinantes para conseguirlo son la formación continua y la motivación del personal, que son elementos esenciales para conseguir un buen nivel de competencia profesional, crear pertenencia a la organización y, en consecuencia, compromiso con los objetivos de la misma.
Es a partir de esta concepción que una gestión adecuada de los riesgos ayudará a modelar una metodología para detectar cuáles son los aspectos esenciales en los que la mejora es más necesaria u oportuna para el éxito de una estrategia empresarial basada en las personas. La NTP mencionada puede ser tomada como guía para analizar la problemática que planteamos en este artículo, ya que establece que deben ser evaluados seis aspectos relevantes, que desde mi punto de vista pueden despertar potenciales riesgos a la organización, al igual que cualquier otro aspecto tecnológico o funcional:
» Liderazgo y estrategia, evaluado como factor clave para el potenciamiento y apoyo al desarrollo de competencias; revisión del método en la delegación de tareas, responsabilidades y autoridad; revisión de la definición de intereses estratégicos para la organización en prevención de riesgos.
» Cooperación, evaluando el desempeño del trabajo en equipo y la integración de los objetivos de grupo en los objetivos generales; así como la participación activa a todos los niveles y la facilidad en las relaciones funcionales e interdepartamentales.
» Comunicación, revisando cada uno de sus canales (vertical bidireccional y horizontal), sus formas y la oportunidad de aplicación de nuevas tecnologías; evaluar los medios de transmisión de la información, sus tiempos y actualización.
» Organización y cultura, evaluando su flexibilidad y adaptabilidad al cambio; revisando la estrategia de la gestión por procesos frente a la gestión por funciones, para evitar que se solapen competencias decisionales o funcionales; análisis del sistema de desarrollo y promoción de las personas en la organización; mejora continua y toma de decisiones por la persona más próxima (autonomía decisional).
» Formación, evaluando las actividades se facilita el compartir conocimientos; los programas de aprendizaje continuo y estratégica de aprendizaje.
» Tecnología, revisando la gestión de aplicación de nuevas tecnologías de la información y su aprovechamiento para la generación y gestión del conocimiento de los recursos humanos, y el cumplimiento legal y regulatorio desde sus funciones laborales.
Las definiciones antes expuestas, y la problemática en torno a los riesgos del factor humano, nos indican que el año 2016 profundiza el desplazamiento en el enfoque adoptado por las diferentes regulaciones y estándares, cambiando su estrategia de revisión para que el foco esté en la evaluación de la cultura de cumplimiento de las empresas y no simplemente en la evaluación técnica o funcional disociada de la gestión de sus recursos humanos.
Las entidades regulatorias han puesto sus ojos en la cultura corporativa y su relación con las prácticas de cumplimiento, ampliando su enfoque en áreas tales como los controles internos y la gestión de riesgos, evaluando, entre otras cosas, qué tan bien las empresas han implementado procedimientos adecuados para minimizar los riesgos relacionados con toda gestión llevada a cabo por su personal.
Para todos los casos y ante cualquier situación, el riesgo del factor humano está siempre presente, por ello es necesario establecer una metodología cuantitativa en función de datos que representen el nivel de cumplimiento interno, representados en un proceso de medición que refleje en forma periódica el alineamiento a las políticas internas y sus desvíos. También puede hacerse mediante encuestas internas a usuarios finales, con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia previa a evaluar el cumplimiento en los procesos.
Con respecto a los indicadores, estos deben ser dinámicos en función de nuevas regulaciones o cambios en los procesos (lo que los hace variables en el tiempo); además de que también se puede establecer distintos niveles de indicadores en función del nivel de madurez de la organización, lo que a su vez hace posible que varíen en el tiempo, teniendo en cuenta el crecimiento futuro en el nivel de cumplimiento de la empresa.
Como conclusión, no importa para qué proceso usted esté implementando una gestión de riesgos. Lo relevante es tener en cuenta en ella a las personas y sus funciones dentro del proceso, con el fin de determinar en forma temprana los controles y la metodología con los que los va a llevar adelante y los va a medir.
16
María José de la Calle iTTi, Instituto de Tendencias en Tecnología e Innovación (España)[email protected]
¿Seguridadobligatoria?
En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia acerca de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"1.
El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno o más puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.
Tal y como se dice en el blog de USBkill2, las empresas de hardware deben ser responsables de las fallas de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB mediante el cual se pueden intercambiar datos.
Aunque según sus propios autores la única empresa que parece haberles prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer".
No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que el fabricante no le reponga o le compense por el equipo estropeado ¡Aunque, sin duda, sería todo un detalle!
Es evidente que la tecnología va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que se lleva hablando varias décadas de la seguridad tecnológica -hoy, digital- el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"3-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.
Como consecuencia de ello, una norma de facto bastante extendida en muchas organizaciones instaba a no implantar las últimas versiones de cualquier software, para dar tiempo a que se fueran subsanando los errores.
Lo anterior difiere de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).
Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión de chips con capacidades de comunicación y tratamiento de datos en todo tipo de objetos, las cosas han cambiado.
2016 17
María José de la Calle iTTi, Instituto de Tendencias en Tecnología e Innovación (España)[email protected]
¿Seguridad
Piense por un momento en las omnipresentes cámaras de vigilancia. Estas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos que todo lo ven” y “que todo lo cuentan". Sin embargo, esa captura y transmisión de información no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo - las cámaras, en el ejemplo- como puerta de entrada o como punto débil para conseguir el acceso a otros activos de la organización.
El artículo Design Flaws in IP Surveillance Cameras4, de la revista Hackin9, indica que las debilidades de seguridad relacionados con estos dispositivos son múltiples: desde disponer de las credenciales de acceso al dispositivo (por ejemplo, fácilmente localizables en cualquier manual publicado en Internet o incluso contenidas sin cifrar en la memoria de la cámara), hasta permitir la manipulación para, por ejemplo, la sustitución de imágenes falsas que permitieran sustituir el flujo de video real.
Esa omnipresencia mencionada con anterioridad, se acentúa hoy día con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores5 o frigoríficos. Este último caso forma parte de la propuesta de Samsung6, que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje.
En el caso de los televisores, estos ahora incorporan micrófonos7 para aceptar órdenes de voz que sustituyan el mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno.
Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores. Es conocida la anécdota protagonizada recientemente por el fundador de Facebook, Mark Zuckerberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos8. El propio director del FBI9 ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro auto. Una comparación que tal vez no sea muy acertada: la puerta del auto es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el auto está funcionando; por el contrario, la cámara o el micrófono pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad ¿Querrá ello decir que la práctica aconsejada es dotarse de equipos "antiguos", carentes de dicha tecnología?
Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos, que asemejan ser como los de siempre, pero que no lo son.
Durante la última edición del encuentro Defcon, celebrado el pasado mes de agosto en Las Vegas (EE.UU.), "IoT Village"10 presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a apagar una pequeña estación de generación de energía eléctrica. Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando las posibles fallas de seguridad.
Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba en una reciente entrevista para Help Net Security11 que muchos de estos objetos los fabrican empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas).
La Online Trust Alliance (OTA)12, después de analizar y publicar una serie de vulnerabilidades detectadas en dispositivos entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.
17
18
Paradójicamente, aquello que le da mayor potencia al Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte.
Las medidas de seguridad establecidas hasta ahora en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un auto antes de salir de fábrica-, han de complementarse ineludiblemente con otras que velen por la ciberseguridad. El ejemplo de los autos es muy adecuado teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.
La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores que favorezca la consecución, entre todos, de un entorno más seguro.
Que la IoT no pase de ser el "Internet de las cosas" al "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky: “Internet of Things? I Call It Internet of Threats.”13
1url [a 25-09-2016] https://www.usbkill.com 2"USB kill: Behind The Scenes" (30 de agosto, 2016) url [a 25-09-2016] https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html
3url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner 4Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf
5Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html
6url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/
7Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" CompterHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055
8Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent. url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html
9Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent. url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html
10Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/
11Véase nota [x] 12Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/ 13"¿Internet de las cosas? Yo lo llamo Internet de las amenazas".
Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541
12 3
Una visión más grande con – TRD – Detección y Respuesta de Amenazas.
Visita: www.watchguard.com/TDR
Teléfono: +1 (206) 521 1418
Email: [email protected]
Copyright © 2017 WatchGuard Technologies, Inc. All Rights Reserved.
Correlaciona. Prioriza. Responde.
20
El asunto del prepagoChris Oparaugo [email protected] empresa
BarakCom Co., una compañía top tier de telecomunicaciones, fue incorporada en 2005 para proveer servicios que van desde telefonía, datos, comunicación de voz y contenido móvil. La compañía cuenta con una plantilla de 1,115 empleados en sus diferentes oficinas, con una expectativa de buenas ganancias en un país donde casi todo el mundo quería, y sigue queriendo, mantenerse en contacto.
La industria de las telecomunicaciones en Nigeria
La economía nigeriana ha experimentado un crecimiento espectacular en los últimos dos años. Aparte del petróleo, las telecomunicaciones se consideran su motor principal. Desde la desregulación de la industria, el número de líneas telefónicas ha pasado de 400 mil a más de 80 millones de usuarios.
Además de aumentar la teledensidad en el país, la industria de las telecomunicaciones ha creado empleos, estimulando el crecimiento. Nigeria ha sido reconocida como el mayor mercado de telecomunicaciones de África, con la mayor base de suscriptores, convirtiendo así a África en el mercado móvil de más rápido crecimiento del mundo.
Muy recientemente, el gobierno nigeriano, como parte de los esfuerzos para mejorar la seguridad de la gente y sus bienes, ordenó a los operadores de telecomunicaciones registrar las tarjetas SIM de sus suscriptores.
El negocio
El negocio de las telecomunicaciones se ha expandido a pasos agigantados, con las llamadas de voz de prepago ocupando el primer lugar en la generación de ingresos. Según los expertos, el número de líneas conectadas en Nigeria se sitúa actualmente en 110 millones, con 80 millones de suscriptores activos y una teledensidad de 53 por ciento.
Llamadas de voz prepagadas
El paquete de voz prepagado es un plan de llamadas que permite a los clientes tener cierta cantidad de minutos que pueden usarse para llamar a destinos locales y a ciertos destinos internacionales seleccionados. En el paquete de llamadas de voz prepago, el llamador compra tiempo mediante una tarjeta prepagada, que permite el acceso a llamadas de voz hasta el monto que garantice su tarjeta.
Varias ofertas de servicios se clasifican de acuerdo con los beneficios adjuntos, por ejemplo, las llamadas entre el personal de una misma empresa pueden tener un costo muy bajo o incluso ser gratuitas, mientras que las llamadas dentro del mismo proveedor o realizadas en ciertos horarios estipulados cuestan un poco menos que las llamadas regulares, dependiendo del plan de beneficios y tarifas elegidas. Las llamadas entre el proveedor seleccionado y otros carriers se facturan a una tasa más alta.
2016 21
El asunto en cuestión
Tres años después de que la compañía comenzó a operar, Musa Okoro, CRO de la empresa, se sentó en su escritorio con una mirada pensativa mientras revisaba de nuevo el correo del director financiero sobre las enormes pérdidas registradas por el servicio de voz prepago, que en parte señalaba "... es aterrador que una unidad de negocio estratégico como las llamadas de voz prepagadas esté teniendo pérdidas tan grandes después de casi tres años de obtener ganancias, ¿qué cambió?”
¡Nada ha cambiado! -gritó Musa en voz alta, como si fuera a una audiencia, echó la cabeza hacia atrás en la silla, inclinándose hacia un lado y volviendo a pensar en la inquietante conversación que había tenido un día antes con el jefe de facturación, mediante la cual se enteró de que se había utilizado un tiempo de antena con un costo de 1.18 millones de dólares durante un periodo de tres meses, sin que se registraran ingresos proporcionales. Confesó haber comprobado todos los procedimientos con las unidades correspondientes, señalando que todas las autorizaciones pertinentes estaban en vigor y fue entonces cuando decidió revisar el asunto de manera informal con el CRO antes de emitir una alerta formal. Musa decidió llamar a su equipo de expertos para una reunión y poner en marcha la maquinaria para investigar de inmediato el problema.
Hizo una llamada solicitando una auditoría completa del periodo relevante y un informe detallado, mientras él iba a trabajar con su equipo para determinar cualquier incumplimiento o brecha en la seguridad. Pero todo esto no produjo ningún hallazgo, todo parecía estar en su lugar. Cuando el informe de la auditoría llegó, fue examinado repetidamente buscando discrepancias en cualquier faceta de la operación y analizando cuidadosamente los ciclos de transacción de todos los departamentos interrelacionados, sin embargo, todo parecía estar bien.
"Esto no me gusta" pensó Musa. Por su experiencia de años en la gestión del riesgo operacional y la investigación de fraude, sabía que estaba en contra de un elemento humano muy inteligente porque 1.18 millones de dólares no se evaporan en el aire sin dejar rastro. Entonces decidió poner una red de vigilancia silenciosa, cuidando cada transacción. Él sabía que con el tiempo “alguien” sería engreído y cometería errores. Sus predicciones fueron recompensadas tres semanas más tarde, cuando uno de los miembros más jóvenes del equipo de vigilancia solicitó una audiencia con él.
Tunde, un joven prometedor con mucho entusiasmo, ideas y energía, le contó una increíble historia de un centro de negocios que visitó el fin de semana, en una parte muy concurrida de la isla no muy lejos de la oficina, donde se ofrecían llamadas a casi la mitad de precio en dos redes muy populares, ABTel y Barakcom. El lugar parecía una colmena, con numerosos clientes solicitando llamadas locales y, principalmente, internacionales. Se quedó casi congelado al ver que prácticamente todos los clientes hacían sus llamadas en estas dos redes. Le preguntó a uno de los asistentes por qué preferían dichas redes y le respondieron que eran las más baratas pues la encargada daba precios especiales.
Tunde supo de inmediato que estaba ante algo que se relacionaba con los problemas que estaban teniendo en la oficina. Así que pidió ver a la señora, que sorprendentemente era una joven soltera, probablemente de veinte o treinta y tantos años. Inmediatamente pensó un plan sobre el terreno para llegar a la raíz del asunto: entabló una relación amistosa con ella elogiando el alcance de su operación y su perspicacia en los negocios. Huelga decir que se convirtió en un cliente preferido, frecuentando el centro de negocios cada vez que podía, incluso durante sus días de descanso. Después de un tiempo, le contó sobre las frustraciones en su trabajo y su deseo de conseguir algo más para reemplazar su salario. Ella respondió que no había problema pues lo conectaría con un amigo suyo, que era responsable de su próspero negocio, e incluso le dijo a Tunde que podría iniciar su propio centro de llamadas vía ABTel y Barakcom por casi nada, excepto por algunos pagos estipulados que tendría que hacer para retener el uso de las líneas. Programaron una reunión con el contacto para el siguiente martes y Tunde decidió actualizar a su jefe, Musa, el lunes por la mañana para obtener una autorización sobre las siguientes acciones.
22
Mientras trabajaba en ABTel, Oti estableció muchos "centros de negocio" que cargaban costos mínimos por usar líneas que no costaban nada, ganando cientos de miles de dólares para él y sus amigos. Cuando ABTel notó las pérdidas se inició una investigación, por lo que Oti renunció y tomó un descanso de la industria de telecomunicaciones mientras que daba clases en uno de los institutos privados que ofrecían certificaciones de TI. Tiempo después regresó a la industria como personal del servicio de atención a clientes en respuesta a un anuncio de vacantes en Barakcom. Para entonces se había vuelto tan experimentado que para seguir realizando sus actividades ilegales no importaba qué tan bajo estuviera en el organigrama de la empresa, lo único que necesitaba era acceso a una computadora dentro de la red de la empresa.
Después de toda la saga, Musa miró a su equipo y preguntó, "¿qué creen que salió mal?" (a continuación algunas de las cuestiones a revisar):
Musa estaba exaltado, las cosas empezaban a aclararse por fin. "Reúnase con el contacto, memorice sus rasgos, obtenga toda la información que pueda, un número de teléfono si es posible, y vuelva conmigo", le dijo Musa. Tunde fue a su cita; le presentaron al hombre detrás de las operaciones, Oti Adamu. Se sorprendió de que Oti no era como esperaba, estaba frente a un joven de unos treinta años de edad, de voz suave, delgado, y obviamente muy inteligente. Se presentó como Oti Adamu, director de Network Connection & Distribution en Barakcom.
"¡Qué!" gritó Tunde para sí mismo, "este es el hombre que estamos buscando, pero, ¿cómo obtuvo acceso autorizado a Barakcom?” Tunde no lo conocía y sabía que el Departamento de Network Connection & Distribution no existía. Entonces se le ocurrió una idea y pidió la tarjeta de identificación de Barakcom de Oti para confirmar su identidad “antes de darle sus ahorros tan arduamente logrados” y Oti cumplió: tenía una identificación de Barakcom en el bolsillo de su camisa; Tunde notó su designación como miembro del Departamento de Servicio a Clientes. En ese momento Tunde dio por terminada la reunión con la excusa de que necesitaba volver a la oficina inmediatamente, y prometió seguir con el acuerdo más adelante.
La Dirección de Gestión de Riesgos tenía a su hombre y rápidamente se puso a trabajar. El Departamento de Recursos Humanos fue contactado de inmediato para confirmar la identidad. Resultó que el servicio de atención a clientes había sido subcontratado y Oti era parte del personal reclutado en ese periodo; lamentablemente no se realizó una verificación detallada de antecedentes, y fue contratado como alguien experimentado y proveniente de ABTel. Investigaciones subsecuentes revelaron que era un hacker experimentado, entrenado como ingeniero de redes y que había trabajado en un equipo de telecomunicaciones más pequeño donde comenzó a realizar actividades de cibercrimen, cambiando su perfil y escalando privilegios para obtener acceso a gateways seguros. Ganaba $0.003 USD por cada uno de los millones de suscriptores afectados, un arte que perfeccionó mientras trabajaba en ABTel como ingeniero de redes.
2016 23
Políticas a revisar Objetivos de control involucrados
Antes de la contratación (Recursos Humanos)
Objetivo: asegurar que los empleados y subcontratistas entienden sus responsabilidades y que son adecuados para los roles en los que se desempeñan.
Recursos Humanos debió revisar los antecedentes de los candidatos a cubrir tanto posiciones internas como tercerizadas. La revisión de antecedentes debió hacerse en concordancia con las leyes y regulaciones relevantes, de manera ética, de acuerdo a los requerimientos del negocio, la clasificación de la información a la que tendrán acceso los empleados y los riesgos percibidos. Lo anterior hubiera reducido el riesgo de tener hackers al interior de la empresa.
Requerimientos empresariales de control de acceso
Objetivo: limitar el acceso a la información y a las instalaciones de procesamiento de información. Se deben tener procesos y procedimientos más estrictos para restringir el acceso a archivos y carpetas sensitivas en la red de la organización.
La política de control de acceso no se aplicó o se implementó mediante la tecnología.
Se debió definir, documentar y revisar la política de control de acceso de acuerdo a los requerimientos del negocio y de seguridad de la información.
Administración de acceso de usuarios
Objetivo: asegurar el acceso únicamente a los usuarios autorizados, y prevenir el acceso no autorizado a sistemas y servicios.
No hubo asignación y control de los derechos de acceso.
No se mantuvo la secrecía de la información de autenticación y no hubo un proceso formal de gestión para efectuar su control dentro de la red de la empresa.
Los propietarios de activos deberían haber revisado los derechos de acceso de los usuarios a intervalos regulares, para detectar y prevenir el acceso no autorizado a sistemas y aplicaciones.
Gestión de incidentes de seguridad de la información y mejoras en la gestión
Objetivo: asegurar un enfoque coherente y efectivo de la gestión de incidentes de seguridad de la información, incluida la comunicación sobre los eventos de seguridad y las debilidades.
Se pudo observar que el equipo de administración de riesgos carecía de la capacidad de respuesta para abordar los incidentes de seguridad de la información, ya que no tenían procedimientos documentados.
La respuesta a los incidentes de seguridad de la información debería ser de conformidad con los procedimientos documentados.
Controles criptográficos
Objetivo: asegurar un uso adecuado y efectivo de la criptografía para proteger la confidencialidad, autenticidad e integridad de la información.
No se desarrolló ni implementó una política sobre el uso de controles criptográficos para la protección de la información. El empleo de una autenticación de dos factores habría impedido el acceso a los archivos confidenciales.
Administración de la seguridad de la red
Objetivo: asegurar la protección de la información en las redes e instalaciones relacionadas.
La cuestión más visible que surgió fue la falta de segregación de la red. La aplicación de grupos de servicios de información, usuarios y sistemas de información debería haber sido segregada en redes y clasificada para la gestión adecuada de la red.
24
La nueva era en la protección de endpoint:la última línea de defensa o, ¿la primera?Marcos A. Polanco ITIL, CISSP, CISA y [email protected] Hablar sobre los retos en ciberseguridad es algo ya familiar y conocido por muchos; para mí no hay mejor forma para describir lo que enfrentamos que el término VUCA, el cual viene del mundo militar y es acrónimo de volatility, uncertainty, complexity y ambiguity. Este concepto se utiliza para describir ambientes en los que los sucesos o cambios están dominados por la volatilidad, la incertidumbre, la complejidad y la ambigüedad, es decir, son entornos en los que nuestro conocimiento actual no nos permite saber acerca de las situaciones futuras y, por lo tanto, difícilmente podemos anticipar lo que sucederá ni los resultados de nuestras acciones.
En el caso de las tecnologías de la información, uno de los factores que más influyen en la problemática actual es la complejidad, la cual puede ser analizada desde dos perspectivas: la interna y la externa. Desde la perspectiva interna, el uso de ambientes virtualizados, la microsegmentación, los servicios en la nube, la movilidad, las redes sociales, el Internet de las cosas, etc., provocan que hoy los ambientes de TI que debemos defender sean muchísimo más complejos que anteriormente. Desde la perspectiva externa, la mayor agresividad de las amenazas, la proliferación y sofisticación del malware, la industrialización del cibercrimen y que hoy casi todo tiene software y por ende vulnerabilidades, producen escenarios de mayor riesgo.
La importancia de los endpoint
Hoy en día, los principales riesgos a los que estamos expuestos son el robo de datos, espionaje, fraude financiero, robo de identidad o ser parte de una botnet. Y los impactos potenciales de estos riesgos pueden ser afectación a la disponibilidad de los servicios para los usuarios finales, repercusiones financieras, afectación a la operación, a la imagen o reputación de la empresa, pérdida de competitividad, etcétera.
Hablando ya de manera específica sobre la protección de los endpoints (entendiendo por ello a los equipos de cómputo de los usuarios, ya sean laptops o equipos de mesa, así como smartphones y tabletas), hay que partir de la premisa de que las nuevas arquitecturas de TI han hecho que el perímetro de protección en el que solíamos confiar ya no sea suficiente.
En una arquitectura de seguridad completa debemos considerar tanto mecanismos de defensa en la parte perimetral como en la red interna y los endpoint, estos últimos juegan un papel muy importante en la capacidad de detectar y responder a las amenazas actuales pues es ahí donde finalmente se produce la mayoría de brechas de seguridad. Los equipos finales suelen ser uno de los eslabones más débiles en la cadena de controles, y por su cantidad y dispersión geográfica se vuelven los puntos más difíciles de vigilar. Por otro lado, son el punto de interacción con los usuarios quienes pueden ser engañados con relativa facilidad, para abrir archivos maliciosos o hacer clic en ligas que llevan a sitios contaminados exponiendo sus equipos a una gran variedad de amenazas.
Es necesario hacer notar que, contrario a lo que se podría pensar, hoy en día el número de dispositivos móviles supera ya al número de PC, y como consecuencia el número de ataques a dispositivos móviles está superando al de los ataques a PC.
2016 25
Nuevas formas de protección de endpoints
La consultora Gartner propone cuatro etapas para una arquitectura de seguridad adaptativa1, empezando por la parte preventiva, luego la detectiva, posteriormente la retrospectiva y finalmente la predictiva. En cada una de ellas hay una serie de actividades que buscan implementar una postura basada en riesgos, monitorear y ajustar continuamente esta postura con el fin de proteger de forma dinámica a la organización, a la vez que se logra el cumplimiento de las políticas internas establecidas, así como de los marcos normativos aplicables.
En lo que se refiere a equipos de cómputo, actualmente se están manejando dos enfoques para el análisis de las soluciones de endpoint: EPP (endpoint protection platforms), soluciones integrales que típicamente unifican diversas funciones, entre ellas las de antivirus, antimalware, firewall personal y protección de datos, con el fin de evitar que los dispositivos sean afectados por códigos maliciosos; y EDR (endpoint detection and response) cuyo propósito es dar visibilidad a lo que pasa en los equipos así como proveer la capacidad de detectar, investigar y responder a actividades maliciosas. En la actualidad son soluciones complementarias provistas comúnmente por fabricantes diferentes, pero en la evolución del mercado se visualiza que se irán fusionando y se ofrecerán ambas capacidades en una sola plataforma.
Los componentes para protección con un enfoque tipo EDR por lo general recolectan información de múltiples eventos tanto a nivel red como a nivel sistema operativo y la almacenan de forma centralizada para realizar diversos tipos de análisis, compararlos contra la base de datos de indicadores de compromiso (IoC) y aplicar técnicas avanzadas de analítica para identificar de forma temprana señales de posibles intrusiones, con la finalidad de responder rápida y oportunamente.
Es común que se basen en la implementación de un agente en el equipo de cómputo, pero existen opciones sin agente (agentless) o algunas otras en las cuales se maneja un agente dinámico que se instala solo en caso de que haya alguna sospecha de que el equipo ha sido comprometido.
Las principales funciones de las soluciones de tipo EDR son:
» Detección de actividades sospechosas e incidentes. A través del monitoreo de los principales eventos en el endpoint, la comparación contra los indicadores de compromiso y los procesos de analítica, se logra identificar anomalías o comportamientos que deben ser atendidos como posibles intrusiones.
» Priorizar (triage). Con la información obtenida internamente por la solución, más las fuentes de inteligencia de amenaza externa, se puede determinar la severidad de los eventos encontrados, con el fin de priorizarlos y atender aquellos que representan un mayor riesgo para la organización.
» Contención. Contar con diversos mecanismos para evitar que la actividad sospechosa se propague a otros equipos en la red; lo más importante de esta función es que debe ser realizada en el mismo endpoint, evitando así que los procesos y aplicaciones maliciosas salgan del equipo y generen tráfico en la red.
» Investigación (hunting). De igual forma, a partir de la información tanto interna, es decir, del propio equipo, y la externa (inteligencia) se realiza una investigación más profunda de los artefactos encontrados y de su comportamiento, para analizar de forma retrospectiva si anteriormente ya se ha visto un comportamiento similar en algún otro equipo.
» Respuesta a incidentes. Contar con los mecanismos necesarios para ejecutar acciones que eliminen los artefactos maliciosos y regresen el equipo de cómputo a su último estado “seguro".
Las principales técnicas de detección que se están utilizando son las basadas en lo que sabemos que es bueno o es malo, y las algorítmicas. En el siguiente diagrama se presenta un resumen de éstas:
Análisis del estado de la PC
Análisis de los tipos deataques comunes
Whitelisting de eventos
Application control
Whitelisting de procesos
Comportamiento del usuario
Señuelos (endpoints y credenciales)
Detección de anomalías
Toma artefactos de las amenazas existentes y las utiliza para encontrar posibles variantes de objetos maliciosos conocidos
La actividad se restringe sólo a un conjunto de eventos conocidos y se bloquea todo lo demás
Detección sin comparar contra alguna base de datos de artefactos conocidos (buenos o malos). Usan métodos computacionales para analizar las características para determinar la probabilidad de que un evento nuevo sea bueno o malo
Known bad
Known good
Algorítmicas
26
Los principales mecanismos que están incorporando estas soluciones es el aprendizaje de máquina (machine learning) y el deep learning, cuyo principal propósito es el análisis de comportamiento y la detección de anomalías.
Uno de los nuevos enfoques que están surgiendo basados en este tipo de técnicas es lo que se conoce como UEBA (user and entity behavior analytics)2 a través del cual se analiza el comportamiento del usuario y sus interacciones con el equipo endpoint, la red y las aplicaciones, con el fin de analizar, priorizar y responder a los comportamientos maliciosos y/o abusivos. En el siguiente diagrama se puede ver una representación de este concepto:
Las principales capacidades que se requieren para la protección de dispositivos móviles son: evaluación del riesgo del dispositivo, protección contra malware, detección de comportamientos anómalos, defensa contra explotación de vulnerabilidades y análisis forense.
Actualmente hay diferentes enfoques para abordar los retos de la seguridad en los móviles, algunos parten desde la fabricación de un dispositivo seguro que cifra las comunicaciones y los datos almacenados, algunos de estos dispositivos pueden usar sistemas operativos propietarios, versiones fortificadas de Android o versiones estándares. Otros enfoques se centran más en el desarrollo de aplicaciones que permiten el cifrado de las comunicaciones, trabajando en teléfonos estándares con versiones de sistema operativo estándar. Por último, existen también aplicaciones o agentes que se instalan en cualquier dispositivo comercial con el fin de detectar comportamientos anómalos e intentos de intrusión, utilizando técnicas de machine learning. En el siguiente diagrama se observa un resumen de estos enfoques:
Anali
zar Priorizar
Usuario
Aplicaciones
RedEndpoint Responder
Inteligencia externa de amenazas
En lo que se refiere a dispositivos móviles, estos presentan riesgos específicos por la forma en que trabajan pues están permanentemente conectados, las aplicaciones se descargan con mucha facilidad y éstas están constantemente conectándose a Internet. En general un móvil puede ser atacado a cuatro niveles: físico, sistema operativo, red (celular o Wifi) y aplicativo.
Plataformas de hardware diseñadasdesde un inicio para ser seguras
Dispositivos externos (case o carcaza) Equipos móviles construidos de manera específica para dar la capacidad de tener comunicaciones seguras tanto de voz como de datos
Dispositivos seguros
Aplicaciones para comunicación segura
Aplicaciones (agentes) para el análisis decomportamiento y detección de anomalíasbasadas en machine learning
Agentes o apps que se instalan en los dispositivos con el fin de proveer diferentes capacidades de protección a los móviles
Aplicaciones de protección
2016 27
Plataformas de hardware diseñadasdesde un inicio para ser seguras
Dispositivos externos (case o carcaza) Equipos móviles construidos de manera específica para dar la capacidad de tener comunicaciones seguras tanto de voz como de datos
Dispositivos seguros
Aplicaciones para comunicación segura
Aplicaciones (agentes) para el análisis decomportamiento y detección de anomalíasbasadas en machine learning
Agentes o apps que se instalan en los dispositivos con el fin de proveer diferentes capacidades de protección a los móviles
Aplicaciones de protección
Conclusiones
El reto de proteger los endpoint es muy grande y complejo, por lo que debemos pensar en un enfoque basado en niveles de madurez, en el que primero evaluemos el nivel actual y determinemos de acuerdo a las características de la organización y sus riesgos, cuál sería el nivel deseado. Esta evaluación del nivel de madurez debe considerar al menos las capacidades de detección, investigación (hunting) y respuesta, así como la arquitectura de seguridad.
Estas arquitecturas deben contemplar de forma integral la defensa del perímetro, así como de la red interna y de los endpoints (tanto equipos de cómputo como dispositivos móviles), pues estos juegan un papel primordial en la capacidad de detectar y responder a las amenazas actuales, pues es ahí donde finalmente tiene lugar la mayoría de brechas de seguridad.
Es importante tener presente que no es suficiente una estrategia de prevención y detección basada en firmas (EPP), es indispensable pensar en las capacidades de detección avanzada, investigación y respuesta utilizando mecanismos nuevos como los de machine learning.
Ahora en el mercado de protección de endpoints hay muchos jugadores con este nuevo enfoque, desde los grandes conocidos que están evolucionando sus productos, hasta pequeños startups que traen propuestas innovadoras, pero es un hecho que está cambiando significativamente y en un par de años será por completo diferente a lo que conocemos.
Como última reflexión y dados los acontecimientos recientes, es relevante pensar que con la adopción del Internet de las cosas (IoT) están surgiendo otros tipos de endpoints que deberán ser protegidos, pues ya se ha demostrado (caso Dyn y botnet Mirai) que pueden ser comprometidos y utilizados para lanzar ataques (por el momento solo de tipo DDoS), pero esta es otra historia que abordaré en otro artículo.
1Market Guide for Endpoint Detection and Response Solutions. Gartner, December 20152Market Guide for User and Entity Behavior Analytics, Gartner, September 2015
Otras Referencias:- Kindsight security labs malware report – Q4 2013- Next-Generation Endpoint Security Market Sizing and Forecast 2016–2020, EMA, it & data management research, Industry analysis & consulting- SANS, Mobile Threat Protection: A Holistic Approach to Securing Mobile Data and Devices
28
Inteligencia de amenazas ¿Cómo entenderla?Eduardo Patricio Sánchez DíazCISSP-CISM-GCIH-GWAPT-C|[email protected] la actualidad las amenazas a las cuales están expuestas nuestras organizaciones son más cambiantes que en el pasado, y esto coloca a las áreas defensivas de la organización en una postura de desventaja. Por ejemplo, antes diseñábamos sistemas o redes de cómputo desde la perspectiva de ser impenetrables; hoy sin embargo sabemos que esto es algo que no se puede garantizar, entonces, ¿qué podemos hacer?
EN EL PENSAR DE...
A través del tiempo los modelos de detección, prevención y respuesta ante una brecha de seguridad han sufrido cambios que tratan de adaptarse a los nuevos modelos y vectores de ataque, sin embargo pareciera que estos cambios no son tan rápidos como quisiéramos, y esto no necesariamente se relaciona con la tecnología; más bien es un cambio que debe suceder a nivel gente, procesos y componentes habilitadores. Cuando pensamos en un ambiente optimizado que se adapta o es resiliente ante los ataques que sufre, se puede visualizar como aquel que se conoce a sí mismo, conoce sus fortalezas y sus debilidades pero, sobre todo, entiende sus puntos de inflexión y quiebre, lo que representa un cierto nivel madurez y situational awarness1 pero, ¿cómo podemos lograr esto?
Uno de los acercamientos que ha tenido la industria para lograrlo es intentar dotar a las diferentes capas defensivas de la organización con inteligencia, comúnmente llamado threat intelligence, la cual trata de dar un contexto a lo que sucede en la organización. Por ejemplo, si estamos en una compañía del sector energético, el tipo de amenazas que enfrentamos son diferentes a las del sector minorista. Estas amenazas pueden ser desde actores hasta las herramientas y tácticas que usan.
David Bianco ordena esto y establece lo que él llama “The Pyramid of Pain2” en la cual describe las diferentes capas de indicadores que pueden ayudar en la detección de una intrusión. Esta misma clasificación podría ayudarnos a visualizar niveles de inteligencia de amenazas y dónde deberían estar implementadas. Ver Fig. 1.
A medida que se escala en la pirámide,
2016 29
se requiere mayor investigación y especialización para responder o dar información (“inteligencia”) de valor. Por ejemplo, hoy la mayoría de soluciones de seguridad que implementan mecanismos de detección de amenazas cuentan con capacidades de análisis de hashes, direcciones IP y nombres de dominios pues es relativamente simple mantener una base de datos actualizada, además de que existe acuerdo de colaboración entre diversos fabricantes, con lo que se garantiza que la inteligencia a este nivel se disemine de manera muy rápida y dinámica.
Una manera de etiquetar a este tipo de inteligencia es llamarla “operacional” y tiene como uno de sus objetivos detectar de manera muy rápida y oportuna alguna actividad sospechosa en la que se ve involucrado un archivo o una comunicación con un dominio o dirección malicioso. Esto debería ser un must en toda arquitectura de seguridad, ya que permite de manera simple detectar gran cantidad de cosas. Es importante comentar que este tipo de detección debería ser automatizada.
Cuando llegamos a niveles más altos de la pirámide, comenzamos a tener información con un mayor contexto, pero que requiere mayor tiempo para generarse e incluso usarse. Cuando un actor está usando un artefacto nuevo, con infraestructura nueva, no lo vamos a tener registrado en nuestra base de datos de reputación; y es ahí donde un análisis de los artefactos se hace necesario. Hoy en día existen diversos mecanismos para este análisis, el cual va desde el estático, que trata de identificar información que dé indicios sobre si es maliciosa o no, por ejemplo, si es una aplicación que esté firmada por una entidad confiable o si es un archivo ejecutable que no invoque funciones que pudieran causar condiciones maliciosas. Otro mecanismo es la ejecución del artefacto para detectar su comportamiento y la infraestructura en Internet que usa (comúnmente esto se hace mediante el uso de un SandBox). Si después de realizar el análisis se detecta que es malicioso, automáticamente se realimentan las capas inferiores con un hash, una IP y diversos URL.
Es importante conocer el ecosistema en que se mueven para entender las capacidades de los adversarios, lo que nos lleva a la punta de la pirámide, que se refiere a entender las tácticas, técnicas y procedimientos(TTP) de un atacante. Solo en ese momento estamos a la caza del actor detrás de las diversas actividades observadas y no solo de los artefactos o herramientas que usa.
Cuando sabemos quién podría estar detrás de un ataque, y no hablamos de un nombre, sino de un actor, podemos poner en contexto una cadena de sucesos observables. Por ejemplo, cuando se identifica que hay un grupo intentando comprometer nuestra infraestructura y entendemos sus TTP, podemos reconocer que el inicio de un ataque es mediante x correo electrónico, que al comprometer un equipo roba contraseñas y usa otro artefacto para hacerse pasar como administrador usando powershell, y que la exfiltración viene después de un ataque de DDoS, pero sobre todo nos percatamos de que ha atacado a otras organizaciones del mismo sector que el nuestro. Toda esta inteligencia la podemos catalogar como táctica y debería estar dirigida a nuestros equipos defensivos para realizar un análisis o hunting de las amenazas.
· Tough!
· Challenging
· Annoying
· Simple
· Easy
· Trivial
TTPs
Tools
Network /Host Artifacts
Domain Names
IP Addresses
Hash Values
Fig. 1
30
Todavía existe un escalón más alto en la pirámide llamado inteligencia estratégica, que está dirigida a personas dentro de la organización que deben tomar decisiones, comúnmente la alta dirección, e incluso los consejeros. Esta inteligencia debe apoyar a los directivos para gestionar el riesgo e impactos de un ciberataque.
Para finalizar, me gustaría comentar que uno de los retos más grandes que enfrentamos los profesionales de seguridad es el colaborar y compartir esta inteligencia, por ello no hay que perder de vista iniciativas como las del mitre para usar protocolos como TAXII, STIX, y CybOX, que proporcionan gran apoyo en cuanto a que todos hablemos el mismo idioma y, sobre todo, a compartir el mismo contexto.
2Bianco David, The Pyramid of Pain, 2014-01-17, http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
En la actualidad muchos estamos usando el Diamond Model3 para poner toda esta información en un solo lugar para documentar a aquellos adversarios que pudieran intentar comprometer la seguridad de nuestras organizaciones. Este modelo permite tener en una vista la infraestructura, las capacidades y las víctimas potenciales de un actor; lo que a su vez permite a los grupos defensivos contar con la información suficiente para prevenir, detectar o actuar ante un actor en particular.
1Situational Awarness es uno de los conceptos que es complejo traducir al español, sin embargo, trata de darnos el contexto o conciencia del estado actual de seguridad, una lectura recomendada para este tema es “Situational Awarness a New Way to Attack Cybersecurity Issues Rather Than Using a System Defense Approach” http://csrc.nist.gov/cyberframework/rfi_comments/tri-county_electric_cooperative_part2_032613.pdf
Adversary
Infrastructure
Victim
Capabilities
Diamond Model
3Caltagirone Sergio, Pendergast Andrew, Betz Christopher, The Diamond Model of Intrusion Analysis, CENTER FOR CYBER INTELLIGENCE ANALYSIS AND THREAT RESEARCH HANOVER MD,5 Jul 2013
