Llegamos a ustedes gracias a:



Conversando con...

Dante Passalacqua, vicepresidente de Level 3 Perú

La tercerización de la seguridad

[14/05/2013] La seguridad es un aspecto que también se puede tercerizar. El motivo puede parecer no muy obvio, pero siempre es mejor tomar un mix para protegerse de las amenazas. Un grupo interno puede dedicarse a ciertos tipos de amenazas mientras que la tercerización puede encargarse de otros tipos.
Esta fue una de las cosas que sostuvo Dante Passalacqua, vicepresidente de Level 3 Perú, durante una conversación que tuvimos sobre la seguridad de las empresas locales. El tema, a pesar de su presencia en el tiempo, recién está cobrando fuerza entre las organizaciones locales. Ya pasamos de no pensar en que nos puede ocurrir algo malo, a estar prevenidos contra los posibles incidentes. Pero eso, por supuesto, no basta.
¿Cómo es que uno puede infectarse de malware? ¿Sólo por visitar un sitio web?
De hecho, existe un riesgo importante ahí. Recientemente, la semana pasada, se descubrió una vulnerabilidad en uno de los servidores más usados a nivel mundial. Este servidor se llama Apache y es de software libre; y se calcula que el 70% de todos los sitios web de todo el mundo usan directa o indirectamente Apache, es decir, el software Apache o usan componentes desarrollados por Apache.
Entonces se ha detectado una vulnerabilidad ahí que podría poner en riesgo una cantidad importante de estos servidores.
En general, todos estos ataques se basan en un principio bastante común que son los exploits de buffer overflow, que significa que enviar a una aplicación algo que la aplicación no está esperando. Por ejemplo, si tenemos una aplicación que toma el nombre de una persona que suponemos que nunca va a medir más de 80 caracteres; pero alguien comienza a hacer pruebas y se da cuenta que si envía mil caracteres a ese campo el programa entra en un problema, y los datos extras sobreescriben parte de la memoria con lo cual uno puede tomar control remoto de este programa.
Si bien es cierto hay precauciones que se pueden tomar es difícil realizar un software que se encuentre libre de este problema. Además, este es solo uno de los muchos que existen, aunque es el más común y el más difícil de detectar porque no es un error de programación sino que es una forma de cómo operan los sistemas operativos o los lenguajes programación, compiladores, etcétera.
Pero volviendo a la pregunta, es poco probable que uno se pueda infectar con el solo hecho de visitar una página web, uno tiene que interactuar con esa página, hacer clic en algún lado, y la mayoría de navegadores ahora te van a prevenir de que la página está tratando de instalar algo, pero normalmente el problema viene cuando los usuarios ignoran estas advertencias porque en ocasiones los que hacen estas páginas para hacer daño enmascaran muy bien sus páginas con la cara de un banco o de un sitio conocido, de tal forma que cuando ingresas piensas que estás ingresando a un sitio legítimo, cuando en realidad estás ingresando a una copia falsa de esa página en donde probablemente van a intentar instalarte algo.
El objetivo de estos malwares y páginas es lograr instalar algo en tu PC. Cuando lo logran, la máquina ya está comprometida.
Y de eso no se salvan ni las páginas que uno puede considerar confiables.
Es que es realmente complejo. Por ejemplo, lo que se ha descubierto la semana pasada es preocupante, porque de una manera relativamente sencilla un atacante puede tomar control de los servidores que corren esta versión de Apache, y sin que los legítimos dueños de los sitios web se den cuenta altera solo ciertas partes del contenido para que, en algunos casos, esa página entregue contenido infectado.
Eso es muy difícil de detectar. En este caso en particular se ha detectado que lo han hecho tan bien que no lo hacen siempre sino aleatoriamente; de cada mil personas que visitan una página que ellos han infectado, solo a una le envían el virus. Entonces uno puede estar monitoreando y no ver nada raro. Si se hiciera con todos se detectaría rápidamente.
Todo esto se puede ver de varias maneras. La seguridad es un tema integral, no hay tal cosa como que si se compra un software y un hardware uno está listo contra todo. Normalmente aquí se requiere mucho de la consultoría, porque esto es muy dinámico. Es necesario, si uno tiene un sitio web y quiere dar seguridad a los usuarios, contratar a personas especializadas, a expertos.
Es imposible que una sola persona o una compañía, hasta un banco o una empresa grande, por sí sola, se mantenga al tanto de todo lo que ocurre. La pelea es muy desigual. En un departamento de seguridad ¿cuántas personas vas a tener? ¿10, 20? Así se encuentren muy entrenados, van a tener que luchar contra miles de tipos que tratan de penetrar su seguridad.
Para equiparar esa pelea es que se tienen servicios como los que ofrece Level 3. Nosotros lo que hacemos es dar seguridad y consultoría, porque la seguridad es un tema integral. No hay otra forma de verlo.
Específicamente para esto que mencionas, una forma de prevenir estos incidentes -aunque no funcionan en todos los casos- son los UTM (unified threat management) que son los detectores de intrusos ya que son equipos que analizan el tráfico que está pasando. Estos equipos se encuentran viendo de manera pasiva todo el tráfico que va y viene hacia el servidor web.
Y a estos dispositivos se le pueden escribir reglas para que, en el ejemplo que te di, cuando se quiera escribir un nombre en el campo, ese tráfico no debería tener más de 80 caracteres. Cuando detecta datos que no son coherentes con lo que la página está esperando puede bloquear ese tráfico para que no llegue al servidor.
Pero tampoco es infalible, requiere de mucha actualización y conocimiento. Por eso, esto no es cuestión simplemente de instalar un equipo y sentirse seguro con ello. Esto tiene que revisarse constantemente por expertos que están analizando constantemente el tráfico y determinando si algo no está bien. Y ellos son los que crean nuevas reglas. Detectan en el tráfico anomalías y las registran para encontrarse preparados con éstas.
En la actualidad ¿las organizaciones tienen unidades dedicadas a la seguridad o la tercerizan?
Se encuentra ambos esquemas. Diría que las empresas medianas o chicas no tienen personal dedicado. Las medianas suelen contratar un servicio como el que ofrece Level 3, mientras que las empresas grandes tienen un mix, es decir, tienen las dos alternativas que es en realidad lo mejor que se puede hacer.
Ellas tienen un equipo de personas dedicadas que están viendo el día a día y que muchas veces se dedica más al tema de seguridad interna, porque hay que cuidarlo. Hay estadísticas -aunque ya de tiempo atrás- que señalaban que entre el 60% a 70% de todas las violaciones a la seguridad provenían del interior de la empresa, no de afuera.
Entonces si mucho del tiempo del equipo de seguridad se consume hacia adentro, se tiene que complementar con servicios como los que ofrecemos en los que se asesora a la corporación con la parte externa. También podemos ayudar en la parte interna, en la capacitación, lo que se denomina security awareness, es decir, generar conciencia sobre la seguridad y hacer entender que cada persona que trabaja en una empresa tiene un rol en la seguridad.
Como en el tema de la ingeniería social.
Así es, la ingeniería social es una de las mayores causas de pérdida de información.
Cuando se acercan a las empresas, ¿cuáles detectan que son las fallas más comunes en seguridad?
Varía mucho, dependiendo del rubro del negocio, pero algunas cosas se repiten como la falsa sensación de seguridad. Lo peor que te puede pasar es necesitar seguridad y no saberlo. Existen tres escenarios, el primero es aquel donde no se necesita seguridad, aunque la verdad no se me ocurre en qué casos se daría. El otro es el que mencioné antes, mientras que el mejor de los escenarios es que si estás expuesto al menos sepas cuál es tu nivel de exposición, cuáles son los riesgos que estás corriendo, cuál es tu nivel de seguridad actual y a dónde quieres llegar, un punto, por ejemplo, en el que nosotros podemos ayudar con un gap analysis.
Éste consiste en analizar la compañía en conjunto con los directivos de la compañía, y determinar cuáles son sus riesgos y cuánto le costaría parar a esta compañía si es que le paralizan la operación una hora o un día, o cuál es el daño a la imagen si es que le cambian el sitio web o le roban información.
Una vez que se determina todo esto se hace un análisis de seguridad y se determina dónde se encuentra el negocio y dónde debería estar de acuerdo a la actividad a la que se dedica. Esa brecha es el gap analysis. Depende de la empresa decidir si implementar los procedimientos que, insisto, no solo es comprar hardware y software.
¿Y las organizaciones ya están conscientes de los problemas de seguridad?
Ahora diría que especialmente las empresas transnacionales, corporativas, medianas o más grandes ya son conscientes. Años atrás había un desconocimiento y sensación de quién me va a atacar a mí, yo no llamo la atención. Ahora está claro que no hay nadie libre, no se distingue a instituciones de gobierno o empresas privadas. Ahora sí creo que las empresas ya tienen conciencia del problema de la seguridad, es un primer paso. El segundo es asesorarse. No hay necesidad de volver a descubrir la pólvora, hay que ir con los especialistas.
¿Desea agregar algo?
Sí, nosotros tenemos la suerte de tener el encargo de atender la seguridad de muchas corporaciones; además hemos sido los pioneros con el primer SOC (security operation center) de América Latina, que es justamente un grupo dedicado a asesorar a empresas para tener el mejor grado de seguridad que se pueda. No hay que hacerlo solo porque la batalla es desigual y hay que tratar de nivelar un poco la pelea.
Jose Antonio Trujillo, CIO Perú