viernes, 22 de enero de 2010

La "Aurora" del Sol de Oriente

Los hechos que se están dando a conocer estos días ponen de manifiesto una vez mas el cambio de las tendencias en seguridad que se avecinan para Internet. Los que nos dedicamos a esto estamos al día de los foros y noticias del sector, pero es cierto que la inseguridad suele sacar los colores a las empresas y organizaciones que se ven forzadas a reconocer un incidente y por eso suelen ser tapados ante la verguenza de verse afectado.

La operación Aurora ha DE-mostrado que el hacking es una herramienta más en el mundo de los negocios y que en Internet, como en la vida, hay gente que gana el dinero con el sudor de su frente y otra que lo hace como puede, haciendo trampas o delinquiendo si es necesario. Y en este caso en concreto, el ataque ha sido bien planificado, han realizado un seguimiento de las víctimas, han encontrado una vulnerabilidad desconocida que por tanto, no podía ser evitada y han elaborado un plan para lograrlo y pasar desapercibido. En este enlace hay un análisis técnico del problema muy detallado y en este otro nos cuentan toda la trama del intento de robo.

Y hay empresas que su máximo activo, su mayor riqueza es el texto de los algoritmos que inventan. Aurora ha demostrado que quien tiene una puerta a Internet tiene un riesgo. Y quien tiene software accesible tiene elementos que al menos debe vigilar. A esta situación se la empieza a denominar Advanced Persistent Threat (APT) que no es más que el hecho de considerar que cualquier punto de conexión a Internet es una puerta hacia lo desconocido, pensando que al otro lado no hay nada bueno. Esto es similar a lo que ya hacemos en seguridd física con el fuego. No sabemos cuando puede ocurrir pero consideramos que es una amenaza continua, algo que en cualquier momento puede suceder.

Ello debe plantear a las organizaciones la necesidad cada vez más de no utilizar una estrategia basada en la detección sino una monitorización continua en busca de anomalías en los sistemas. Cada servicio o recursos suele tener un patrón más o menos estable de utilización. Excepto en situaciones donde se puede conocer que puede haber una demanda diferente (lanzamiento de nuevos servicios, campañas de publicidad, etc.) la utilización de recursos será más o menos estable. Y en este sentido, detectar cambios bruscos, aumentos extraños es la mejor forma de saber si está pasando algo raro.

Muchas empresas de seguridad empiezan a ofrecer este tipo de servicios bajo las siglas SOC (Security Operation Center) que no es más que un servicio de vigilancia y alarma, como los que contratamos habitualmente para la seguridad física, pero donde los sensores de movimiento y los detectores de movimiento se situan en los sistemas de información. Hay muchos símiles entre la seguridad física y la seguridad lógica, pero la primera todo el mundo la entiende porque es capaz de identificar las amenazas y esta segunda sólo es gestionada cuando el personal técnico es capaz de valorar el riesgo que la empresa asume. Esta transparencia suelo utilizarla para ilustrar este hecho.



La operación Aurora, como todo incidente, debe servir para aprender de la experiencia. En Networkworld.com nos cuentan las tres lecciones que debemos aprender tras estos hechos que a continuación extracto:
  • El enemigo no es sólamente el malware y la delincuencia organizada: Dado el enorme crecimiento de la delincuencia organizada en los últimos años, la mayoría de las empresas han implementado las defensas para proteger los datos personales y financieros de robo. Si bien eso es importante, es también esencial para las empresas a pensar en la protección de sus datos de propiedad intelectual. El Cibercrimen está ahora más interesado en el espionaje industrial y en el robo de propiedad intelectual que en números de tarjeta de crédito o datos de salud del paciente.

  • Añadir la monitorización de red a la lista de tareas de operación diaria: Los nuevos atacantes están capacitados para sortear cortafuegos, antivirus, sistemas de detección de intrusos y otros controles que una empresa puede tener en el lugar para bloquear el acceso ilegal a los datos. Así, las empresas necesitan contar con herramientas para monitorizar el comportamiento anómalo de su red, y para detectar comportamientos extraños.

  • La mayoría de los ataques Web todavía requieren la intervención humana para tener éxito:Los ataques dirigidos dependen de los seres humanos haciendo clic en algo o sobre la navegación a un sitio web malicioso. El análisis de McAfee de los ataques en contra de Google y otras compañías mostraron que los intrusos tuvieron acceso a una organización mediante el envío de un ataque a medida contra uno o varios individuos específicos.Los ataques fueron diseñados para que pareciera que provenían de una fuente de confianza y lograr su principal objetivo: hacer clic en un enlace o archivo. Hay mucho más de conocimiento por adelantado en estos días. Los intrusos acechan a su enemigo y lo vigilan, recabando información sobre su perfil y su esfera a través de las redes sociales.


Con este panorama, muchos os estaréis preguntando cuales son realmente los problemas que pueden llevar por la Web. He encontrado este excelente análisis de las amenazas de la Web y una explicación detallada de su taxonomía en Web Security: Are You Part Of The Problem?
En el enlace tenéis una explicación bastante completa de todos los posibles inicios de ataque y las recomendaciones generales que se deben de cubrir en el escaparate que toda organización cuelga hacia Internet.

Estos resultados demuestran cuales son los más utilizados, pero no quita que cuando un tipo de problema se vaya solucionando, los malos lo intenten con otros menos conocidos. Muchos responsables seguirán viendo estos hechos como "de película" pero nunca se sabe qué puede considerar de valor un ladrón y tener las puertas abiertas suele ser muy tentador para los amigos de lo ajeno.
 
;