Por lo que respecta a las amenazas y problemas de seguridad, básicamente hay cinco elementos clave que conviene entender. Estos sirven como modelo básico sobre el cual se articulan la mayor parte de tareas y objetivos relacionados con la gestión de la seguridad y las amenazas a la misma.
1- Prevención
La primera tarea que tiene un gestor de la seguridad (entendiéndose por gestor cualquier profesional que tenga diferentes posiciones dentro del sector de seguridad de un organigrama de empresa, no solo a los operadores y técnicos, sino a los directivos/ejecutivos) y una de las que más tiempo y energía consume es la prevención.
Probabilidades de amenaza
La prevención de amenazas implica cualquier tarea o proceso que se deba hacer periódicamente y cuya realización tenga como consecuencia un descenso de las probabilidades de amenaza.
Las probabilidades de amenaza intentan proporcionar referencias cuantitativas (es decir, lo más concretas y medibles posible), para medir las probabilidades de que determinadas amenazas impacten contra nosotros o nuestra empresa.
Aplicando el caso tradicional del antivirus, que es una herramienta de seguridad por todos conocida, el hecho de que tengamos un antivirus instalado disminuye considerablemente las probabilidades de que alguna de las amenazas de malware que ya son conocidas por los laboratorios de malware pueda impactar contra nuestros sistemas.
Además, cada vez que estamos actualizando el antivirus con nuevas definiciones de malware, estamos manteniendo esas probabilidades lo más bajas posible, ya que constantemente aparecen nuevas amenazas y el hecho de permanecer estáticos implicaría en realidad una pérdida de protección y un aumento de las probabilidades de que nos impacte una amenaza.
Vectores
La prevención también pasa por aplicar y forzar el cumplimiento de determinadas políticas o directivas de uso y de configuración de los sistemas, de manera que los usuarios no pueden abrir la puerta (abrir nuevos vectores) a determinadas amenazas o no puedan provocar problemas de seguridad de forma intencionada o no intencionada.
Por "vectores" entendemos todos y cada uno de los elementos que están expuestos a amenazas y que aumentan las probabilidades de que pueda tener éxito un ataque o hacerse efectiva una amenaza.
Un posible vector puede ser un elemento hardware, software, configuraciones, o incluso el propio usuario y su nivel de concienciación sobre seguridad.
El hecho de tener un empleado descontento dentro de nuestra propia red, y este utilice sus privilegios y derechos de acceso a sistemas para causar daños, también podría reconocerse como vector.
En el caso de que nuestro sitio web en Internet fuera manipulado por terceros (lo que se conoce como "defacement") y se hubiera utilizado una vulnerabilidad en el panel de control de nuestro servidor que permitiese entrar y modificar nuestros archivos sin pedir la contraseña, diríamos que el vector de asalto ha sido una vulnerabilidad no parcheada.
Para que los sistemas informáticos (y nuestros terminales móviles) sean útiles y puedan darnos servicio, es necesario que tengan programas, servicios, datos personales, etc., pero cada uno de ellos supone una superficie de contacto con posibles amenazas o vulnerabilidades, las cuales pueden hacer uso de dicha superficie de contacto para iniciar o progresar correctamente un ataque de malware, realizar un robo de datos mediante un asalto con un "exploit", etc.
Un ejemplo habitual de vector de entrada es el hecho de no aplicar políticas de restricción a los usuarios a la hora de que instalen software en sus terminales móviles.
Esto aumenta las probabilidades de ataque, y cualquiera de estas apps, si ocultara funciones maliciosas, serviría como vector de entrada para que la amenaza se hiciera efectiva.
Aplicar técnicas de liberaciones de restricciones a los terminales, tales como "jailbreak" a terminales iOS o "rooting" a terminales Android, aumenta las probabilidades porque aumenta los posibles vectores de entrada, ya que existe malware específico para terminales en esas condiciones.
Por ejemplo, en el caso particular de iOS, muchas veces durante el proceso de jailbreak se instala un servicio SSH que queda abierto con usuario y contraseña conocidos, creando así un nuevo vector con alto riesgo de ser explotado por un atacante externo.
Además, dado que los terminales tienen menos restricciones cuando se les practica jailbreak, se podrían producir más daños o robar más datos.
En el caso de los terminales móviles de entornos corporativos, cabe la posibilidad de utilizar soluciones de gestión remota centralizada, de manera que ciertos parámetros de configuración, políticas y límites se pueden gestionar por parte de los administradores de sistemas o administradores de seguridad de las empresas, para mejorar la prevención de amenazas y sobre todo evitar el robo de datos en el caso de que un terminal sea sustraído.
También se pueden reconocer como vectores válidos determinadas circunstancias o situaciones tales como la ingeniería social o el phishing, que intenta engañar a los usuarios para conseguir información privada directamente, o bien contraseñas que permitan el acceso a datos y sistemas privados.
En el caso del phishing, un atacante consigue llevar al usuario a una web que simula ser de una entidad legítima, tal como un banco, etc., que luego utilizarían para robar nuestro dinero de la cuenta. En tal caso hablaríamos de que el vector del ataque que ha permitido dicho robo ha sido un intento de phishing que ha tenido éxito a la hora de engañar al usuario.
2- Detección
La detección de amenazas es el siguiente paso lógico en las tareas de un gestor de seguridad.
No se puede asumir que la simple prevención de amenazas va a mantenerlas alejadas. Conviene asumir que en todo momento los mecanismos de prevención no han sido suficientes y algún tipo de ataque o contacto con una amenaza podría estar teniendo lugar. De hecho en muchos vectores, que no podemos controlar por completo, es importante tener mecanismos de detección.
En el caso particular de las plataformas móviles, es norma habitual de sus fabricantes tener mecanismos antimalware y revisiones manuales de las aplicaciones de terceros que están disponibles en sus mercados de aplicaciones, comúnmente llamados "markets" o "stores".
También existen mecanismos de denuncia por parte de los usuarios que crean haber experimentado problemas de seguridad/privacidad para llamar la atención a los dueños de las plataformas respecto a una determinada aplicación, a fin de que sea revisada de forma más detallada si es necesario.
3- Mitigación
Si nuestros procedimientos rutinarios y/o herramientas detectan una amenaza, o el análisis de la información que estas nos proporciona así lo sugiere, entra en juego el conjunto de técnicas, herramientas, o incluso el diseño arquitectónico que se haya realizado con el fin de mitigar una amenaza.
Normalmente también se incluyen en este apartado las técnicas que permiten recuperar datos perdidos o sistemas dañados tras la amenaza, aunque no se aplican inmediatamente sino cuando esta ha sido erradicada.
Algunos mecanismos para mitigar las consecuencias de una amenaza pueden ser tan simples como tener una correcta política de backups que se realizan periódicamente y que se guardan en lugar seguro.
Cambiar las contraseñas al identificar una amenaza también podría considerarse un mecanismo de mitigación. En algunos tipos de amenazas, tales como el robo de contraseñas mediante phishing, resulta imprescindible realizar este tipo de tareas.
En el caso de redes de ordenadores en entornos corporativos, la arquitectura de seguridad juega un papel importante, ya que, si los diferentes ordenadores de una red están convenientemente aislados entre sí, una amenaza que impacta contra uno de ellos tiene menos posibilidades de expandirse e incrementar los daños.
En el caso de terminales móviles, un mecanismo de seguridad que está constantemente en funcionamiento y que está pensado como contingencia es el llamado sandboxing, una tecnología que mantiene separados y supervisados los diferentes procesos que se ejecutan en el terminal, y que trata de impedir y limitar cualquier operación potencialmente maliciosa que intente realizar un software, partiendo de la premisa de que ya se ha instalado en nuestros sistemas y que, de momento, no podemos hacer otra cosa hasta que se haga posible su eliminación.
4- Eliminación
La eliminación de amenazas es el paso lógico y el objetivo primordial de un gestor de seguridad en el momento en que esta ha sido detectada.
La eliminación comprendería acciones como dar la orden a un antivirus de intentar extraer elmalware de nuestro sistema, el cierre de un servicio o desinstalación de un software que tiene vulnerabilidades para las que no se conoce una solución todavía.
5- Anticipación
Si bien este último punto no siempre se contempla en las políticas y en las estrategias de seguridad de la información de una empresa u organización, resulta cada vez más interesante y necesario prestar atención a este punto porque, ya sea por activa o por pasiva, está presente en las herramientas y soluciones de seguridad.
Existen empresas y organizaciones dedicadas a la investigación y desarrollo de nuevas tecnologías para la lucha contra las amenazas de seguridad digital, y para la investigación activa de nuevas amenazas, a fin de que puedan ser identificadas, analizadas, comprendidas y mitigadas lo antes posible.
La mayoría son laboratorios antivirus y empresas de seguridad, pero también existen instituciones y centros tecnológicos dedicados a la investigación pura.
El conocimiento generado por estas organizaciones es el que permite posteriormente a las empresas disponer de más y mejores medios para luchar contra estas amenazas, bien sea adquiriendo soluciones de software o hardware específicas que están basadas en este conocimiento, definiciones nuevas y constantes en sus sistemas antivirus, etc.
En grandes corporaciones como las bancarias es frecuente encontrar a sus propios grupos de investigadores de seguridad dedicados exclusivamente a encontrar las amenazas de malware, phishing, etc., que potencialmente puedan causar daños al negocio bancario antes de que estas puedan afectarles, o por lo menos minimizando el tiempo de respuesta y evitando que impacten sobre grandes cantidades de usuarios.
Información extraída del Máster en "Ciberseguridad" desarrollado por Deloitte
Jose Maria Acuña Morgado - Desarrollador Web