Incidentes de seguridad. Factor interno vs factor externo

Hola,

Hace unos días estuve leyendo a un interesante artículo en Pc World, en el que se plantean cifras que tienen que ver con uno de los axiomas de la seguridad más extendidos, aquel que postula que la mayoría de los ataques de seguridad a infraestructuras de TI los provocan atacantes internos.

absolut hacker

El artículo ofrece una visión global de los incidentes, en los que no sólo se habla de porcentajes de ataques externos vs internos, sino que también recoge una ponderación en función al impacto. Los datos proceden de un estudio de Verizon, llamado Verizon’s 2008 Data Breach Investigations Report (descarga directa), en el que se han estudiado 500 incidentes de seguridad relacionados con el compromiso masivo de datos, y sus correspondientes análisis forenses, durante un período de cuatro años. Las cifras se pueden resumir en las siguientes:

* Los atacantes externos protagonizaron el mayor número de incidentes (73%), pero con los menores impactos: 30.000 registros comprometidos.
* Los atacantes internos protagonizaron sólo el 18%, pero por el contrario, provocaron el mayor impacto: 375.000 registros comprometidos
* Importante dato a tener en cuenta: En el 39% de los eventos, los partners y otros terceros estuvieron involucrados, siendo el volumen de registros comprometidos en estos casos de 187.500.

Causas de los ataques

* El 62% de los incidentes son atribuíbles a errores de gestión en la seguridad significativos
* El 59% de los incidentes tuvieron éxito como consecuencia de actividades de hacking
* El 31% de los incidentes incorporaron código malicioso
* El 22% de los incidentes guardaron relación con explotación de vulnerabilidades
* El 15% de los incidentes tuvieron como motor una amenaza a la seguridad física

Otros datos significativos

* 3 de cada 4 incidentes no fueron descubiertos por las víctimas
* La mayoría de los ataques no eran sofisticados
* El 85% de los objetivos son oportunísticos, y no dirigidos
* El 87% de los incidentes podría haber sido prevenido mediante aplicación de medidas de seguridad

Mis conclusiones

1. La mayoría de los incidentes son evitables. La prevención, dirigida adecuadamente por una gestión de seguridad eficiente, es un factor fundamental que las organizaciones deben tener en cuenta inexcusablemente.

2. Para mí, los problemas más serios suelen proceder de ataques internos. Esto no quiere decir que los ataques externos no sean importantes, pero los mayores impactos suelen ser los que provocan, como no podía ser de otro modo, aquellos atacantes que juegan con ventaja, por conocer y estar dentro. Adicionalmente, hay ataques que sólo son explotables desde el interior, bien por condicionantes de seguridad física, bien por la segmentación y las comunicaciones de las redes.

3. La monitorización es fundamental, y sin una buena monitorización, se logran cifras tan dramáticas como las del informe: el 75% de los incidentes no fueron descubiertos por las víctimas.

4. Cada cual es libre de invertir donde quiera, y habrá infraestructuras donde los puntos críticos estén en el perímetro, y empresas donde los puntos críticos están fuera del alcance de atacantes externos. No obstante, a la vista de las cifras, quizás va siendo hora de ir cambiando progresivamente el chip, y reconocer que las fuentes habituales de riesgo de más alto impacto suelen estar en el interior de las organizaciones, así como en los terceros que les prestan servicios. ¿Seguimos dedicando dinero sólo a los test de penetración y análisis perimetrales?

5. Los nuevos enfoques de seguridad requieren, por parte de quienes los ejecutan, un conocimiento máximo del modelo de negocio (para no recomendar acciones de mejora que no aporten valor, o que excedan los ROI) y un conocimiento muy especializado de los sistemas empresariales que se van a auditar. Si las principales y más dramáticas fuentes de riesgo están dentro, o en los terceros, hay que conocer bien cómo trabaja la empresa, y tener muy claro cómo se apoya el modelo de negocio en los sistemas. Mirar un servidor Web o un firewall de modo aislado no sirve de nada. La auditoría moderna tiene que evitar estudiar elementos aislados, y tiene que cubrir todos los puntos de un modo paralelo al modelo de explotación empresarial: si estamos auditando los procesos de contratación de una compañía de seguros, hay que auditar el proceso de contratación completo. Si miramos sólo el servidor de la clientela, o los firewall que dan servicio a la conectividad de los agentes de la compañía, estamos haciendo un trabajo incompleto y del que es imposible extraer conclusiones sobre riesgos e impactos reales. Pasar por alto estas consideraciones provoca cifras como las del informe: Las víctimas desconocían la presencia en los sistemas del 66% del total del volumen de datos comprometidos en los incidentes estudiados.

6. Lo expuesto en el punto 5 lleva inexorablemente a pensar en la necesidad de especialización de los profesionales de seguridad. Si queremos que un análisis esté alineado a un proceso o procesos de explotación empresarial, aquellos que vayan a analizar los sistemas tienen que conocer a fondo el funcionamiento de la empresa. De lo contrario, es imposible que identifiquen los puntos críticos adecuadamente, sencillamente porque el modelo de análisis de elementos aislados, que puede ser ejecutado por profesionales sin especialización en los procesos empresariales (el servidor Apache, per se, de una fábrica de coches es igual que el de una planta nuclear), es obsoleto, incompleto y debe ser considerado únicamente como complemento a los análisis de procesos completos. En nuestro ejemplo, si hemos revisado completamente el proceso de compras de la empresa aseguradora, y queremos después analizar un directorio activo de modo aislado, porque pueda representar riesgos colaterales, adelante, pero si nos dedicamos a mirar elementos aislados, a duras penas denunciaremos todos los riesgos adecuadamente, porque los riesgos más problemáticos suelen ser siempre los resultantes de la combinación de riesgos aislados, que se integran y pueden explotar siguiendo una cadena alineada con el proceso empresarial en estudio.

Un saludo, y buen fin de semana :)

2 comentarios sobre “Incidentes de seguridad. Factor interno vs factor externo

  1. Interesantes y muy esclarecedoras las estadísticas. Es cierto que todos los que nos dedicamos a este mundillo de las Comunicaciones y las Redes prestamos más atención a la seguridad perimetral de la organización cuando, por poner un ejemplo, se dan certificados VPN a mansalva y sin seguir un criterio fijo. Obviamente, el daño que puede hacerte alguien en tu casa cuando ya está dentro es mucho más grande que si tiene que sortear la puerta.

  2. Muy interesantes las estadísticas; pero más interesantes son tus comentarios…. ;-)

    Lo que no veo aún es, en la práctica, quien como figura cliente, te pueda describir el «modelo de negocio», globalmente, con mapa de procesos / personas / sistemas / relaciones externas.

    No sé que te apetecería contar como auditor; habrá decenas de historias interesante, según el tipo y tamaño de compañía.

    Un abrazo!

Comentarios cerrados.