Soluciones de seguridad en un nuevo escenario

La conocida firma de soluciones de seguridad RSA, junto con SBIC (Security for Business Innovation Council), publicaron un reporte centrado en las tecnologías que resultan estratégicas para la transformación de la seguridad de la información. SBIC es una organización compuesta por ejecutivos de diferentes empresas líderes a nivel global. La necesidad de una transformación se presenta como ineludible ante la forma en que ha evolucionado un mundo de amenazas cada vez más serias y difíciles de detectar, más dañinas y con la capacidad de cambiar de aspecto y accionar para evitar ser removidas de los entornos que quieren dañar.

El uso de la movilidad y de las soluciones basadas en cloud hace que estas amenazas sean aún más difíciles de detectar. En el reporte se identifican prioridades que deberían tener las inversiones de las organizaciones usuarias que quieran resistir a los ataques cibernéticos. También se aconseja acerca de una mejor experiencia de usuarios para las soluciones de seguridad y seguridad en la nube. El informe también se encarga de destacar algo que ya hemos advertido en Datamation: algunas de las soluciones de seguridad del pasado ya no protegen en áreas donde hoy pueden aparecer los mayores riesgos.

Nuevas clases de ataques superan a las soluciones de seguridad

Las amenazas evolucionan con velocidad y se tornan cada vez más complejas. Los ataques APT (Advanced Persistent Threats) utilizan una cantidad de técnicas en forma combinada y aplicadas a través del tiempo. Por ejemplo, un ataque puede comenzar mediante ingeniería social, mandando un email desde una dirección falsa y con un asunto que se sabe es de interés de un determinado individuo. Si éste abre el adjunto se dispara un troyano que se instalará en algún punto de la red y desde allí buscará vulnerabilidades críticas como las de bases de datos donde se almacena información sobre tarjetas de crédito de los clientes.

En un momento determinado y mientras aún se mantiene fuera del radar de seguridad, el atacante puede robar datos importantes, exportarlos fuera de la red de la víctima y optar por lanzar un ataque DDoS (Denegación de Servicio) para distraer al equipo de gente de seguridad. Cuando el ataque DDoS finalice, el atacante puede haber removido todo rastro de su presencia en la red de la compañía y llevado los datos sensibles a otros servidores. Su rastreo será imposible.

Según la gente de RSA, las estadísticas del mercado muestran que gran parte del gasto que se realiza en tecnologías de seguridad está orientado a la detección de intrusos. Sin embargo, esta clase de solución, al igual que las demás con orientación al perímetro y especialmente ahora que la movilidad y cloud complican la definición de perímetro, no son ya capaces de atender a las amenazas que pueden introducirse directamente en el entorno corporativo a través de una persona de la organización. Por otra parte, la detección de intrusiones utiliza la técnica de comparación de firmas de amenazas conocidas con material encontrado dentro de la red corporativa. Esto no brinda protección contra amenazas que aún no han sido definidas por las empresas de seguridad y para las que no se conoce firma alguna. Cuando esas amenazas entran a la red sin firma conocida, pueden comenzar a causar daños de inmediato.

Orientar la inversión en protección en función de los riesgos

La tecnología de seguridad debe adoptarse en función del riesgo que debe contrarrestarse. Como en las empresas se maneja ampliamente el concepto de riesgo, por este camino es más sencillo crear un caso de negocio en seguridad. Se trata de crear el lado “beneficio” de la ecuación para poder cotejarlo con el costo de la protección. Al contemplar los riesgos que generan las APTs, debe ser tenido en cuenta que su accionar puede pasar desapercibido por meses y que su naturaleza puede cambiar a partir del momento en que se embeben. De esa forma y tal como lo han aprendido por triste experiencia muchas organizaciones, los riesgos pueden ser muy serios y esa es la razón por la que muchos de los ejecutivos de las empresas deberían estar cerca del problema.

Un sólido control de las identidades es una de las piezas más sólidas en herramientas de seguridad y debe ser adaptada a un esquema de estimación de riesgo antes de facilitar los accesos. Se puede utilizar lo que se conoce como autenticación basada en el contexto para establecer un cierto grado de confianza en la identidad del usuario y no basándose solamente en las credenciales de autenticación. Pero también se pueden utilizar factores de riesgo tales como la clase de proceso que es accedido y scores de comportamiento con normas que comparen aspectos tales como la máquina física desde la que accede el usuario, la locación o la zona horaria. Una vez que se establece una sólida confianza en la identidad de quién requiere el acceso, este método hace que se produzcan algunas interrupciones en el login aunque se esté operando sobre una actividad de seguridad muy intensa durante ese proceso.

Qué hace falta integrar a la seguridad

Los pilares de la nueva generación de seguridad provienen, según el análisis que realiza Alan Rodger, especialista de la firma de investigación Ovum, de elementos analíticos de defensa y mecanismos de respuesta. En su opinión, se puede mejorar la seguridad utilizando los recursos más recientes en términos de herramientas analíticas y de administración de datos. De esta manera se puede procesar enormes volúmenes de información como los que suelen encontrarse en las operaciones de IT. Integrando diferentes tipos de información, se puede incrementar la visibilidad del alcance de un ataque en el alto nivel. El reporte de comportamientos anormales dentro de las capas de aplicaciones es otra forma de productivo uso de esta tecnología.

En lo que hace a inteligencia de la seguridad, existen tecnologías de detección de amenazas con auto-aprendizaje. Estas tecnologías pueden reconocer equivocaciones con falsos positivos del pasado y APTs que fueron pasadas por alto. También están siendo probados nuevos recursos de escaneo de medios sociales para extraer información sobre nuevas amenazas y poder integrarla en los analíticos de seguridad.

En cuanto a seguridad en la nube, existen herramientas que parecen muy prometedoras aunque todavía no existen criterios sólidos respecto a cómo mezclarla con otros recursos. De hecho, los que aparecen como fundamentales son recursos capaces de investigar cuáles servicios cloud se están utilizando dentro de una organización. Recordemos que en muchas empresas hay usuarios de lo que se ha bautizado como “Shadow IT” o IT en la zona gris, donde hay usuarios que utilizan aplicaciones cloud en forma no declarada. En este plano, son muy útiles las herramientas de análisis de logins.

Alan Rodger, Analista Senior de Software y Administración de Infraestructuras de IT y Comunicaciones a nivel empresarial de la firma de investigación Ovum, es el autor de este abstract y del reporte en extenso que ha publicado Ovum.