Llegamos a ustedes gracias a:



Reportajes y análisis

Lucha contra la ciberdelincuencia

Las mejores herramientas de seguridad

[28/05/2015] La ciberdelincuencia es una amenaza global, y las empresas son el objetivo número uno. Para obtener consejos y recomendaciones acerca de la mejor manera de defenderse contra los ciberataques, Network World les pidió a los expertos en seguridad que indicaran cuál es la herramienta de seguridad más valiosa que consideran como número uno.

Muchos de los expertos que entrevistamos señalaron que no hay balas de plata cuando se trata de seguridad. Ron Woerner, director de CyberSecurity Studies en Bellevue University lo plantea de esta manera: "No hay una herramienta de seguridad que sea la 'única y mejor'. En realidad depende de la situación, circunstancias y preferencias personales. Hay ciertas cosas que todos los profesionales de redes, TI y de seguridad deberían tener en su caja de herramientas. La más importante es el conocimiento; por ejemplo, dónde aprender más acerca de un tema en particular, una técnica o herramienta.Es imposible saber todo, así que enfóquese en dónde conseguir instrucción de calidad e información.

Woerner recomienda dos sitios web: http://www.howtogeek.com y blog.msdn.com/ como referencia; y dos juegos de herramientas: SysInternals y Windows GodMode. El primero es un grupo de simples herramientas Windows (más allá de los programas administrativos nativos) y el último son aplicaciones de administración ya disponibles en el panel de control.

Yier Jin, profesor asistente de ciencias informáticas e ingeniería eléctrica en la Universidad Central del Florida, también cree que el conocimiento es la clave. "Yo diría que la consciencia acerca de la ciberseguridad es la mejor herramienta. Muchos ataques son causados por trabajadores internos que carecen de consciencia acerca de la seguridad digital y, por lo tanto, hacen clic en enlaces de spam, los cuales generalmente inician el ataque. En cuanto a herramientas, recomiendo Microsoft Enhanced Mitigation Emergency Toolkit (EMET), un excelente juego de herramientas que toda compañía debería tener.

Primero la estrategia, luego las herramientas

Heidi Shey, analista senior de seguridad/riesgo en Forrester Research, recomienda que las organizaciones primero comiencen con una evaluación de su madurez en seguridad y los riesgos para su entorno. De otra manera siempre estarán persiguiendo la más grandiosa y espectacular herramienta de última generación. La estrategia debe venir antes que las herramientas. Hay muchos diferentes modelos para una auto-evaluación, incluyendo el COBIT, ITIL, el Framework NIST Cyber Security, los 20 mejores controles de seguridad críticos del SANS Institute, y los Estándares de Buenas Prácticas (SOGP) 2013 del ISF.

"El propósito de evaluar la madurez de la seguridad es ayudar a identificar dónde se encuentra el programa y el entorno de seguridad de la organización, cómo articular las responsabilidades, e identificar los pasos para mejorar la madurez de la seguridad. Y como resultado, reducir y priorizar un lista de deseos de las herramientas que ayudarán a maximizar los resultados para la organización, señala Shey.

"La seguridad de la información está en crisis y el enfoque popular para mejorar esta situación es moverse a un modelo basado en el riesgo, anota Jeff Northrop, CTO de la Asociación Internacional de Profesionales CTO. "Sin embargo, en un buen plan, las compañías primero deben desplegar una adecuada evaluación del riesgo, la cual no puede ser implementada sin la suficiente visión de su panorama de datos. La mayoría de organizaciones carece de esta información; por lo tanto, no pueden moverse a un modelo basado en riesgo, eso es un problema.

Northrop ha adoptado el término herramientas de inteligencia de seguridad y datos para describir una categoría emergente de herramientas cuya base es el entendimiento del panorama de los datos dentro de una organización.

"En la actualidad tenemos herramientas de inteligencia de negocios, herramientas de integración de datos, herramientas de descubrimiento, herramientas de encriptación, herramientas de cumplimiento. Todas requieren de esa base para una herramienta de inteligencia de seguridad de datos; esto es, el entendimiento de qué datos son recolectados, dónde se ubican; cómo están estructurados, categorizados y cómo son utilizados; y quién tiene acceso a ellos, indica Northrop. "La mayoría de proveedores operan en una o dos de estas áreas; pero unas cuantas compañías han reconocido la necesidad de una mejor información en los datos de los que son responsables de proteger; de esta manera aprovechan su plataforma para extender sus productos para satisfacer esta necesidad.

Northrop sugiere Secure@Source de Informatica; Q-Radar de IBM, ArcSight de HP, y Splunk. Él predice que los proveedores como Oracle, SAP y Tableau Software, así como los proveedores de bases de datos como Microsoft, Informix y Teradata pronto se unirán al club.

Herramientas: Administrativas

Mike Papay, vicepresidente y CISO en Northrop Grumman señala: "En el contexto del malware destructivo y la pérdida de datos facilitada por gente interna, las empresas deberían invertir en herramientas de seguridad que los protejan desde dentro hacia afuera. De manera similar a una estrategia de políticas de ventanas rotas, las herramientas de seguridad que pueden dar inicio al proceso, y luego detectar y alertar sobre anomalías en la red y en el comportamiento del cliente, ayudan a las empresas a minimizar los problemas de actividad de forma temprana en el ciclo de amenazas.

"Yo recomiendo herramientas de gestión de identidad privilegiada (PIM o Privileged Identity Management), que controlan las contraseñas administrativas, y -en algunos casos- contraseñas y credenciales compartidas de negocios, añade Andras Cser, vicepresidente y analista principal de seguridad/riesgo en Forrester. "Esas herramientas son absolutamente críticas para prevenir ataques de seguridad, al hacer que el acceso del administrador de sistemas always-on a las cargas de trabajo on-premises y a la nube, sea una cosa del pasado. Las herramientas PIM revisan y cambian las contraseñas de las cargas de trabajo críticas, lo cual hace que sean inútiles las contraseñas espiadas del administrador. Asimismo, el PIM generalmente asegura un monitoreo cercano y la grabación de todo el acceso administrativo programático y/o humano a las máquinas.

"Hay tres herramientas que todas las empresas deben tener -dice Gary Hayslip, subdirector y CISO de la Ciudad de San Diego- gestión de parches, backup de datos, y encriptación total de disco. Estas herramientas ofrecen el fundamento básico de la ciber limpieza, el cual permite que las compañías continúen creciendo de manera segura y respondan a los incidentes. Entonces, a medida que el flujo de facturación se incrementa, pueden agregar más controles de seguridad a la organización. Si tuviera que elegir solo uno, diría gestión de parches. Al tener una solución de gestión de parches instalada, se reduce la exposición a riesgos de la organización al mantener sus activos de TI al día, lo cual hace las cosas más difíciles para los chicos malos. Sin embargo, no hay garantía alguna de que una solución resuelva el problema.

Herramientas: nube, móvil

David Giambruno, vicepresidente senior y CIO en TribuneMedia, sugiere que las empresas deberían moverse hacia el concepto de un centro de datos definido por software. "Nosotros usamos la solución de pila de VMware por sus capacidades de micro segmentación -resumidas en seguridad en la capa de elementos, señala. "Históricamente, esto fue increíblemente desafiante con el hardware pero, en el mundo del software -donde todo es un archivo- puedes envolver todo con una postura de seguridad. La seguridad va donde quiera que el elemento vaya, ya sea interno o externo. La auditabilidad, automatización operativa, y la visibilidad cambia las capacidades defensivas.

Giambruno desplegó Cyphort por sus capacidades para ver el tráfico en la nube. El diseño basado en VM ofreció un rápido despliegue, y se integró con el centro de datos definido por software.

"Una nueva área interesante es el uso de la tecnología para ofrecer una capa entre el usuario y las soluciones SaaS, de modo que la empresa puede gestionar la autenticación y la encriptación y mantener sus llaves, mientras que a la vez mantiene prácticamente una funcionalidad completa con una solución de software como servicio (SaaS), comenta el Dr. John D. Johnson, estratega de seguridad global en John Deere. "También hay nuevas soluciones para almacenamiento y sincronización de archivos en la nube (como Box) que añaden encriptación, protección contra pérdida de datos e informes granulares. Estamos viendo la evolución del mantenimiento de sus propias claves en la nube donde el módulo de seguridad de hardware está en los Amazon Web Services en lugar de su zona desmilitarizada.

Johnson añade que una mejor forma de gestionar los datos en dispositivos móviles más allá de la gestión del dispositivo móvil es otra preocupación. Él recomienda productos que mantengan los datos corporativos en un contenedor y eviten que sean movidos o que los graben, tales como Bluebox, que coloca un jardín amurallado flexible alrededor de ciertas apps y datos, y aplica reglas corporativas. Esta nube permite usar BYOD de una manera más confiable sin forzar a los usuarios a comprometerse con una solución completa de dispositivos móviles.

Monitoreo: defensa en profundidad

De acuerdo a Neil MacDonald, vicepresidente y distinguido analista en Gartner, la clave para la seguridad de la información es la defensa en profundidad, la cual consiste en firewalls, parches, antivirus, SIEM, IPS, etc. MacDonald recomienda a los clientes que primero eliminen los derechos administrativos de los usuarios de Windows (si no lo han hecho todavía). Sugiere luego invertir en una solución de detección y respuesta de terminal (EDR o endpoint detection and response) que continuamente monitoree y analice el estado del terminal en busca de indicaciones de compromiso. Siempre asuma que independientemente de sus sistemas de prevención, los ataques llegarán a los sistemas de su empresa. En ese momento usted queda ciego.

"No puede depender de las tecnologías que fallan en prevenir el ataque, para detectarlo después del hecho, señala MacDonald. "Los datos de la industria muestran que el ataque promedio permanece sin detección por casi 240 días antes de ser descubierto, y muchos de ellos no los descubren ellos mismos. Usualmente, alguien externo alerta a la organización que ha sido comprometida.

MacDonald enfatiza que las soluciones EDR ofrecen visibilidad continua que, cuando se combina con una analítica continua, puede ayudar a las empresas a reducir el tiempo de permanencia. La prevención sola es fútil y los usuarios finales son un blanco fácil que no puede ser parchado. Su capacidad para detectar y responder rápidamente a los ataques que inevitablemente pasarán sus mecanismos tradicionales de protección es, al menos, tan relevante como su inversión en prevención.

"Para cargas de trabajo de servidores, yo reemplazaría el escaneo anti-malware con una solución de control de aplicación -señala- para prevenir la ejecución de todo el código no autorizado, lo cual mantiene la gran mayoría de malware fuera del sistema y, también, refuerza una buena higiene de mantenimiento operativa y de cambio. Esto debería ser el control primario de seguridad para la protección del centro de datos y cargas de trabajo basadas en la nube.

Troy Leach, CTO del Consejo de Estándares de Seguridad PCI está de acuerdo. "Los Estándares PCI se dedican a un enfoque de defensa en profundidad de la seguridad, señala. "La estrategia subyacente es simple: desplegar una variedad de controles de seguridad dirigidos a diferentes vectores de riesgo, de modo que su organización esté mejor equipada para reducir las probabilidades de un ataque y mantener seguros los datos de los tarjetahabientes. Pero hay otra práctica fundamental que determina el éxito de esta estrategia que normalmente es subutilizada por las organizaciones, la cual es el monitoreo. Su uso estratégico ofrece al negocio enormes beneficios no explotados.

Leach sostiene que monitorear el rendimiento y los datos que ofrecen los controles de seguridad permite incrementar la consciencia de una postura de seguridad y de salud en operaciones técnicas. En particular, el monitoreo continuo es un mecanismo clave para mantener sus manos en el pulso de la seguridad en tiempo real. Las organizaciones deberían enfocarse en el análisis del monitoreo de datos en áreas críticas como sistemas que controlan el acceso al entorno de los datos de los tarjetahabientes y las PC vulnerables en el back-office que están con software o firmas de seguridad desactualizadas. Estos han sido vectores de ataque típicamente explotados con inserciones de malware en los principales ataques recientes.

"Los datos acumulados con el monitoreo también le permite medir y demostrar los beneficios financieros de su programa de seguridad, el cual ofrece términos concretos para demostrar el retorno de inversión y obtener el compromiso con la seguridad de la alta dirección. El monitoreo efectivo mantiene su equipo de seguridad ágil y listo para responder a riesgos emergentes, mientras a la vez ayuda a controlar los costos de inversión y el cumplimiento. El Consejo PCI le insta a reevaluar continuamente la efectividad de sus controles de seguridad con el monitoreo y le ayuda a su equipo a tener respuestas sistemáticamente cronometradas a amenazas emergentes, señala Leach.

Monitoreo: continuo

Randy Marchany, director del laboratorio de seguridad de TI y director de seguridad en Virginia Tech, también cree que una estrategia general de seguridad es muy efectiva en oposición a la estrategia común de defensa de perímetro. La falla con la defensa estática de perímetro es que la mayoría de organizaciones se enfocan en el tráfico de entrada, en lugar de en el de salida. El monitoreo continuo (CM), también conocido como monitoreo de seguridad de red o detección de intrusos, se enfoca en el tráfico y en el análisis de la bitácora.

"Un supuesto clave del CM -añade Marchany- es que nuestras máquinas han sido comprometidas, así que buscamos activamente esas víctimas. El CM ofrece una forma de detectar, contener y erradicar de manera efectiva un ataque. Tres pasos para un ataque exitoso; por ejemplo, las metas de los atacantes son: obtener ingreso a la máquina; una vez apropiada, la máquina víctima debe comunicarse de vuelta con el hacker; y, si es descubierto, borrar todo para cubrir sus huellas.

Marchany sugiere algunas metas de CM: monitorear el tráfico de salida hacia sitios sospechosos; buscar máquinas comprometidas dentro de la red, y usar analíticas para determinar si ha ocurrido la extracción de datos confidenciales. La arquitectura única de Virgina Tech corre una red totalmente de producción de doble pila, IPv4 e IPv6, de modo que sus herramientas de defensa de red deben soportar IPv6. Él recomienda el appliance FireEye Malware Detection y Netflow (lo cuales proveen información invaluable que determina si máquinas internas han sido comprometidas), y herramientas como ARGUS Software, SiLK (Sistem for Internet Level Knowledge), una colección de herramientas de análisis de tráfico desarrolladas por el Network Situational Awareness Team, del CERT, y/o el analizador de seguridad de red Bro.

Johna Till Jonhson, CEO de Nemertes Research, recomienda a las organizaciones enfocarse en Advanced Security Analytics (ASA), una categoría emergente de productos y servicios de seguridad que ofrece datos en tiempo real e, incrementalmente, respuestas proactivas a situaciones que indican un ataque potencial, compromiso o vulnerabilidad. ASA incluye las categorías actuales de gestión de eventos/incidentes de seguridad y monitoreo (SEIM) al agregar capacidades analíticas usualmente derivadas de tecnologías Big Data. Esto también incluye categorías anteriores como sistemas forenses de detección/prevención de intrusos (IDS/IPS). Estas capacidades incluyen el análisis de comportamiento del usuario (UBA o User Behavioral Analytics), el cual puede detectar reportar y tomar acción contra comportamientos anómalos de los usuarios (sean computadoras o personas), y ofrecer una visualización.

"¿Por qué necesita ASA y, particularmente, UBA?, pregunta. "Para protegerse contra amenazas multifactor, en particular ataques involuntarios o planeados desde dentro de la red. Los usuarios pueden portarse mal y/o sus computadoras pueden verse comprometidas. Frecuentemente, la única forma de detectar amenazas avanzadas persistentes es detectar comportamientos anómalos, lo cual es desafiante, si no sabe cuál es su comportamiento normal. Con UBA no necesita saber lo que es normal -el sistema lo averigua por usted.

Johnson recomienda herramientas ASA de proveedores como Agiliace, Blue Coat, Damballa, FireEye, Guidance, HP ArcSight, IBM, Lasline, LogRythm, McAfee/Intel y Splunk.

Las personas son la clave

"Si desea una verdadera seguridad en una empresa de cualquier tamaño, debe comenzar con las personas, señala Eddie Block, CISO del Departamento de Recursos de Información en el Estado de Tejas. "Las personas son los únicos que configuran los firewalls, actualizan el software antivirus, parchan los servidores, y realizan una gran cantidad de tareas que aseguran que los ataques y las intrusiones serán minimizadas. Las personas con habilidades técnicas y conocimiento tienen olfato para las anomalías y un sentido natural de curiosidad. Ellos son los únicos en el frente de batalla que revisan las bitácoras, quienes ven algo sospechoso en un archivo de registro, y luego tienen la compulsión de averiguar qué ocurrió. Muchos de los ataques a gran escala experimentados en los meses recientes pudieron haber sido descubiertos mucho antes con las personas adecuadas. No hay nada nuevo, deslumbrante o llamativo acerca de los archivos de registro, pero si uno realmente quiere entender su postura de seguridad, ponga una persona curiosa al frente de un servidor de registro.

"Mi voto por la mejor opción de seguridad son las herramientas de colaboración. Sí, tenemos cantidad de balas de plata; lo que realmente necesitamos son más herramientas que permitan la comunicación y la colaboración para nuestra fuerza de trabajo distribuida. Necesitamos capturar el conocimiento tribal para hacer más eficaz al staff. Necesitamos invertir en herramientas que hagan al staff más ágil, señala Rick Holland, analista principal de seguridad y riesgo en Forrester Research.

Guy Delp, director de ciberseguridad y análisis avanzado en Lockheed Martin, cree que el enfoque debería estar en contratar talento en ciberseguridad que pueda capitalizar las inversiones actuales, e influenciar todos los aspectos de la postura de seguridad de la organización. Él desafía a las compañías a preguntar si los problemas de visibilidad de red deberían ser atacados. ¿Hay mecanismos en la organización que detienen la respuesta a incidentes? ¿Se utilizan las herramientas actuales al máximo? ¿Se han implementado herramientas de código abierto dentro de la infraestructura?

"Cuando invierta en talento clave considere estos tres criterios esenciales: balance, adaptabilidad e influencia, señala. "Conocer los aspectos técnicos de la misión no es suficiente. El talento clave debe estar en los líderes así como al compartir información, aconsejar, motivar a otros y ensuciarse las manos (balance). Las súper estrellas más exitosas entienden los aspectos técnicos y políticos de su entorno. El cambio rápido es muy probable que se dé, de modo que quienes aprenden velozmente se adaptarán mejor (adaptabilidad). Las organizaciones de seguridad no operan al vacío. El talento clave más exitoso lo constituyen aquellos quienes pueden navegar ente las fronteras organizacionales para manejar los resultados que necesitan (influenciar).

Frank Kim, CISO en el SANS Institute, cree que las capacidades de seguridad que detectan atacantes y actividad anómala son aún más importantes de cara a las amenazas avanzadas, las cuales están determinadas a traspasar los mecanismos tradicionales de prevención. Como resultado, la inteligencia de amenazas y una robusta compartición de información son aspectos claves de la moderna ciber defensa. Pero no todo es sobre compartir indicadores de ataques, también se trata de análisis avanzado y de la capacidad de explotar fuentes internas y externas de datos. Construir una capacidad científica de datos para analizar inteligentemente grandes cantidades de información, ofrece a las organizaciones información que permite a los equipos de seguridad responder de forma más veloz.

"Sin embargo, no solo se trata de estas capacidades técnicas, señala Kim, agregando: "Al tener la gente adecuada con las habilidades y la experiencia indicadas es clave para proteger adecuadamente los activos críticos. No se trata de la flecha, sino del arquero.

"En lugar de endorsar un producto o solución en particular, he explicado a mis alumnos en mi clase de privacidad de datos acerca de las virtudes de armar un equipo de respuesta a incidentes, anota Jill Bronfman, director de programa y profesor adjunto de derecho a la privacidad de datos en el Instituto para la Innovación de la Ley en la Universidad de California Hastings. "Este es un equipo de profesionales entrenados para prevenir (o al menos mitigar) las amenazas de seguridad de datos y si ocurre un ataque responder a ellos con toda la velocidad y atención posible.

Bronfman afirma que en casos en los que se involucra información tanto de empleados como de clientes, como en el cuidado de la salud o las finanzas o datos corporativos y personales, las empresas son mejor atendidas por un equipo multifuncional de expertos en seguridad. Ella recomienda establecer grupos por adelantado compuestos por gente del área legal, TI, CTO, CIO, recursos humanos, gestión del riesgo para aseguramiento, relaciones públicas/marketing, relaciones con el consumidor, regulación/gobierno, y proveedores relevantes -especialmente si están involucrados en la seguridad- y luego entrenarlos en un plan de respuesta a incidentes. Las compañías más pequeñas podrían combinar estas funciones en un menor número de personas, pero la clave es identificar personas responsables para cada función y ofrecer listas de verificación que se activen cuando ocurran incidentes.

Vea también: