"Observemos el modelo de atención y respuesta a los ataques persistentes avanzados o a los efectos de los daños colaterales. Nos llevamos siempre por los métodos clásicos y lo clásico es consistente, permanente, constante, se mantiene en el tiempo. Los ataques directos o no, son cambiantes, evolutivos, mutantes, inconsistentes, para nada constantes". Hotel Marriot Ciudad de Panamá, 03 de agosto de 2017
El 03 de agosto de 2017 tuve la
oportunidad de dar una charla a un grupo de especialistas de seguridad de la
información y administración de riesgo tecnológico, la cual tenía por objeto
llamar la atención hacia tres acontecimientos que se acentuaran en los
días por venir, en donde se exigirá de tres elementos que deben estar en
perfecta armonía por parte de los especialistas a cargo de la seguridad de la
información: disciplina, conocimiento y habilidad para atender los eventos que
podrían materializarse en materia de riesgo tecnológico.
Los tres acontecimientos en proceso y con
tendencia a profundizarse en su presencia y exigencia son los siguientes: El
primero, es el tsunami de información, referido a la
inmensa cantidad de información no estructurada que debe administrarse
actualmente y que, se estima, alcanzará los 44 zettabytes para
el año 2020. Todo ello impulsado por las organizaciones que ya están tomando
sus decisiones basadas en modelos de inteligencia de negocios, hoy conocidas como empresas data driven. El
segundo, acontecimiento es el de la hiperconvergencia. Como
producto de la virtualización bastante exitosa, de hace ya algún tiempo,
se ha materializando la integración de todos los componentes de hardware,
software, suicheo y administración en un solo bloque de
infraestructura, la cuál convierte a esta súper estructura tecnológica en un
inmenso tesoro de ataque para su administrador (root único); así como a la
exposición de ataques de día cero, motivado a que la hiperconvergencia
privilegia generalmente el uso de un solo tipo de proveedor; y por último el
ransomware, el cuál, es inclemente a cualquier tipo de almacenamiento de datos,
excepto el respaldo externo no conectado a dispositivo alguno;
y el tercero, los eventos que antes eran considerado el CisneNegro. Hoy día, son tan frecuentes los eventos catastróficos
relacionados con la explotación de vulnerabilidades, exfiltración de datos (saqueo de bases de datos con información de alto valor) y
destrucción o divulgación de la información, que efectivamente conlleva a
pensar que tales incidentes se repliquen en forma constante y cada vez con
mayor intensidad de daño.
La combinación de estas tres tendencias
exigirán más que lo actual, a los especialistas a cargo de la gestión de
riesgo tecnológico y de seguridad de la información, quienes en los últimos
años han visto que la batalla contra contra los ciberataques se ha venido
perdiendo. ¿Cuál es la razón? En realidad, sigue siendo la misma
desde siempre: la cultura. Nuestra cultura de defensa
asciende por las escaleras, mientras que los atacantes van por el elevador. El
esquema de prevención y protección es artesanal, clásico, altamente
convencional y excesivamente limitado en su presupuesto.
Las organizaciones trabajan bajo
reacciones que vienen derivadas de los desastres, por lo que generalmente pocas
veces identifican correctamente las fuentes que originan tales desastres y
persiguen tapar los errores o justificar los ataques señalando las fallas de
los fabricantes, tal como ocurrió con los ataques de mayo y junio con los
ransomware Wannacry y Petya.
Ciertamente, este escenario exige que se
tenga disciplina, conocimiento y habilidad para enfrentar los incidentes que se
avecinan. Nuestro argumento está basado en prácticas que existen desde que las
organizaciones comenzaron a ser custodios de información que les pertenece a
sus clientes y que tienen el deber de proteger del uso inadecuado de la misma;
y aunque puedan parecer constantes y clásicas, su evolución y efectividad
radica en su aplicación y administración.
En nuestra interacción con las personas a cargo de la seguridad de la información o áreas relacionadas, reiteramos que la clasificación de los activos de información nos señalará qué debemos proteger y qué tanto, pues las necesidades de control, variarán según el grado de exposición al que los activos están sometidos. Una
estricta práctica de respaldo debe estar desplegada sobre aquellas estructuras
de datos que se han identificado como críticos en la práctica de clasificación
de activos de información. La aplicación de la regla 3-2-1 donde 3 copias
de la organización deben llevarse a cabo en dos medios distintos (disco o cartucho) y una copia debe estar en un medio externo, salvo que lo que se debe
hacer es que este medio externo nunca se encuentre conectado a nada y tener
claro que el snapshot no es un respaldo, o al menos no es
suficiente para soportar el ataque de ransomware. Si se toma en cuenta que la
data se medirá en zettabytes y el 90% de ella es no estructurada,
tendremos que tomar en cuenta que la tecnología para llevar a cabo estos
respaldos deberá ser la apropiada, no sólo para resguardarla, sino para
su recuperación apropiada y en tiempos pertinentes.
La siguiente acción que ha de aplicarse, es el cifrado de la información. Cómo deben suponer, los respaldos puede que no
se salven de un ataque de ransomware, pero que tengan la capacidad de descifrar
datos para que se divulguen, el cuál es el mayor temor de todo custodio de la
información, es bastante remoto. Además que no sólo nos protege del secuestro
de la información, sino también las infidelidades de empleados y
exfiltración de los datos. Por tanto, una estricta disciplina en los respaldos
con apropiado conocimiento de cifrado sobre los activos de información que
lo requieran, permitirán contener los daños en mucho.
Con respecto a la cultura, generalmente
dirigida a los usuarios, tradicionalmente dirigida a los clientes internos y externos, consideramos que debe ir dirigida con gran empeño a los especialistas y gerencia de las organizaciones, quienes tienen que empezar a cambiar su forma de ver la
información, la tecnología y lo que se debe proteger. Se debe entender que no se debe justificar que los incidentes son vienen a ser culpa de la tecnología que incorporamos para lograr la automatización de
nuestros procesos críticos, ni las brechas que las mismas
llevan implícitas. Esto es ni más ni menos que el riesgo inherente de usar
cualquier tipo de tecnología. La solución está en entender que debemos preparar
acciones que tengan la capacidad de superar esas brechas y soportar el ataque constante, al cual estará sometida cualquier organización que maneje activos de información.
Resumiendo, no se deben subestimar los esfuerzos de invertir en procesos de cifrado, respaldo y cultura. Existen los medios y el conocimiento para desarrollar prácticas robustas que limiten los impactos adversos. El punto es que ya no hay tiempo para esperar a ver como van a ir las cosas, mientras la información de clientes y usuarios se expone indiscriminadamente. Por lo tanto, debe actuarse lo antes posible, para minimizar la exfiltración de la información, en forma masiva, como nunca antes había ocurrido.
Fuentes de referencia para conceptos:
http://quantum.com
http://bbva.com
https://trendytec.cl
http://wikipedia.org
