
Sharing is caring!
Autor: Walter Valderrama Herrera
Vivimos en un mundo digital, hiper conectado, en el que ya no solamente son las personas las que formamos parte de la red de redes, sino cosas, procesos y sobre todo información. El sueño de Steve Jobs en el que, en cada hogar había una computadora, fue largamente superado por nuestra realidad actual, donde cada persona cuenta con por lo menos una computadora en el bolsillo – el Smartphone.
Tanto en las empresas, como en el celular de cualquier transeúnte, encontramos cuentas de correo electrónico, datos de contactos, calendarios, fotos, videos, páginas web importantes, títulos profesionales, curriculums vitae, informes, trabajos de investigación, apuntes de clase, estados financieros, carteras de clientes, etc. Nuestras vidas están llenas de información, muy valiosa para nosotros, pero también interesante para otros con malas intenciones. Muchas veces no somos conscientes de la importancia de toda esta información y de cómo deberíamos protegerla hasta que la perdemos.
Términos como: ataque, virus, troyano, gusano, ransomware, ciber crimen, entre otros; son el día a día en las compañías de todo tamaño. El ransomware (secuestro de la información a cambio de un rescate monetario), muy de moda en los pasados dos años, significó 1,33 mil millones de dólares en pérdidas en el año 2016. Entre abril del 2016 y marzo del 2017, el número de usuarios que tuvieron una incidencia con el ransomware aumentó en promedio 11% en comparación con los 12 meses anteriores. En el año 2017, un tercio del ransomware a nivel mundial tuvo actividad en Latinoamérica, siendo México el país donde más familias de ransomware se propagan y Perú el territorio con mayor detección de éstos.
Las estadísticas llaman a la reflexión. A cualquiera le puede pasar perder su información y debemos formularnos varias preguntas: ¿cuánto nos costaría perder información? ¿cuánto costaría recuperarla? ¿podemos protegerla? ¿cómo? ¿podemos recuperarla y cómo? ¿cuánto costaría protegerla? Debemos ser conscientes además que nada de lo que hagamos nos asegura un 100% de protección, como en la vida misma, siempre hay riesgos, medidas de protección y formas de recuperación. Debemos estar preparados para custodiar nuestra información, protegernos de los ataques y recuperarla de ser necesario.
La mayor cantidad de incidencias y el vector favorito para los atacantes, es el correo electrónico. Para proteger esta puerta de comunicación con el mundo debemos implementar sistemas Anti Malware. No basta con tener un mecanismo AntiPSAM sencillo. Si bien es cierto Cisco, Barracuda, Symantec son marcas fuertes en protección de Malware para correo; Spam Assassin y Clamav son los reyes cuando se refiere a software libre. Una solución de software libre no sería funcional sin una administración adecuada. Para esto Mail Scanner representa una alternativa interesante.
Preguntémonos si nuestro correo electrónico filtra correctamente el SPAM, ¿cuánto correo no deseado recibimos al día? ¿nuestro sistema de correo puede frenar una fuga de información? ¿Sabemos qué hacer cuando recibimos un correo sospechoso? En este aspecto el entrenamiento al usuario final también es vital. Hay que conocer por lo menos que es el phishing o el whaling y cómo reconocerlos.
Cisco Systems, propone un enfoque muy interesante llamado el Attack Continuum. En él se identifican las siguientes fases: antes del ataque, durante el ataque y después del ataque. En cada una de estas fases se recomiendan ciertas medidas.
Es indispensable saber qué es lo que vamos a defender. Conocer nuestros activos, computadoras, sistemas operativos, direcciones IP, qué información guardamos, etc. Lo importante es defender nuestros activos. En esta etapa se deben implementar: controles de acceso, políticas de refuerzo; además se deben desplegar soluciones que incluyen: firewalls, Next Generation Firewalls, Network Access Control, servicios de identidad; se deben además hacer el hardening respectivo de los distintos dispositivos de red, servidores Linux y Windows.
Es un error pensar que uno nunca va a sufrir un ataque. John Chambers, ex CEO de Cisco Systems solía decir: “existen dos tipos de empresas, las que han sido hackeadas y las que aún no saben que fueron hackeadas”. Se pueden tener los mejores sistemas de protección, pero tarde o temprano la incidencia va a ocurrir. Es nuestro deber entonces contar con los mecanismos de detección adecuados. Cuando se detecta un ataque debemos estar en la capacidad de bloquearlo y defender nuestro entorno. Los sistemas que nos ayudan a detectar un ataque son los NGIPS – Intruder Prevention Systems de próxima generación, Antimalware y gateways para correo electrónico o soluciones de protección para navegación web.
Lo primero que debemos realizar es, determinar el alcance del daño, contener el evento, remediarlo y normalizar las operaciones de los sistemas. Dentro de los mecanismos para volver a un estado normal, se tienen a los sistemas de copias de seguridad y restauración. También es importante registrar todos los posibles daños, puede haber sistemas vulnerados no visibles en un primer momento. Luego de un ataque toman importancia soluciones como AMP – Advanced Malware Protection, sistemas de análisis de comportamientos y SIEMs – Security Information Event Management. En estos últimos se verifica y se correlacionan eventos, se analizan logs y se pueden sacar conclusiones.
¿Qué podemos hacer o cómo debemos actuar? ¿Por donde se debe empezar para proteger la información? ¿basta con la seguridad perimetral? ¿sirven los backups que hacemos a nuestras bases de datos? Todos los mecanismos son válidos, en conjunto son mejores, pero debemos tener un lineamiento para implementarlos. Para ello se distinguen tres etapas que pueden ayudar a defenderse, detectar y recuperarse de un ataque.
La defensa de la información se puede lograr con end points protection systems (firewalls, antimalware, HIPS, etc); firewalls de red, NGFW o UTMs; IPS, Web application firewalls, etc. Es recomendable buscar marcas reconocidas. Para ello se puede buscar en las distintas firmas de consultoría en TICS y seguridad: Gartner, ICSA Labs y NSS Labs. Todas ellas sacan reportes anuales, evaluando marcas, probando equipos y su respuesta ante incidencias.
El monitoreo de los activos y de la red se puede cumplir con los SIEMs (Splunk, Security Onion, Ossim o Open SOC), sistemas SNMP como Cacti, Nagios, syslogs servers, servidores Netflow, entre otros. Estos sistemas pueden tener un alto costo para implementar y mantener, pero se pueden obtar por soluciones Open Source, o por las versiones Community de las marcas.
La recuperación se puede logra con sistemas de backup y recuperación. Sirven los scripts de empaquetado y copia. Pero se recomiendan sistemas que brinden cierta automatización y rapidez. Podemos utilizar Bacula por ejemplo, sistema de código abierto; Veeam es una de las mejores alternativas; CommVault; IBM; EMC, entre otros. Como siempre el prespuesto es un factor importante.
En conclusión, la seguridad de la información es una tarea en la que se involucran varios procedimientos: de protección antes del ataque, de detección durante y de recuperación, después del mismo; y donde además se deben tener herramientas para cubrir estos procedimientos. Debemos ser conscientes de lo importante de la información y ante la decisión de qué y cómo proteger se deben poner en la balanza el costo de perder nuestro activo más importante y la inversión para protegerla.
Si quieres saber más sobre este tema, participa del Programa de Especialización y Desarrollo en Ciberseguridad de la Universidad Católica San Pablo (UCSP) que inicia la semana del 23 de setiembre de 2019.