Llegamos a ustedes gracias a:



Reportajes y análisis

"Uno no siempre puede tener lo que quiere"

[12/03/2012] En la reciente RSA Conference 2012 acudimos al keynote realizado por Art Coviello que llevaba por título Sostener la Confianza en un Mundo Hiperconectado. De esa conferencia una frase se grabó en nuestra mente: uno no siempre puede tener lo que quiere.
Art Coviello, CEO de RSA, se refería a que no podíamos tener un mundo sin riesgos, completamente seguro. Es un pensamiento bonito pero irreal. Pero sí podemos, y lo hemos hecho, tener muchos progresos en la mejora de la seguridad de las TI. Al reducir los niveles de riesgo, podemos hacer que la gente inteligentemente tome decisiones prudentes y administren el riesgo de forma efectiva, sostuvo el ejecutivo.
Lo que necesitamos
Ciertamente, no podemos tener todo lo que queremos, pero sí podemos llegar a conseguir lo que necesitamos, con algo de esfuerzo de nuestra parte. De hecho, ya hemos avanzado en este campo, sostuvo Coviello.
En un mundo en el que millones de dólares pasan de una frontera a otra con el solo movimiento de un mouse, es fácil comprender que las TI nos han proporcionado la confianza necesaria para realizar estas transacciones. Sin los avances en la seguridad informática de los que se disfruta en la actualidad, difícilmente se podría uno imaginar el actual flujo de información y dinero alrededor del mundo.
Pero nuestras necesidades cambian.
La confianza en nuestro mundo digital se encuentra en peligro. Nuevos tipos de criminales explotan las debilidades de nuestro mundo digital. Con creciente velocidad y agilidad se están aprovechando las brechas de seguridad que se han generado como resultado de la apertura de nuestras hiperconectadas infraestructuras, señaló Coviello.
Y, por cierto, el ejecutivo también hizo una mea culpa de parte de toda la industria al señalar que ésta ha reaccionado con poca velocidad y mostrando una incapacidad de trabajar junta. Los adversarios, por el contrario, se encuentran mejor coordinados, han desarrollado mejor inteligencia y han superado con facilidad las tradicionales defensas perimetrales.
Además, se puede detectar algunas tendencias que están exacerbando el problema. La movilidad, el SaaS y la infraestructura de nube representan también un aspecto del problema; pero también lo es el hecho de que por primera vez desde el surgimiento de las TI los consumidores y empleados están adoptando las tecnologías más rápido que los gobiernos y las empresas.
Si quieres realmente hablar con alguien, ¿no prefieres verlo también? Las aplicaciones de los smartphones y Skype han hecho que las líneas fijas se vean primitivas, sostuvo el expositor.
Estos efectos ya no solo son patrimonio exclusivo del llamado Primer Mundo, sino que se han expandido a lo que se conocía antiguamente como el Mundo en Desarrollo. China tiene en línea a más de 500 millones de personas, que pasan en promedio 2,5 horas en el mundo virtual, e India presenta un caso similar.
El punto con todo esto es que nadie sabe a dónde nos van a llevar estas tendencias, pero queda claro que ya hemos pasado el punto en el que nuestro mundo digital y nuestra vida real podían estar separados. También hemos superado el punto en el que nuestras vida profesional y personal podían estar separadas.
Por tanto, las organizaciones TI deben aprender a administrar lo que no pueden controlar en forma directa, y las organizaciones de seguridad necesitan aprender a asegurar aquello que no pueden controlar en forma directa, sostuvo Coviello.
El resultado es que la industria de la seguridad informática está enfrentando un desafío como nunca antes lo había tenido. Además, los modelos de seguridad de hoy en día son simplemente inadecuados y, según lo señalado por el ejecutivo, con las actuales tendencias lo van a ser aún más.
El infierno
Enfrentamos realidades difíciles en forma colectiva. Las personas en nuestra industria han estado en un infierno en los pasados 12 meses, sostuvo el ejecutivo, refiriéndose a los numerosos ataques que recibieron, precisamente, las empresas de seguridad, muchos de cuyos ejecutivos eran parte del público presente en el keynote de Coviello.
Nunca antes se había visto tantos ataques de alto perfil en un solo año, ni nunca los ataques habían sido dirigidos con el objetivo de usar una organización como peldaño para atacar a otras. Y por eso nunca antes tantas organizaciones de seguridad habían sido atacadas directamente, incluyendo RSA.
En un mundo tan interdependiente como el actual, se debe entender que un ataque a una de las empresas es un ataque a todas las empresas. Juntos podemos aprender de estas experiencias y emerger de este infierno más inteligentes y más fuertes de lo que éramos antes. Como dijo alguna vez Winston Churchill si vas a pasar por el infierno, pasa, agregó el expositor.
Se debe contratacar de la única manera que se sabe: con creatividad e innovación.
Para comenzar, se debe dejar de ser pensadores lineales. Es decir, seguir añadiendo más controles a los modelos que han fallado. Se debe reconocer, de una vez por todas, que las defensas basadas en perímetros, y las tecnologías basadas en firmas, ya han dejado atrás su lozanía; y se debe reconocer también que las redes van a ser penetradas, y que uno no se debe sorprender por esto, indicó Corviello.
A lo que añadió que se necesita entender que educar a los usuarios sobre seguridad es importante, pero que dada la naturaleza humana las personas van a seguir cometiendo errores. Por ello, inevitablemente, los atacantes van a aprovechar esos errores y los van a explotar.
Sin embargo, aceptar la inevitabilidad de verse comprometido no significa que uno deba aceptar la inevitabilidad de la pérdida.  Podemos manejar el riesgo a niveles aceptables. No vamos a detener cada uno de los ataques, pero podemos reducir la ventana de vulnerabilidades de todos los ataques, señaló Coviello.
Entonces, ¿Qué se debe hacer?
Como los adversarios han aprovechado la velocidad y la disponibilidad de información en Internet, los profesionales de la seguridad también deben hacer lo mismo: usar la inteligencia en favor suyo, indicó el ejecutivo.
Pero sus mentes también deben cambiar. Deben dejar de jugar a defenderse y dejar de rastrear grandes cantidades de eventos sin importancia. Necesitamos la capacidad de trabajar con grandes cantidades de información, pero al hacerlo debemos crear contra inteligencia predictiva y preventiva para detectar las señales de un ataque sofisticado, sostuvo el expositor.
La realidad de hoy es que las empresas se encuentran en una carrera contra sus adversarios. Ellos ganan cuando encuentran debilidades y las explotan más rápido que lo que la industria de la seguridad puede identificar los patrones de ataque para evitarlos. Y en estos momentos son los adversarios los que se encuentran ganando. La evidencia nos dice que el 79% de las brechas recién se descubren a las semanas de producirse, pero que el 91% de las brechas de seguridad comprometen datos en tan solo días u horas.
Estas estadísticas deben revertirse, pero ello no se puede hacer con las convencionales y no coordinadas líneas de productos que se tiene en la actualidad. Para ello es necesario utilizar un sistema basado en el poder de las múltiples fuentes de inteligencia, indicó el expositor.
Los nuevos sistemas
Los sistemas a los que hace referencia Coviello son los llamados sistemas de seguridad basados en la inteligencia. Éstos presentan tres propiedades.
Primero, el sistema debe basarse en el riesgo. Aunque la industria ha hablado de esto por años el hecho es que pocas organizaciones lo hacen bien o adecuadamente. Se debe aprender a evaluar el riesgo de una manera más sustanciosa.
Fundamentalmente, el riesgo es función de tres componentes: cuán vulnerables somos a los ataques, cuán probable es que uno sea el objetivo y cuál es el valor de lo que está en juego.
En un mundo de amenazas avanzadas debemos aprender a evaluar el riesgo no solo de dentro hacia afuera, sino también de afuera hacia dentro.
Conoce a tu enemigo, señaló Zhun Tsu, y esto significa que uno debe tener un conocimiento profundo de sus activos y de su entorno a través de una amplia gama de fuentes externas. Esto permitirá reconocer toda la extensión de la superficie de ataque y reconocer las probables tácticas de los adversarios con la suficiente anticipación, indicó Corviello.
Segundo, un sistema de seguridad basado en la inteligencia debe ser ágil. Los enfoques actuales para dirigir las operaciones de seguridad carecen de la visión de la situación, visibilidad profunda, y la agilidad ambiental que se requiere para detectar los ataques sofisticados.
Los sistemas actuales son parches de controles que usan muchas actualizaciones que consumen tiempo, usan muchos datos y casi sin nada de inteligencia. Los sistemas se encuentran construidos en base a rutinas, reportes de cumplimiento y auditorias, y asume que se tiene un conocimiento a priori de las firmas de malware.
En cambio necesitamos un modelo de seguridad que nos proporcione controles inteligentes y buenas capacidades de monitoreo que entiendan los patrones de comportamiento de uso y comprenda los patrones de las transacciones, de tal forma que podamos detectar esas anomalías de alto riesgo en forma anticipada, añadió Coviello.
La tercera propiedad es que estos sistemas de seguridad dirigidos por la inteligencia deben tener capacidades contextuales. Un sistema ágil de controles y de capacidades de monitoreo es efectivo solo cuando un evento de seguridad es enviado con un contexto completo alrededor de él.
En otras palabras, se tiene éxito cuando se tiene la mejor información disponible. Es por esto que estos sistemas tienen que basarse en algo más que los log data que proporciona la tradicional administración de eventos de seguridad. Para reunir los datos necesarios de varias fuentes, las organizaciones deben adoptar un modelo de grandes datos.
Hablemos de lo que los grandes datos realmente significan para estos sistemas de seguridad en nuestra industria, porque en otras industrias los grandes datos se han convertido en un poderoso concepto estratégico y está ganando bastante aceptación, advirtió el expositor.
Desde la perspectiva de la seguridad, los grandes datos se refieren a la recopilación de conjuntos de datos de seguridad relevantes, a una escala sin precedentes y en numerosos formatos. Estos datos deben ser recopilados no solo desde los controles de seguridad, sino desde todas las partes de su infraestructura e incluso más allá. Luego, los datos deben ser correlacionados utilizando analítica de alta velocidad para producir información accionable.
Como sostiene Coviello, la era de los grandes datos ha llegado a la administración de la seguridad debido a los avances en los sistemas de almacenamiento de datos, al poder de procesamiento y a las herramientas analíticas.
Con esta capacidad de grandes datos los equipos de seguridad pueden dejar de desperdiciar dinero en controles obsoletos y tiempo rastreando los eventos insignificantes.
Los equipos tendrán la capacidad de reconocer el enemigo rápidamente, aislar los componentes comprometidos en la infraestructura y procesar los ataques sin daño. En esencia, los grandes datos le dan a uno la capacidad contextual para reducir aquella ventana de vulnerabilidad de la que se habló inicialmente.
Recursos humanos
¿Que mas se necesita? Desafortunadamente, la industria no tiene los recursos humanos necesarios para llevar a cabo esta visión. Se necesita de una nueva generación de analistas de ciberseguridad, y para ello se debe acudir a la experiencia e inteligencia militar.
La industria de la seguridad TI generalmente no selecciona personal entre los militares y se centra en la tradicional experiencia técnica en seguridad. Los nuevos analistas deben tener las habilidades analíticas necesarias, pensamiento para contra inteligencia, y habilidades colaborativas para asegurarse que pueda compartir información con varios grupos de interés, sostuvo el expositor.
Pero más importante aún, deben tener un pensamiento a la ofensiva, evaluando en forma constante la inteligencia externa, e identificando nuevas formas de interceptar las amenazas que aparezcan en el horizonte.
Pero además, es necesario compartir la información a nivel macro.
En la actualidad, compartir información es casi un cliché sin efecto. Su éxito ha estado limitado por la desconfianza, las brechas tecnológicas y las restricciones legales.
Bueno, luego de años de oírlo puedo decir que finalmente, algo bueno está pasando. Las personas ya no esperan a una solución del gobierno y de la industria, las comunidades de base están compartiendo información de seguridad como nunca antes. Este componente de compartir información es más que información en sí, es información accionable, sobre amenazas en tiempo real, sostuvo Coviello.
Estas redes han sido formalizadas industria por industria, y afortunadamente se están haciendo virales a medida que se forman redes de redes facilitando el flujo de inteligencia.
Y en RSA también estamos enfrentando este desafío. En esta conferencia estamos presentando nuevas capacidades que los clientes pueden usar ahora para compartir información de amenazas con sus círculos de confianza. Con la cooperación creemos que podemos conseguir lo que necesitamos, finalizó el ejecutivo.
Franca Cavassa, CIO Perú