La importancia de las operaciones de seguridad
Esta semana leí en El País la noticia de que “Una ‘potencia extranjera’ atacó los ordenadores de Defensa”. Mi primera reacción al ver el titular fue un poco MEH ya que estas cosas pasan a diario.
Y por supuesto es una “potencia extranjera” ya que el ataque es “super sofisticado”, <sarcasm>porque si no fuera sofisticado no nos habría pasado. Por definición.</sarcasm>
La noticia ya había salido unos días antes en varios sitios, incluyendo la propia web del Ministerio, con una parquedad de detalles encomiable.
Lo que más me llamó la atención es algo mencionado en la noticia de El País.
La investigación sobre el ciberataque sufrido por Defensa aún no ha terminado, pero a medida que avanza, según fuentes del ministerio, se tienen ya algunas ideas claras: es mucho más grave de lo que inicialmente se pensó y se descarta al 90% que la intrusión procediera de dentro; es decir, de alguno de los operadores de la red de propósito general (WAN PG). Una cabo del Centro de Sistemas y Tecnologías de la Información y las Telecomunicaciones (Cestic) descubrió esa intromisión, pero el virus llevaba muchos meses (más de un trimestre, como al principio se creyó) infectando la red del Ministerio de Defensa sin que nadie lo advirtiese.
De momento, y basándonos solamente en la información aparecida en la prensa, sabemos que es un incidente de malware y que llevaba “muchos meses”. Lo de la sofisticación y la potencia extranjera vamos a dejarlo aparte, de momento.
“Más de un trimestre” es mucho. Muchísimo. Da igual que la red fuera “no clasificada”. En un trimestre da tiempo a muchas acciones del adversario, y si de verdad es una “potencia extranjera”, deberíamos estar preocupados.
Es cierto que este “dwell time” está por debajo de la media, de acuerdo con este informe de FireEye en 2018.
Que la media del “dwell time”, es decir, el tiempo que pasa desde el inicio del incidente hasta su detección esté en 175 días en Europa en 2017 (y valores parecidos para 2018 también según FireEye) es preocupante.
Aquí tenemos otro punto de vista, esta vez de mano del estupendo Data Breach Investigations Report de Verizon de 2018.
Es decir, mientras la gran mayoría de incidentes tiene lugar en minutos, más de dos tercios de ellos tardan en ser detectados en un periodo que se mide en meses.
Esto significa que el impacto es máximo, según este estudio de Aberdeen Group en 2016. Por encima de 60 días, todo el daño que se puede hacer está hecho.
Ese impacto puede tener muchas formas, desde capacidad de destruir aplicaciones, sistemas y redes, hasta robar (o manipular) datos, extenderse a otras redes interconectadas, etc.
Volviendo a la noticia en El País.
Una cabo del Centro de Sistemas y Tecnologías de la Información y las Telecomunicaciones (Cestic) descubrió esa intromisión, pero el virus llevaba muchos meses.
Este tipo de incidentes, cuando se detectan varios meses después, se detectan por dos causas principales:
- Por terceros. Es decir, alguien externo a tu organización tiene alguna indicación de que tienes un problema. Seguramente porque sean mejores que tú detectando incidentes y el problema ha intentado propagarse de tu red a la suya.
- Por casualidad. Alguien se encuentra con el problema mientras investiga otra cosa. Por ejemplo estás investigando un problema de replicación entre Domain Controllers y descubres malware en memoria. O algo de pronto te hace sospechar e investigas.
Si queremos proteger nuestros datos, sistemas, instituciones, etc. no podemos confiar en niguno de estos dos métodos como “primera línea”.
Es necesario reducir la superficie de ataque, para prevenir incidentes. Esto se consigue modelando las amenazas, diseñando sistemas y aplicaciones con la seguridad como requisito fundamental, y poniendo a prueba estos sistemas y aplicaciones a simulaciones de ataques y pruebas de intrusión varias. Y aplicando las actualizaciones de seguridad en el menor tiempo posible.
Pero todos sabemos que la prevención perfecta es imposible. Los incidentes seguirán ocurriendo. Es por tanto necesario reducir el tiempo que pasa entre el inicio del incidente y su detección, con objeto de reducir el posible impacto negativo. Esto se consigue mediante la correcta instrumentación y monitorización de aplicaciones, sistemas y redes.
Y además es necesario reducir el tiempo entre la detección y la contención o eliminación de la amenaza, para reducir el impacto y el coste de la respuesta al incidente. Si la instrumentación de aplicaciones, sistemas y redes es la correcta, y tenemos buenas fuentes de “inteligencia de amenazas”, nos proporcionarán los medios necesarios para hacer una respuesta al incidente de forma eficaz y eficiente.
Este último punto es clave, y sólo se puede hacer correctamente si tenemos un plan de respuesta a incidentes. Y el plan se debe poner a prueba periódicamente. Tener un plan de respuesta que nadie conoce, que nadie actualiza y que nadie practica, es como no tener ningún plan.
El Gobierno ha aprobado (hace seis semanas) la creación de un Centro de Operaciones de Ciberseguridad para la Administración General del Estado. Un centro de operaciones de este tipo debería combinar tecnología, equipos especializados y procesos para prevenir, detectar y responder a incidentes de seguridad.
Vamos un poco tarde y habrá que ver cómo se implementa, pero no es de recibo que un Ministerio de Defensa encuentre una infección de malware a los tres meses.
