Aprendizajes del RSA Conference 2017

Por: Juan Carlos Álvarez Mesa, Gerente General de InterLAN

La conferencia del RSA en San Francisco reúne toda la comunidad de seguridad informática con el fin de compartir información crítica, revisar lo sucedido en el año, fijar las tendencias y estrategias a seguir hacia el futuro.

A continuación, resumo lo que considero más importante este año:

1. Ransomware: los ataques de Ransomware continúan con fuerte incidencia, con mayor número y más sofisticadas variantes, enfocándose en activos de alto valor para el usuario y la organización. Recientemente se le ha agregado al Ransomware la posibilidad de interactuar con el mundo físico (IoT) para generar daños o interferir con la operación normal del negocio.

Un ejemplo se presentó en un hotel en Europa donde los huéspedes no podían entrar a sus habitaciones ya que los hackers habían comprometido el sistema de apertura de puertas y los dueños del Hotel se vieron obligados a pagar el rescate (en repetidas ocasiones) para retomar el control. También fueron comprometidos los sistemas se semaforización en Michigan, generando congestión vehicular. Así que para evitar verse envuelto en estos problemas algunas recomendaciones son: Mantener respaldos fuera de línea, una adecuada higiene de seguridad informática y capacitación a los usuarios.

Así, el 90% de los ataques de ransomware llegan a la organización por medio de phishing (correo malicioso), razón por la cual deben fortalecerse los sistemas de filtrado de correo, pues siempre habrá por lo menos un empleado dispuesto a dar clic en casi cualquier cosa. El Ransomware ha sido lucrativo y por ser un modelo de negocio reinvierte parte de sus ganancias en investigación y desarrollo, así que se espera un mayor crecimiento en 2017, tanto así que hoy en día se venden kits de ataque y creación de ransomware y existe también un modelo de franquicia donde se ejecutan ataques por medio de terceros quienes entregan comisión sobre las ganancias a los creadores del ransomware.

2. El Internet de las cosas como plataforma de ataque: la mayor parte de los dispositivos del IoT (Internet de las cosas) son elementos de bajo costo y son muy frecuentes en estos las vulnerabilidades y fallas en el diseño y la seguridad.

Muchas cámaras por ejemplo autentican al usuario en texto claro o si lo autentican de manera cifrada, posteriormente la transmisión del video irá en un protocolo no seguro. Estas débiles prácticas de seguridad han facilitado el compromiso de cientos de miles de estos dispositivos, creando una red (Botnet) que alcanzó hasta 250 mil dispositivos con capacidades combinadas de ataque hasta de 1Terabit/segundo (Red Miria). La visibilidad de la red y herramientas que controlen el acceso a su red y hagan un inventario detallado de todos los dispositivos IP, son un control crítico a implementar de cara a mitigar este riesgo.

La seguridad en el hogar y especialmente en los de los empleados es algo que debe tener muy en cuenta el área de seguridad de la información hoy en día.

3. La protección de los datos: motivado por la explosión de los datos, la gran cantidad de vulnerabilidades y la constante innovación del negocio que ofrece nuevas aplicaciones y canales de atención a sus clientes, es hoy en día de vital importancia revisar la protección de los DATOS. Más allá de los controles a la red (firewalls, IPS), controles a la infraestructura (Autenticación Multifactor, Parches) y los diferentes controles en la capa de aplicaciones (control de acceso, gestión de vulnerabilidades y gestión de privilegios), es muy importante enfocar los esfuerzos en la protección de los Datos. Los datos son finalmente la Joya de la corona y se ha notado un incremento significativo en adopción de tecnologías de protección de los datos tales como: Cifrado de Disco, Cifrado de Correo, Cifrado de bases de Datos, Cifrado de Respaldos, Cifrado de Medios removibles, Cifrado de Cloud; Data Loss Prevention, Gestión de Llaves, Enterprise Rights Management y Tokenización.

Es importante realizar un inventario de la información sensible y utilizar métodos para inutilizar dicha información en caso de una intrusión o compromiso. Es importante también entender el ciclo de vida de la información desde su recolección, procesamiento hasta su archivo o destrucción final, e implementar múltiples controles a lo largo de todo este ciclo.

 

4. El Presupuesto: los patrones de ataque cambian constantemente por eso es importante entender los riesgos, cuantificarlos y saberlos comunicar a la alta gerencia, para ello hay que saber sustentarlos desde el punto de vista del negocio. Si no sabemos enunciar el problema de la seguridad de la información mucho menos podremos lograr un presupuesto adecuado para cubrir las necesidades crecientes en esta área.

Las siguientes preguntas nos pueden servir para sustentar nuestro plan de seguridad: ¿Cuáles son las Joya de la corona en mi negocio?, ¿Quién nos está poniendo en riesgo dentro y fuera? ¿Qué puedo hacer para detectar y prevenir un compromiso? ¿qué información pública puede ser utilizada contra mi organización?

5. Vulnerabilidades en el código, contenedores y servicios de nube: El uso de contenedores puede introducir riesgos en mi aplicación. Componentes de software de abierto o algunos utilizados como servicio pueden introducir puntos de falla en mi aplicación. En la medida en que las aplicaciones corren simultáneamente sobre uno o varios servicios basados en la nube, resulta muy importante la adecuada auditoría de dichos servicios. Un proveedor de nube debe entregar también una manera de verificar su seguridad. El tema de Autenticación de doble factor se vuelve de primera necesidad cuando consumo servicios de red y toda la información está sólo a un password de distancia del atacante.

Si comprometo la contraseña del usuario ya estoy dentro de la aplicación. Si bien los ambientes de nube logran alta seguridad física y lógica, el responsable final del uso de los datos y la autenticación de los usuarios es el cliente final.

6. Shadow IT: Se conoce como Shadow IT el conjunto de aplicaciones de nube que son utilizadas por diferentes áreas del negocio, sin que se tenga conocimiento de esto por parte del área de TI. Esto representa un gran riesgo ya que se pierde el control sobre la información del negocio, la creación y borrado de usuarios.

Cuando un departamento o una persona decide utilizar una aplicación de nube, sólo estará pensando en la necesidad puntual del negocio y es probable que no considere aspectos relativos a la privacidad y seguridad de la información corporativa. Existen aplicaciones que permiten ganar visibilidad y generar completos reportes sobre las aplicaciones que están usando mis usuarios; de esta manera se puede regular su uso bien sea bloqueando o auditándolas.

La tarea de los analistas de seguridad pasa desapercibida cuando está bien hecha, la defensa de las infraestructuras de TI, cada vez más diversas y complejas será siempre más demandante. Este año nos esperan retos mayores para garantizar la continuidad en la operación del negocio y la integridad y privacidad de su información. Por esto se debe tratar de automatizar al máximo los mecanismos de auditoria, monitoreo, defensa y respuesta frente a amenazas, pues la velocidad y persistencia de los ataques actuales no permite una respuesta manual y por lo tanto tardía.





Este formulario permite a nuestros clientes actuales con contrato de soporte vigente, solicitar visitas en sitio o soporte remoto por incidentes. Para recibir soporte deberá vincularse primero como cliente y firmar una solicitud formal de servicio.


La atención a estos requerimientos se recibirá únicamente dentro del horario Lunes a Viernes de 8 a.m. a 6 p.m. Excluyendo festivos.


*Todos los campos son requeridos

Nombre completo
Empresa
Teléfono
Extensión
Su e-mail
Nivel de urgencia

Producto involucrado
Versión
Descripción de la situación
 

-->