Llegamos a ustedes gracias a:



Reportajes y análisis

8 Sucios Secretos de la Industria de la Seguridad TI

[28/09/2009] Joshua Corman podría no parecer un crítico de los fabricantes de seguridad TI. Después de todo, trabaja para uno de ellos. Sin embargo, Corman, estratega principal de seguridad para la división de Sistemas de Seguridad de Internet de IBM, está revelando lo que considera son las ocho tendencias que socavan la capacidad de los profesionales de la seguridad TI para montar una efectiva defensa contra los delincuentes en línea.

Habiendo trabajado para el lado del fabricante, Corman afirma tener una posición única para comprender sus debilidades de cerca. Y así, con una presentación en PowerPoint de los 8 Sucios Secretos del mercado a la mano, se ha presentado en seminarios y ha hecho muchas llamadas telefónicas, esperando motivar un cambio positivo. A continuación los detalles de esos ocho sucios secretos, y lo que Corman considera formas prácticas de mantener la honestidad de los fabricantes.
Sucio Secreto 1: Los fabricantes no necesitan adelantarse a las amenazas, el comprador sí
Este es el problema que conduce a los siete sucios secretos siguientes. En esencia, señala Corman, el objetivo del mercado de la seguridad es hacer dinero, no asegurar la seguridad de los clientes.
Tom Vredenburg, gerente IM regional para Wartsila Corp., empresa de Houston, señala que la opinión de Corman es consistente con lo que él ha experimentado en las trincheras. No solo la seguridad se ha vuelto un producto fantasma, sino que los fabricantes en sí mismos se han vuelto igualmente difíciles de precisar y evaluar. ¿Son vendedores de software o administradores de riesgos? ¿Son proveedores de servicios o diseñadores de redes? ¿Estoy comprando sociedades o licencias? En su mayoría, ellos mismos no saben lo que son; solo saben que necesitan vender algo que la mayoría de las personas realmente no querían comprar: seguros.
Varios fabricantes de seguridad se defendieron a sí mismos en contra de este concepto, incluyendo al director de administración de producto de Cloakware, Terry Brown.
En último término, aún hay una búsqueda de ingresos en todo el mercado de seguridad, pero ahora, debido a la depresión económica, tanto fabricantes como clientes están desarrollando expectativas más razonables, reestructurando el mercado y el gasto de TI.
Sucio Secreto 2: Omisiones de certificación antivirus
Si bien las herramientas antivirus detectan el malware que se replica, como los gusanos, éstas no pueden identificar el malware que no se replica, como los troyanos. Aunque los troyanos han estado por aquí desde el principio del código malicioso, Corman indica que no hay rendición de cuentas en las pruebas de certificación antivirus. Por tanto, las compañías se encuentran adormecidas por un falso sentido de seguridad, creyendo equivocadamente que el antivurs que compraron las está protegiendo de todo el malware.
Hoy, los troyanos y otras formas de código malicioso que no se replica constituyen el 80% o más de las amenazas que las empresas probablemente enfrentarán, señala Corman. Las métricas de responsabilidad de los antivirus simplemente ya no reflejan el verdadero estado de la amenaza.
Sucio Secreto 3: No hay perímetros
Corman indica que aquellos que verdaderamente creen que aún hay un perímetro de red, también podrían creer en Santa Claus. Eso no significa que no haya perímetros sino que las compañías no tienen claro que es en realidad un perímetro, y los proveedores de seguridad hacen poco por solucionar esto. Por el bien del Sucio Secreto 1, la realidad del Sucio Secreto 3 se esconde bajo la alfombra, haciendo que las compañías compren productos que no siempre son efectivos para sus riesgos particulares.
Necesitamos definir qué es el perímetro, señala. El punto final es el perímetro, el usuario es el perímetro. Es más probable que el proceso de negocios sea el perímetro, o la propia información sea también el perímetro. Si diseña sus controles de seguridad sin supuestos básicos sobre lo que es un perímetro no estará seguro, pero cuando tenga uno sí se encontrará más seguro. El error que tendemos a cometer es pensar que si ponemos controles en el perímetro estaremos bien. Sin embargo, en el caso de un buen número de amenazas no podríamos estar más equivocados.
Sucio Secreto 4: La administración del riesgo amenaza a los fabricantes
La administración del riesgo realmente ayuda a una organización a entender su negocio y su nivel más alto de riesgo, señala Corman. Pero las prioridades de una compañía no siempre concuerdan con lo que los fabricantes venden.
Los fabricantes se enfocan en problemas individuales para que usetd continúe comprando sus productos individuales, indica. Si no tiene una imagen clara de sus prioridades de riesgos, los fabricantes estarán más que felices de establecerlos por usted. La seguridad debe alinearse con sus prioridades de negocios y darles soporte. Sin embargo, muy a menudo, los fabricantes desean más bien que sea su negocio el que se alinee con su portafolio.
Sucio Secreto 5: Hay más que arriesgar que un débil software
Corman dijo que la mayor parte del mercado de seguridad está enfocada en las vulnerabilidades del software. Pero el software representa tan solo una de las tres maneras de tener problemas, las otras dos son: las débiles configuraciones y la gente. Desafortunadamente, indica, las últimas dos son riesgos mucho más peligrosos que la gran falla de seguridad semanal en el software.
Si bien necesitamos encontrar y parchar vulnerabilidades, también debemos entender que una organización es tan fuerte como su eslabón más débil. Se necesita prestar más atención a la mitigación de las otras dos formas de verse en problemas, señala Corman.
Sucio Secreto 6: La conformidad amenaza la seguridad
La conformidad con leyes y estándares de la industria como Sarbanes-Oxley y PCI DSS hacen que las compañías gasten mucho más en seguridad de lo que gastarían en otras circunstancias. Los fabricantes de seguridad obviamente se han aferrado a este hecho, ofreciendo productos que hacen de todo, desde ofrecer inmediata conformidad con PCI, hasta las más recientes soluciones para todo para las entidades de cuidado de la salud que tienen que enfrentar las demandas de la HIPAA. Por supuesto, esto también conduce a que las compañías compren herramientas de seguridad que no satisfacen adecuadamente los riegos particulares que enfrentan.
Sucio Secreto 7: Los puntos ciegos de los fabricantes permitieron la existencia de Storm
La botnet Storm, como un arquetipo, está siendo copiada y mejorada. La era Storm de botnets está viva y saludable, a casi dos años desde que aparecieron por primera vez, señala Corman. ¿Cómo es esto posible? Él respondió:
1) Las botnets florecen en el mundo del consumidor donde hay poco dinero para la innovación, un hecho que Storm y sus controladores saben. Ellos están ganando dinero por actividades que van desde el spam hasta los fraudes con bonos.
2.) Ellos se desayunan a los antivirus en las mañanas. Muchas de las técnicas e innovaciones usadas por Storm no son nuevas; solo están siendo mejoradas habilidosamente contra los puntos ciegos de las certificaciones antivirus y de los proveedores de antivirus.
3.) El código malicioso no necesita vulnerabilidades. La mayoría de las campañas de penetración de Storm se basan en una mejorada ingeniería social y aprovechan los feriados o los eventos deportivos.
Sucio Secreto 8: La seguridad ha crecido mucho más allá del hágalo Ud. mismo.
La tecnología sin estrategia es caos, señala Corman. La cantidad total de productos de seguridad y el ritmo al que se producen los cambios han sobresaturado a la mayoría de las organizaciones, y ha excedido su capacidad para seguirles el paso.
Las organizaciones conocen solo una parte de las capacidades de sus inversiones existentes. Más aún, el costo del producto es generalmente solo una parte del costo de propiedad, señala. Hubo un tiempo en el que podías hacerlo tú mismo.
La comunidad de fabricantes debe, por tanto, parar de tratar de convencer a las compañías de que pueden comprar un producto, configurarlo y olvidarse de él.
Bill Brenner, CSO (US)