Blue Core Research
Contactanos
Lessons from the Costa Rica government breach

Introducción

Cuando escuché la noticia por primera vez, lo primero que pensé fue: ¿cómo puede un grupo de hackers violar tantos sistemas de tantas agencias gubernamentales tan rápidamente? Mi respuesta fue simple: no pueden. La conclusión inevitable es que se han infiltrado en los sistemas gubernamentales durante meses, si no años, esperando el momento en que decidieron atacar.

Debe haber un problema sistémico si alguien ha comprometido tantos sistemas de múltiples agencias gubernamentales durante tanto tiempo. No se trata de un fallo en un solo sistema, una sola red o incluso una sola agencia, sino de un problema generalizado. Esto significa que hay un fallo fundamental en nuestra estrategia de seguridad.

Los hackers pueden violar nuestros perímetros y moverse por nuestros sistemas durante mucho tiempo sin que nos demos cuenta. Esa es la realidad que acabamos de presenciar.

El Problema

No es la primera vez que vemos a hackers infiltrarse en organizaciones durante meses o años. La mayoría de las grandes filtraciones de datos se manifiestan a lo largo de un periodo prolongado.

Sin embargo, siempre podemos encontrar alguna excusa: no actualizaron esto, no instalaron aquello, no instalaron un antivirus, etc. Siempre hay una razón a la que aferrarnos, con la esperanza de aprender y mejorar.

Pero tal vez sea hora de aceptar que el problema es nuestro enfoque fundamental de la seguridad. Que nuestra forma de abordar la seguridad no funciona contra las amenazas existentes.

Porque la realidad es que, tarde o temprano, siempre se va a violar el perímetro y, una vez que los hackers están dentro, no tenemos ni idea. No sabemos que han entrado, qué están haciendo ni cuánto tiempo llevan haciéndolo.

La lista de Tareas Pendientes

El reto de la ciberseguridad es que abarca muchos ámbitos dispares, y tendemos a quedarnos atascados en los detalles de cada uno de ellos, perdiendo la visión del conjunto.

Antes de examinar las metodologías, deberíamos empezar con una breve descripción general de estas diferentes iniciativas. Al fin y al cabo, cualquier estrategia tendrá que incluirlas de alguna manera.

  • Seguridad de Red: algunos interpretan este concepto de manera diferente, pero aquí nos referimos a proteger la red corporativa de Internet y aislar los segmentos internos entre sí. La seguridad de red incluye cortafuegos, enrutadores, VPN, etc.
  • Seguridad de Endpoints: se refiere a la protección de ordenadores de sobremesa y portátiles. Incluye antivirus, antimalware y cortafuegos locales. En ocasiones, se extiende al cifrado de discos, la protección de USB y mucho más. También puede abarcar otros dispositivos, BYOD, etc.
  • Seguridad de los Servidores: al igual que los endpoints, también debemos proteger los servidores. En el caso de los servidores Windows, es similar a la seguridad de los puntos finales. Sin embargo, la seguridad de los servidores se extiende a una amplia gama de sistemas operativos, como Linux y otras variantes de Unix. También se centra más en la gestión remota y los servicios prestados por los servidores.
  • Seguridad del correo electrónico: es un problema de seguridad importante. Implica el software de correo electrónico, los filtros de spam y diversos medios para proteger el sistema de correo y a sus usuarios.
  • Vulnerabilidades y parches: las vulnerabilidades conocidas suelen considerarse una amenaza importante. Detectarlas y garantizar la aplicación oportuna de parches ayuda a reducir esta exposición.
  • Servicios informáticos básicos: servicios estándar gestionados por el departamento de informática, como el sistema de nombres de dominio (DNS), el controlador de dominio de Windows (DC), los servidores de archivos y otros.
  • Seguridad de las aplicaciones: la protección de las aplicaciones internas y comerciales implica una serie de medidas relacionadas con el control de calidad, las características de las aplicaciones (como la autenticación, la autorización y la auditoría) y determinados productos (como WAF y Core Audit).
  • Seguridad de bases de datos: la protección de las bases de datos incluye medidas integradas (como usuarios y privilegios), procesos (como el control de cambios) y capacidades como la auditoría de actividades.
  • Personal: el talón de Aquiles de cualquier estrategia de seguridad. Las medidas incluyen formación, educación y mucho más.
  • Administración de la seguridad: garantizar que sabemos quién es cada uno y que tienen los permisos correctos es un reto en sí mismo. Suele entrar en el ámbito de la gestión de identidades y accesos (IAM).
  • Gestión de registros: recopilar, analizar y correlacionar registros. Es el ámbito de la gestión de eventos e información de seguridad (SIEM).

Metodologías de Seguridad

Al examinar esta larga lista, es difícil darse cuenta de que contiene dos metodologías de seguridad distintas: la seguridad perimetral y la seguridad centrada en los datos.

La seguridad centrada en los datos es una metodología que gira en torno a los datos. Nuestro objetivo en materia de ciberseguridad es proteger los datos, y algunas de las medidas de seguridad mencionadas anteriormente están dirigidas directamente a ello. La seguridad centrada en los datos comienza con la base de datos donde se almacenan los datos y se extiende hacia las aplicaciones que procesan esos datos.

La seguridad centrada en los datos incluye la seguridad de las bases de datos, la seguridad de las aplicaciones y la gestión de identidades y accesos (IAM). Si estas medidas de seguridad son perfectas, no se producirá ninguna violación de datos, independientemente del número de personas que violen el cortafuegos. Las aplicaciones basadas en la nube, por ejemplo, dependen totalmente de este tipo de medidas.

La seguridad perimetral, por otro lado, tiene como objetivo impedir que los atacantes entren. Impedir que accedan a los sistemas internos a través de los cuales podrían acceder a la aplicación o a la base de datos. Un escritorio comprometido, en sí mismo, no es una violación de datos. La violación de datos se produciría si el atacante pudiera navegar desde ese escritorio hasta la base de datos.

Desde el punto de vista estratégico, hay varios atributos importantes a la hora de comparar estas metodologías:

  • Amenazas relevantes. Las medidas perimetrales solo están diseñadas para amenazas externas y son ineficaces contra las internas. Las amenazas que ya se encuentran dentro del perímetro no se abordan. La seguridad centrada en los datos puede abordar tanto las amenazas internas como las externas.
  • Eficacia. Las protecciones perimetrales son, por lo general, defensas estadísticas: reducen el número de penetraciones, pero no las evitan por completo. Por muy buenos que sean nuestros filtros de spam, seguimos recibiendo correos electrónicos no deseados. Por muy buena que sea la formación de nuestro personal, la gente sigue haciendo clic en los correos electrónicos no deseados. Las defensas centradas en los datos pretenden acercarse lo más posible al 100 %. Son la última línea de defensa y pretenden ser herméticas. Una medida de seguridad de bases de datos que previene el 30 % de los ataques a bases de datos se considera inútil. Lo mismo se aplica a la seguridad de las aplicaciones, que solo bloquea el 40 % de los ataques a aplicaciones.
  • Efecto compuesto. La seguridad perimetral es una defensa paralela. Los atacantes solo necesitan violar una de las medidas perimetrales para entrar. Si los atacantes no logran penetrar el firewall, pueden intentar el sistema de correo, la ingeniería social, comprometer un punto final, etc. La seguridad centrada en los datos es una defensa en serie. Los atacantes deben penetrar todas las capas. Una violación de la aplicación que no logra ejecutar un ataque contra la base de datos significa un ataque fallido. Acceder a la aplicación utilizando una cuenta comprometida todavía significa que el atacante necesita ejecutar el ataque a través de la aplicación y la base de datos.

Consideraciones Sobre el Panorama Actual

Al desarrollar una estrategia de seguridad, debemos tener en cuenta las amenazas que consideramos relevantes. Por ejemplo, ¿nos preocupan las amenazas externas, las amenazas internas o ambas? Si las amenazas internas son una preocupación importante, la seguridad perimetral no será eficaz contra ellas.

También debemos considerar la eficacia de las diferentes medidas en el panorama actual. Por ejemplo, a medida que más y más personas trabajan de forma remota, la seguridad de la red y la seguridad de los puntos finales son menos eficaces. Una vez que las personas trabajan desde casa, se encuentran fuera del firewall corporativo y utilizan sus ordenadores personales. Tenemos una capacidad mínima para controlar y proteger todas estas mini oficinas remotas que eluden la defensa perimetral a través de conexiones VPN.

El BYOD (Bring-Your-Own-Device, «traiga su propio dispositivo») plantea un reto similar, ya que muchos teléfonos y tabletas no controlados e inseguros circulan por la red corporativa.

A medida que cambia el panorama moderno y disminuye la eficacia de los controles perimetrales, existe una necesidad creciente de cambiar el enfoque hacia las defensas internas. Como parte de este cambio, se está redefiniendo la línea perimetral: proteger la red del centro de datos es tan importante, si no más, como proteger la red corporativa.

Seguridad por Capas

La seguridad no siempre se centra en el eslabón más débil. Esta afirmación es cierta en cierta medida cuando se habla de defensas perimetrales desplegadas en paralelo. Los atacantes que tienen el mismo talento en todas las formas de ataque suelen atacar a través del eslabón más débil. En este caso, la prioridad es reforzar el eslabón débil.

Sin embargo, las defensas centradas en los datos desplegadas en serie pueden reforzarse entre sí. Por ejemplo, la explotación de una cuenta de aplicación comprometida podría detectarse mediante la auditoría de aplicaciones o la auditoría de bases de datos.

Además, las medidas centradas en los datos siempre están en serie con las defensas perimetrales y reforzarán los eslabones débiles de estas. Ninguna violación del perímetro puede manifestarse en una violación de datos sin comprometer los sistemas internos de gestión de datos.

Una estratificación estratégica de las defensas puede obligar a los ataques a atravesar muchas barreras, lo que proporciona una protección potente. La implementación es sencilla: siga los posibles escenarios de ataque y asegúrese de contar con diferentes medidas en varios puntos a lo largo de cada ruta.

Por ejemplo, la filosofía centrada en los datos dice que todos los ataques deben, en última instancia, penetrar en la base de datos. Por lo tanto, la protección de la base de datos es una prioridad alta y reforzará todas las demás defensas.

IDS e IPS

Los IPS (sistemas de prevención de intrusiones) tienen como objetivo prevenir ataques y violaciones de seguridad. Se trata de medidas de seguridad clásicas, como cortafuegos y contraseñas.

Los IDS (sistemas de detección de intrusiones) tienen como objetivo detectar ataques e informar o alertar sobre ellos. Entre ellos se incluyen medidas como la auditoría y el SIEM.

En comparación con la seguridad física de un banco, los IPS son como la puerta de la cámara acorazada, mientras que los IDS son el sistema de alarma, los sensores de movimiento, etc.

Por ejemplo, sabemos que nuestros sistemas IPS están bajo ataque constante, pero nunca se nos informa sobre los ataques que logran atravesarlos. Un IDS informa al personal de seguridad sobre el ataque, lo que les permite responder de diferentes maneras. Las respuestas pueden incluir desconectar los sistemas, desviar los ataques hacia honeypots, rastrear el ataque hasta su origen y más. En todos los casos, los atacantes no tienen una segunda oportunidad para intentar volver a violar la misma defensa. Por lo tanto, los sistemas IDS son mucho más difíciles de eludir para los atacantes.

En términos generales, mientras que los IPS pueden prevenir una intrusión, los IDS son más propensos a detectarla y menos propensos a ser eludidos. Por lo tanto, siempre que sea posible, se recomienda implementar ambos tipos de sistemas. IPS para bloquear la mayoría de los ataques e IDS para detectar los que logran atravesarlos.

Desde el punto de vista estratégico, existen diferencias importantes entre IPS e IDS que es fundamental recordar:

  • Tolerancia a los falsos positivos. Los falsos positivos en IPS significan que el sistema impide a los usuarios realizar actividades legítimas. Por lo tanto, IPS no puede tolerar los falsos positivos. Los falsos positivos en IDS significan más informes o alertas que requieren la investigación del personal de seguridad. Aunque no queremos demasiados falsos positivos en los informes y alertas, los IDS están diseñados y calibrados para tener una cierta cantidad de ellos. Dado que es imposible calibrar perfectamente un sistema de seguridad, cero falsos positivos significa que algunos ataques pasan desapercibidos (un falso negativo).
  • Tiempo de respuesta. El IPS debe determinar si las actividades son válidas antes de dejarlas pasar. Un sistema IPS lento significa una respuesta lenta al sistema informático protegido y quejas de los usuarios. Por lo tanto, los IPS están diseñados para utilizar algoritmos en tiempo real capaces de tomar decisiones instantáneas. Los IDS, por su parte, pueden tomarse su tiempo para informar o alertar. Los IDS tienden a emplear algoritmos más complejos y pueden analizar grandes volúmenes de datos para identificar intrusiones. Pueden consultar información histórica, así como esperar a que se produzcan eventos futuros y correlacionarlos.
  • Elusión. Cuando un sistema IPS impide un ataque, el atacante es, inevitablemente, consciente del intento fallido y puede volver a intentarlo. Por lo tanto, los IPS se enfrentan a retos constantes hasta que se logran eludir. Los sistemas IDS no informan al atacante y, por lo tanto, son mucho más difíciles de eludir.

Actividades Compensatorias

Para proteger la cámara acorazada de un banco, se pueden instalar sensores de movimiento, rayos láser, sensores térmicos y otros dispositivos. Cada tipo de medida de seguridad añade protección y compensa las limitaciones de las demás.

El mismo principio se aplica a la seguridad informática: realizar diferentes actividades aumentará la probabilidad de detectar y detener una infracción.

Por ejemplo, considere estos tipos de actividades relacionadas con los sistemas de detección de intrusiones (IDS):

  • Auditoría declarativa. En esta forma de supervisión de la seguridad, el equipo de seguridad define la actividad que desea supervisar. Por lo general, se trata de actividades de alto riesgo y bajo volumen.
  • Análisis de anomalías. En esta forma de supervisión de la seguridad, la automatización integrada en el sistema de seguridad intenta detectar actividades inusuales.
  • Análisis forense proactivo. En esta forma de supervisión de la seguridad, el equipo de seguridad utiliza herramientas para investigar y analizar toda la actividad del sistema. El objetivo es detectar comportamientos maliciosos, prácticas deficientes, diseñar controles de seguridad y mucho más.

Estrategia de seguridad

Por último, debemos diseñar la estrategia de seguridad general y determinar cómo asignar nuestro presupuesto y personal.

Una estrategia que maximice el retorno de la inversión y minimice las posibilidades de una infracción debe incluir:

  • Metodologías equilibradas. Equilibre la solidez de las defensas perimetrales y centradas en los datos. Tendemos a sobrevalorar la importancia de la seguridad perimetral. El resultado es que cualquier brecha perimetral acaba provocando una filtración de datos. Las brechas perimetrales son inevitables y, sin una postura sólida centrada en los datos, lo único que hacemos es esperar a que se produzca la filtración.
  • Perímetro equilibrado. Equilibre la solidez de las diversas medidas perimetrales en relación con el riesgo. Un buen cortafuegos sin antivirus ni filtro de spam no suele ser la mejor inversión, a menos que el personal suponga un riesgo bajo en comparación con una violación de la red.
  • Seguridad por capas. No podemos exagerar la importancia de implementar múltiples capas de defensa centradas en los datos. Es una de las áreas más eficaces, pero también más ignoradas, de la ciberseguridad.
  • IPS e IDS. Implemente tanto IPS como IDS siempre que sea posible. Es fundamental saber cuándo se produce una violación del IPS, y un buen IDS es la única forma de hacerlo. También es una forma de añadir capas de seguridad adicionales, ya que el IPS y el IDS independientes crean dos barreras de protección secuenciales.
  • Actividades compensatorias. Cree tantos tipos de actividades independientes como sea posible dentro de cada capa de seguridad. Los diferentes tipos de actividades tienden a compensarse entre sí y proporcionan una mejor visibilidad de lo que ocurre dentro de sus sistemas informáticos.

Conclusión

En última instancia, la seguridad tiene que ver con la visibilidad. La falta de visibilidad es lo que permite a los atacantes entrar en sus sistemas informáticos y moverse por ellos durante meses y años sin ser detectados.

Si no sabe quién accede a sus sistemas y qué ocurre en ellos, no está protegido.

Añadir múltiples protecciones en múltiples sistemas de forma centrada en los datos es también una forma excelente de aumentar la visibilidad ante cualquier posible violación de datos.

Pero recuerde que la visibilidad significa que el personal de seguridad está observando y comprendiendo activamente lo que está sucediendo. Eso significa personas, tiempo y habilidades adecuadas. La seguridad realizada únicamente por máquinas siempre es limitada y se verá vulnerada más pronto que tarde.

La ciberseguridad consiste en mejorar constantemente, ya que siempre podemos hacerlo mejor. Seguir estos conceptos para estructurar una estrategia de seguridad equilibrada y versátil facilitará el uso eficiente de los recursos y mejorará su postura de seguridad general. Así es como podemos reducir el riesgo de una violación de datos.

Con sede en Aliso Viejo, California, Blue Core Research ofrece soluciones avanzadas de seguridad y cumplimiento normativo para bases de datos y aplicaciones.

Para obtener más información sobre la seguridad centrada en los datos en general o sobre nuestras soluciones en particular, póngase en contacto con nosotros en marketing@bluecoreresearch.com/esnew.

RELATED POSTS

También te puede interesar

IA Y Ciberseguridad

Capacidades IA Antes de discutir ciberseguridad, debemos entender primero la IA y qué puede h

Seguimiento de los cambios en los datos y requisitos de cumplimiento para las instituciones financieras

El seguimiento de los cambios en los datos es una piedra angular del mantenimiento de registros y

Seguridad de Bases de Datos: de amenazas a soluciones

¿Por qué es tan importante la seguridad de las bases de datos? Una brecha de datos grave sig