Ciberseguridad 2020 Rberny – Cuarta Parte

EL horizonte de la defensa – Cuarta parte

La mejor preparación contra un potencial ciberataque se basa en mantener una perspectiva de protección que incorpore monitorización continua, educación del usuario, gestión ligera de parches y controles básicos de configuración para abordar las vulnerabilidades más comunes.

Es muy difícil hablar de ciberseguridad sin tocar temas que tienen alto contenido de información técnica, sin embargo, en esta cuarta parte de Ciberseguridad 2020 Rberny, continuaré proporcionando información lo más digerible posible para todos, para mí, es importante aportar al usuario-lector un mayor dinamismo en relación a las acciones comunes y de mayor utilización en este tema.

               Nuestra pregunta de esta cuarta parte de ciberseguridad 2020 rberny:

   ¿La organización esta consiente que los ciberataques, no son únicamente externos?

Las nuevas generaciones de malware y los nuevos ciberataques pueden ser difíciles de detectar con los protocolos de ciberseguridad convencionales, así que resulta necesario emplear enfoques más dinámicos.

Defensa de límite

Más allá de la tecnología, las empresas también deben cambiar la forma de ver su enfoque hacia la seguridad de manera que tengan en cuenta futuros desafíos, por ejemplo, una de las tendencias muy difundida en el pasado, es el concepto dominante en la seguridad que se enfocaba en mantener el perímetro de seguridad construyendo un muro con Firewall, suponiendo que todas las amenazas se originan del exterior y que los puntos de control en los límites de un sistema de red eran suficientes para que fuera seguro, tengamos presente que el cloud computing y otras tecnologías han borrado estos límites, quedando obsoleto este enfoque de la seguridad, sin embargo no está erradicada, aún es muy difundida.

Defensa en profundidad o elástica

Actualmente la técnica llamada Defensa en profundidad, intenta construir múltiples puntos de defensa a lo largo de toda la arquitectura de un sistema de tecnologías de la información, por supuesto este enfoque supone que su firewall se verá comprometido eventualmente, por lo que la arquitectura debe ser capaz de identificar, aislar y eliminar las amenazas en todos los niveles del sistema, sin embargo, requiere de una sofisticada combinación de Big Data e inteligencia artificial para diferenciar entre un comportamiento bueno y malo; para aislar las amenazas más perniciosas y en última instancia eliminarlas, recordemos que todo esto debe hacerse rápidamente, ya que las amenazas se propagarán a través de los sistemas globales interconectados, causando daños a gran escala.

Fuera de la organización, la seguridad deberá ser también una parte vital.

La defensa en profundidad obedece a la técnica de no tener únicamente una barrera, sino que se aplica en varios niveles para lograr un equilibrio, contemplando la red lógica y la red física, de manera que, si en ese equilibrio de seguridad y funcionalidad hay un punto de debilidad, no puede ser explotado porque el resto de medidas lo harán imposible.

No hay texto alternativo para esta imagen

Por lo tanto, me gustaría coméntales el horizonte de los posibles niveles de seguridad a tener en cuenta de forma general:

  • El desarrollo de aplicaciones debe seguir normas de programación y buenas prácticas para soluciones seguras, prestando especial atención a los sitios de intercambio de información, como: formularios, campos de entrada en la URL, gestión de sesiones y flujos de navegación, así como realizar análisis periódicos de código fuente.
  • Sistemas bastionados o Hardening, se define como el proceso de configurar sistemas y aplicaciones relacionados con el servicio para eliminar aquellos elementos innecesarios que pueden comprometer la seguridad, por ejemplo: controlar permisos de escritura y no subir archivos en sitios que no lo necesitan, ejecución de servicios utilizando usuarios con privilegios acotados, modificación de rutas por defecto, entre otros.
  • Es una regla, que proviene de una buena práctica y es tener los sistemas actualizados, ha sido duro encontrar empresas y colegas que consideran que las actualizaciones de sistema es a veces trivial, conozco casos en que no se actualiza el sistema operativo de los servidores a razón de conservar licencias viejas de aplicaciones, por costos de capacitación y licenciamiento, vigencia de soporte técnico o se rompió la curva de aprendizaje y en el caso más extremo algún elemento de tecnologías de la información se hizo dueño del conocimiento y no lo actualiza para no poner en riesgo su trabajo y honestamente todo esto le trae costos enormes a las empresas y siempre los tienen que absorber, por otra parte, otros administradores sabemos que son importantes las actualizaciones de sistema y realizamos cambios que hay que planificar cuidadosamente y tener presente que no se pueden llevar a cabo de un día para otro. Por supuesto, si la actualización es sencilla y no requiere reinicio, no hay que pensarlo dos veces, ni posponerlo, claro en el caso de que no lo sea y el sistema se muestre vulnerable, se han de estudiar formas alternativas de mitigar la vulnerabilidad, si aun así no es posible evitarla, se debe analizar el impacto en el servicio y el riesgo que supone en la seguridad para proceder o no con la actualización.
  • Dispositivos de seguridad perimetral, cada vez más este tipo de equipos de seguridad están más avanzados y tienen mayor funcionalidad y se pueden integrar en distintos ambientes, por lo que es imprescindible que tengan una correcta política de accesos y si hay dos barreras o más, ¡Es mejor, claro!, bueno a partir de ahí podemos extendernos a mas niveles, sin duda esto depende de la planificación de la estrategia del negocio y del plan para la continuidad del mismo y por supuesto al presupuesto asignado, es decir a recursos financieros, por ejemplo firewall de aplicación, gestores de ancho de banda, IPS (Intruder Prevention System) y los NAC (Network Access Control), las posibilidades que dan estos dispositivos es infinita y una correcta gestión, configuración y disposición en la red pueden ayudar a evitar muchas de las vulnerabilidades, dando un plazo asequible para la actualización de los sistemas sin afectar a los usuarios.
  • Análisis de vulnerabilidades o hacking ético, esta es una tarea que debe realizarse periódicamente, se deben llevar a cabo análisis de vulnerabilidades para revisar el estado de los servicios tanto internos como externos, por ejemplo, en ámbitos como el de la banca esto es un requisito normativo, se recomienda que para mantener los servicios lo más seguros posible, es fundamental conocer cuáles pueden ser las debilidades actuales.
  • Herramientas SIEM (Security Information and Event Management) son grandes aliadas para centralizar los numerosos logs y alertar de cualquier situación anómala o sospechosa.
  • Monitorización de servicios, el panorama de la red se puede conocer a través de un sistema de monitorización, generalmente con herramientas automáticas que avisan de cualquier anomalía o lentitud en el servicio, además de otros parámetros configurables que pueden ser indicativos de un problema de seguridad.
  • Concienciación, tema ya visto, sin embargo, tenerlo presente siempre es de ayuda, en aquel momento mencione que es importante informar a los usuarios de lo que no pueden hacer, como proporcionar sus contraseñas en algún sitio distinto de la web habitual o acceder a servicios bancarios a través de un enlace en un correo electrónico.

Si bien todos los pasos anteriores son necesarios, no son, por sí mismos, suficientes, tales horizontes pueden volverse en contra si están aisladas de los ecosistemas más amplios en los que operan, por lo que todo nuestro mundo digital debe crearse de forma segura, construir su propia seguridad a través de la innovación y la gestión, la experiencia me indica que la cooperación es la pieza final e indispensable del rompecabezas de la ciberseguridad.

No hay texto alternativo para esta imagen

Identificación de patrones

La Inteligencia Artificial se centra en los patrones, en el caso de los hackers buscarán patrones en las configuraciones del servidor y del Firewall , en el uso de sistemas operativos antiguos, en las acciones del usuario, en las tácticas de respuesta, etc., por lo que dichos patrones les proporcionan información acerca de las vulnerabilidades de la red que pueden explotar, tratando de estar a la par, los administradores de la red también buscamos patrones, como el realizar un escaneo buscando rastros en los intentos de intromisiones, identificamos potenciales anomalías tales como picos en el tráfico de la red, tipos irregulares de tráfico en la red, inicios de sesión de usuario no autorizados y otras señales de alarma, sin embargo los atacantes llevan un poco de ventaja, eso no lo puedo negar y es una realidad mundial.

Al atacar los sistemas orientados a Internet, se pueden crear un punto de retransmisión para entrar en otras redes o sistemas internos, quiere decir que se pueden utilizar redes para vulnerar otras redes mas robustas.

Las tecnologías de mayor impacto que se ven afectadas con esta técnica son:

  • La Web en tiempo real, búsqueda de información en redes sociales y micro blogs como Facebook o Twitter que proporcionan datos de acontecimientos de todo tipo que se están produciendo en cualquier parte del mundo en el momento que realizamos una búsqueda.
  • Geolocalización, este es una de las ventajas, que para algunos puede ser un inconveniente de los avances tecnológicos, gracias a los sistemas GPS instalados en los teléfonos inteligentes y a la conexión a redes inalámbricas o móviles 3G, 4G, 4.5G y la futura 5G, se pueden asociar las coordenadas geográficas del lugar donde se encuentra el usuario de un teléfono para mostrar en la pantalla del dispositivo todo tipo de información sobre restaurantes, hoteles, espectáculos, etc., de lugares próximos a la posición geográfica incluso señalando la distancia kilométrica de dichos lugares.
  • Realidad Aumentada, es mezclar la realidad con la virtualidad de modo que el usuario pueda asociar la fotografía de un monumento a su historia, sus datos turísticos o económicos de modo que pueda servir para tomar decisiones tanto de ocio como para negocios, gestión del conocimiento de las organizaciones, etc.
  • Internet de las cosas (LoT), cada día crece el número de dispositivos de todo tipo que proporcionan conexión a Internet, permitiendo accesos a nuestros hogares, se prevé que aumente exponencialmente con el tiempo, ahora ya tenemos videoconsolas, automóviles, trenes, aviones, sensores, aparatos de televisión, consideremos que pronto el acceso se realizará desde los electrodomésticos o desde “cosas” cada vez más diversas.

Las herramientas automatizadas se pueden utilizar para explotar puntos de entrada vulnerables en una red.

Trafico

Para controlar el flujo de tráfico a través de las fronteras de la red y buscar ataques o evidencia en máquinas comprometidas, por lo que recomiendo que la defensa, debe ser en varias capas, para el horizonte de la seguridad, estos límites deben consistir en firewalls, servidores proxy, redes perimetrales, DMZ, sistemas de prevención de intrusos y sistemas de detección de intrusos.

No hay texto alternativo para esta imagen

El área de tecnología de la información o la responsable de la seguridad de la información, debe probar regularmente estos sensores lanzando herramientas de escaneo de vulnerabilidades, dichas herramientas verifican que el tráfico del escáner active una alerta, por ejemplo: los paquetes capturados de los sensores del Sistema de detección de intrusiones (IDS), esto nos puede garantizar que los volúmenes de registro estén dentro de los parámetros esperados, queden formateados correctamente y no se hayan dañado, para que solo los paquetes autorizados se permitan a través del límite, todos los demás paquetes deben descartarse.

Amenazas internas:

Generalmente estas amenazas pueden ser más serias que las externas, se da mucho por los usuarios o personal técnico, que conocen la red y saben cómo es su funcionamiento, la ubicación de la información, datos de interés, etc., sin duda tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, es sintomático y bastante crítico, por lo tanto los sistemas de prevención de intrusos o IPS, y firewalls se conviertan en mecanismos no efectivos de amenazas internas por que habitualmente no están orientados al tráfico interno, genera mucha expectativa este concepto.

Protección de datos

Consideremos los principales ciberriesgos que enfrenta el sector público, por ejemplo: son el posible robo o alteración a la información que resguarda sobre los ciudadanos, afectaciones a la operación de servicios públicos y operaciones de entidades gubernamentales, cualquiera que se presente repercute en potencial daño a la confianza de instituciones.

No hay texto alternativo para esta imagen

Para hacerle frente a estos riesgos, el sector público necesita, asegurar una gobernanza efectiva, es decir un ente de coordinación centralizado que pueda definir y dirigir un plan nacional de ciberresiliencia, como lo es la Estrategia Nacional de Ciberseguridad (ENCS) de México, misma que, a su vez nos puede ayudar como referencia para crear un marco normativo, incluyendo regulaciones, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y normativas para entidades públicas y privadas.

Por tanto, realmente la pérdida de datos protegidos y confidenciales es una grave amenaza para las operaciones comerciales y potencialmente para la seguridad nacional, si bien, algunos datos se filtran o se pierden como resultado de robo o espionaje, la gran mayoría de estos problemas son el resultado de prácticas con datos poco conocidas, incluyendo desafortunadamente, entre otros, la falta de arquitecturas de políticas efectivas y el error del usuario.

Entonces la prevención de pérdida de datos, se refiere a un enfoque integral que abarca personas, procesos y sistemas que identifican, monitorean y protegen los datos en uso, por ejemplo, acciones de punto final, datos en movimiento considerado en acciones de red y datos en reposo que hacen referencia al almacenamiento de datos a través de una inspección profunda de contenido y con un marco de gestión centralizado.

Las herramientas comerciales de soluciones de prevención de perdida de datos (DLP), están disponibles para buscar intentos de exfiltración y detectar otras actividades sospechosas asociadas con una red protegida que contiene información confidencial, por lo que estas herramientas deben ser capaces de identificar datos no autorizados que salen de los sistemas de la organización, ya sea a través de transferencias de archivos de red o medios extraíbles.

Resumen de situación con Petya Ransomware del Blog de Conasa

Vivimos en un mundo tecnológico que define la forma en la que interactuamos y llevamos a cabo nuestras actividades diarias, como individuos y como sociedad, debemos ver esto como un gran avance, ya que se han vuelto un motor de productividad y han facilitado las actividades de la vida diaria en México y en el mundo, en la misma inercia se traduce también en beneficios significativos para el sector público, para el sector privado y para la sociedad en general.

Nota:

  • A diferencia de los organismos públicos y privados, las personas en la sociedad no contamos con expertos de ciberseguridad para defendernos de estos riesgos, por lo que es de mi interés proporcionar este artículo de 6 partes de la ciberseguridad y en ellos poder encontrar conceptos que ayuden a formarnos una idea de cómo implementarlos en lo personal, laboral y con la cibersociedad.

Acceso controlado

Algunas organizaciones no identifican y separan con cuidado los datos confidenciales de la información menos sensible y públicamente disponible dentro de una red interna, en muchos entornos se tiene la mala práctica de que los usuarios internos tienen acceso a toda o la mayoría de la información en la red, esto les facilita a los atacantes que penetran una red, que puedan encontrar y extraer fácilmente información importante con poca resistencia, se recomienda que este control se implemente utilizando la separación integrada de las cuentas de administrador de las cuentas que no son de administrador, otro control es que el sistema debe poder detectar todos los intentos de los usuarios de acceder a los archivos sin los privilegios apropiados y debe generar una alerta o un correo electrónico para el personal responsable de dicha información, esto incluye información sobre sistemas locales o recursos compartidos de archivos accesibles en red.

Control de Dispositivos Inalámbricos

Las tecnologías inalámbricas cuentan con un gran protagonismo actualmente, podemos decir que a veces hasta superior, con respecto al uso del cable, gracias a las ventajas y comodidades que proporcionan, por ejemplo, en los entornos industriales y el Internet de las Cosas aplicado a la industria (IIoT), ambientes que tienen mucho que ver en su evolución, podemos darnos cuenta que es cada vez mayor la cantidad de dispositivos inalámbricos y evidentemente también se incrementa la sofisticación de los mismos.

De esta forma, los atacantes que obtienen acceso inalámbrico a una organización desde estacionamientos cercanos han iniciado robos de datos importantes, les permite para mantener en algunos casos, el acceso a largo plazo dentro de un objetivo, por lo que se recomienda ejecutar herramientas de detección, que debe ser capaz de identificar dispositivos o configuraciones inalámbricas no autorizados cuando estén dentro del alcance de los sistemas de la organización o estén conectados a nuestras redes informáticas.

La proliferación de dispositivos móviles como tabletas, PDA o smartphones y su influencia en entornos industriales es una muestra de la evolución que está sufriendo este sector en relación al acceso a la información del proceso industrial, actualmente resulta común que esta información esté disponible en línea en servidores con acceso restringido.

En México los Dispositivos Inalámbricos

Las redes móviles utilizadas en los sistemas de control no difieren de las utilizadas en la vida doméstica o empresarial, por lo que las recomendaciones de seguridad a aplicar en estas redes pueden parecerse mucho, sin embargo, les recomiendo, deshabilitar las redes 2G (GSM, GPRS y EDGE): por defecto son redes inseguras, recuerden; si ha de realizarse cualquier tipo de envío de información por estas redes hay que asegurarse de que ha sido cifrado previamente.

No hay texto alternativo para esta imagen

Buenas prácticas en los Dispositivos Inalámbricos

El principal problema de las comunicaciones inalámbricas, es la extensión de la zona de recepción de los mensajes de confianza, por lo que será necesario tomar medidas de seguridad en este aspecto:

Autenticación: En las comunicaciones punto a punto, les recomiendo una autenticación de extremos, que es un proceso sencillo que va a impedir que otros elementos se unan a la red.

Cifrado: Recordemos que por definición la mayoría de protocolos utilizados en conexiones inalámbricas no utilizan cifrado, por lo que es necesario aplicarlo previamente a la comunicación.

Ejemplo de un estándar en comunicaciones

El estándar ISA100 Wireless incorpora una metodología de seguridad de dos capas.

  • Capa de enlace: En la capa de enlace la seguridad está asociada con una autenticación salto a salto y cifrado.
  1. Salto a salto: Las subredes inalámbricas son multisalto, los paquetes de datos se enrutan a través de la malla de subredes habilitada sobre múltiples dispositivos hasta el punto de extracción de la subred.
  2. Cifrado: Cada router autentica y cifra/descifra los paquetes que él enruta.
  • Capa de transporte: En la capa de transporte la seguridad está asociada con una autenticación extremo a extremo y cifrado de los mensajes de datos.

El dispositivo origen autentica y cifra el paquete en la capa de transporte y solo el destino es capaz de autenticar y descifrar el paquete, esto se logra a través de sesiones que se establecen entre pares de dispositivos que envían mensajes a la capa de transporte.

En entornos domésticos es posible encontrar redes abiertas de acceso público, siendo este hecho más habitual en grandes superficies o en organismos públicos que dan servicio a los ciudadanos, en cuanto a la compartición, existen clientes finales con redes WiFi instaladas en sus casas o negocios que deciden compartir una parte de su ancho de banda, estas condiciones y configuraciones son impensables en entornos industriales donde todas las comunicaciones tratan de mantenerse lo más cerradas posibles con accesos restringidos.

Para obtener una respuesta adecuada ante ataques exitosos, es importante fomentar el desarrollo de protocolos, acciones y decisiones que consideren a todas las áreas de una empresa y ponerlos a prueba de forma periódica, en el tema del involucramiento, conciencia e integración organizacional, se han presentado avances positivos en muchas empresas, sin embargo, debemos de hacer un mayor esfuerzo y replicar en otras industrias para fortalecer en México la ciberseguridad.

Mostrar cuál será la arquitectura de seguridad inalámbrica

Se trata de una cuestión documental donde se especificará cómo está diseñada la red inalámbrica y cuál será su sistema de gestión, reflejando aspectos como los siguientes:

¿Cuál será la cobertura de los puntos de acceso?

Esta medida será tomada en consideración antes de la ubicación física de los mismos, el objetivo es minimizar la cantidad de señal fuera del perímetro controlado por la organización.

Por ejemplo:

En el ámbito empresarial, la red inalámbrica deberá ser modo infraestructura, esto quedará manifestado en la arquitectura de seguridad, por lo tanto, se recomienda utilizar puntos de acceso u otros dispositivos de interconexión (routers), tanto para conectar los dispositivos que se quieran conectar a la red inalámbrica, como para conectar otros puntos de acceso entre sí.

Autenticación

Establecer cuál será el tipo de autenticación de la red inalámbrica, este se podrá realizar a través de claves precompartidas (PSK) o a través de mecanismos de autenticación mutua.

  • El método de claves precompartidas (PSK), basa su funcionalidad en la existencia de una única clave de conexión a la red inalámbrica compartida por todos los equipos y usuarios.
  • En cambio, la autenticación mutua, es un método más seguro que permite un proceso de autenticación en el que cada cliente dispondrá de sus propias credenciales de acceso, sin embargo, este método requerirá de infraestructura basada en un servidor de autenticación, los mecanismos de autenticación serán los empleados para la autenticación, tanto del servidor como del cliente en el caso de utilizar autenticación mutua.

Por norma general, el servidor se autentica frente al cliente a través de un certificado, mientras que para la autenticación del cliente se utilizan mecanismos de un solo factor, como contraseñas, tokens, etc., en el caso de utilizar contraseñas, estas deberán ser lo más robustas posibles, por lo que deberá aplicarse una política de contraseñas, que indique tanto los requisitos que estas deben cumplir, por ejemplo: que sean de al menos 8 dígitos que combinen minúsculas, mayúsculas, números y caracteres especiales, así como el tiempo de renovación, intentos máximos permitidos, etc., en caso de considerarse necesario, se puede hacer uso de la autenticación de doble factor, muy recomendable.

El protocolo encargado del transporte deberá estar encapsulado, lo que aumentará la seguridad del proceso de autenticación.

Es muy importante contar con las medidas de seguridad y protección necesarias, ya que, en caso de verse comprometido, un atacante podría acceder a la red, y por lo tanto a la información, sin necesidad de utilizar una conexión física.

Reflexión:

Actualmente la Nube es posible gracias a la tecnología de virtualización, en infraestructuras enormes los modernos centros de datos con millares de servidores, también a las tecnologías de banda ancha y de gran velocidad de transferencia de datos que posibilitan las conexiones entre equipos de cómputos a cifras nunca vistas, consideremos la realidad de esta evolución en la tecnología: es impresionante, además de la inclusión de dispositivos de todo tipo con acceso a Internet, desde computadoras de escritorio hasta laptops y notebooks, teléfonos inteligentes, tabletas electrónicas como iPad o libros electrónicos como los lectores de libros electrónicos (ebook), y un gran etc., de igual manera todas las tecnologías de la Web 2.0 y la Web Semántica que han traído la proliferación y asentamiento de los Social Media o Medios Sociales, en forma de blogs, wikis, redes sociales, podcast, mashups, etc. que han facilitado la colaboración, participación e interacción de los usuarios individuales, de las organizaciones y empresas, en un ejercicio universal de la inteligencia colectiva de los cientos de millones que hoy en día se conectan continuamente a la Web.

¿Cuál es la desventaja de esta gran innovación y crecimiento tecnológico?, pues aún sigue siendo la falta de conocimiento y cultura de buen uso del propietario de alguna solución de comunicación a internet, la falta de valorización de la información personal y no se diga de la empresarial, el sacrificar presupuesto antes del cuidado de los datos y manejo de información, políticas de seguridad sin el perfil del negocio, políticas sin una aplicación real en la organización, el compadrazgo y amiguismo que otorgan permisos indiscriminadamente, por decir algunos.

 El objetivo de esta cuarta parte de mi artículo Ciberseguridad 2020 Rberny, es adentrarnos en conceptos más técnicos sobre la ciberseguridad empresarial, sin llegar al detalle estrictamente técnico y de proceso que nos encanta a los administradores de redes y comunicaciones o especialistas de TI, es mi contribución a que personas distintas a esta área pueda crearse un panorama de lo que las Tic hacen por la seguridad de la información.

Agradezco sus comentarios.

Les recuerdo que al final del artículo, realizare un resumen estructurado.

Sitio Rberny - Rubén Bernardo Guzmán Mercado

 Referencias:

https://www.csoonline.com/article/3250086/data-protection/7-cybersecurity-trends-to-watch-out-for-in-2018.html
https://gcn.com/articles/2018/01/05/ai-cybersecurity.aspx
https://www.darkreading.com/threat-intelligence/ai-in-cybersecurity-where-we-stand-and-where-we-need-to-go/a/d-id/1330787?
https://www.itproportal.com/features/cyber-security-ai-is-almost-here-but-where-does-that-leave-us-humans/
https://www.linkedin.com/pulse/wake-up-call-iot-a
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)