Criptografía, respaldo y cultura (CRC)

"Observemos el modelo de atención y respuesta a los ataques persistentes avanzados o a los efectos de los daños colaterales. Nos llevamos siempre por los métodos clásicos y lo clásico es consistente, permanente, constante, se mantiene en el tiempo. Los ataques directos o no, son cambiantes, evolutivos, mutantes, inconsistentes, para nada constantes". Hotel Marriot Ciudad de Panamá, 03 de agosto de 2017

El 03 de agosto de 2017 tuve la oportunidad de dar una charla a un grupo de especialistas de seguridad de la información y administración de riesgo tecnológico, la cual tenía por objeto llamar la atención hacia tres acontecimientos que se acentuaran en los días por venir, en donde se exigirá de tres elementos que deben estar en perfecta armonía por parte de los especialistas a cargo de la seguridad de la información: disciplina, conocimiento y habilidad para atender los eventos que podrían materializarse en materia de riesgo tecnológico. 

Los tres acontecimientos en proceso y con tendencia a profundizarse en su presencia y exigencia son los siguientes: El primero, es el tsunami de información, referido a la inmensa cantidad de información no estructurada que debe administrarse actualmente y que, se estima, alcanzará los 44 zettabytes para el año 2020. Todo ello impulsado por las organizaciones que ya están tomando sus decisiones basadas en modelos de inteligencia de negocios, hoy conocidas como empresas data driven. El segundo, acontecimiento es el de la hiperconvergencia. Como producto de la virtualización bastante exitosa, de hace ya algún tiempo, se ha materializando la integración de todos los componentes de hardware, software, suicheo y administración en un solo bloque de infraestructura, la cuál convierte a esta súper estructura tecnológica en un inmenso tesoro de ataque para su administrador (root único); así como a la exposición de ataques de día cero, motivado a que la hiperconvergencia privilegia generalmente el uso de un solo tipo de proveedor; y por último el ransomware, el cuál, es inclemente a cualquier tipo de almacenamiento de datos, excepto el respaldo externo no conectado a dispositivo alguno; y el tercero, los eventos que antes eran considerado el CisneNegro. Hoy día, son tan frecuentes los eventos catastróficos relacionados con la explotación de vulnerabilidades, exfiltración de datos (saqueo de bases de datos con información de alto valor) y destrucción o divulgación de la información, que efectivamente conlleva a pensar que tales incidentes se repliquen en forma constante y cada vez con mayor intensidad de daño.

La combinación de estas tres tendencias exigirán más que lo actual, a los especialistas a cargo de la gestión de riesgo tecnológico y de seguridad de la información, quienes en los últimos años han visto que la batalla contra contra los ciberataques se ha venido perdiendo.  ¿Cuál es la razón? En realidad, sigue siendo la misma desde siempre: la cultura. Nuestra cultura de defensa asciende por las escaleras, mientras que los atacantes van por el elevador. El esquema de prevención y protección es artesanal, clásico, altamente convencional y excesivamente limitado en su presupuesto. 

Las organizaciones trabajan bajo reacciones que vienen derivadas de los desastres, por lo que generalmente pocas veces identifican correctamente las fuentes que originan tales desastres y persiguen tapar los errores o justificar los ataques señalando las fallas de los fabricantes, tal como ocurrió con los ataques de mayo y junio con los ransomware Wannacry y Petya.

Ciertamente, este escenario exige que se tenga disciplina, conocimiento y habilidad para enfrentar los incidentes que se avecinan. Nuestro argumento está basado en prácticas que existen desde que las organizaciones comenzaron a ser custodios de información que les pertenece a sus clientes y que tienen el deber de proteger del uso inadecuado de la misma; y aunque puedan parecer constantes y clásicas, su evolución y efectividad radica en su aplicación y administración.

En nuestra interacción con las personas a cargo de la seguridad de la información o áreas relacionadas, reiteramos que la clasificación de los activos de información nos señalará qué debemos proteger y qué tanto, pues las necesidades de control, variarán según el grado de exposición al que los activos están sometidos. Una estricta práctica de respaldo debe estar desplegada sobre aquellas estructuras de datos que se han identificado como críticos en la práctica de clasificación de activos de información. La aplicación de la regla 3-2-1 donde 3 copias de la organización deben llevarse a cabo en dos medios distintos (disco o cartucho) y una copia debe estar en un medio externo, salvo que lo que se debe hacer es que este medio externo nunca se encuentre conectado a nada y tener claro que el snapshot no es un respaldo, o al menos no es suficiente para soportar el ataque de ransomware. Si se toma en cuenta que la data se medirá en zettabytes y el 90% de ella es no estructurada, tendremos que tomar en cuenta que la tecnología para llevar a cabo estos respaldos deberá ser la apropiada, no sólo para resguardarla, sino para su recuperación apropiada y en tiempos pertinentes.

La siguiente acción que ha de aplicarse, es el cifrado de la información. Cómo deben suponer, los respaldos puede que no se salven de un ataque de ransomware, pero que tengan la capacidad de descifrar datos para que se divulguen, el cuál es el mayor temor de todo custodio de la información, es bastante remoto. Además que no sólo nos protege del secuestro de la información, sino también las infidelidades de empleados y exfiltración de los datos. Por tanto, una estricta disciplina en los respaldos con apropiado conocimiento de cifrado sobre los activos de información que lo requieran, permitirán contener los daños en mucho.

Con respecto a la cultura, generalmente dirigida a los usuarios, tradicionalmente dirigida a los clientes internos y externos, consideramos que debe ir dirigida con gran empeño a los especialistas y gerencia de las organizaciones, quienes tienen que empezar a cambiar su forma de ver la información, la tecnología y lo que se debe proteger. Se debe entender que no se debe justificar que los incidentes son vienen a ser culpa de la tecnología que incorporamos para lograr la automatización de nuestros procesos críticos, ni las brechas que las mismas llevan implícitas. Esto es ni más ni menos que el riesgo inherente de usar cualquier tipo de tecnología. La solución está en entender que debemos preparar acciones que tengan la capacidad de superar esas brechas y soportar el ataque constante, al cual estará sometida cualquier organización que maneje activos de información.

Resumiendo, no se deben subestimar los esfuerzos de invertir en procesos de cifrado, respaldo y cultura. Existen los medios y el conocimiento para desarrollar prácticas robustas que limiten los impactos adversos. El punto es que ya no hay tiempo para esperar a ver como van a ir las cosas, mientras la información de clientes y usuarios se expone indiscriminadamente. Por lo tanto, debe actuarse lo antes posible, para minimizar la exfiltración de la información, en forma masiva, como nunca antes había ocurrido.

Fuentes de referencia para conceptos:

http://quantum.com
http://bbva.com 
https://trendytec.cl
http://wikipedia.org

La Madre de todos los ciberataques

Mayo 12 de 2017

El viernes 12 de mayo de 2017 quedará registrado en los blogs, Wikipedia y cualquier elemento que permita registrar información; en especial, en las trazas de auditoría de muchas empresas del soberbio ataque, sin precedentes, causado por un código malicioso, que, por su característica de ataque y efecto, es catalogado como: "ransomware". El ataque, entre sin entrar en detalles, fue en "casi" 100 países y más de 45.000 empresas.

Este, ya muy popular ataque, excesivamente rentable para quienes lo diseñan y usan, puede hacer vivir a cualquier ser humano computista, la peor de sus pesadillas, en virtud que, de ser víctima de un ransonware, recibirá un mensaje que no podrá acceder a sus valiosos datos a menos que realice un pago como costo de rescate por su valiosa información, y, de no recibir este pago, los datos serán destruidos en un plazo, que los ciberdelicuentes hayan definido. Es importante aclarar que el pago del rescate se hace en criptomonedas, a través de billeteras electrónicas, donde la traza de este tipo de pagos y registros, en la actualidad se lleva a cabo con el más alto nivel de confidencialidad, es decir, entre dos personas. De allí la alta efectividad e incentivo que produce que este delito, sea el que mayor evolución haya tenido en los últimos años. Explicar más de esto es aburrido.

Razón para escribir esta entrada en el blog

Luego de más de un año sin escribir nada, realmente pienso que no vale la pena escribir y escribir, a menos que sirva para algo. Sin embargo, en este momento me motiva dejar registro en este blog que lo que pasó en este ciberataque, ha sido advertido desde los años en que yo me inicie en en el mundo de la seguridad de la información. Eso fue en 1994. Recuerdo bien que ese momento, porqué lo que yo vendía no eran "test de penetración" o "ataques" para determinar que tan bien se encontraba la seguridad de la red. Eso lo hacia otro consultor de excelentísimo nivel, con gran experiencia que trajo desde otra prestigiosa empresa, que proveía herramientas de clase mundial para hacer ese trabajo. Mi tarea, nada fácil, era visitar compañías, la mayoría instituciones financieras, para promover lo importante que era sensibilizar a las personas en la seguridad de la información.  El objetivo era desarrollar programas de sensibilización para que la gente tuviese mayor conciencia y menor propensión a caer en trampas cibernéticas, entiéndase en ese momento de los "virus" y de la ingeniería social. Es obvio que hace 23 años vender lo que pretendía vender era sumamente difícil. Recuerdo que nunca pude vender un taller en forma única, más si, vendí varios "risk assessment" y en ellos se incorporaba la parte de sensibilización. Adicionalmente yo no daba los talleres de sensibilización, no tenía la imagen de "duro" para mostrarles en la cara a aquellos incrédulos, que podían vivir el apocalipsis cibernético. Eso lo hacía otro consultor que traíamos del exterior, con cara de haber vivido todas las guerras. Por supuesto no hablaba español.

La P%$* Cultura

Han pasado un par de décadas desde que me prometí no abandonar esta profesión. Creo en ella. No todas las personas que me conocen en el ámbito profesional saben que he estado en este mundo desde entonces. Me relacionan más con riesgo operacional y riesgo tecnológico. La razón sigue siendo la misma. Nunca nos hemos caracterizado por ofrecer soluciones de seguridad en hardware o software. Siempre hemos querido movernos en el mundo de la sensibilización de la seguridad de la información, en la estrategia y los planes. El motivo fundamental a no cambiar fue demostrado ayer. Cuando se está leyendo en detalle las noticias del evento del 12 de mayo y se identifica que los miles de millones de dólares que se han gastado en protección de los activos de información se vino abajo simplemente porque un anexo de un correo electrónico, que contenía el código malicioso, fue activado por un "clic" de un usuario de cualquiera de esas, más de 45.000 empresas, produjo el mayor ciberataque jamás ocurrido en la historia del blah, blah, blah, solo se le puede venir a la mente a uno este pensamiento: la p%$* cultura.

La levedad de las conciencias

Leer los análisis de muchos artículos de la prensa en línea, refiriéndose al tema, no provoca más que profunda preocupación de la cantidad de argumentos sin base y sin razón, que escriben muchos "conocedores" del tema. A priori se podría pensar que hasta se sienten culpables por formar parte de los tantos miles de haber presionado ese clic para ver que venía en el anexo de su correo. Pero no se debe ser rudo con ellos. Realmente hacen un trabajo de sensibilización, aunque pudiese ser mejorado. De alguna manera trasmiten al mundo el caso, de cómo ocurrió, tal vez en forma muy ligera qué lo causó. Lo realmente dramático son los comentarios que le agregan algunos suscriptores, en los foros y artículos de periódicos en línea. Esto lleva a pensar que el Armagedón cibernético aún no se ha materializado. Por ejemplo, muchos culpan a la mayor plataforma ofimática que es usada en el 98% de todas las organizaciones en el mundo. Ciertamente, el código malicioso saca provecho de dichas vulnerabilidades, pero de allí culpar la plataforma provee señales altas de insensatez. Algunos otros mencionan prohibir legalmente el uso de las criptomonedas. No sé cual es peor, esta o la anterior; y por último, alguien se atreve a decir que hay que desconectarse. muy irónico este, sobre todo que tiene cuenta en Facebook, Twitter y se evidencia que opina a diario en dichos foros. Y así otros cientos de "expertos" opinando acerca de qué hacer y qué no. Realmente lleva a concluir que han pasado dos décadas en las que se ha vendido mucho hardware y software, pero nada de cultura. No estamos siquiera en la línea base en lo que a sensibilización se refiere, estamos por debajo. Para el ransomware no hay una herramienta que funciones por si sola. Debe funcionar en tándem con otras cosas, posiblemente con más herramientas. Diría un proveedor, no muy lejos de la realidad. Pero lo cierto, es que el ingrediente más importante de todas estas soluciones es la cultura. Puede que exista un triángulo virtuoso (deformando el circulo) en el que la cultura, la criptografía y los respaldos de la información puedan ser una posible solución combinada para la recuperación del desastre, pero de nuevo, se requiere no ser tan ligero de conciencia en la importancia que reviste el tema.
Para finalizar una breve anécdota
Hace unas cuantas semanas, me encontraba de viaje y me conseguí con un gran amigo que está cargo de una empresa que brinda outsourcing de servicios de seguridad (mssp); y me pregunta en cuanto le vendería un firewall de última generación (él sabe que no vendo eso). Le contesté que se lo vendería en 72.000US$. Reflexionó y me pregunta a continuación. En cuánto le vendería un programa de sensibilización a sus clientes y le contesté que se lo vendería en 72.000US$. Me contestó: ¿Qué?, ¿Porqué?, ¿No piensas que es mucho dinero? Mi argumento fue que el firewall sin duda lo protegería, pero más lo protegería un programa de entrenamiento ante eventos que le ayudarían a minimizar los impactos, mejorar la seguridad y estar prestos a una rápida recuperación. Eso no lo hace un firewall. Por supuesto no me compró nada, pero reconozco que tampoco he sido un buen vendedor.