Llegamos a ustedes gracias a:



Reportajes y análisis

Doce mitos de seguridad de TI desbaratados

[12/03/2013] Son mitos frecuentemente repetidos, y nociones ampliamente aceptadas, sobre seguridad en TI que… simplemente no son verdad. Tal como hicimos hace un año, les hemos preguntado a los profesionales de seguridad que compartan con nosotros sus mitos favoritos de seguridad. Aquí están doce de ellos.
Mito #1: El antivirus lo protege contra el malware en forma eficiente
Raimund Genes, CTO de Trend Micro, señala que los negocios usan antivirus (A/V) porque de otra forma sus auditores lo matarían si no utilizaran uno. Pero los A/V no pueden protegerlo con confiabilidad contra ataques dirigidos porque antes de su despliegue, el atacante se ha asegurado de que no será detectado por el software A/V.
Mito #2: Los gobiernos crean los ciberataques más poderosos
John Pescatore, director de tendencias de seguridad emergentes en SANS, señala que la mayoría de los ataques de gobiernos simplemente reutilizan recursos de ataque de propiedad de delincuentes. Y al Departamento de Defensa de EE.UU. le gusta exagerar las amenazas de otras naciones para incrementar su presupuesto. La triste verdad es que los ataques de denegación de servicio contra los sitios web de bancos como Citibank pueden ser detenidos, pero no ha habido el suficiente esfuerzo para hacerlo. Y que los gobiernos estén detrás de otros gobiernos por razones de espionaje no es nada nuevo entre China, EE.UU., Francia, Rusia y otros, por décadas.
Pescatore también tiene otros dos mitos favoritos relativos a la seguridad en la nube que, puestos juntos, son contradictorios en sí mismos: los servicios en la nube nunca van a ser seguros porque son servicios compartidos que pueden cambiar cuando lo deseen, y el segundo mito es la nube es más segura porque es lo que los proveedores hacen para ganarse la vida. Sobre esos dos mitos contradictorios, Pescatore señala: Muchos de los proveedores como Google, Amazon, etc., no construyen sus nubes para proporcionar servicios de clase empresarial o proteger la información de los demás. De hecho, Google construyó una nube muy potente expresamente para a reunir y exponer la información de otras personas a través de sus servicios de búsqueda".
Pero Pescatore también señala que los servicios de nube basados en e-mail provenientes de Google y Microsoft, por ejemplo, hasta el momento han demostrado que cuando los datos de los clientes fueron expuestos, muy rara vez fue culpa del proveedor, y en su mayoría se puede atribuir la culpa a los ataques de phishing en clientes. Pero el cliente empresarial sigue lidiando con cómo cambiar adecuadamente sus procesos para que coincidan con los de los proveedores de servicios de nube en términos de respuesta a incidentes.
Mito #3: "Todas las cuentas están en Active Directory y bajo control".
Tatu Ylönen, inventor de SSH y CEO de SSH Communications Security, señala que este concepto erróneo es común, pero que la mayoría de las organizaciones han creado -y en gran medida olvidado- cuentas funcionales utilizadas por las aplicaciones y procesos automatizados, a menudo administrados por claves de cifrado y nunca auditadas. "Muchas grandes organizaciones tienen más claves configuradas para acceder a sus servidores de producción que cuentas de usuario en Active Directory", señala Ylonen. "Y estas claves no se cambian, nunca se auditan y no se controlan. Toda la identidad y el ámbito administrado de acceso generalmente administra las cuentas de usuarios interactivos, y consistentemente ignora el acceso automatizado por máquinas". Pero estas claves destinadas para acceso automatizado se pueden utilizar para ataques y propagación de virus, si no se gestionan adecuadamente.
Mito #4: "Las técnicas de gestión de riesgos son necesarias para la seguridad de TI"
Richard Stiennon, analista en jefe de IT-Harvest, señala que aunque la gestión de riesgos "se ha convertido en la técnica aceptada de gestión," en realidad "se centra en una tarea imposible: identificar los activos de TI y catalogar su valor". No importa cómo se intente, "no reflejará el valor que los atacantes ponen en la propiedad intelectual". Stiennon sostiene que "la única práctica que realmente mejorará la capacidad de una empresa para hacer frente a los ataques dirigidos, es la gestión del riesgo que implica la comprensión profunda de los adversarios y sus objetivos y metodologías".
Mito #5: "Existen mejores prácticas para la seguridad de la aplicación"
Jeremiah Grossman, CTO de WhiteHat Security, señala que los profesionales de seguridad comúnmente abogan por "mejores prácticas" debido a que son "universalmente eficaces" y dignas de la inversión, ya que son "esenciales para todos". Estas incluyen la capacitación de software, pruebas de seguridad, modelado de amenazas, firewalls de aplicaciones web, y unas "cien actividades más". Pero él piensa que esto normalmente pasa por alto la singularidad de cada entorno operativo.
Mito #6: "Los ataques de día cero son un factor de vida y son imposibles de predecir o de responder efectivamente"
Los ataques de día cero son aquellos dirigidos a vulnerabilidades de la red que aún no son conocidos en forma general. Pero H.D. Moore, CSO en Rapid7 y creador de la herramienta de prueba de penetración Metasploit, piensa lo contrario, que "los profesionales de seguridad realmente pueden hacer un buen trabajo en predecir y evitar el software problemático.
"Si la organización depende de un software sin el cual es "imposible" trabajar, debe haber un plan en marcha para saber qué hacer en caso de que el software se convierta en un riesgo de seguridad.
La habilitación selectiva y la limitación de los privilegios que el software recibe son buenas estrategias. "También dice que otro mito favorito de seguridad es que "puede decir lo seguro que es un producto o servicio basándose en el número de vulnerabilidades divulgadas públicamente.
Él señala que un buen ejemplo de ello es la noción de que "WordPress es terrible, mire cuántas vulnerabilidades se han encontrado hasta ahora!" Pero agrega que "la historia profunda de los defectos del software puede ser el resultado natural de una pieza de software cada vez más popular". Moore concluye: "Por el contrario, hay decenas de productos sin defectos publicados, que son a menudo mucho menos seguros que una aplicación más conocida y más ampliamente auditada. En resumen, el número de fallas de seguridad publicados para una pieza de software es una medida terrible para ver lo segura que es la última versión de un software".
Mito #7: "Cumplo con los requisitos, por lo tanto estoy seguro"
Bob Russo, gerente general de PCI Security Standards Council, señala que es una noción común que las empresas piensen que una vez que obtienen la conformidad con las normas de seguridad de datos para tarjetas de pago, están "seguros de una vez y para siempre. Pero el control para el cumplimiento solo representa una "instantánea en el tiempo", mientras que la seguridad es un proceso continuo en relación con las personas, la tecnología y los procesos.
Mito #8: "La seguridad es problema del director de la seguridad de la información"
Phil Dunkelberger, presidente y CEO del emprendimiento Nok Nok Labs, señala que el CISO recibirá la culpa de una violación de datos, principalmente porque su trabajo los mantiene estableciendo una política o un curso técnico. Pero muchos otros en la organización, especialmente la gente de operaciones de TI, también "poseen seguridad" y tienen que asumir una mayor responsabilidad por ello.
Mito #9: "Está más seguro en su dispositivo móvil que en la computadora"
El Dr. Hugh Thompson, Presidnete del Comité de Programa de Conferencia RSA, afirma que si bien esta "asunción frecuente" tiene algún mérito, subestima cómo algunas garantías tradicionales para computadoras, tales como contraseñas enmascaradas y la URL de vista previa, no se aplican a los dispositivos móviles de hoy. "Así, mientras que los dispositivos móviles todavía ofrecen más garantías de seguridad que las computadoras portátiles o de escritorio, varias prácticas de seguridad tradicionales que se rompen pueden dejarlo vulnerable".
Mito # 10: "Puede estar 100% seguro, pero tiene que renunciar a las libertades personales"
Stuart McClure, CEO y presidente del emprendimiento Cylance, señala que no compre el argumento de que para luchar contra los chicos malos en línea, hay que "enviar todo nuestro tráfico al gobierno para hacerlo". Es mejor conocer a los chicos malos muy bien, "predecir sus movimientos, sus herramientas", y "meterse en su piel".
Mito Mito # 11: "Estar al día con la seguridad es todo lo que necesita para detener el malware"
Martin Roesch, fundador de Sourcefire e inventor del sistema Snort de detección de intrusiones, señala que la seguridad defensiva muy a menudo se limita a la captura o la no captura de cualquier tipo de ataque, y que si se pierde, la defensa "prácticamente deja de ser un factor en el despliegue de actividades de seguimiento de un atacante". Un nuevo modelo de seguridad funciona de forma continua para actualizar la información incluso si el ataque inicial de la red se pierde, con el fin de comprender el alcance del ataque y contenerlo.
Mito # 12: "Con la protección adecuada, los atacantes pueden quedar fuera"
Scott Charney, vicepresidente corporativo de Microsoft Trustworthy Computing, señala: "A menudo asociamos el mantenimiento de la seguridad con mantener a la gente fuera; poner seguro a sus puertas, firewalls en nuestras computadoras. Pero la realidad es que aún con estrategias de seguridad sofisticadas y con operaciones excelentes, un atacante persistente y con determinación, encontrará eventualmente una manera de forzar la entrada Hay que reconocer que en realidad deberíamos pensar de forma diferente respecto a la seguridad. Para la comunidad entera de seguridad, eso significa "proteger, contener y recuperar" para combatir las amenazas de hoy y en el futuro.
Ellen Messmer, Network World (EE.UU.)