Un encabezado en los medios informativos llamó poderosamente mi atención hace unos días: “Dispositivos explosivos improvisados estallan en el barrio de Chelsea en Nueva York”. Nadie pudo realmente anticipar ese ataque, pero mediante cámaras colocadas en el área, las fuerzas del orden pudieron identificar a un sospechoso y seguir sus huellas en cuestión de horas.
En el mundo real, nadie puede conocer cada una de las amenazas potenciales a futuro o cuándo éstas atacarán. Se pueden hacer adivinanzas rimbombantes con los datos e inteligencia correcta, pero no es posible predecir nada con seguridad. Es por esto que Nueva York, Londres y otras áreas metropolitanas han instalado un sistema de cámaras. Lo que les permite que en cuanto se produzca una situación de ese tipo, pueden reunir información y responder con una investigación rápidamente.
Recuerdo la película “Minority Report”, protagonizada por Tom Cruise. La premisa es que tres psíquicos tienen premoniciones que anticipan asesinatos antes de que ocurran. Esto permite a la policía arrestar a los sospechosos antes de que cometan el crimen. Desafortunadamente, ningún experto en ciberseguridad en el mundo tiene la habilidad de predecir ataques con absoluta certeza. No existe una caja mágica que se pueda instalar en su infraestructura de red para alertarle sobre amenazas antes de que ocurran, pero es ahí donde el concepto de “conocer a su enemigo” entra en juego.
¿En qué consiste eso?
Conocer al enemigo no tiene que ver con predecir el futuro. Se trata de entender cuáles son las debilidades de una organización, identificar los puntos ciegos y desarrollar estrategias de mitigación para reaccionar a posibles amenazas de un enemigo.
Recordemos lo que dijo Donald Rumsfeld, ex secretario de la Defensa estadounidense, durante una conferencia de prensa en 2002: “Los reportes que dicen que algo no ha pasado, siempre son interesante para mí, porque –hasta donde sabemos– hay conocidos que son conocidos, hay cosas que sabemos. Pero también hay desconocidos conocidos, lo que nos hace pensar que hay cosas de las cuales no sabemos nada”.
La misma verdad yace en los ataques cibernéticos actuales, que vienen en formas diferentes. Pero aunque muchos provengan de agentes externos, no desestime que sus empleados, clientes y proveedores pueden ser sospechosos también. Algunos ataques están dirigidos a la infraestructura de red, otros, a la nube o inclusive a sus endpoints y dispositivos móviles. Hay casos donde los ruteadores han sido usados contra sus propias organizaciones.
El hecho es que las naciones conducen actualmente operaciones de espionaje; compañías rivales en ocasiones hurtan propiedad intelectual entre ellas; cibercriminales roban millones de dólares; y operativos políticos filtran información sensible de los oponentes.
Después de trabajar en ciberseguridad por casi 2 décadas, casi nada me sorprende. Todos estos tipos de amenazas deben estar en la lista de enemigos. La gente, sus dispositivos, su infraestructura, pueden ser recursos que los exponen si son explotados intencional e inadvertidamente.
¿Qué hacer entonces?
El principio más crítico que uno aprende en ciberseguridad es saber dónde están ubicados nuestros activos estratégicos.
El primer paso para construir una estrategia de ciberseguridad sólida es tener visibilidad sobre cada aspecto de los datos críticos, incluyendo información vital que se mueve continuamente a lo largo y ancho de la red, así como endpoints e infraestructuras cloud.
La realidad es que los servidores se mueven, la gente comete errores y los ataques pueden ocurrir desde una gran variedad de vectores. La constante en su estrategia de defensa debería ser asegurar la habilidad de rastrear cada transacción mientras los datos viajan a través de la empresa. Ver qué es lo que pasa es un prerrequisito si de verdad se quiere proteger contra enemigos que no se ven.
No es posible saber cuándo o de dónde vendrá el siguiente ataque, pero sí puede estar preparado para detectarlo lo más rápido posible. Se trata de conocer a su enemigo y tener una imagen completa de lo que pasa antes, durante y después de un ataque. Recuerde que entre más rápido usted pueda responder, menor será el daño que pueda sufrir en su organización.
_____________
El autor de este artículo, Justin Harvey, es Director de Estrategia de Seguridad en Gigamon.
