La reciente oleada de violaciones de datos en las principales organizaciones de Estados Unidos, ha planteado preguntas sobre qué tan eficaces son las herramientas y lo enfoques actuales de seguridad cuando se trata de lidiar con amenazas emergentes.
Las empresas privadas y públicas han gastado decenas de miles de millones de dólares para reforzar la seguridad en la última década; sin embargo, los atacantes maliciosos continúan teniendo éxito en eludir cualquier barricada que se les aparezca en el camino.
La tendencia ha llevado a muchas organizaciones a adoptar un enfoque que vuelve a lo básico que se centra por igual en personas, procesos y tecnología. En lugar de ver la función de seguridad como un costo fastidioso para hacer negocios, un número creciente de organizaciones la ven como un habilitador estratégico de las nuevas iniciativas.
“El desarrollo de seguridad y de productos no son mutuamente excluyentes”, señaló Ron Green, director de seguridad de la información de MasterCard. “No nos fijamos en la seguridad como una responsabilidad aislada”.
En lugar de ello, los especialistas en seguridad de MasterCard están integrados con los equipos que se centraron en la identificación de innovaciones empresariales, en unidades tales como MasterCard Labs, Pagos Emergentes y soluciones de seguridad empresarial, anotó Green. La atención se centra en la gestión de productos para el largo plazo y el uso de la seguridad para mejorar la experiencia del tarjetahabiente.
“Nuestro equipo ejecutivo tiene la expectativa de que podemos construir la seguridad en todo lo que hacemos como una práctica estándar”, añadió Green. Y si bien la práctica puede agregar tiempo a la programación del proyecto, vale la pena la molestia. “[La seguridad] es ahora un juego de mesa para los clientes, y esperan que usted la entregue”, indicó el ejecutivo.
Los líderes de TI opinaron que se necesitan cinco medidas clave a nivel estratégico para reforzar la seguridad. La forma en que se implementan estas medidas podría variar a nivel táctico y operacional. Pero la clave, según dicen usuarios y expertos, es centrarse en los objetivos de alto nivel.
1. Fortalecer el perímetro de la red
Las tecnologías perimetrales como las herramientas antivirus, firewalls y sistemas de detección de intrusos, han sido durante mucho tiempo el pilar de las estrategias de seguridad de la empresa. Trabajan mediante la búsqueda de marcadores específicos, o firmas, de virus conocidos y otros tipos de malware y luego bloquea los programas maliciosos.
Con los años, las organizaciones del sector público y privado por igual han tendido a gastar más en herramientas de seguridad perimetral que en cualquier otra categoría de productos de seguridad, aunque los analistas han advertido que las defensas del perímetro por si solas no son suficientes para mantener seguros los sistemas.
Pero los continuos incumplimientos de las principales organizaciones han hecho notar que las herramientas perimetrales basadas en firmas son ineficaces contra los ataques altamente orientados y el estilo empleado en la actualidad por los hackers. Pocas empresas parecen estar dispuestas a renunciar a las tecnologías de perímetro completo, y muchas insisten en que las herramientas siguen desempeñando un papel importante en la protección contra el malware. Sin embargo, las tecnologías perimetrales como la única, o incluso principal, línea de defensa son insuficientes, señaló el investigador de seguridad de IBM, Marco Pistoia.
“Los ataques de seguridad cibernética han demostrado que los hackers ahora pueden pasar por alto prácticamente cualquier tipo de restricción física”, anotó Pistoia. “Las defensas basadas en los perímetros todavía son necesarias, pero insuficientes para garantizar la seguridad de un sistema informático”.
Desde un punto de vista estratégico y táctico, es importante que las empresas tengan en cuenta las defensas basadas en el perímetro como uno de los eslabones necesarios de la cadena de seguridad, dijo el ejecutivo.
Igual de importantes son el reconocimiento de patrones y las herramientas de análisis predictivo que pueden ayudar a que las empresas establezcan una línea de base de la actividad normal de la red, y luego detectar desviaciones de ese comportamiento. Del mismo modo que se necesitan firewalls de red en el perímetro para bloquear las amenazas conocidas, son necesarios los firewalls de aplicación Web para desviar el malware que se las arregla para romper el perímetro exterior, anotó Matt Kesner, CIO de Fenwick & West, un bufete de abogados de Mountain View, California.
“En el frente tecnológico, todavía estamos gastando tiempo y dinero en el perímetro”, añadió Kesner. Pero en lugar de juntar más capacidades de bloqueo basadas en firmas en el borde de la red, Kesner ha establecido sistemas de bloqueo redundante de malware y servidores de seguridad en todos los niveles de la red, incluso en frente de los servidores de aplicaciones Web de la empresa. Fenwick & West utiliza un sistema de coordinación de eventos de registro que le permite a TI agregar, correlacionar y analizar la información de todos los dispositivos de la red.
Kesner también ha desplegado varios productos de los proveedores de nicho para funciones especializadas, como la inspección de la información del directorio en busca de signos de una escalada sospechosa de privilegios y la búsqueda de evidencia de intrusos en la red profundamente ocultos. “Pasamos mucho tiempo asegurándonos de que el perímetro funciona exactamente como nos propusimos”, anotó Kesner. “Asumimos que los incumplimientos ocurrirán, y queremos estar mejor protegidos ante ello”.
Una nueva categoría de productos especializados que ha evolucionado en los últimos años, cuenta con las herramientas llamadas “cadena de matanza”. Disponible en proveedores como Palo Alto Networks, estos sistemas no solo ayudan a las empresas a encontrar malware; sino que también les permiten controlar la forma en que los hackers utilizan programas maliciosos para moverse dentro de la red, y esa información en última instancia ayuda a que los usuarios neutralicen la amenaza.
Muchas de las herramientas se basan en la premisa de que los hackers individuales y grupos de hackers suelen utilizar las mismas herramientas de malware y siguen un patrón establecido al atacar objetivos. Así que mediante la identificación del grupo o grupos detrás de un ataque, es fácil que las organizaciones establezcan una defensa contra las herramientas y métodos específicos que puedan ser utilizados.
2. Construir una capacidad de detección y respuesta
La gran mayoría de los ataques en contra de las empresas en estos días son ataques dirigidos realizados por bandas de delincuentes organizados o agentes estatales. Los ataques al azar del pasado han sido sustituidos por campañas que han sido cuidadosamente diseñadas para extraer información de la empresa, propiedad intelectual, secretos comerciales y datos financieros. En lugar de aplastar y robar, el énfasis mayormente está en mantenerse oculto y desviar grandes cantidades de datos en pequeñas cantidades, en su mayoría imperceptibles, durante un largo período de tiempo.
En un ambiente así, cualquier estrategia de seguridad debe colocar mucho énfasis en la detección y la respuesta como lo hace en la prevención.
“Las herramientas preventivas basadas en reglas y firmas estáticas no pueden detener a los atacantes avanzados”, señaló Rob Sadowski, director de soluciones de tecnología de RSA, la división de seguridad de EMC. Es importante, por tanto, dar prioridad a la detección y respuesta temprana para garantizar que una intrusión no resultará en daños o pérdida para el negocio, añadió.
Para impulsar este cambio, los líderes de TI deben utilizar herramientas que les dan mayor visibilidad granular sobre lo que está sucediendo en toda su infraestructura, anotó Sadowski.
Es necesario, por ejemplo, aumentar la vigilancia existente centrada en el registro con la captura de paquetes de red y las tecnologías de punto final de monitoreo que permitan a los administradores de seguridad la capacidad de obtener una imagen más completa de la actividad del atacante.
El uso de la gestión de identidades, gobierno de identidad y herramientas de análisis del comportamiento también es vital para detectar y limitar el impacto de las credenciales e identidades comprometidas, señaló Sadowski.
Green de MasterCard dijo que las organizaciones deben adoptar un enfoque de múltiples capas de seguridad. “Si solo está buscando una manera, no puede cubrir todo lo que necesita”, anotó, refiriéndose a las empresas que se basan demasiado en la seguridad perimetral basada en firmas.
Este enfoque de múltiples capas debe incluir un medio de protección contra los ataques internos, no solo los ataques externos. “Las amenazas internas son a menudo más difíciles”, explicó Green. “Así que debe tener un programa de seguridad robusto y capaz que se dirija a ambas [las amenazas internas y externas], y le permita identificar y remediar las situaciones a medida que surjan”.
3. Desarrollo seguro de código
Las aplicaciones Web vulnerables a menudo han proporcionado a los hackers un acceso relativamente fácil hacia las redes y datos corporativos, así que asegurarlas es vital para garantizar la integridad y confidencialidad de los datos.
Las deficiencias comunes, bien entendidas como los errores de inyección SQL, defectos del scripting cruzado y las funciones de autenticación y gestión de sesiones rotas, han disparado a numerosas organizaciones. Pero la reciente ola de ataques a las principales organizaciones realmente ha llevado a casa la necesidad de tener código seguro.
“Si está desarrollando una aplicación, junto con eso viene una expectativa de seguridad”, explicó Green. “Usted [también] tiene la expectativa de que los proveedores a los que les compra la tecnología están en la cima de su juego cuando se trata de la seguridad y la protección de la privacidad”. Lo mismo puede decirse de los socios de cadena de suministro y otros proveedores de bienes y servicios, añadió el ejecutivo.
El endurecimiento del componente de software de un sistema informático es particularmente difícil porque las vulnerabilidades se pueden anidar profundamente dentro del código, anotó Pistoia de IBM. Para evitar que las aplicaciones sean atacadas, y con ello salvaguardar la integridad de los datos, las empresas deben hacer que la seguridad sea parte de todas las fases del ciclo de vida del software, y las prácticas adecuadas de revisión de código tienen que estar bien establecidas, señaló Pistoia.
Para muchas organizaciones grandes, la revisión manual del código sería prohibitivamente cara. Por lo tanto, una alternativa viable sería automatizar el proceso de revisión de código mediante la combinación del análisis de programa estático y dinámico, y haciendo que el proceso de análisis de código sea parte integral del desarrollo de aplicaciones.
“Los sistemas avanzados de desarrollo de aplicaciones ahora comprueban el código de aplicación en cada commit o en forma periódica”, señaló Pistoia. Muestran a los desarrolladores las cuestiones que deben ser remediadas en breve y pasos fáciles a seguir, añadió.
“La capa de aplicación se ha convertido en el último campo de batalla para la ciberseguridad y la atención no solo de los equipos de seguridad, sino de desarrollo, y también el ciclo de vida de los equipos de desarrollo”, agregó Chris Pierson, consejero general y director de seguridad en Viewpost, un proveedor de una plataforma de facturación y pago en línea.
El enfoque en ambas revisiones de código estático y dinámico está más presente en la línea de desarrollo de productos, señaló, añadiendo que los profesionales de TI están prestando más atención a los 10 principales riesgos de seguridad del Open Web Application Security Project.
Es importante destacar que la creciente adopción de prácticas de DevOps le está dando a algunas organizaciones la oportunidad de integrar la seguridad en una etapa temprana del ciclo de vida de desarrollo de software. “La seguridad es un gran controlador para la adopción de DevOps”, indicó Alan Shimel, un profesional de la seguridad de la información y editor en jefe de DevOps.com.
Los desarrolladores y equipos de operaciones tienen que reconocer que la seguridad debe ser una responsabilidad compartida, y trabajar para integrar los controles de forma temprana en el ciclo de vida del producto. Y tiene que suceder con más frecuencia de lo que está pasando ahora, dijo. “Todavía estamos en la etapa donde en la mayoría de las organizaciones estamos tratando de convencer al personal de seguridad de que DevOps puede mejorar la seguridad”, anotó Shimel.
4. Tenga cuidado del factor humano
Muchos de los mayores ataques en los últimos años han comenzado de una forma bastante inocua, con atacantes que ingresan a las redes utilizando las credenciales de inicio de sesión que pertenecen a los usuarios legítimos, tales como empleados, socios o proveedores. Los hackers utilizan técnicas de ingeniería social y correos electrónicos de phishing para robar una contraseña y nombre de usuario que pertenece a alguien con acceso a una red corporativa, y luego usan ese punto de apoyo inicial para encontrar y acceder a sistemas empresariales críticos y a almacenes de datos.
La táctica, utilizada por los intrusos que hackearon Target, Home Depot, la Oficina de Administración de Personal de Estados unidos y otros sitios, ha centrado la atención en la necesidad de que los empleados y otros usuarios autorizados sean más conscientes de los riesgos de seguridad -y sobre la necesidad de capacitación para garantizar que los usuarios sean capaces de reconocer y resistir las amenazas potenciales.
“Los empleados realmente tienen que ser conscientes del papel que desempeñan en la protección de activos de la empresa”, anotó Green de MasterCard.
En muchos casos, las personas con acceso a los datos de la empresa no se sienten personalmente obligados a proteger ese acceso. Para fomentar a que estos usuarios acepten parte de la responsabilidad de salvaguardar los sistemas corporativos, Green señaló que está “construyendo una cultura de aprendizaje, por la que podemos educar a los empleados sobre cómo pueden mantener nuestros activos más seguros, especialmente cuando surgen nuevas amenazas”.
Como parte del esfuerzo, MasterCard utiliza una combinación de enfoques tradicionales de formación, lo que describe Green como “edutainment” para impartir mensajes importantes. “Debido a que los delincuentes siempre se vuelven más inteligentes, tenemos que estar un paso por delante de ellos en términos de conciencia y protección”, afirmó. La idea es inculcarles a los empleados la idea de que son una parte muy importante del equipo de seguridad, a pesar de que no se reporten con el personal de seguridad.
“Debido a esto, han surgido formas creativas para mejorar nuestra seguridad”, anotó Green, señalando como ejemplo una iniciativa de seguridad llamada SafetyNet para proteger los datos de titulares de tarjetas, la cual fue lanzada por MasterCard en octubre pasado.
5. Asegure sus procesos de negocio
Una empresa puede tener la mejor tecnología de seguridad y aun así ser disparada por las malas prácticas y procesos. Es por eso que la organización de TI Fenwick & West ha implementado lo que Kesner describe como varios cambios, pequeños y grandes, a las políticas y los procesos relacionados con la manera en que se manejan los datos sensibles.
Antes, por ejemplo, la política de la firma de abogados era cifrar los datos de entrada y salida de los clientes siempre que fuera posible hacerlo. En estos días, es un requisito absoluto. El equipo de Kesner también ha implementado nuevas políticas para asegurar que los datos que están almacenados en las redes de la empresa, se cifren en reposo y durante el transporte. Los datos sensibles en todas las computadoras portátiles y de escritorio de la empresa se supone que es cifrada, y TI ejecuta auditorías y exámenes cada seis meses para verificar que lo están.
La firma de abogados cuenta con empresas de seguridad de terceros que vienen en forma periódica para hacer pruebas de penetración y simulacros de ataque en los que nada está fuera de los límites. “Con los acuerdos de confidencialidad adecuados en su lugar, dejamos que los ingenieros de seguridad vengan y hagan las pruebas de penetración en todo”, anotó Kesner. Después, el equipo de TI solicita a la empresa de seguridad que llegue a una lista de cinco cambios que se pueden convertir en las políticas de seguridad actuales.
Fenwick & West ahora requiere que todos los socios revelen por escrito los detalles completos de sus prácticas de seguridad, y reconozcan que ellos a su vez comprenden las políticas y procesos de seguridad de la firma de abogados. Los socios están obligados a poner en práctica una de autenticación de dos factores basada en tokens, y ya no están autorizados a utilizar solo un nombre de usuario y una contraseña para autenticarse a las redes de Fenwick.
Las organizaciones de todo tipo están tomando enfoques similares. La ciberseguridad es una prioridad, y los equipos de liderazgo y los consejos de administración reconocen este hecho. “Los directores quieren y demandan saber qué postura de ciberseguridad tiene la compañía desde una perspectiva de control, gobierno y operacional”, anotó Pierson de Viewpost.
“Si desea capturar y retener la confianza de sus clientes, la seguridad y la privacidad se deben unir en su cultura y su propuesta de valor”.
-Jaikumar Vijayan, Computerworld (EE.UU.)