Seguridad TI, el reto cambiante

Security
Más que nunca la seguridad TI ha de ser primordial para los CIO y responsables de negocio de cualquier empresa del mundo. Los retos pasan por prevenir, detectar y responder con eficacia a las vulnerabilidades de seguridad cibernética.

 

Los ciberataques son una realidad en todo el mundo, con intrusos que acceden cada vez a más organizaciones diariamente. ¿Por qué son tan vulnerables? ¿Qué se puede hacer para que los sistemas sean más seguros? Una premisa es básica: la seguridad de la información, o más concretamente la falta de ella, está en el punto de mira de los responsables de TI y de negocio de las empresas de todos los tamaños y en todos los sectores. Muchos temen que sus empresas estén mal preparadas para prevenir, detectar y responder de manera efectiva a los ataques cibernéticos. Además la falta de experiencia interna en seguridad sigue siendo motivo de preocupación generalizada. Esos son algunos de los resultados del Cybersecurity Challenges, Risks, Trends, and Impacts Survey, realizado por el MIT Technology Review Custom en febrero de 2016. De este informe, encargado por Hewlett Packard Enterprise (HPE) Security Services y FireEye, se desprende que únicamente un porcentaje muy bajo de los encuestados están completamente seguros de su capacidad para responder a las amenazas de seguridad. De hecho solo un 6% cree que sus organizaciones están “muy bien preparados” para responder a un fallo de seguridad que implicara una pérdida importante de información. También se pone de manifiesto que la mayoría carecen de estrategias de gestión de riesgos de la información. Las áreas de mayor preocupación incluyen amenazas relacionadas con la informática móvil, los ataques de correo electrónico –o basadas en la Web–  y las vulnerabilidades creadas por las tendencias de usar dispositivos o aplicaciones propias en el lugar de trabajo (BYOD y BYOA).

 

Tipo de ataques

Hubo un tiempo en que los expertos de seguridad cibernética utilizaban la analogía del castillo para describir este tipo de ataques –donde los enemigos atraviesan un foso, escalan una pared, y se cuelan sin ser detectados por los guardianes–. Pero esa perspectiva está obsoleta.

El mundo ha cambiado: el aumento de la movilidad, junto con la proliferación de dispositivos inteligentes y sensores, ha tenido el efecto de difuminar los límites. Hoy en día todos los dispositivos, desde una impresora a un teléfono o un coche, son un punto de acceso. La llegada del Internet de las cosas (IoT) y del big data, con una cantidad ingente de datos recopilados y listos para ser analizados, añade una nueva dimensión al desafío, así como otras tendencias tecnológicas muy incipientes como el uso no regulado de dispositivos de grabación, incluidos los situados en drones. Pero las nuevas técnicas también permiten avances: por ejemplo, herramientas de análisis de vídeo que permiten que se puedan identificar comportamientos irregulares en tiempo real.

Las innovaciones tecnológicas han hecho que el panorama de la seguridad sea significativamente más complejo. Según Gartner, el gasto mundial en seguridad para Internet de las cosas llegará a 348 millones de dólares este año, un aumento del 23,7% respecto al año pasado. Y para el año 2020, más del 25% de los ataques identificados en las empresas implicará el IoT, a pesar de que este represente menos del 10% de los presupuestos totales de seguridad de TI.  Aunque existen numerosas regulaciones internacionales que las empresas tienen que cumplir, ese cumplimiento no necesariamente equivale a la seguridad.

 

Adversarios preparados

Las empresas se enfrentan a adversarios bien preparados y con conocimientos en tecnología. De hecho, se da más bien una gran asimetría en las capacidades de los atacantes y los defensores: unos usan cañones y catapultas para defenderse y otros drones y tecnología sigilosa para atacar. ¿Cuánto tiempo pasan atacantes dentro del perímetro antes de ser detectados? En 2015, el número medio de días fue de 146, según el M-Trends 2016 Report de Mandiant. Aunque la mayoría de los ataques no se convertirán en grandes brechas, las constantes amenazas de seguridad cibernética serán algo cotidiano. Así un atacante –estos pueden ser ‘hacktivistas’, cibercriminales o simplemente, la competencia del negocio–  puede tener acceso a la red en el transcurso de una semana o incluso en sólo un par de días. Para infiltrarse en una red, en un 80% de los casos se recurre a una debilidad, por ejemplo, mediante el envío de un correo electrónico de phishing. Al abrir un enlace o archivo, los atacantes pueden ejecutar su propio código malicioso, que a menudo crea una puerta trasera en la red. De esta manera se establece un punto de acceso desde el que los atacantes pueden controlar sus actividades en ese entorno. Y luego viene la escalada de privilegios: se hacen con los derechos del administrador local o principal para tener un mayor acceso a los sistemas y datos. Los cibercriminales mantienen la presencia mediante la instalación de múltiples puertas traseras en todo el entorno. “Una vez allí van a tratar de conseguir lo que vinieron a hacer, que es a menudo el robo de propiedad intelectual de información, datos financieros, fusión y adquisición de datos o información de identificación personal, por ejemplo,” comenta Marshall Heilman, vicepresidente y director ejecutivo de la firma de ciberseguridad Mandiant, perteneciente a FireEye. Cuando hayan completado su misión, los atacantes pueden conservar el acceso, en caso de que quieran volver.

 

Prevención y respuesta rápida

Si no se puede prevenir el ataque, lo ideal es detectarlo lo más rápidamente posible y darle respuesta. Pero una vez que los atacantes están dentro, la mejor manera de derrotarlos es adoptando su forma de pensar, no tanto responder a sus próximos movimiento sino de anticiparse a ellos. También se deben reconocer y detectar comportamientos anómalos en su organización. Asimismo es importante saber qué activos son los más críticos y, por tanto, deben ser protegidos. Esto supone una ventaja significativa contra las amenazas informáticas.

Como sucede en muchos otros delitos, las primeras 48 horas después del incidente son los más críticos. Sin embargo, la rapidez y lo bien que una organización responde y se recupera viene determinado por lo que se ha hecho antes del incidente. “La respuesta inicial de emergencia depende fundamentalmente del trabajo que se hizo meses antes: escribir y comprender un plan de respuesta, identificar las funciones y responsabilidades de las personas involucradas, especialmente de los primeros en responder, y después preparar a la gente,” explica Andrzej Kawalec, CTO de HPE Security Services.

Tratar con adversarios cada vez más sofisticados requiere de líneas de defensa también sofisticadas. Con este objetivo, HPE ha desarrollado Cyber Reference Architecture (CRA),  que ofrece a los clientes un modelo de servicios de protección contra amenazas avanzadas y capacidades de respuesta a incidentes. Entre otras funcionalidades, la CRA incorpora la mayoría de los conocimientos actuales de FireEye respecto a aquellas situaciones en las que los atacantes establecen puntos de apoyo fuertes y causan estragos durante largos períodos de tiempo. “El responsable de seguridad de la información (CISO) es, probablemente, lo más proactivo que puede gestionando riesgos. Pero un CISO no puede mantener todas las piezas de esta arquitectura de referencia y, por lo tanto, tiene que contar con partners para obtener la imagen completa. La CRA realmente es una valiosa guía de extremo a extremo”, afirma Chris Leach, responsable de tecnología de HPE Security Services.

 

Contenido original publicado en CIO Spain