martes, 24 de enero de 2012 0 comentarios

Logs de seguridad, la verdad está ahí fuera...

Este verano pude dedicar un rato a leer el manual de operaciones de información del ejercito americano (Information warfare) al que había llegado a través de un post del blog Aerópago. Me resultó curioso y a la vez muy relevante estudiar cómo se manejan en situaciones de guerra las operaciones del campo de batalla de la información/desinformación.
Es imprescindible leer el Capitulo I, de Introducción porque aporta una nueva perspectiva al concepto de "información" y sus dimensiones. Y tal como deja claro el manual, la información esencial, la importante donde se pueden perder batallas, es aquella que se emplea en la toma de decisiones. Este fue el mensaje que quedó en mi mente tras leer el documento.

Hace unos días publicaba en twitter (@javiercao) una entrada sobre el top en los informes de logs de seguridad que debería tener una organización. Aparqué ese tweet para extenderme hoy más en un post sobre el tema.

Es curioso que todas las organizaciones, grandes o pequeñas, disponen de esta materia prima para poder establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma. 

A mi mente vino de nuevo la idea de que no podemos llamar "información" sino "datos" a aquello que no sirve para tomar decisiones. Y ese es el verdadero problema/drama de los logs, que no llegan a ser información sino datos sobre la situación de seguridad de la empresa que son guardados o borrados sin que de ellos se extraigan conclusiones o decisiones que pueden evitar o mejorar en mucho la seguridad de los sistemas. El post con los datos del top 7 de informes de seguridad los tenéis en este enlace de Anton Chuvakin, un "security warrior".

Juntando esto con las diferentes áreas que aparecen en ese top  de informes de seguridad se puede construir el siguiente escenario de vigilancia e inteligencia de red. 

Tal como establece el maestro Sun Tzu, "La tierra puede ser alta o baja, ancha o estrecha, lejana o cercana, desnivelada o plana, propicia para la muerte o para la vida".  Todo  general debe estudiar el contexto en el que se plantea el conflicto y tratar de moldearlo o dirigirlo para que le proporcione las mejores opciones y decisiones. El terreno tiene ciertas restricciones que no pueden alterarse, pero se debe ser consciente de todas estas limitaciones a la hora de plantear la táctica de combate. En nuestro caso, el terreno viene condicionado por la infraestructura TI de nuestra organización, pero también por los eventos y servicios que ésta suministra. En este sentido, una de las fuentes que mejor describen el campo de batalla son los eventos del sistema o logs. Como decía el agente Mulder de Expediente-X, "la verdad está ahí fuera". Todo administrador de sistemas o responsable de seguridad debería adecuar esa frase a "la realidad de lo que pasa en nuestros sistemas está en los logs".

Para empezar también me parece interesante comentar, tal como establece la norma  "ISO 27035 sobre gestión de incidentes" publicada el año pasado, la separación entre evento de seguridad e incidente. Todo incidente es generado por un evento de seguridad pero no todo evento de seguridad se transforma en un incidente. En el terreno de los logs nos movemos básicamente sobre el análisis de eventos que posteriormente hemos de decidir si son clasificados como incidentes. Ahora veamos los diferentes campos de batalla a gestionar. Los he separado en tres grandes áreas como ilustra este gráfico que atiende también a los diferentes tipos de escenarios y su hostilidad:

Personas:
  • Escenario de la gestión de usuarios: en este terreno los eventos a vigilar de cerca están relacionados con el ciclo de vida del usuario (alta, baja y modificación de permisos), los registros de acceso fallidos y con éxito, la elevación de privilegios y las conexiones con usuarios con los máximos privilegios.
  • Escenario de accesos a recursos: en este terreno los eventos a vigilar tienen que ver con los registros de auditoría de acceso del personal legítimo o interno sobre elementos muy protegidos que deben notificar cada intento de acceso a ellos para disponer de trazabilidad sobre el uso del recurso.

Recursos:
  • Escenario del cambio en recursos TI:en este escenario los eventos más relevantes son los relacionados con la instalación de software, la actualización, los cambios relevantes para la seguridad sobre parámetros de configuración, la modificación de las directrices de auditoría y la deshabilitación de las medidas de seguridad instaladas. También se pueden controlar desde este escenario el funcionamiento de las medidas de seguridad como pueden ser la actualización de las firmas de patrones del antivirus, la aplicación de parches sobre los sistemas y los resultados de los chequeos de vulnerabilidades.
  • Escenario de los problemas detectados: los eventos vinculados con este escenario están relacionados con la monitorización del funcionamiento de los recursos, su disponibilidad, incidencias de caída o fallo de componentes, errores en los sistemas, errores en sistemas de copia de seguridad, alertas sobre la gestión de la capacidad, eventos de reinicio y parada de sistemas, etc.
  • Escenario de la actividad interna de nuestra red: en este terreno, los eventos a vigilar están relacionados con los patrones de comportamiento de nuestra red y nuestros usuarios, los protocolos más utilizados, el consumo de ancho de banda, el volumen de tráfico demandado y recibido, la carga de nuestras conexiones, etc.

Enemigos:
  • Escenario del malware detectado: en este escenario, los eventos a vigilar deben provenir de las medidas de protección perimetral y antivirus. Se debe vigilar el número de infecciones recogido, los archivos en cuarentena, las estadísticas sobre el tipo de malware que se detecta (gusanos, troyanos, virus, hacking tools) así como la fuente de infección (descargas en la red, dispositivos USB, correo electrónico).
  • Escenario de la actividad externa sobre nuestra red: en este terreno, la información relevante proviene de las medidas de protección perimetral que inspeccionan el tráfico y que detienen aquellas peticiones que no superan la política de filtrado de tráfico y contenido. Sirve para poder detectar intentos de ataque, abusos sobre recursos accesibles desde el exterior, vulneración de las medidas de seguridad. Es necesario también atender a los volúmenes de información recibidos y salientes para detectar si hay elementos en la red interna comprometidos y que están siendo controlados desde el exterior.
Sobre todos ellos campos de batalla debe trabajar una pieza esencial en la linea de defensa de toda organización: la monitorización y gestión de eventos de seguridad.
lunes, 9 de enero de 2012 2 comentarios

Reflexiones sobre tendencias del 2011 y pronósticos para el 2012

Como anunciaba en el post anterior y como viene siendo tradicional en el cambio de año, toca revisar las tendencias detectadas del año saliente 2011 y hablar de lo que puede verse en el año 2012.
Por las fechas en las que estamos, la comunidad bloguera ya ha hecho este tipo de reflexiones y voy a tratar de aportar algo nuevo al respecto hablando más de tendencias que de lo sucedido. De los resumenes del año, el que más me gusta por lo exhaustivo y pormenorizado es que el que ha hecho Hispasec en sus Una-al-dia y que ha segmentado en trimestres en los post 1, 2, 3 y 4. Respecto a lo sucedido a lo largo del 2011, se pueden destacar los siguientes puntos:
  • Este ha sido el año en el que peligrosamente los virus informáticos han saltado del mundo de la informática del PC a las tecnologías SCADA. Los especímenes Stuxnet y Duqu han hecho temblar ahora a los sectores industriales que pueden verse afectados por malware. 
  • Stuxnet y Duqu también son representativos de una nueva tendencia que es la especialización y orientación de los ataques hacia objetivos selectivos. En este año hemos podido ver como la amenaza de la intrusión informática a afectado a empresas muy emblemáticas como Sony, Google o  RSA o Startfor. El objetivo de los ataques selectivos básicamente han sido dos: En primer lugar el robo de grandes volúmenes de datos de carácter personal, sobre todo vinculados a información que permita acceso a servicios financieros o pago mediante tarjetas de crédito para realizar fraude y en segundo lugar el robo de propiedad intelectual muy concreta que además en el caso de RSA ha comprometido la seguridad de un mecanismo de autenticación empleado por las empresas más concienciadas y que como consecuencia ha podido generar como efecto colateral el robo de información en empresas que se pensaban protegidas por emplear metodos de autenticación fuerte empleado las tecnologías de RSA-id.
  • Este año también hemos podido ver en el lodazal de los incidentes de seguridad a Entidades emisoras de certificados (PKI). Primero Comodo y posteriormente Diginotar han visto comprometidas diferentes piezas de la infraestructura de clave pública y se han tenido que revocar ramas enteras del árbol de certificación. En el caso de Diginotar además, al verse comprometido el certificado raíz, ha supuesto el cese de actividad de esta Entidad que ya no se ha recuperado del incidente.
  • En España este año ha sido especialmente importante en materia de regulación de la seguridad. El vencimiento de plazos del R.D. 3/2010 del Esquema Nacional de Seguridad, la reforma del Código Penal que puede afectar en materia de fuga de datos a las personas jurídicas también  y la publicación de la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas  y el R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas seguramente darán mucho que hablar en este 2012.
  • Por último destacar que este año el hacktivismo (yo lo llamaría mejor cibercrimen) ha empezado a mostrar que se quiere erigir como un cuarto poder amenazando o publicando información delicada que compromete a organismos o revela datos sobre gestiones irregulares que éstos realizan. Anonymous es quizás la red más popular aunque Luzsec también ha tenido un papel destacado. Lo que si pone de manifiesto este hecho es que la "información es poder" y si ciertos ciudadanos con unas habilidades y conocimientos técnicos son capaces de acceder a las cloacas de las empresas y administraciones públicas pueden obtener datos sensibles, muchas instituciones pueden tener que dar explicaciones de cosas que hasta la fecha manejaban como "secretos".  Además cuentan con servicios como Pastebin.com que se prestan al juego de dar difusión de la información robada a modo de Wikileaks del hacking. En algunos de estos casos la información robada puede acabar comprometiendo la vida de personas, como publicó Chema Alonso en la entrada Hackers publican la BBDD de escoltas de Presidencia.
En cuanto a los pronósticos, me ha gustado mucho el post de Paolo Paseri donde aparece una tabla resumen de predicciones de los principales fabricantes de productos de seguridad y un diagrama de barras con las tendencias pronosticadas que más se repiten.


Las estadísticas sobre las predicciones realizadas tiene esta gráfica:

Yo como en estos últimos años solo puedo extraer una conclusión: los malos irán allá donde haya dinero facil y donde el crimen tecnológico de guante blanco les permita generar unos ingresos rápidos con poco esfuerzo y de difícil investigación
¿Los medios? Los que sean fáciles de aplicar y sencillos de emplear para estos fines. Seguramente veremos bastantes cosas en materia de aplicaciones en smartphones porque su uso está creciendo de forma vertiginosa y son plataformas donde todavía no hay cultura de la prevención proactiva. Serán pocos los que instalen en sus terminales aplicaciones antimalware. En este sentido, el Android Market por su ausencia de controles y su gran crecimiento en número de usuarios será en este caso "el Microsoft del mundo PC", con la desventaja de que a Google esta guerra le pilla relativamente de nuevas y tendrá que aprender rápido la necesidad de la gestión de la seguridad sobre sus plataformas.
Otra novedad posiblemente sea Cibercrimen as Service (CaaS) del que ya se empiezan a ver algunos ejemplos. Si los malos montan sus plataformas de hacking para sus usos particulares, ¿por qué no alquilarselas a terceros y seguir ingresando dinero por ello?
Además, todos estos servicios obviamente contarán con material didáctico sobre cómo emplearlos con sus videos explicativos en Youtube y sus tarifas con precios por duración de la denegación de servicio.



Los que nos dedicamos a este mundo a lo largo del 2012 seguiremos oyendo por parte de nuestros clientes que eso de la seguridad y el hacking es ciencia ficción, que nunca pasa nada y que la seguridad no tiene retorno de inversión. El problema es simplemente una "gestión de la incertidumbre" o "el riesgo" pero la causa que subyace detrás de todo esto es que el ser humano del siglo XXI sigue pensando con los instintos del mundo primate y sólo es capaz de valorar las amenazas que afectan a su integridad física. No somos capaces de estimar los riesgos que nos pueden venir por un cable Ethernet. Se seguirán ignorando estos hechos a pesar de que las tendencias de los últimos años empiezan a revelar que al "iceberg de la seguridad" ya se le empieza a ver su verdadero tamaño, que el mundo del cibercrimen es cada vez más consciente de este "nuevo poder" y que toda organización puede ser una víctima directa del hacking o un efecto colateral en unas pruebas de concepto. Y para aquellos que siguen pensando que nunca pasa nada y que todo esto sigue siendo algo muy "irreal", sólo hay que consultar el time-line del hacking del 2011 que ha recogido Paolo Paserí donde se pueden ver los costes de la inseguridad. Los daños que pueda sufrir una empesa superan en mucho y de forma inmediata los costes de las medidas preventivas. Sólo evitando un incidente se pueden justificar la aplicación de las medidas.


Sin embargo, para aquellos que se siguen manteniendo en el discurso de que la seguridad no tiene retorno de inversión y que no tiene sentido protegerse frente a algo que sencillamente no ocurre, yo les haría una pregunta, ¿Por qué se invierte en Defensa? ¿No hace más de 50 años que en España no hay una guerra? 
Los datos sobre el coste del programa Eurofighter por ejemplo, son para poner los pelos de punta y muy envidiables para el mundo de la seguridad lógica. 

El coste inicial del Programa Eurofighter para España asciende a 10.795,4 millones de euros, de los que 1.598,7 millones corresponderían a la fase de I+D y los restantes 9.196,7 millones a la de producción de las aeronaves. El coste unitario de un EurofighterTyphoon de la llamada trancha 2 – segunda fase de producción – se estima en unos 80,3 millones de euros (algo más de 13.360 millones de las antiguas pesetas)
Posiblemente el despliegue de toda la infraestructura necesaria para la cyberdefensa de España (Un SOC gubernamental con un despliegue de tecnologías SIEM a lo largo de las diferentes instituciones más relevantes) podría ser similar al de UN SOLO AVION EUROFIGHTER. Y cual de las dos piezas de defensa protege más al pueblo español, ¿Un avión surcando el cielo o un "Security Operation Center" (SOC) vigilando todas nuestras infraestructuras críticas? 



miércoles, 4 de enero de 2012 8 comentarios

Carta a los Reyes Magos de un Responsable de Seguridad para el 2012

Iba a postear sobre el repaso al 2011 y los pronósticos del 2012 pero en las fechas que estamos me parece más pertinente escribir la carta a los Reyes Magos y aplazar las reflexiones anteriores para la semana próxima. Así que allá voy, esta sería mi carta a los Reyes Magos como "responsable de seguridad de la información" o "CISO" o "DPO".

"Queridos Reyes Magos,
Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo, como la rutina habitual es que no ocurra nada parece que yo no hago mi trabajo. Aun con eso, tengo que pedir algunas cosas para el año 2012. Mi lista sería:

  • Pediría que en mi Organización entiendan que aporto valor. Que las cosas funcionen y que no hayan imprevistos no es una situación que se logre no haciendo nada. Es necesario que yo esté vigilante y atento del día a día y sobre todo, del funcionamiento de los sistemas para detectar cuando sospecho que algo extraño está sucediendo o puede suceder y avisar para mitigar el posible problema. Este año he tenido que notificar la existencia de bastantes vulnerabilidades en los entornos de producción que estaban sin parchear, he descubierto tráfico extraño desde portátiles internos que estaban infectados aunque por suerte no se habían conectado a la red corporativa. Creo que no pasan más cosas porque tenemos mucha suerte. La cantidad de pendrives y discos USB que veo por las mesas de mis compañeros dan miedo. Por las noches tengo pesadillas y no duermo tranquilo. Sueño con una llamada de la gente de guardia a las 3 de la mañana diciendome, "-Javier, vente para acá que se ha liao parda". En fin, sólo espero que mi Organización entienda que la seguridad, una vez que se ponen en marcha medidas, es una tarea de mantenimiento y supervisión continua que no puede desfallecer nunca. Es como estar aguantando una barrera con los brazos para evitar que la gente pase. En cuanto no haces lo que toca, la barrera cae y la gente se cuela. Yo solo espero disponer de información que me permita tener la tranquilidad de saber que las cosas funcionan y pueda así dormir tranquilo sabiendo que hago mi trabajo lo mejor posible. No podré evitar todos los incidentes pero al menos, no lo pongo fácil para que éstos ocurran.
  • Pediría que los usuarios sean buenos y contribuyan a facilitar mi labor. Aunque tengo desplegadas acciones de concienciación sobre la materia, la gente pulsa antes de leer y eso suele generar problemas. También quiero hacerles conscientes de que nuestra Organización trata con datos de carácter personal sensibles y que existe una legislación que respetar. Yo no estoy para proteger las cosas sino para lograr que todas las medidas funcionen según lo previsto pero esta guerra es cosa de todos. Con que un usuario cometa un error y ciertos datos acaben en Internet mi trabajo se verá frustrado y mi puesto cuestionado. Asumo que siempre ando en la cuerda floja porque al más minimo fallo se me apuntará con el dedo de la culpabilidad pero necesito que todos entiendan que en esta guerra todos somos soldados. 
  • Pediría que la Dirección de mi Organización entienda los resultados de mi análisis de riesgos y obre en consecuencia. Yo como responsable de seguridad estoy para detectar y diagnosticar problemas pero las decisiones y sus prioridades no son cosa mia. Yo puedo aconsejar o asesorar respecto a lo que entiendo debe ser tratado pero los riesgos de mi Organización deben ser asumidos por la Dirección, no por mi. Yo no tengo tanto poder para tomar decisiones de ese calado.
  • En relación con lo anterior, también necesitaría que la Dirección de mi Organización me proporcione algunos recursos cuando decide poner en marcha algún plan de tratamiento de riesgos. Para poder tomar decisiones y sobre todo, para detectar anomalías necesito tener 1000 ojos y eso implica desplegar ciertas tecnologías de centralización de logs, correlación de eventos y tiempo para poderlas ajustar atendiendo a nuestro contexto y nuestros riesgos de negocio. Mi único objetivo es poderles proporcionar una información de mayor calidad que les lleve a tomar decisiones más correctas y precisas pero eso implica invertir un poco. Evitar y prevenir problemas siempre es más barato que tener que sufrir un incidente y reparar los daños. Este año 2011 además hemos visto retozar en el lodazal de las empresas hackeadas o con incidentes a organizaciones de todo tipo y supongo que en esa lotería algún día nos puede tocar a nosotros.
  • También pediría a mis compañeros de Sistemas que no me vean como un enemigo o alguien que se mete en sus asuntos. Yo soy consciente que la prioridad es que todo funcione pero a veces, por poner en producción demasiado rápido las cosas se cometen errores que luego pasan facturas muy caras. Obviamente esas facturas, si suponen un incidente de seguridad las voy a tener que pagar yo pero no debemos olvidar que estamos todos en el mismo barco que es nuestra Organización y aquí todos queremos que los incidentes no nos sorprendan.
  • A mis compañeros de Desarrollo les pediría un poco más de prudencia y de concienciación respecto a las aplicaciones que mi Organización vaya a hacer accesibles desde el exterior. Hoy en día es de ingenuos pensar que todo el mundo en Internet es bueno. Hay gente que se dedica a buscar agujeros o fallos que luego les permiten llegar más lejos. Por tanto, las aplicaciones deben ser programadas con una mentalidad defensiva y las baterías de pruebas de desarrollo no solo deben probar funcionalidades operativas, deben también superar pruebas de estrés y resistencia frente a los ataques más comunes.
  • En materia de Protección de Datos de Carácter Personal pediría también a muchos departamentos que comprendan que esto de la LOPD no es una tortura o el multazo que nos puede pegar la Agencia Española de Protección de Datos. Nuestros clientes se merecen, como parte de los servicios que les damos, una adecuada y diligente gestión de su información. Al fin y al cabo, a nosotros nos prestan ciertos datos para que les podamos dar servicios pero la información es suya, no nuestra.
  • Por terminar y ya en relación al área de auditoría, sólo deseo que mis compañeros sean capaces de hacer lo mejor posible su trabajo y me puedan reportar las máximas deficiencias posibles. En el momento se que me escocerá el informe pero entendiendo que ellos buscan lo mismo que yo, cuanto más barran ellos la casa y más alfombras se levanten, menos riesgo de sustos o incidentes tendré que asumir yo. Cuatro ojos ven más que dos y por tanto, es bueno que de vez en cuando alguien ajeno a mi día a día me revise y me recomiende cosas a cambiar. Yo creo profundamente en el ciclo de mejora continua y lo que no te mata te hace más fuerte.

En fin, queridos Reyes. Se que éste es un año difícil y que las Organizaciones todavía no valoran/comprenden/entienden qué pinta la seguridad de la información y cómo eso les ayuda a ser mejores y más competitivas, pero esperemos que con los años y no a base de incidentes, las cosas vayan cayendo por su propio peso. No pido para este año tener presupuesto para certificar mi SGSI con la ISO 27001 porque todavía soy consciente de que necesito mejorar algunas áreas de control aunque será el deseo para el año que viene casi seguro."
 
;