Llegamos a ustedes gracias a:



Reportajes y análisis

12 cosas que todo profesional de la seguridad debería saber

[27/08/2019] Pocas profesiones cambian con la velocidad con la que lo hace la de la seguridad informática. Los profesionales se enfrentan a un promedio de cinco a siete mil nuevas vulnerabilidades de software al año. El año pasado ese número fue de 16.555. Eso es como si se produjeran entre 13 y 45 nuevas fugas en sus defensas todos los días, día tras día, año tras año. Esto se suma a las decenas de millones de programas maliciosos únicos que amenazan su entorno de TI cada año, y a todos los adversarios humanos que también lo están intentando.

En medio de esta avalancha de amenazas constantes, un solo error podría comprometer las joyas de la corona y poner a su empresa en un foco mediático no deseado, perjudicar sus ingresos y hacer que despidan a la gente.

Esto no quiere decir que su equipo no pueda defenderse con éxito. Por supuesto que puede, y lo hará.

Aquí hay doce cosas que todo profesional de la seguridad informática debe saber para luchar con éxito y dar una buena batalla.

1. Los motivos de sus oponentes

No puede empezar a luchar con éxito contra los malos sin entender quiénes son y por qué están detrás de usted. Todos los atacantes tienen sus propias historias y objetivos de origen, y estas dos cosas guían todo lo que hacen y cómo lo hacen.

Hoy, los hackers que le amenazan lo hacen con serios motivos. La mayoría caen en una de estas categorías:

  • Financieros
  • Patrocinado por una nación-estado /cyberguerra
  • Espionaje corporativo
  • Hacktivistas
  • Robo de recursos
  • Trampa en juegos multijugador

Sin embargo, incluso con los chicos malos de hoy en día, no todos los ataques son iguales. Comprender el motivo es una clave importante para resolverlo. Considere el "por qué" junto con todo lo demás que haga. Esa es la mejor manera de determinar qué tipo de objetivo presentan sus redes. También podría ofrecer pistas sobre cómo derrotar a su oponente.

2. Tipos de malware

Existen tres tipos principales de malware: virus informáticos, troyanos y gusanos. Cualquier programa de malware es una amalgama de una o más de estas clasificaciones.

Un virus informático es un programa de malware que se aloja dentro de otros programas, archivos y en almacenamiento digital para replicarse. Un troyano es un programa de malware que afirma ser algo legítimo para engañar a los humanos para que lo pongan en marcha. Un troyano no se replica a sí mismo, sino que depende de la curiosidad de los humanos para que se propague. Un gusano es un programa auto-replicante que utiliza código para propagarse. No necesita otros programas o archivos de host.

Es importante entender estas categorías básicas de malware para que cuando encuentre un programa de malware, pueda analizar juntos el escenario más probable sobre cómo llegó a sus sistemas. Esto le ayudará a entender dónde buscar el origen del malware, y dónde es probable que se extienda más.

3. Explotaciones de la causa raíz

Cada año, los profesionales de la seguridad de TI se enfrentan a miles de nuevas vulnerabilidades de software y millones de programas maliciosos únicos, pero solo diez causan exploits diferentes permitiendo que cada uno de ellos entre en el entorno de alguien. Detenga estos ataques y detendrá el hacking y el malware. Aquí están los diez tipos de root exploits:

  • Error de programación
  • Ingeniería social
  • Ataque de autenticación
  • Error humano
  • Configuración errónea
  • Escuchar a escondidas/hombre en el medio (MitM)
  • Malformación del tráfico de datos/red
  • Ataque interno
  • Dependencia de terceros
  • Ataque físico

Nada de esto debería ser desconocido. Pero eso no significa que sea fácil.

4. Criptografía y protección de datos

La criptografía digital es el arte de proteger la información contra el acceso y la modificación no autorizados. Todo profesional de la seguridad de TI debe aprender los fundamentos de la criptografía, incluyendo el cifrado asimétrico, el cifrado simétrico, el hash y la distribución y protección de claves.

La protección de datos requiere mucha criptografía. La protección completa de datos también exige que los datos se recopilen y utilicen legalmente, que proteja su privacidad contra el acceso no autorizado, y que los respalde de forma segura para evitar modificaciones maliciosas y garantizar su disponibilidad. La protección de datos es cada vez más exigida por la ley. (The Geek Stuff tiene un gran tutorial sobre criptografía básica.)

Ya que está en ello, asegúrese de estar al tanto del progreso de las computadoras cuánticas y de su capacidad para descifrar la criptografía de clave pública de hoy en día. Existe la posibilidad de que en los próximos 10 años o menos se vea forzado a mover todo el criptograma de clave pública al que está acostumbrado (por ejemplo, RSA, Diffie-Hellman, etc.) a la criptografía conocida como criptografía post-cuántica. Todo el mundo está preparado para la mudanza, incluido el Instituto Nacional de Normas y Tecnología de los Estados Unidos. No se deje sorprender por los cambios drásticos que se avecinan.

5. Redes y análisis de paquetes de red

Podrá reconocer a los mejores profesionales de seguridad de TI de su equipo porque entienden las redes a nivel de paquetes. Son fáciles de usar con los elementos básicos de la red como protocolos, números de puerto, direcciones de red, capas del modelo OSI, la diferencia entre un enrutador y un conmutador, y son capaces de leer y comprender para qué se utilizan todos los diversos campos de un paquete de red.

Entender el análisis de paquetes de red es entender verdaderamente las redes y las computadoras que las utilizan. Geeksforgeeks tiene un tutorial rápido sobre los fundamentos de la red y Vice tiene un curso de inicio rápido sobre el análisis de paquetes de red.

6. Defensas básicas comunes

Casi todas las computadoras tienen defensas básicas comunes, que los buenos profesionales de TI consideran y aplican. Estos son los "estándares" de la seguridad informática. Entre ellas se incluyen:

  • Gestión de parches
  • Formación para el usuario final
  • firewalla
  • Antivirus
  • Configuraciones seguras
  • Cifrado/criptografía
  • Autenticación
  • Detección de intrusos
  • Registro de datos

Entender y utilizar las defensas de seguridad de TI básicas comunes es una necesidad para todo profesional de la seguridad de TI.

7. Conceptos básicos de autenticación

Los mejores profesionales de la seguridad entienden que la autenticación es más que el proceso de introducir una contraseña válida, o satisfacer una prueba de identificación de dos factores. Es mucho más complicado que eso. La autenticación comienza con el proceso de proporcionar una etiqueta de identidad única y válida para cualquier espacio de nombres, como la dirección de correo electrónico, el nombre de la entidad de seguridad del usuario o el nombre de inicio de sesión.

La autenticación es el proceso de proporcionar uno o más "secretos" que solo son conocidos por el titular de la identidad válida y su base de datos/servicio de autenticación. Cuando el titular válido de la identidad teclea el (los) factor(es) de autenticación correcto(s), esto prueba que el usuario autenticado es el propietario válido de la identidad. Luego, después de cualquier autenticación exitosa, los intentos de acceso del sujeto a los recursos protegidos son examinados por un proceso de administrador de seguridad conocido como autorización. Todos los intentos de inicio de sesión y acceso deben documentarse en un archivo de registro.

Como todo lo demás en seguridad, la autenticación está evolucionando. Uno de los conceptos más nuevos, y uno de los que creo que es uno de los más probables, es la autenticación continua de usuarios, en la que todo lo que hace un usuario que ha iniciado sesión se reevalúa constantemente en función de un patrón establecido.

8. Amenazas para móviles

Ahora hay más dispositivos móviles que personas en el planeta, y la mayoría de las personas obtienen la mayor parte de su información a través de un dispositivo móvil. Debido a que es probable que la destreza móvil de la humanidad solo aumente, los profesionales de la seguridad de TI deben tomarse en serio los dispositivos móviles, las amenazas móviles y la seguridad móvil. Entre las principales amenazas móviles se encuentran las siguientes:

  • Malware móvil
  • Invasión/robo de privacidad
  • Ransomware
  • Ataques de phishing
  • Spyware (software espía)
  • Robo de datos o de credenciales
  • Robo de imágenes
  • Inalámbrico no seguro

Por lo general, no hay mucha diferencia entre las amenazas móviles y las amenazas informáticas, pero hay algunas diferencias. Y es un gran trabajo para un profesional de TI saber cuáles son.

9. Seguridad en la nube

Examen sorpresa: ¿Cuáles son los cuatro factores que hacen que la seguridad en la nube sea más compleja que las redes tradicionales?

Todos los profesionales de TI deberían poder pasar fácilmente esta prueba.

La respuesta es:

  • Falta de control
  • Siempre disponible en Internet
  • Multitenancy (servicios/servidores compartidos)
  • Virtualización/contenedorización/microservicios

El chiste es (y no lo es) que la nube realmente significa "computadoras ajenas" y todo el riesgo que eso conlleva. Los administradores corporativos tradicionales ya no controlan los servidores, servicios e infraestructura utilizados para almacenar datos confidenciales y servicios de usuarios. Debe confiar en que el equipo de seguridad del proveedor de cloud computing está haciendo su trabajo. Las infraestructuras de nube son casi siempre arquitecturas multiusuario, donde mantener los datos de diferentes clientes separados puede ser complicado por la virtualización y la reciente contenedorización y desarrollo de microservicios. Anunciado por algunos como una forma de ayudar a hacer más fácil la seguridad, cada desarrollo usualmente hace que la infraestructura sea más compleja. Y la complejidad y la seguridad no suelen ir de la mano.

10. Registro de eventos

Año tras año, las investigaciones muestran que los eventos de seguridad que más se perdieron, estaban ahí mismo en los archivos de registro todo el tiempo, esperando a ser descubiertos. Todo lo que tienes que hacer es mirar. Un buen sistema de registro de eventos vale su peso en oro. Y un buen profesional de TI sabe cómo configurarlo y cuándo consultarlo.

Estos son los pasos básicos del registro de eventos, que todo profesional de la seguridad de TI debe conocer:

  • Política
  • Configuración
  • Colección de registros de eventos
  • Normalización
  • Indización
  • Almacenamiento
  • Correlación
  • Línea de base
  • Alerta
  • Reportar

11. Respuesta a incidentes

Eventualmente, todos los entornos de TI sufren una falla en sus defensas. De alguna manera, un hacker o su creación de malware lo supera. Un buen profesional de TI está preparado para ello con un plan de respuesta a incidentes, que debe ponerse en marcha inmediatamente. Una buena respuesta a los incidentes es esencial. Puede ser la diferencia entre un evento que arruine su día, y uno que termina en los medios de comunicación y empaña el carácter de su empresa. Los fundamentos de la respuesta a incidentes incluyen:

  • Responder de manera efectiva y oportuna
  • Limitar daños
  • Realizar análisis forenses
  • Identificación de la amenaza
  • Comunicación
  • Limitar los daños futuros
  • Reconocer las lecciones aprendidas

12. Educación y comunicación sobre las amenazas

La mayoría de las amenazas son bien conocidas y se repiten con frecuencia. Todas las partes interesadas, desde los usuarios finales hasta la alta dirección y el consejo de administración, deben conocer las principales amenazas actuales contra su empresa y lo que está haciendo para detenerlas. Algunas de las amenazas a las que se enfrenta, como la ingeniería social, solo pueden detenerse educando a las personas de su empresa.Por lo tanto, la capacidad de comunicación es a menudo lo que separa a un gran profesional de TI de uno mediocre.

No importa qué controles técnicos se implementen, cada año algo los superará. Por lo tanto, asegúrese de que las partes interesadas estén preparadas. Por lo menos, los siguientes puntos deben ser cubiertos en su programa de educación:

  • Las amenazas y riesgos más probables, significativos, contra la organización.
  • Uso aceptable
  • Política de seguridad
  • Cómo autenticar y qué evitar
  • Protección de datos
  • Concienciación de la ingeniería social
  • Cómo y cuándo reportar incidentes de seguridad sospechosos