ISACA Journal
Volume 6, 2,014 

Translated Articles 

Cómo la seguridad de la red de confianza cero puede permitir la recuperación frente a ataques cibernéticos 

Eric A. Beck 

Los gerentes de riesgo corporativo y los profesionales de seguridad comprenden que el riesgo no es un problema que se puede resolver, sino un proceso que se debe gestionar. Por eso, buscan constantemente nuevos métodos y herramientas para su mitigación, en un juego del “gato y el ratón”, a fin de mantenerse a la altura de la evolución de las amenazas que atentan contra su capacidad de manejarlas. Hoy en día, dentro del ámbito de la seguridad cibernética, un ataque con software malicioso es una de esas amenazas.

A fines del año pasado, se conocieron informes de violaciones de datos en Target, Neiman Marcus y otras organizaciones, lo que puso a la seguridad cibernética en el centro de los debates de los directorios corporativos, altos ejecutivos y agencias gubernamentales. Se cree que incidentes como estos, que tienen como blanco los sistemas de punto de venta de tiendas minoristas, son el resultado de ataques a partir de amenazas persistentes avanzadas (APT). Los ataques de APT por lo general son planificados y ejecutados por hackers pacientes a lo largo de períodos prolongados, con la intención de robar o destruir datos específicos (por ejemplo, los números de tarjeta de crédito de los clientes). Es posible que estos ataques permanezcan latentes y no se identifiquen mientras esparcen la infección y que recién salgan a la luz semanas o meses después de la violación inicial de la red. Las APT muchas veces comienzan con un ataque de fuerza bruta destinado a robar la ID y contraseña de un usuario privilegiado, o con intentos de engañar a un empleado con acceso privilegiado al sistema para que abra un mensaje de correo electrónico con contenido viral. Cuando se abre este contenido viral, la infección puede capturar la ID de usuario y la contraseña del empleado, o acceder a los sistemas de información de la organización para obtener datos confidenciales o dañar sus sistemas informáticos.

Las amenazas cibernéticas no ocurren exclusivamente en los Estados Unidos. En agosto de 2012, Saudi Aramco y la empresa de Qatar RasGas anunciaron que habían sido víctimas del ataque de un hacker a través de lo que luego se dio a conocer como el virus Shamoon. El ataque de este virus concluyó con la extracción de datos confidenciales y la posterior destrucción de miles de computadoras de los usuarios en cada empresa. Muchos especialistas creen que el virus Shamoon fue introducido en las redes corporativas de estas empresas por un empleado resentido u otra persona interna a través de una unidad USB insertada en el servidor de una computadora desde el centro de datos de cada organización.

Independientemente del método por el que se produzca la infección con software malicioso, las consecuencias del ataque cibernético pueden ser significativas, tanto en términos económicos como del impacto para la imagen de la empresa. Debido a que es esperable que estos hechos aumenten en los próximos años, es importante analizar los aspectos fundamentales de la gestión de riesgos y preguntarse si la organización reconoce y responde de manera eficaz a la amenaza de los ataques cibernéticos.

Gestión Holística del Riesgo Cibernético

Los tres aspectos fundamentales de la gestión de riesgos, en su nivel más fundamental, se mantienen constantes cuando se aplican a las posibles amenazas, incluidos los ataques cibernéticos. Estos principios incluyen el evitar el riesgo, la recuperación operacional y la transferencia del riesgo. El modo en que la dirección elija equilibrar esta inversión de capital limitado de riesgo entre los tres aspectos dependerá de varios factores. Sin duda, uno de estos factores es si existe un control viable y eficaz en términos de costos para mitigar un componente específico de riesgo. Por ejemplo, por ahora, nadie ha diseñado un control eficaz en términos de costos para evitar un riesgo destinado a mitigar las secuelas de una bomba explosiva. No obstante, la inversión en la recuperación operacional puede reubicar los recursos críticos, tanto comerciales como de TI, a otra localización geográfica lo suficientemente distante del lugar atacado como para permitir la continuidad de los negocios.

Figura 1En lo que respecta a los ataques cibernéticos, la mayoría de las organizaciones ha asignado su capital de riesgo a los controles preventivos para evitar las amenazas. Las soluciones puntuales, como los firewalls heredados, los dispositivos de protección ante intrusiones, las redes privadas virtuales (VPN) y el escaneo con antivirus, reflejan algunos de los controles utilizados por las empresas para defenderse de este tipo de ataques. Además, un estudio de Experian realizado en agosto de 2013 informó que el 31% de las empresas habían adquirido algún tipo de seguro ante ataques cibernéticos, la forma más habitual de transferir el riesgo1. Sin embargo, al consultar la literatura actual relacionada con la recuperación operacional ante los ataques cibernéticos, se observa que hay poco material sobre el tema. Una de las principales razones es que actualmente existen pocos controles o contramedidas en el mercado diseñados específicamente para la recuperación ante desastres cibernéticos. Esto se aplica en particular a las amenazas cibernéticas que pueden permanecer latentes y no detectarse en una red, pero que tienen la capacidad de afectar la integridad de los respaldos tradicionales de recuperación ante desastres.

Entonces, ¿cómo podemos asegurarnos de que una empresa esté preparada adecuadamente para reconstruir y recuperar sus sistemas de información y sus datos críticos luego de un ataque cibernético exitoso? Una respuesta es Cyber DRaaS™ (ver la figura 1), una arquitectura de referencia de TI de dominio público para la Recuperación ante desastres como servicio (DRaaS) que pueden implementar las organizaciones como inversión en recuperación ante desastres.

Cyber DRaaS - Una Arquitectura de Referencia Para la Recuperación Ante Desastres

Cyber DRaaS tiene dos componentes que se combinan para permitir la recuperación cibernética en una organización:

  • Infraestructura de Cyber DRaaS en la nube - Cyber DRaaS integra la próxima generación de la tecnología de firewall (NGF) con los servicios de respaldo de datos basados en la nube para crear, retener y proteger las copias confiables de respaldo de imágenes. Las imágenes confiables representan copias de respaldo de nivel básico que se utilizarán para recuperar servidores y datos críticos ante las secuelas de un ataque cibernético exitoso. La integridad de las imágenes confiables se asegura mediante una combinación de encriptación de extremo a extremo durante el respaldo de los datos, el escaneo avanzado de alto desempeño del software malicioso, herramientas de análisis de conductas basadas en la red que detectan software malicioso y controles de integridad de los datos en la nube de almacenamiento.
  • Planificación de respuesta ante eventos informáticos mediante Cyber DRaaS - Cyber DRaaS requiere una planificación cuidadosa para permitir una respuesta competente frente a un ataque cibernético. Una eficaz planificación de contingencias en el caso de ataques cibernéticos, complementa la inversión en la infraestructura de Cyber DRaaS al ofrecer una preparación en la organización compatible con el equipo de respuesta a eventos informáticos (CERT). Esto incluye un conjunto personalizado de procesos y procedimientos tácticos destinados a identificar y responder a los ataques cibernéticos.

Los dos componentes de Cyber DRaaS se combinan para ofrecer una capacidad de recuperación viable y efectiva ante daños causados por los ataques cibernéticos en los sistemas de información críticos.

Los beneficios de Cyber DRaaS son significativos al compararlos con los que ofrecen las estrategias tradicionales de recuperación ante desastres. Tales beneficios incluyen:

Figura 2
  • Cyber DRaaS incorpora NGF, una tecnología de seguridad de redes disruptiva que bloquea el acceso inseguro a nivel de puertos, al tiempo que permite una mejor autenticación y seguridad para la autorización a nivel de aplicación y de ID de usuario.
  • La arquitectura de Cyber DRaaS incluye opciones de desarrollo flexibles que incluyen la implementación en fases con una red de muralla/foso (fortress/moat) o como parte de una red de confianza cero completamente implementada.
  • Las protecciones de seguridad mejoradas de Cyber DRaaS permiten que una organización establezca conectividad en tiempo real entre la red de producción y la nube de respaldo de Cyber DRaaS. Como tal, representa una alternativa a las soluciones de muro de aire (air-gap) tradicionales que establecen muchas organizaciones para separar físicamente una red de producción, de las copias de respaldo de imágenes confiables fuera de línea.
  • Cyber DRaaS reduce el tiempo necesario para recuperarse de un ataque cibernético al simplificar el proceso de recuperación y facilitar el reconocimiento temprano de la ocurrencia de un ataque.
  • Cyber DRaaS ofrece una alternativa sumamente segura a las arquitecturas tradicionales de respaldo de datos que puede convertirse en el modelo de soluciones de próxima generación para el respaldo en la recuperación ante desastres de producción.
  • En el caso de los ejecutivos y directores, la inversión en Cyber DRaaS demuestra claramente la diligencia debida en la mitigación de la creciente amenaza de ataques cibernéticos y así, limita la responsabilidad potencial ante juicios derivados de los accionistas.

NGF es uno de varios componentes críticos de Cyber DRaaS (ver figura 2), porque representa una tecnología disruptiva en la arquitectura de redes, que se ha descrito como un firewall potenciado con esteroides. La razón es que el NGF integra soluciones comunes de punto de seguridad de redes, como el acceso remoto, la protección ante intrusiones, la autenticación de tokens y el escaneo profundo de paquetes, en un único dispositivo de alto desempeño (consulte la figura 3). El NGF también ofrece funciones de control de acceso más sólidas que la generación actual de firewalls basados en puertos, debido a que la autorización se produce a nivel de la aplicación y del usuario, al mismo tiempo bloqueando todo acceso a nivel de puertos. Por el NGF, que combina tanto la autenticación como la autorización, ninguna de las cuales ofrece suficiente protección por sí sola, elimina virtualmente la probabilidad de una intrusión no autorizada en la nube de Cyber DRaaS que pueda corromper las copias de respaldo de imágenes confiadas.

Figura 3

Cyber DRaaS también incorpora dos servicios de nube proporcionados por proveedores. El primer servicio basado en la nube incluye funciones de respaldo y restauración automatizadas, que ofrecen la encriptación de extremo a extremo de los datos del servidor fuente a la nube de almacenamiento de destino. Los datos de respaldo se escanean para detectar señales de software malicioso cuando atraviesan el NGF, primero a través de la desencriptación de los datos para validar su contenido y luego re-encriptándolos antes de su transmisión a la nube. La integridad de los datos almacenados en la nube también se verifica en forma periódica mediante los totales de hashes u otros algoritmos. Las organizaciones deben consultar a su proveedor de servicios en la nube seleccionado para comprender las opciones de servicio que ofrece en términos de frecuencia de los controles de integridad, algoritmos de hashing específicos usados y alternativas de encriptación.

El segundo servicio en la nube incluye la heurística conductual utilizada por el NGF contra todo el tráfico de datos para identificar el software malicioso sospechoso y desconocido, que luego se redirige y se separa en un espacio aislado basado en la nube. Una vez aislado, el software malicioso se puede analizar aún más para definir su firma. Cada contenido nuevo identificado se redistribuye automáticamente hacia la base de datos de contenido malicioso del NGF y, así, asegura que los perfiles de escaneo estén actualizados a medida que se identifican nuevas amenazas.

Cyber DRaaS en Una Red de Confianza Cero

Las organizaciones que buscan una arquitectura de resiliencia cibernética más avanzada deberían considerar la implementación de Cyber DRaaS, en lo que John Kindervag, de Forrester Research, ha llamado una red de confianza cero (consulte la figura 4). La arquitectura de confianza cero reemplaza el modelo de muralla/foso, formado por un nivel central, uno de distribución y otro de acceso, con una arquitectura alternativa que refleja un diseño de centro y conexiones. La confianza cero coloca un clúster de NGF de alto desempeño en el centro de la red, que funciona como centro de distribución del tráfico de datos, y segmenta la red en grupos de trabajo aislados. La confianza cero también asume que todo el tráfico de datos de la red no es confiable. Por lo tanto, todo el tráfico se debe escanear para identificar código malicioso y luego debe ser autorizado por el NGF según una regla predeterminada, antes de permitirle ingresar a la red dentro de un grupo de trabajo. Como tal, Cyber DRaaS se puede implementar fácilmente bajo su propia zona de seguridad dentro de la arquitectura de redes de confianza cero, para permitir la recuperación segura frente a cualquier ataque cibernético potencial.

Figura 4

La adopción del NGF y la implementación de una arquitectura de redes de confianza cero aún está dando sus primeros pasos, y muchas empresas mantienen el compromiso con sus inversiones actuales en defensa de redes basadas en murallas/fosos y en sus soluciones de seguridad puntuales. La mayoría de las empresas que han implementado el NGF lo han hecho en forma limitada, en torno a aplicaciones muy críticas, como el cumplimiento de la Norma de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) o para proteger las bases de datos de clientes críticos. Este tipo de implementación limitada ejemplifica precisamente cómo se puede implementar Cyber DRaaS en una red basada en muralla/foso para proteger las imágenes confiables. No obstante, a medida que aumenta la frecuencia y la complejidad de los ataques cibernéticos, es posible que las organizaciones perciban los beneficios de la implementación de un modelo de red de confianza cero en toda la empresa, y que amplíen su uso para construir una red de datos más resiliente.

Conclusión

Cyber DRaaS no refleja una arquitectura teórica futura para la recuperación ante desastres cibernéticos, sino una solución que se puede implementar en la actualidad con la tecnología existente y mediante una planificación adecuada. Por lo tanto, los gerentes que busquen una estrategia que asegure el cumplimiento de los requisitos del marco de seguridad cibernética del Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos en términos de respuesta y recuperación, o que estén más preocupados en general por cómo pueden mitigar el riesgo cibernético deberían considerar seriamente la herramienta Cyber DRaaS. Al implementar Cyber DRaaS, la gerencia tendrá las herramientas necesarias para responder de manera proactiva ante las amenazas cibernéticas antes de que se produzcan, y recuperar datos y sistemas de información críticos de los ataques cibernéticos una vez que ocurran.

Notas Finales

1 “Managing Cyber Security as a Business Risk: Cyber Insurance in the Digital Age”, Ponemon Institute, agosto de 2013, patrocinado por Experian® Data Breach Resolution, www.experian.com/innovation/business-resources/ponemon-study-managing-cyber-security-as-business-risk.jsp?ecd_dbres_cyber_insurance_study_ponemon_referral

Eric A. Beck es cofundador y Director de Risk Masters Inc., una consultora especializada en servicios de gestión de riesgos. Beck tiene más de 25 años de experiencia en el área de continuidad de los negocios y recuperación ante desastres de TI con una amplia diversidad de clientes e industrias. Antes de fundar Risk Masters, Beck dirigió el área de gestión de continuidad de los negocios (BCM, por la sigla en inglés) de Protiviti en la región noreste de Estados Unidos, en calidad de Subdirector. Beck también integró la práctica de BCM de servicios de riesgo empresarial y el equipo de liderazgo global de BCM de Deloitte & Touche. Toda persona interesada puede enviarle un mensaje a erbeck@riskmastersinc.com.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.