El costado cambiante de los ataques cibernéticos: Cómo comprender y prevenir las infracciones de seguridad internas y externas
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
REPORTE OFICIAL
PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS | Junio de 2013
El costado
cambiante de
los ataques
cibernéticos:
Cómo comprender y prevenir las infracciones
de seguridad internas y externas
Russell Miller
CA Security Management
agility
made possible™PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
Tabla de contenidos
Resumen 3
Sección 1: Desafío 4
Las ciberamenazas externas cambian rápidamente
Sección 2: Oportunidad 7
El punto vulnerable de las organizaciones
Sección 3: 12
Conclusiones
Sección 4: 12
Referencias
Sección 5: 13
Sobre el autor
2PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
Resumen
El número total
de registros con
Desafío
información Las técnicas para atacar redes informáticas nunca son estáticas. Los métodos y las herramientas evolucionan,
personal al igual que los atacantes. El panorama del atacante de hace unos años, donde algunas personas o grupos
confidencial pequeños atacaban organizaciones por diversión o para obtener ganancias, ya no existe. Hoy, el entorno es
involucrados mucho más complejo. Grupos de “hacktivistas”, como Anonymous y LulzSec, intentan provocar daños en
en casos de nombre de causas que para ellos son valiosas. Aun los actores patrocinados por el estado cobran importancia,
infracciones de ya que se ponen en juego recursos significativamente ampliados. Las amenazas persistentes avanzadas (APT)
seguridad en los quizás no son nuevas, pero han pasado al primer plano de la ciberseguridad a consecuencia de estos cambios.
Estados Unidos es Las amenazas internas también son cada vez más complejas ya que traen aparejadas el potencial de aumentar el
de 607 611 003 en daño debido a los almacenes de información confidencial en rápida expansión y a los entornos de TI altamente
3 716 violaciones dinámicos y virtualizados.
a la información
ocurridas entre
enero de 2005 y
abril de 2013. Oportunidad
- A Chronology of Data
Breaches (Cronología Afortunadamente, la caja de herramientas que posee una organización para defenderse contra las infracciones
de infracciones de de seguridad es más completa que nunca. Más allá de las herramientas perimetrales y de las soluciones de
seguridad), Privacy detección, como los cortafuegos y los sistemas de detección de intrusiones, los expertos en ciberseguridad
Rights Clearinghouse
pueden proteger sus sistemas y datos desde adentro hacia afuera. Los datos se pueden detectar, clasificar y
controlar automáticamente con tecnologías modernas de prevención de la filtración de datos. Las identidades
que se necesitan para acceder a los datos y a los sistemas principales (en especial las identidades con
“Dado que los
privilegios), se pueden administrar y monitorear cuidadosamente. Con un enfoque a la seguridad centrado
ciberdelincuentes
en las identidades y en los datos, las organizaciones pueden superar el desafío de las amenazas en
se han vuelto
constante evolución.
más habilidosos
y sofisticados,
erosionaron la
eficacia de los
controles de Beneficios
seguridad Las organizaciones que reducen correctamente las probabilidades de una infracción de seguridad no solo
tradicionales, protegen sus datos, sino que también protegen su marca y se evitan costosas multas y demandas judiciales.
basados en el Además, las organizaciones que cuentan con un programa de seguridad extenso pueden ahorrar dinero mediante
perímetro”1. la simplificación de las auditorías, y pueden concentrar sus esfuerzos en la innovación, en lugar de preocuparse
– Forrester Research, Inc. constantemente acerca de los ataques devastadores.
3PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
“APT1 ha robado Sección 1: Desafío
sistemáticamente
cientos de Las ciberamenazas externas cambian rápidamente
terabytes de datos
Resulta tentador pensar en los ciberataques como una amenaza siempre presente, pero que no se modifica.
a, al menos, 141
Aunque las personas aisladas, los grupos pequeños y la delincuencia organizada siguen siendo actores
organizaciones y
importantes, ya no representan la única amenaza para una organización. Por el contrario, los perfiles de los
demostró la
atacantes se han modificado y las nuevas metas y fuentes de motivación han alterado fundamentalmente
capacidad y la
la naturaleza del panorama de las amenazas. Entre las tendencias que impulsan este cambio se incluyen
intención de robar
las siguientes:
a decenas de
organizaciones La militarización de los ciberataques. Ahora las penetraciones en la red para ocasionar daños y robar propiedad
simultáneamente”. intelectual, por lo general, son patrocinadas por los estados, con atacantes altamente capacitados, disciplinados
– Mandiant y pacientes. Los atacantes militares pueden tener acceso a los recursos tales como la capacitación, la capacidad
informática y la Investigación y desarrollo de vanguardia, que la generación anterior de atacantes no tenía
disponible. Entre sus objetivos suelen incluirse infraestructuras de vital importancia para la captura de propiedad
intelectual extranjera. Reportes recientes llegan, incluso, a identificar una unidad militar específica como el
origen de una gran cantidad de ciberataques.
La firma de ciberseguridad Mandiant publicó un reporte en febrero de 2013 titulado “APT1: Exposing One of
China’s Cyber Espionage Units”(APT1: Exposición de una de las unidades de ciberespionaje de China). 2 En este
reporte se detallan las acciones del grupo APT1 con base en China, que es una unidad que Mandiant identificó
como la Oficina N.° 2 del Departamento Tercero del Departamento General de Personal (GSD) del Ejército Popular
Operación AntiSec de Liberación (PLA), más comúnmente conocida por la Unidad Militar de Designación de Cobertura (MUCD) como
Una acción conjunta la Unidad 61398.
emprendida por El ascenso del “hacktivismo”. Frecuentemente, grupos, como Anonymous, atacan las organizaciones en nombre
los grupos LulzSec, de causas sociales y buscan generar un daño considerable a las finanzas y la reputación de una organización
Anonymous y otros, objetivo. Los hacktivistas dirigen sus ataques a entidades que abarcan desde MasterCard y Visa, hasta el
esta operación de Departamento de Justicia de los Estados Unidos, la Iglesia de la Cienciología, el estado egipcio y el Banco Mundial.
piratería informática
de enormes Los ataques nuevos y sofisticados se suelen denominar Amenazas persistentes avanzadas, un término,
dimensiones apuntó a menudo, ridiculizado, pero que hoy ha sido adoptado de forma generalizada. Independientemente del nombre
a varias empresas que se atribuya a estos ataques, estos poseen cualidades únicas que los hacen más difíciles de repeler:
y organismos • Personas pacientes que pueden esperar hasta que se revelen nuevas vulnerabilidades o hasta poder combinar
gubernamentales, debilidades aparentemente menores en un ataque a gran escala y perjudicial.
desde el
Departamento de • Un equipo especializado, patrocinado por el estado, no se sentirá disuadido de apuntar a una organización
Seguridad Pública sencillamente porque tiene una seguridad más sólida que otras empresas similares.
de Arizona hasta el • Una Amenaza persistente avanzada puede desplegarse de una manera muy ajustada y premeditada, lo que le
periódico británico permitirá evadir hasta los cortafuegos y los sistemas de detección de intrusiones mejor configurados.
The Sun y la cuenta
de Twitter de Empresas, como RSA Security, Google o Northrup Grumman, se han encontrado siendo blancos de estos
Fox News. ataques selectivos.
4PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
El fraude interno es
un hecho habitual.
Amenazas internas
En promedio, la Los usuarios internos representan un gran riesgo, debido al daño que pueden ocasionar por acciones
organizaciones malintencionadas o involuntarias. El riesgo más peligroso de una organización lo constituyen sus usuarios con
tuvieron privilegios. Por lo general, estos administradores tienen los privilegios para realizar prácticamente cualquier
aproximadamente operación en sistemas clave, y los usuarios suelen tener acumulados más derechos de los que necesitan para
55 incidentes de su función laboral actual.
fraude relacionados
Las amenazas internas no son todas iguales. Existen tres tipos de amenazas internas: usuarios internos
con empleados
malintencionados que roban información o causan daños deliberadamente; usuarios internos que, sin darse
en los últimos
cuenta, son explotados por partes externas, y usuarios internos que son descuidados y cometen errores
12 meses3.
no intencionados.
–The Ponemon Institute
• Los usuarios internos malintencionados son el tipo menos frecuente, pero tienen el potencial de ocasionar
daños considerables por su capacidad de acceso interno. Los administradores que tienen identidades con
privilegios son particularmente riesgosos. De acuerdo con Ponemon Institute, “las violaciones a la información
que son consecuencia de ataques malintencionados son las más costosas”3.
• Los usuarios internos explotados pueden ser “engañados” por partes externas para proporcionar datos
Alrededor del o contraseñas que no deberían compartir.
65 % de los • Por último, un usuario interno descuidado puede simplemente presionar la tecla equivocada y borrar
empleados que o modificar información esencial de manera no intencional.
cometen robos de
IP internos ya han Muchas infracciones de seguridad provocadas por usuarios internos no salen nunca a la luz. Las organizaciones
aceptado empleos prefieren dejar estas infracciones en el ámbito privado para evitar los daños a la reputación y las posibles
en una empresa inquietudes de los clientes respecto de su seguridad. No obstante, numerosas infracciones internas muy dañinas
de la competencia, se han revelado, tanto de modo público como anónimo.
o han comenzado
El potencial para el daño provocado por las amenazas internas aumentó recientemente gracias a las enormes
su propia empresa
cantidades de datos confidenciales y a las herramientas de administración más potentes. El auge de la
al momento del
virtualización, en particular, dio lugar al surgimiento de nuevos riesgos. En primer lugar, existe una nueva clase
robo. Alrededor
de administradores en el hipervisor que se debe administrar, monitorear y controlar. En segundo lugar, esos
del 20 % fueron
administradores del hipervisor pueden cambiar, copiar o eliminar decenas de máquinas virtuales mediante
reclutados por
unos pocos clics del mouse, lo cual hace que el robo y los daños sean más simples y más rápidos de conseguir,
agentes externos
más perjudiciales, y más difíciles de detectar que nunca.
que apuntaban a
los datos. Más de
la mitad roba Infracciones de seguridad internas ampliamente conocidas
datos durante el WikiLeaks Servicio de Inteligencia de Suiza (NDB).
mes en el que
abandonan la En lo que quizás representa la infracción de Según se informa, un técnico sénior de TI descargó
empresa. seguridad interna más conocida, el (ex)soldado del terabytes de información contraterrorista clasificada
ejército de los EE. UU., Bradley Manning, filtró cientos en discos rígidos físicos, que sacó del centro de datos
– Behavioral Risk
Indicators of Malicious de miles de documentos clasificados militares y del en una mochila. Los investigadores creen que el
Insider IP Theft: Departamento de Estado a la organización WikiLeaks, administrador se había ofuscado cuando se ignoró su
Misreading the Writing que a su vez publicó muchos de ellos en Internet. consejo de proteger los sistemas clave. Una fuente
on the Wall,
(Indicadores En su condición de “usuario interno”, existen cercana a la investigación denominó al perpetrador
conductuales de riesgo preguntas muy importantes acerca del motivo por como un técnico talentoso con “derechos de
de robo de IP interno el cual Manning tenía un acceso tan amplio para administrador”, que le otorgaban acceso irrestricto a
malintencionado:
ver y ordenar documentos clasificados. la mayoría o a todas las redes del NDB, que contenían
malinterpretar los
mensajes en el muro) una importante cantidad de datos secretos5.
Eric D. Shaw, Ph.D.,
Harley V. Stock, Ph.D.
5PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
Ningún sector está a salvo de las infracciones de seguridad
Sector Información Ejemplo
Defensa “Todas las empresas de defensa están A lo largo de un período de tres años,
constantemente bajo ataque. Si alguien dice un grupo de hackers chinos robó la mayor
que no es su caso, solo significa que no lo parte, si no toda, la propiedad intelectual
saben. Se trata de una amenaza generalizada. del contratista de defensa de los EE. UU.,
No es solo de una fuente... y sencillamente Qinetiq, que se ocupa de aeronaves no
es incesante”6. tripuladas y satélites espía7.
– Wes Bush, Director General de Northrup
Grumman
Servicios financieros “Aun cuando las prácticas de seguridad evolucionan “El Servicio Secreto de los Estados Unidos
y progresan, casi el 25 % de quienes respondieron estima que una violación a la información
del sector bancario indicaron que experimentaron en el Bank of America de California y de
infracciones de seguridad en los últimos otros estados del oeste le costó al banco,
12 meses”8. como mínimo USD10 millones”9.
– Deloitte
Seguros “A pesar del aumento del foco en la protección En octubre de 2012, los atacantes robaron
de datos contra las infracciones de seguridad, información de 1,1 millones de clientes de
alrededor del 40 % de las 46 principales Nationwide and Allied Insurance, lo que los
organizaciones de seguros han experimentado puso en riesgo por robo de identidades10.
una o más infracciones en los últimos 12 meses”8.
– Deloitte
Atención médica El 94 % de las organizaciones de atención Los hackers exigieron un rescate de
médica que contempla este estudio tuvo USD10 millones después de robar
al menos una violación a la información en 8,3 millones de expedientes de pacientes
los últimos dos años. Sin embargo, el 45 % del estado de Virginia12.
comunica que tuvieron más de cinco incidentes.
El costo promedio para el sector de atención
médica podría alcanzar posiblemente los
USD7 000 millones anuales11.
–The Ponemon Institute
Minorista “El 24 % de las infracciones se produjeron en Gucci perdió aproximadamente
entornos de venta minorista y restaurantes.”13 USD200 000 en pérdidas de ventas y
gastos de resolución cuando un ingeniero
– Verizon 2013 Data Breach Report (Reporte
de redes, después de ser despedido,
sobre violaciones a la información de 2013
accedió ilegalmente a la red de la empresa
de Verizon)
y borró documentos14.
Gobierno El sector gubernamental y militar representó Un empleado insatisfecho de San Francisco
el 11,2 % de las infracciones comunicadas en bloqueó la red FiberWAN de la ciudad,
2012, pero el 44,4 % de los registros robados.15 que contenía documentos confidenciales,
como expedientes policiales. Aun más grave
– ITRC Breach Report, Identity Theft Resource
fue que no era posible acceder al correo
Center, (Reporte de infracciones del ITCR,
electrónico y no se pudieron emitir los
Centro de Recursos contra el Robo de
cheques de la nómina de pagos. La ciudad
Identidades), julio de 2012
gastó más de un millón de dólares en un
intento fallido de obtener acceso a la red16.
Educación En 2012, el 13,6 % de las infracciones comunicadas Un grupo de hackers, autodenominado
se dieron en el sector de la educación, donde se Team GhostShell, publicó más de 120 000
robaron 2 304 663 expedientes.17 expedientes relacionados con alumnos,
cuerpo docente y personal, incluidas
– ITRC Breach Report, Identity Theft Resource
direcciones de correo electrónico, nombres,
Center, (Reporte de infracciones del ITCR,
nombres de usuario, contraseñas y
Centro de Recursos contra el Robo de
números telefónicos de decenas de
Identidades), julio de 2012
universidades de todo el mundo, como
Harvard, Oxford, Princeton, Stanford, Johns
Hopkins y la Universidad de Zúrich18.
6PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
“Solo los aficionados Sección 2: Oportunidad
seleccionan
máquinas como
objetivo; los
El punto vulnerable de las organizaciones
profesionales Tradicionalmente, las organizaciones se han concentrado en la seguridad perimetral al momento de protegerse
seleccionan contra las infracciones de seguridad. Si bien esto resulta obviamente insuficiente para mitigar el riesgo de las
personas”. amenazas internas, tampoco alcanza para combatir los ataques externos. Si cuenta con el tiempo suficiente, un
atacante resuelto será capaz de eludir el perímetro de una organización. Como parte de un ataque de Amenaza
– Bruce Schneier
persistente avanzada, los atacantes motivados pueden pasar meses o, incluso, años con una organización
específica en la mira. Mediante técnicas que van desde el “spear phishing” (ataques de suplantación de
identidad/correos electrónicos dirigidos) hasta la explotación de vulnerabilidades flamantes, donde aun no
existen parches, un atacante avanzado logrará violar el perímetro de una red objetivo. Cuando esto ocurra,
el atacante externo se convertirá, de hecho, en un usuario interno.
Prácticamente todos los ataques externos siguen el mismo patrón de cuatro fases:
Aumento de
Reconocimiento Entrada inicial Explotación
privilegios
Una investigación sobre Las exposiciones Después de la Una vez que se haya
las debilidades de la descubiertas se explotan y penetración inicial, los establecido el control, el
organización, que suele el posicionamiento en la piratas informáticos agresor podrá identificar,
incluir consultas de red de destino se establece trabajan para adquirir comprender y explotar
dominio y análisis mediante métodos técnicos más derechos y datos confidenciales
de puertos y sofisticados o técnicas de obtener el control de continuamente.
vulnerabilidades. ingeniería social, tal como otros sistemas e
“spear phishing” (ataques instalar un “acceso
de suplantación de indirecto” que facilite
identidad dirigidos). más el acceso futuro.
Donde se centra la atención
Donde se debería centrar la atención
Generalmente, las organizaciones son efectivas en la seguridad perimetral, con cortafuegos y sistemas de
detección de intrusiones. No obstante, esto no es suficiente para evitar que un atacante obtenga acceso a una
identidad interna. Imagine que recibe un correo electrónico enviado por su jefe, donde le solicita que revise
un archivo. Casi todos harán clic en el archivo, sin realizar una inspección concienzuda. Esa acción simple puede
dar como resultado que un código arbitrario se ejecute en el sistema, para otorgar al atacante el control total
del equipo.
Puede reducir el riesgo de los tres tipos de amenazas internas (usuario malintencionado, explotado y descuidado)
si habilita la responsabilización, implementa el acceso con privilegios mínimos y controla los datos confidenciales.
La responsabilización hará que los usuarios internos malintencionados lo piensen dos veces antes de actuar,
ayudará a identificar a los usuarios internos explotados y hará que los usuarios sean más cuidadosos con sus
acciones. El acceso con privilegios mínimos denegará acciones y limitará el daño ocasionado por todos los tipos de
ataques internos, además de detener las acciones estúpidas. Controlando los datos confidenciales directamente,
puede prevenir que se los exporte fuera de la red con herramientas, como unidades USB o, incluso, mensajes de
correo electrónico.
7PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
Enfoque exhaustivo para la ciberdefensa
Las funcionalidades de seguridad de la actualidad pueden dificultar cada fase de un ataque, tanto para atacantes
internos como externos. Las funcionalidades más importantes son las siguientes:
Administración de identidades con privilegios
La administración de identidades con privilegios se encuentra en el centro de cualquier ciberdefensa, la que se
enfoca en las partes internas y en las externas. Las cuentas con privilegios tienen el acceso necesario para ver
y robar la información más confidencial de una organización, o para provocar el mayor daño posible en los
sistemas de TI fundamentales.
Administrar las identidades con privilegios requiere de un enfoque multifacético. Además de administrar las
cuentas compartidas, los controles adicionales hacen posible la responsabilización de usuarios internos y pueden
limitar el daño realizado por un atacante externo que obtiene acceso a una cuenta administrativa.
Ilustración A.
Administración
de identidades
con privilegios:
funcionalidades clave
8PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
56 %. Funcionalidad clave Necesidad Descripción Beneficio
“Porcentaje de
ejecutivos que Administración Las cuentas con privilegios, Controla el acceso a las cuentas Disminuye el riesgo de que
de contraseñas de como las cuentas ‘raíz’ en administrativas con privilegios usuarios no autorizados
afirman que su cuentas compartidas UNIX y de ‘Administrador’ con el almacenamiento de obtengan acceso a cuentas
fraude más grave en Windows, se suelen contraseñas y capacidades de con privilegios. Evita que se
se debió a un compartir, lo cual reduce la inicio de sesión automático. compartan contraseñas.
responsabilización. Este es el punto de partida para
usuario con la mayoría de las soluciones de
privilegios”19. administración de identidades
con privilegios.
– Pricewaterhouse Coopers
Controles de acceso El acceso a las cuentas Administra el acceso de Reduce el riesgo,
específicos con privilegios suele ser usuarios con privilegios después ya que otorga a los
“todo o nada”, un riesgo del inicio de sesión. Controla en administradores
de seguridad innecesario qué acceso los usuarios basaron únicamente los privilegios
que genera usuarios con su identidad individual, incluso, mínimos que necesitan
más privilegios de los que cuando se utiliza una cuenta para realizar sus tareas.
necesitan. administrativa compartida.
Reportes de Realizar el seguimiento Registra todas las acciones del Hace más simple averiguar
“Si no implementa actividades del de todas las acciones usuario, realiza el seguimiento “quién hizo qué” en una
los controles usuario/grabación de de usuarios para poder de todos los registros por investigación forense,
sesiones en video determinar lo que ocurrió persona, aun cuando se utiliza gracias al uso de un video
adecuados para y “quién hizo qué” en una una cuenta compartida. comprensible en lugar de
los usuarios con investigación. No se graban Idealmente, realiza el una búsqueda a través
privilegios, corre todas las actividades seguimiento de un sistema de de archivos de registro
del usuario y muchas TI en un formato tipo video. ininteligibles. Hace posible
el riesgo de que aplicaciones no generan la responsabilización de
se produzca la registros, lo cual reduce los usuarios de sistemas
la responsabilización y de TI. Crea registros para
degradación del dificulta las investigaciones las aplicaciones que no los
nivel de servicio, forenses. generan de forma nativa.
de pagar costos
de resolución de Seguridad de la La virtualización agrega Administra los usuarios con Reduce los riesgos de la
virtualización una nueva capa de privilegios en VMware, en virtualización, abarcando
auditorías, de que infraestructura que se debe tanto que proporciona una desde los administradores
los desarrolladores proteger: el hipervisor. automatización compatible con de VMware hasta las
accedan a datos virtualización de los controles máquinas virtuales.
de seguridad en las máquinas
de producción virtuales.
(confidenciales) y
Puente de La administración de las Autentica a los usuarios en Consolida la información
de que empleados autenticación de UNIX cuentas y el acceso de sistemas UNIX y Linux para de autenticación y de
insatisfechos usuarios en los servidores Microsoft Active Directory. cuenta contenida en Active
derriben su individuales UNIX y Directory, en lugar de
Linux supone una carga administrar las credenciales
infraestructura administrativa que puede de UNIX de forma local, en
o lo mantengan devenir en errores y cada sistema. Disminuye
como rehén”20. negligencias. los gastos generales
administrativos.
– Forrester Research, Inc
9PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
“Conocer y certificar Administración y gobernanza de identidades
quién debe tener La asignación de derechos incorrecta representa una causa importante de las infracciones de seguridad.
acceso a cuáles Esto puede deberse a la configuración incorrecta de los derechos de acceso iniciales, la acumulación de derechos
derechos en las a través del tiempo o, incluso, la asignación de derechos de acceso intencionalmente incorrecta a un usuario por
aplicaciones parte de un administrador colaborador no autorizado. La acumulación de derechos puede darse como resultado
representa el de una falta de mantenimiento cuando un empleado cambia de puesto y mantiene todos sus derechos de acceso
aspecto más anteriores. Mientras que los derechos de usuario incorrectos son el factor principal del aumento de las amenazas
importante de la internas, los agentes externos también pueden obtener acceso a esas cuentas o descubrir cuentas no utilizadas
administración que les permiten ocultar más fácilmente sus actividades. Una equivocación frecuente que cometen muchas
de identidades y organizaciones es despedir administradores y no desaprovisionar inmediatamente sus cuentas, ni eliminar
accesos, aun todos los derechos de acceso.
cuando este
Una solución obtenida de las mejores prácticas es el proceso integral y continuo que consiste en comprender
proceso no incluya
qué usuarios deben tener acceso a qué recursos y, luego, verificar periódicamente que cada usuario tenga los
el poder de otorgar
derechos de acceso correspondientes. La gobernanza de identidades (dividida en Administración de roles y
y revocar derechos
Cumplimiento de identidad en los niveles altos) implica diversos procesos relacionados con la identidad, como
de acceso”20.
la verificación y la limpieza de los derechos de usuario existentes, la construcción de modelos de rol adecuados
– Forrester Research y la aprobación de políticas y procesos que ayuden a garantizar la asignación apropiada de privilegios a los
usuarios. Las soluciones de gobernanza de identidades pueden entregar una gran variedad de beneficios,
que incluyen los siguientes:
• Mayor seguridad mediante la automatización de los procesos necesarios para pasar las auditorías de
cumplimiento y mediante el establecimiento de políticas de seguridad de identidades entre sistemas.
• Menores costos de administración de identidades mediante la simplificación de los pasos incluidos en los
proyectos, como la detección de roles, la organización de los privilegios y la certificación.
• Mejor tiempo de posicionamiento en el mercado de la IAM y cumplimiento de la política mediante la entrega
más rápida de una base precisa y coherente de seguridad y roles.
Controles de datos
La meta final de todos los ciberataques es robar información confidencial o provocar daños, de modo que tener
control sobre los datos resulta un componente esencial de una defensa exitosa. De forma similar, muchas
infracciones de seguridad internas son la consecuencia de que un empleado descargue valiosos datos de
propiedad intelectual (como los códigos fuente). Para proteger los datos confidenciales, una organización debería
proteger y controlar los datos en cuatro estados:
1. Datos en el acceso. Intento de tener acceso a información confidencial por parte de una persona en un rol
que no le corresponde.
2. Datos en uso. Información confidencial que se maneja en la estación de trabajo local o en un equipo portátil.
3. Datos en movimiento. Información confidencial que se transmite a través de la red.
4. Datos en reposo. Información confidencial almacenada en repositorios, como bases de datos, servidores de
archivos o sistemas de colaboración.
Para lograrlo, las organizaciones deben definir políticas que apliquen el control si se detecta un acceso o uso
inadecuado de los datos. Una vez que se produce una violación de políticas (como intentar el acceso a propiedad
intelectual, copiar la información a una unidad USB o intentar enviarla por correo electrónico), la solución debe
mitigar el compromiso y, al mismo, tiempo generar una alarma.
10PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
El centro de cualquier iniciativa de seguridad de los datos es la clasificación de la información. Sin comprender
el contexto de la información, como qué es la información y dónde está ubicada, es imposible implementar
un programa de protección de datos integral. Una organización debe detectar y clasificar con precisión la
información confidencial sobre la base de su nivel de confidencialidad para la organización. Esto incluye la
propiedad intelectual y también la información de identificación personal, la información privada de salud y otra
información no pública.
Después de clasificar adecuadamente la información, definir políticas e implementar controles, una organización
puede proceder a monitorear y controlar el acceso y el manejo de toda la información confidencial. Esto abarca
acciones de usuarios como el simple intento de acceso y lectura de datos confidenciales, la copia de datos en un
dispositivo extraíble o su impresión, su envío fuera de la red por correo electrónico, hasta la detección de datos
almacenados en un repositorio, como SharePoint.
Autenticación avanzada
Las contraseñas no proporcionan una seguridad adecuada para la información y las aplicaciones importantes
de la actualidad. Las infracciones de seguridad suelen producirse porque una persona obtiene acceso a las
contraseñas de otra persona. Sin embargo, cuando los atacantes se autentican en el sistema, existen factores
contextuales que, si se reconocen, pueden servir como advertencia acerca de la validez de la autenticación.
Por ejemplo, si una persona del Departamento de Finanzas que trabaja en Nueva York de repente inicia sesión
en Rusia, o bien, si una persona inicia sesión desde Roma dos horas después de cerrar sesión en Nueva York,
es obvio que se está realizando una autenticación fraudulenta.
La autenticación de dos factores ofrece una seguridad más sólida que las contraseñas, pero cuando se la
implementa en forma de tokens de hardware, genera incomodidad y costos considerables. Una solución de
autenticación de múltiples factores basada en software puede ayudar a eliminar estos problemas porque
proporciona una autenticación de dos factores sólida sin modificar la experiencia de los usuarios y sin generar
los problemas administrativos que presentan los tokens de hardware.
La autenticación basada en el riesgo proporciona una calificación de riesgo para cada intento de autenticación,
lo cual ayuda a determinar si se está ejecutando un intento de infracción. En estos casos, se podrían utilizar
métodos de autenticación adicionales más potentes, se podría rechazar, simplemente, el intento, o bien,
se podría activar una alarma.
Además, la autenticación avanzada puede ayudar a detectar y evitar transacciones fraudulentas gracias a la
implementación de distintos niveles de autenticación de acuerdo con los parámetros de una transacción
determinada. Por ejemplo, las transacciones que implican una cantidad de dinero extrañamente grande pueden
estar obligadas a atravesar pasos adicionales de autenticación, a fin de garantizar la identidad del usuario.
Las transacciones se pueden asegurar aun más por medio del uso de la “firma de transacción” donde el usuario
incluye información adicional acerca de la transacción, como por ejemplo el monto o el destinatario del pago,
para ayudar a proteger contra los ataques de intermediarios.
11PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
Sección 3:
Conclusiones
Las infracciones de seguridad de todos los tipos están creciendo en complejidad, sofisticación e impacto.
Se necesita un enfoque de varias capas para implementar controles efectivos. Si las infracciones de seguridad
se abordan con un foco en la administración de las identidades con privilegios, la seguridad de los datos,
la gobernanza del acceso y las identidades, y la autenticación avanzada, las organizaciones pueden proteger
sus recursos fundamentales contra todos los tipos de infracciones, desde adentro hacia afuera.
Las organizaciones que reducen con éxito las probabilidades de una infracción de seguridad deben pensar más
allá del ahorro directo de costos en fugas de datos, multas y demandas. La erosión de la confianza de la base de
clientes de una organización y el daño de la marca pueden ser irreparables.
Además, las organizaciones que cuentan con un programa de seguridad extenso pueden ahorrar dinero mediante
la simplificación de las auditorías, y pueden concentrar sus esfuerzos en la innovación, y no en responder ataques.
Sección 4:
Referencias
1 Forrester Research, Inc. “Kill Your Data To Protect It From Cybercriminals.” (Asesine sus datos para protegerlos de los
ciberdelincuentes) 12 de julio de 2012
2 intelreport.mandiant.com/Mandiant_APT1_Report.pdf
3 The Ponemon Institute, “The Risk of Insider Fraud: Second Annual Study” (El riesgo del fraude interno: segundo estudio
anual), febrero de 2013
4 reuters.com/article/2011/04/13/us-djc-ford-tradesecrets-idUSTRE73C3FG20110413
5 informationweek.com/security/attacks/swiss-spooks-warn-of-counter-terrorism-i/240143979
6 reuters.com/article/2011/09/07/us-aero-arms-summit-cybersecurity-idUSTRE7867F120110907
7 m.csoonline.com/article/732784/defense-contractor-under-cyberattack-for-three-years?source=CSONLE_nlt_salted_
hash_2013-05-06
8 Deloitte, Inc. “2012 DTTL Global Financial Services Industry Security Survey: Breaking Barriers.” (Encuesta mundial DDTL
2012 de seguridad en el sector de los servicios financieros: rompiendo las barreras)
9 infosecurity-magazine.com/view/18237/insider-data-breach-costs-bank-of-america-over-10-million-says-secret-service/
10 threatpost.com/nationwide-allied-insurance-breach-hits-11-million-users-120512/
11 The Ponemon Institute. “Third Annual Benchmark Study on Patient Privacy & Data Security” (Tercer estudio anual de
referencia sobre la privacidad de los pacientes y la seguridad de los datos), diciembre de 2012
12 dailymail.co.uk/news/article-1178276/Hackers-demand--10m-ransom-hijacking-millions-medical-records.html
13 verizonenterprise.com/DBIR/2013/
14 eweek.com/security-watch/former-gucci-employee-indicted-for-it-rampage.html
15 idtheftcenter.org/ITRC%20Breach%20Stats%20Report%202012.pdf
16 slate.com/articles/technology/future_tense/2013/02/fiberwan_terry_childs_gavin_newsom_on_why_governments_
should_outsource_technology.single.html
17 idtheftcenter.org/ITRC%20Breach%20Stats%20Report%202012.pdf
18 darkreading.com/attacks-breaches/team-ghostshell-exposes-120000-records-f/240008262
19 online.wsj.com/article/SB10001424052970203753704577255723326557672.html
20 Forrester Research Inc., “Assess Your Identity And Access Management Maturity” (Evalúe su nivel de madurez en la
administración del acceso y las identidades), 26 de septiembre de 2012
12PROTECCIÓN CONTRA AMENAZAS INTERNAS Y ATAQUES EXTERNOS
Sección 5:
Acerca del autor
Russell Miller trabaja, desde hace más de seis años, en el área de seguridad de red, y ha desempeñado
distintas funciones, que comprenden desde ataques informáticos éticos a marketing de productos. Actualmente,
es director de Marketing de Soluciones en CA Technologies, y se centra en la administración de identidades con
privilegios y la seguridad de la virtualización. Russell tiene una licenciatura en Informática de la universidad
Middlebury College y una maestría en Administración de Negocios de la Escuela de Administración y Dirección
de Empresas del MIT (Instituto Tecnológico de Massachusetts).
Agility Made Possible: la ventaja de CA Technologies
CA Technologies (NASDAQ: CA) ofrece soluciones de administración de TI que ayudan a los clientes
a administrar y proteger los entornos de TI complejos para permitir la provisión de servicios de negocio
ágiles. Las organizaciones aprovechan el software de CA Technologies y las soluciones de SaaS (software
como servicio) para acelerar la innovación, transformar la infraestructura y proteger los datos y las
identidades, desde el centro de datos hasta la nube. CA Technologies asume el compromiso de garantizar
que los clientes obtengan los resultados deseados y el valor de negocio previsto, gracias a la utilización
de nuestra tecnología. Para obtener más información sobre los programas para el éxito del cliente, visite
ca.com/ar/customer-success. Para obtener más información acerca de CA Technologies, vaya a ca.com/ar.
Copyright © 2013 CA. Todos los derechos reservados. Microsoft, Active Directory, SharePoint y Windows son marcas registradas o marcas comerciales de Microsoft Corporation en los
Estados Unidos o en otros países. Linux® es la marca registrada de Linus Torvalds en los EE. UU. y en otros países. UNIX es una marca registrada de The Open Group. Todas las marcas
registradas, los nombres comerciales, las marcas de servicios y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. El propósito de este documento
es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación
“tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no
responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no
taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso, cuando CA hubiera podido ser advertida con
antelación y expresamente de la posibilidad de dichos daños. CA no proporciona asesoramiento legal. Ni este documento ni ningún producto de software mencionado en este documento
servirán como sustituto del cumplimiento de leyes vigentes (entre ellas, leyes, estatutos, reglamentos, normas, directivas, estándares, políticas, edictos administrativos y ejecutivos, etc.,
en conjunto denominados “leyes”) ni de cualquier obligación contractual con terceros. Para obtener asesoramiento sobre cualquier ley u obligación contractual relevante, consulte con
un abogado competente. CS4037_0613También puede leer
