Llegamos a ustedes gracias a:



Columnas de opinión

Tres estrategias para la nueva era de la seguridad

Por: John N. Stewart, CSO de Cisco Systems

John N. Stewart, CSO Cisco Systems

[11/07/2014] El ritmo del cambio en las tecnologías de la información está cuestionando nociones establecidas sobre ¿Qué es TI? y ¿Qué es la seguridad de la información en la era moderna? Para tener un ejemplo, las nuevas tecnologías de centros de datos, tales como la virtualización, SDN (Software-Defined Networking), modelos de entrega orientados a los servicios y la computación en la nube han cambiado radicalmente la infraestructura de TI típica, de ser un conjunto definido de activos controlados por la organización, a ser una lista de recursos en constante fluctuación que pueden ir y venir, ante la visibilidad y control del departamento de TI.

A medida que esto ha ocurrido, hemos sido testigos del equivalente a una explosión cámbrica de nuevas formas de vida conectadas a Internet: dispositivos móviles, tabletas, sensores, electrodomésticos, sistemas de control, dispositivos de acceso a contenidos y terminales inalámbricos. Las aplicaciones que se ejecutan en estos dispositivos van desde la recreación hasta los servicios críticos para el funcionamiento de nuestra infraestructura social y económica. Si ponemos todo junto, se espera que la población mundial de dispositivos conectados a Internet crezca de 10 mil millones que hay hoy, a más de 50 mil millones para el año 2020.

Desde el punto de vista de la seguridad, estos cambios de TI, incluyendo la expansión de dispositivos conectados a Internet, conducen al aumento correspondiente de la superficie de ataque. En lugar de proteger un perímetro de TI razonablemente conocido y cerrado, ahora debemos estar preparados para asegurar cualquier dispositivo conectado a las personas, para poder hacer frente a cualquier amenaza que un hacker pueda innovar. Es evidente que el uso de prácticas de seguridad establecidas, salvo a una escala mayor, no será suficiente.

Dicho de otra forma, tenemos que pensar de manera diferente acerca de la seguridad cibernética.

Una estrategia clásica y dos nuevas
Los aspectos que acabo de describir rápidamente pueden parecer abrumadores, sin embargo, me mantengo optimista, ya que existen métodos para contener los daños a los bienes, los procesos y las personas que hacen uso de las tecnologías de información. Irónicamente, lo que es viejo es nuevo otra vez; y entonces, simplemente hay nuevas formas de acercamiento. De las muchas que salen a la superficie, me gustaría hablar de tres en particular.

Haga lo básico y hágalo bien: Esto incluye la adopción de un enfoque diligente para parches de software, la gestión de identidad del usuario, la gestión de redes y la eliminación de cualquier espacio oscuro en su infraestructura. Los principales objetivos en este esfuerzo incluyen la reducción de las superficies de ataque que estén a disposición de los adversarios y basar las políticas de acceso a los recursos en los principios de necesidad de saber/necesidad de uso. Incluso con solo conseguir una mejora en los parches se puede reducir la superficie de ataque en 70%. Las organizaciones que llevan a cabo inventarios a fondo de activos, a menudo son sorprendidas por la cantidad de sistemas no documentados que descubren conectados a su red.

Esta estrategia de hacer lo básico puede parecer trivial, pero puede ser muy exigente cuando se toma en cuenta el número y diversidad de dispositivos y sistemas que las operaciones de TI de hoy en día deben asegurar. Un programa sofisticado de gestión de la identidad que reúna la contraseña más segura, identidad federada, gestión de privilegios y tecnologías de detección de comportamiento anómalo, no habría sido posible hace unos pocos años, pero se puede ir muy lejos en la mejora de la capacidad de los equipos de seguridad para evitar, ver y contener los incidentes de seguridad.

Trate de instaurar la duda y la confusión en la mente del adversario: Hay muchas maneras de hacer esto. Puede empezar por hacer que su infraestructura sea un blanco en movimiento cambiando direcciones, topologías de infraestructura y los recursos disponibles, todos los días. Un enfoque activo de la virtualización hace posible construir y derribar los recursos a su antojo. La tecnología SDN puede virtualizar el proceso de engaño, al tiempo que agiliza el proceso de construcción de las funciones de administración de seguridad y control en la red. En definitiva, haga lo que pueda para evitar que el adversario vea la misma infraestructura dos veces.

También puede configurar tarros de miel y aldeas Potemkin en su red que pueden hacerles perder el tiempo a los adversarios y desviarlos de sus activos reales, dirigirlos hacia propiedad intelectual contaminada, o hacer que se tropiecen con las alarmas que anuncian su presencia en su dominio. En su expresión más avanzada, estas técnicas pueden sacudir la confianza de los adversarios en cuanto a sus proezas de piratería y aumentar su ansiedad de ser capturados, descubiertos y enjuiciados.

Recoja, correlacione y analice tantos datos operativos como pueda: Esta estrategia es importante, ya que marca un cambio en la manera de detectar y remediar intrusiones y ataques rápida y completamente cuando estos ocurren. En los datos, busca Indicadores de Compromiso (IoC, por sus siglas en inglés), dispositivos o comportamientos de usuario anómalos, el tráfico de red desde y hacia direcciones conocidas, y otras pistas. La información sujeta a análisis puede incluir telemetría local de su infraestructura, información e inteligencia más allá de su infraestructura, o el tráfico de datos que no se ajuste a los patrones normales de actividad.

Cambiar su enfoque mental es esencial
Este nuevo enfoque de la seguridad conlleva a un cambio nada trivial en nuestra actitud mental para la seguridad. Anteriormente, hemos pensado en la seguridad como la defensa de los perímetros y el endurecimiento de los activos en contra de los ataques. El nuevo modelo exige suponer que si las personas, las cosas y los procesos de negocio no han sido comprometidos, lo serán muy pronto. Las herramientas de seguridad establecidas y productos como firewalls, dispositivos de seguridad, o el software antimalware, hacen un buen trabajo bloqueando las amenazas conocidas y nos deja libres para detectar, reconocer y contener las amenazas que logran deslizarse a través de las defensas básicas.

Cada vez comprendemos mejor que las amenazas más peligrosas hacen su trabajo en silencio y rápidamente, y luego desaparecen. Una amenaza de este tipo, suele causar daño en minutos, horas o días. Por el contrario, muchos equipos de seguridad requieren días, semanas o meses para descubrir y remediar una amenaza invasiva de este tipo. Eso no es suficientemente bueno.

También necesitamos cambios en la rendición de cuentas, una medida con la cual definir la eficacia y la voluntad de romper algunos huevos para cambiar lo que tenemos… de lo contrario, continuaremos recibiendo más de lo que tenemos hoy en día, y eso no es aceptable.

Las estrategias recomendadas en este artículo hacen tres cosas para hacer la vida más difícil a los adversarios:

  • Reducir las superficies de ataque y las vulnerabilidades a través de conceptos básicos.
  • Desplazar la carga de miedo, incertidumbre y duda hacia los malos.
  • Reducir la latencia entre el momento en que una amenaza entra a una infraestructura y ésta es detectada y eliminada.

Si bien tenemos por delante un camino difícil para salvaguardar los procesos sociales y económicos -que han sido facilitados por las TI- de los daños causados de forma deliberada, las nuevas tecnologías, la inteligencia de la red y las nuevas formas de pensar acerca de la seguridad cibernética nos dan una oportunidad para luchar.
CSO (EE.UU.)