Artículo. Cómo la seguridad de la red de confianza cero puede permitir la recuperación frente a ataques cibernéticos

Transcripción

1 Artículo Eric A. Beck es cofundador y Director de Risk Masters Inc., una consultora especializada en servicios de gestión de riesgos. Beck tiene más de 25 años de experiencia en el área de continuidad de los negocios y ante desastres de TI con una amplia diversidad de clientes e industrias. Antes de fundar Risk Masters, Beck dirigió el área de gestión de continuidad de los negocios (BCM, por la sigla en inglés) de Protiviti en la región noreste de Estados Unidos, en calidad de Subdirector. Beck también integró la práctica de BCM de servicios de riesgo empresarial y el equipo de liderazgo global de BCM de Deloitte & Touche. Toda persona interesada puede enviarle un mensaje a erbeck@riskmastersinc.com. Cómo la seguridad de la red de confianza cero puede permitir la frente a ataques cibernéticos Los gerentes de riesgo corporativo y los profesionales de seguridad comprenden que el riesgo no es un problema que se puede resolver, sino un proceso que se debe gestionar. Por eso, buscan constantemente nuevos métodos y herramientas para su mitigación, en un juego del gato y el ratón, a fin de mantenerse a la altura de la evolución de las amenazas que atentan contra su capacidad de manejarlas. Hoy en día, dentro del ámbito de la seguridad cibernética, un ataque con software es una de esas amenazas. A fines del año pasado, se conocieron informes de violaciones de datos en Target, Neiman Marcus y otras organizaciones, lo que puso a la seguridad cibernética en el centro de los debates de los directorios corporativos, altos ejecutivos y agencias gubernamentales. Se cree que incidentes como estos, que tienen como blanco los sistemas de punto de venta de tiendas minoristas, son el resultado de ataques a partir de amenazas persistentes avanzadas (APT). Los ataques de APT por lo general son planificados y ejecutados por hackers pacientes a lo largo de períodos prolongados, con la intención de robar o destruir datos específicos (por ejemplo, los números de tarjeta de crédito de los clientes). Es posible que estos ataques permanezcan latentes y no se identifiquen mientras esparcen la infección y que recién salgan a la luz semanas o meses después de la violación inicial de la red. Las APT muchas veces comienzan con un ataque de fuerza bruta destinado a robar la ID y contraseña de un usuario privilegiado, o con intentos de engañar a un empleado con acceso privilegiado al sistema para que abra un mensaje de correo electrónico con contenido viral. Cuando se abre este contenido viral, la infección puede capturar la ID y la contraseña del empleado, o acceder a los sistemas de información de la organización para obtener datos confidenciales o dañar sus sistemas informáticos. Las amenazas cibernéticas no ocurren exclusivamente en los Estados Unidos. En agosto de 2012, Saudi Aramco y la empresa de Qatar RasGas anunciaron que habían sido víctimas del ataque de un hacker a través de lo que luego se dio a conocer como el virus Shamoon. El ataque de este virus concluyó con la extracción de datos confidenciales y la posterior destrucción de miles de computadoras de los usuarios en cada empresa. Muchos especialistas creen que el virus Shamoon fue introducido en las redes corporativas de estas empresas por un empleado resentido u otra persona interna a través de una unidad USB insertada en el servidor de una computadora desde el centro de datos de cada organización. Independientemente del método por el que se produzca la infección con software, las consecuencias del ataque cibernético pueden ser significativas, tanto en términos económicos como del impacto para la imagen de la empresa. Debido a que es esperable que estos hechos aumenten en los próximos años, es importante analizar los aspectos fundamentales de la gestión de riesgos y preguntarse si la organización reconoce y responde de manera eficaz a la amenaza de los ataques cibernéticos. Gestión holística del riesgo cibernético Los tres aspectos fundamentales de la gestión de riesgos, en su nivel más fundamental, se mantienen constantes cuando se aplican a las posibles amenazas, incluidos los ataques cibernéticos. Estos principios incluyen el evitar el riesgo, la operacional y la transferencia del riesgo. El modo en que la dirección elija equilibrar esta inversión de capital limitado de riesgo entre los tres aspectos dependerá de varios factores. Sin duda, uno de estos factores es si existe un viable y eficaz en términos de costos para mitigar un componente específico de riesgo. Por ejemplo, por ahora, nadie ha diseñado un eficaz en términos de costos para evitar un riesgo destinado a mitigar las secuelas de una bomba explosiva. No obstante, la inversión en la operacional puede reubicar los recursos críticos, tanto comerciales como de TI, a otra localización geográfica lo suficientemente distante del lugar atacado como para permitir la continuidad de los negocios. En lo que respecta a los ataques cibernéticos, la mayoría de las organizaciones ha asignado su capital de riesgo a los es preventivos para evitar las amenazas. Las soluciones puntuales, como los firewalls heredados, los dispositivos de protección ante intrusiones, las redes privadas virtuales (VPN) y el escaneo con antivirus, reflejan algunos de los es utilizados por 1

2 las empresas para defenderse de este tipo de ataques. Además, un estudio de Experian realizado en agosto de 2013 informó que el 31 % de las empresas habían adquirido algún tipo de seguro ante ataques cibernéticos, la forma más habitual de transferir el riesgo 1. Sin embargo, al consultar la literatura actual relacionada con la operacional ante los ataques cibernéticos, se observa que hay poco material sobre el tema. Una de las principales razones es que actualmente existen pocos es o contramedidas en el mercado diseñados específicamente para la ante desastres cibernéticos. Esto se aplica en particular a las amenazas cibernéticas que pueden permanecer latentes y no detectarse en una red, pero que tienen la capacidad de afectar la integridad de los respaldos tradicionales de ante desastres. Entonces, cómo podemos asegurarnos de que una empresa esté preparada adecuadamente para reconstruir y recuperar sus sistemas de información y sus datos críticos luego de un ataque cibernético exitoso? Una respuesta es Cyber DRaaS TM (ver la figura 1), una arquitectura de referencia de TI de dominio público para la Recuperación ante desastres como servicio (DRaaS) que pueden implementar las organizaciones como inversión en ante desastres. Figura 1 - Arquitectura en la nube Arquitectura en la nube de Cyber DRaaS TM Cyber DRaaS integra el de Próxima Generación (NGF) con servicios de suscripción y herramientas administrativas para proteger las copias confiables de respaldo ante un ataque cibernético. Conectividad a la red de producción Gestión y monitoreo privados basados en la nube Cyber DRaaS - Una arquitectura de referencia para la ante desastres Cyber DRaaS tiene dos componentes que se combinan para permitir la cibernética en una organización: Infraestructura de Cyber DRaaS en la nube - Cyber DRaaS integra la próxima generación de la tecnología de firewall (NGF) con los servicios de respaldo de datos basados en la nube para crear, retener y proteger las copias confiables de respaldo de imágenes. Las imágenes confiables representan copias de respaldo de nivel básico que se utilizarán para recuperar servidores y datos críticos ante las secuelas de un ataque cibernético exitoso. La Le gusta este artículo? Consulte otros recursos de seguridad cibernética. Debata y colabore sobre el tema de la seguridad cibernética y la seguridad en el Conocimiento. integridad de las imágenes confiables se asegura mediante una combinación de encriptación de extremo a extremo durante el respaldo de los datos, el escaneo avanzado de alto desempeño del software, herramientas de análisis de conductas basadas en la red que detectan software y es de integridad de los datos en la nube de almacenamiento. Planificación de respuesta ante eventos informáticos mediante Cyber DRaaS - Cyber DRaaS requiere una planificación cuidadosa para permitir una respuesta competente frente a un ataque cibernético. Una eficaz planificación de contingencias en el caso de ataques cibernéticos, complementa la inversión en la infraestructura de Cyber DRaaS al ofrecer una preparación en la organización compatible con el equipo de respuesta a eventos informáticos (CERT). Esto incluye un conjunto personalizado de procesos y procedimientos tácticos destinados a identificar y responder a los ataques cibernéticos. Los dos componentes de Cyber DRaaS se combinan para ofrecer una capacidad de viable y efectiva ante daños causados por los ataques cibernéticos en los sistemas de información críticos. Los beneficios de Cyber DRaaS son significativos al compararlos con los que ofrecen las estrategias tradicionales de ante desastres. Tales beneficios incluyen: Cyber DRaaS incorpora NGF, una tecnología de seguridad disruptiva que bloquea el acceso inseguro a nivel de puertos, al tiempo que permite una mejor autenticación y seguridad para la autorización a nivel de aplicación y de ID. La arquitectura de Cyber DRaaS incluye opciones de desarrollo flexibles que incluyen la implementación en fases con una red de muralla/foso (fortress/moat) o como parte de una red de confianza cero completamente implementada. Las protecciones de seguridad mejoradas de Cyber DRaaS permiten que una organización establezca conectividad en tiempo real entre la red y la nube de respaldo de Cyber DRaaS. Como tal, representa una 2

3 alternativa a las soluciones de muro de aire (air-gap) tradicionales que establecen muchas organizaciones para separar físicamente una red, de las copias de respaldo de imágenes confiables fuera de línea. Cyber DRaaS reduce el tiempo necesario para recuperarse de un ataque cibernético al simplificar el proceso de y facilitar el reconocimiento temprano de la ocurrencia de un ataque. Cyber DRaaS ofrece una alternativa sumamente segura a las arquitecturas tradicionales de respaldo de datos que puede convertirse en el modelo de soluciones generación para el respaldo en la ante desastres. En el caso de los ejecutivos y directores, la inversión en Cyber DRaaS demuestra claramente la diligencia debida en la mitigación de la creciente amenaza de ataques cibernéticos y así, limita la responsabilidad potencial ante juicios derivados de los accionistas. NGF es uno de varios componentes críticos de Cyber DRaaS (ver figura 2), porque representa una tecnología disruptiva en la arquitectura, que se ha descrito como un firewall potenciado con esteroides. La razón es Figura 2 - Componentes críticos de la tecnología de Cyber DRaaS Cyber DRaaS TM Componentes críticos de tecnología Cyber DRaaS incorpora las siguientes tecnologías. en la nube Gestión para contenido Gestión de respaldo de datos y procesos confiables de restauración de imágenes Verificación de rutinas de integridad de los respaldos de imágenes confiables Desempeño óptimo con compresión y duplicación de datos Cumplimiento de políticas a nivel de la aplicación/del usuario, no de puerto Escaneo de contenido para detectar contenido conocido y desconocido Motor de software predecible de alto desempeño y pase único Gestión de seguridad basada en políticas en los firewalls implementados Visibilidad hacia el tráfico de la red, aplicaciones y políticas implementadas Herramientas gráficas que permiten la investigación inmediata de código Contenido/software redireccionado a espacio aislado virtual Monitoreo de firmas conocidas y de conductas maliciosas maliciosas Descubrimiento de nuevo código genera nuevas firmas en la base de datos que el NGF integra soluciones comunes de punto de seguridad, como el acceso remoto, la protección ante intrusiones, la autenticación de tokens y el escaneo profundo de paquetes, Figura 3 - Incorporación de Cyber DRaaS a los modelos de seguridad basados en muralla/foso (Fortress/Moat) Núcleo Ejemplo de muralla/foso que incorpora la nube de Cyber DRaaS TM portadora Internet pública SCADA Distribución heredado Acceso Nube de Cyber DRaaS basados en la nube Monitoreo y gestión 3

4 en un único dispositivo de alto desempeño (consulte la figura 3). El NGF también ofrece funciones de de acceso más sólidas que la generación actual de firewalls basados en puertos, debido a que la autorización se produce a nivel de la aplicación y del usuario, al mismo tiempo bloqueando todo acceso a nivel de puertos. Por el NGF, que combina tanto la autenticación como la autorización, ninguna de las cuales ofrece suficiente protección por sí sola, elimina virtualmente la probabilidad de una intrusión no autorizada en la nube de Cyber DRaaS que pueda corromper las copias de respaldo de imágenes confiadas. Cyber DRaaS también incorpora dos servicios de nube proporcionados por proveedores. El primer servicio basado en la nube incluye funciones de respaldo y restauración automatizadas, que ofrecen la encriptación de extremo a extremo de los datos del servidor fuente a la nube de almacenamiento de destino. Los datos de respaldo se escanean para detectar señales de software cuando atraviesan el NGF, primero a través de la desencriptación de los datos para validar su contenido y luego re-encriptándolos antes de su transmisión a la nube. La integridad de los datos almacenados en la nube también se verifica en forma periódica mediante los totales de hashes u otros algoritmos. Las organizaciones deben consultar a su proveedor de servicios en la nube seleccionado para comprender las opciones de servicio que ofrece en términos de frecuencia de los es de integridad, algoritmos de hashing específicos usados y alternativas de encriptación. El segundo servicio en la nube incluye la heurística conductual utilizada por el NGF contra todo el tráfico de datos para identificar el software sospechoso y desconocido, que luego se redirige y se separa en un espacio aislado basado en la nube. Una vez aislado, el software se puede analizar aún más para definir su firma. Cada contenido nuevo identificado se redistribuye automáticamente hacia la base de datos de contenido del NGF y, así, asegura que los perfiles de escaneo estén actualizados a medida que se identifican nuevas amenazas. Figura 4 - de confianza cero que incorpora la nube de datos de Cyber DRaaS Ejemplo de confianza cero que incorpora la nube de datos de Cyber DRaaS TM DMZ Nodo remoto Oficina central portadora OC-x Enrutador periférico Internet pública de Internet NGF Zona de Seg. SCADA SCADA VPN interna final interno Clúster de empresa con NGF NGF Interruptor Interruptor La confianza cero dirige todo el tráfico de la red a través del NGF. Gestión y monitoreo Nube de Cyber DRaaS basados en la nube Servidores Blade de Internet Servidores Blade de aplicación de DBMS de administrador del sistema de servicios IP Servidores en rack 4

5 Cyber DRaaS en una red de confianza cero Las organizaciones que buscan una arquitectura de resiliencia cibernética más avanzada deberían considerar la implementación de Cyber DRaaS, en lo que John Kindervag, de Forrester Research, ha llamado una red de confianza cero (consulte la figura 4). La arquitectura de confianza cero reemplaza el modelo de muralla/foso, formado por un nivel central, uno de distribución y otro de acceso, con una arquitectura alternativa que refleja un diseño de centro y conexiones. La confianza cero coloca un clúster de NGF de alto desempeño en el centro de la red, que funciona como centro de distribución del tráfico de datos, y segmenta la red en grupos de trabajo aislados. La confianza cero también asume que todo el tráfico de datos de la red no es confiable. Por lo tanto, todo el tráfico se debe escanear para identificar código y luego debe ser autorizado por el NGF según una regla predeterminada, antes de permitirle ingresar a la red dentro de un grupo de trabajo. Como tal, Cyber DRaaS se puede implementar fácilmente bajo su propia zona de seguridad dentro de la arquitectura de confianza cero, para permitir la segura frente a cualquier ataque cibernético potencial. La adopción del NGF y la implementación de una arquitectura de confianza cero aún está dando sus primeros pasos, y muchas empresas mantienen el compromiso con sus inversiones actuales en defensa de redes basadas en murallas/fosos y en sus soluciones de seguridad puntuales. La mayoría de las empresas que han implementado el NGF lo han hecho en forma limitada, en torno a aplicaciones muy críticas, como el cumplimiento de la Norma de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) o para proteger las bases de datos de clientes críticos. Este tipo de implementación limitada ejemplifica precisamente cómo se puede implementar Cyber DRaaS en una red basada en muralla/ foso para proteger las imágenes confiables. No obstante, a medida que aumenta la frecuencia y la complejidad de los ataques cibernéticos, es posible que las organizaciones perciban los beneficios de la implementación de un modelo de red de confianza cero en toda la empresa, y que amplíen su uso para construir una red de datos más resiliente. Conclusión Cyber DRaaS no refleja una arquitectura teórica futura para la ante desastres cibernéticos, sino una solución que se puede implementar en la actualidad con la tecnología existente y mediante una planificación adecuada. Por lo tanto, los gerentes que busquen una estrategia que asegure el cumplimiento de los requisitos del marco de seguridad cibernética del Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos en términos de respuesta y, o que estén más preocupados 5 en general por cómo pueden mitigar el riesgo cibernético deberían considerar seriamente la herramienta Cyber DRaaS. Al implementar Cyber DRaaS, la gerencia tendrá las herramientas necesarias para responder de manera proactiva ante las amenazas cibernéticas antes de que se produzcan, y recuperar datos y sistemas de información críticos de los ataques cibernéticos una vez que ocurran. Notas finales Managing Cyber Security as a Business Risk: Cyber Insurance in the Digital Age, Ponemon Institute, agosto de 2013, patrocinado por Experian Data Breach Resolution, ponemon-study-managing-cyber-security-as-business-risk. jsp?ecd_dbres_cyber_insurance_study_ponemon_referral 1