Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE Especial Inteligencia

El arte de pensar más rápido que el enemigo

Adelantarse a las amenazas, clave de la inteligencia aplicada en seguridad 01/05/2010 - Ángel Gallego
Impregnar con inteligencia cada uno de los procesos productivos y servirse de redes de monitorización para ser más rápidos que el enemigo son sólo puntos de partida. Expertos en seguridad nos adentran en el desafío de conformar una infraestructura empresarial inteligente.
El arte de pensar más rápido que el enemigo.

Si damos un 'paseo' por Google es fácil hallar millares de referencias sobre "inteligencia", asociada a términos como social, interpersonal, económica, sensorial y hasta musical.

Ante semejante panorama, deberíamos plantear una división clara entre la inteligencia que es inherente al ser humano (en mayor o menor medida, dependiendo del individuo) y las 'inteligencias' que decidimos aplicar a diferentes facetas de nuestra vida para elevarlas a la excelencia.

Tal es el caso de la citada inteligencia económica y, en esta misma onda, la inteligencia aplicada a la seguridad. Las aproximaciones a este modo de optimizar disciplinas profesionales son variadas y, por supuesto, enriquecedoras.

En el ámbito concreto de la seguridad, existen compañías que entienden por inteligencia convertirse en un ‘Gran hermano’, adquiriendo la capacidad de verlo y analizarlo todo para adelantarse a los ataques del enemigo. Frente a estas organizaciones, se hallan las que conciben dicha inteligencia como un modelo orientado a simplificar al máximo la protección de sus activos.

Inteligencia dentro y fuera

Microsoft desarrolla, además del software para securizar sus productos, una filosofía, que se extiende desde el último empleado hasta el directivo número uno de la multinacional.

La aproximación de los creadores de Windows a la seguridad se apoya en una combinación de dos factores principales: procesos y tecnología.

Según ha comentado Luis Miguel García de la Oliva, director de Seguridad de Microsoft Ibérica: “Desde el punto de vista de procesos, tenemos una idea de seguridad que combina los objetivos de negocio con las políticas que se aplican a todos los ámbitos de la empresa: recursos humanos, recursos técnicos e instalaciones. Las políticas de seguridad están para facilitar el negocio y tienen como propósito final la seguridad física y lógica de nuestra compañía”.

En este sentido, los procesos de seguridad persiguen tres objetivos: proteger todo tipo de recursos; integrar la seguridad con todos los recursos de la compañía y, finalmente, simplificar la experiencia de los usuarios.

El software de seguridad desarrollado por Microsoft también forma parte de su propia defensa interna como compañía.

En esencia, es una herramienta capaz de habilitar la inteligencia en seguridad, es decir, "la aplicación inteligente de los recursos disponibles para proteger las redes y sistemas informáticos", ajustándonos a la definición de Sergio de los Santos, consultor de Seguridad y director de Formación de Hispasec, que asocia el despliegue de esta tendencia a la aplicación de diferentes productos específicos (casi siempre caros) que existen en el mercado para ofrecer seguridad.

La adopción de software "implica de modo ineludible un proceso de gestión del producto y, sobre todo, un entendimiento del problema que se intenta solventar con él", aclara De los Santos.

'Gran hermano'

Un ojo que todo lo ve en una Red cada vez más sometida a los antojos del cibercrimen. Ésta es la difícil tarea que Symantec ha encomendado a sus sistemas y a sus profesionales: anticiparse siempre y pensar más rápido que el enemigo.

Symantec puso en marcha recientemente el programa Cyber Threat Analysis Program (CTAP), un enfoque completo que captura e identifica de forma global los datos pertinentes en materia de seguridad, proporciona la identificación de amenazas localizadas, ofrece las soluciones y medidas adecuadas para proteger la información crítica del cliente y mejorar de forma generalizada su seguridad”, sostiene Javier Ferruz, consultor Preventa de Symantec y especialista en Seguridad.  

“Ofrecemos este acceso a través de analistas expertos in situ con el fin de fortalecer la posición de defensa de la empresa y aumentar su capacidad proactiva”, continúa.

Además de los servicios integrados de inteligencia de seguridad de Symantec, CTAP está diseñado para ampliar la visión del cliente en lo que respecta al terreno de amenazas, y proporcionar recursos para mitigar los riesgos de forma efectiva y responder a necesidades específicas según se requiera.

“Ya no se trata sólo de seguridad, sino de seguridad y gestión de la información: proteger la información contra las amenazas más recientes y gestionarla de manera más completa y eficiente, independientemente de dónde se ubique”, aboga Ferruz.

"La evasión de antivirus es una guerra que 'los malos' tienen ganada. Sin embargo, se esfuerzan por evitar que analicemos su código de forma pormenorizada", según Sergio de los Santos

"La evasión de antivirus es una guerra que 'los malos' tienen ganada. Sin embargo, se esfuerzan por evitar que analicemos su código de forma pormenorizada", según Sergio de los Santos

"La vigilancia para que sea efectiva ha de ser 24x7", desde la óptica de Yinon Glasner, Fraud Intelligence Business Analyst de RSA, que entiende que Internet se ha convertido en el principal caballo de batalla para los proveedores de seguridad y salvaguardar el espacio de sus clientes en este terreno, su razón de ser.

La Red es una fuente inagotable de ataques: "Las formas más novedosas de malware como Zeus Trojan pueden capturar una gran variedad de información y credenciales de los ordenadores de las empresas y sus usuarios o clientes en línea sin ser descubiertos", sostiene Glasner.

"Además de monitorizar sus propias infraestructuras, una empresa debe tener conciencia de los peligros existentes fuera de su red. Por ejemplo, el mayor impacto causado por los troyanos hoy en día es normalmente cuando atacan algún PC de un usuario online o cuando un empleado se conecta a la red de la empresa remotamente".

Que la vigilancia 24x7 es un elemento imprescindible para el avance de la inteligencia es indiscutible para Sergio de los Santos. Sin embargo, opina que "el mayor reto es encontrar un equipo de personas suficientemente heterogéneo y preparado para asistir a las amenazas en el momento en que se producen y que puedan responder adecuadamente".

Para el portavoz de Microsoft, “permitir un acceso a las aplicaciones de la empresa más seguro y basado en identidades y en la nube, desde casi cualquier ubicación o dispositivo, es una meta fundamental”. José Miguel García se postula a favor de “la combinación de una estructura de directorio y sus políticas de defensa con los elementos de protección de red como la base de la seguridad en el acceso remoto”.

Asimismo, la Red Global de Inteligencia de Symantec cuenta con un amplio conocimiento sobre ataques, actividad de código malicioso, phishing y spam. “La red la compañía mantiene bases de datos de gran envergadura con los eventos que recopila en todo el mundo -aduce Javier Ferruz-: Symantec mantiene once centros de respuesta de seguridad y utiliza 240.000 sensores de ataques para detectar la actividad maliciosa".

Anticiparse al mal

Como reseñábamos al principio, la clave es anticiparse para salir airoso. La seguridad y la aplicación de la inteligencia a la misma se traducen así en rapidez. Esto significa que la importancia de la correlación de eventos es crítica, “dado que un buen sistema de recogida y análisis de logs es la base fundamental para la anticipación a un potencial problema de seguridad”, aclara Luis Miguel García, de Microsoft.

Una estrategia de seguridad que incorpore inteligencia es mucho más proactiva y permite descubrir las amenazas tan pronto como aparecen o incluso antes.

Éste es el posicionamiento de Yinon Glasner, de RSA, que apoya una estrategia de seguridad por capas, desplegada a raíz de la correlación de eventos: "Los distintos sistemas de seguridad deben de ser capaces de hablar entre sí y aprender de ello". Desde RSA aconsejan autenticar a los usuarios que acceden a las aplicaciones críticas, así como supervisar las acciones dentro de la red e interferir y remediar cuando se detecta una amenaza.

"A medida que las herramientas de protección se vuelven más sofisticadas, los ataques también lo hacen para eludirlas", asevera Sergio de los Santos, de Hispasec. "La inteligencia en seguridad pretende cubrir todos los aspectos, pero es complicado cuando en este juego del gato y el ratón, los atacantes interpretan el papel de gato".

"Cuando anunciamos nuestra estrategia Trustworthy Computing, reafirmando nuestro compromiso con la seguridad, creamos la figura del Microsoft Security Response Center (MSRC), organismo formado por ingenieros dedicados al continuo análisis de lo que ocurre en Internet", comenta Luis Miguel García.

"El MSRC es el centro neurálgico de nuestras actividades relacionadas con las alertas de seguridad, además de proveer un input continuo hacia nuestros desarrolladores. Este centro trabaja tanto en lo que se refiere a producto como en todo lo que tiene que ver con amenazas”, añade.

Como si de un 'Gran Hermano' se tratase, los proveedores de seguridad vigilan los eventos en la Red que puedan suponer una amenaza para los sistemas de sus clientes.
Como si de un 'Gran Hermano' se tratase, los proveedores de seguridad vigilan los eventos en la Red que puedan suponer una amenaza para los sistemas de sus clientes.

El trabajo de un analista dedicado a 'entrar en la mente' del cibercriminal puede llegar a ser estresante.

Si atendemos al portavoz de Hispasec, "los niveles de infección y la evasión de antivirus son guerras que tienen ganadas, no invierten tantos recursos en ello.

Sin embargo, el hecho de que especialistas en seguridad analicen de forma pormenorizada su código y lleguen a descubrir sus sistemas remotos de almacenamiento de contraseñas robadas, por ejemplo, es lo que realmente quieren y necesitan evitar", explica De los Santos.

Y añade: "Los expertos en ingeniería inversa que dedican horas a destripar y entender cómo funciona un malware, se encuentran con trabas diferentes cada día.

Sin duda, es donde la industria profesional del malware invierte una mayor cantidad de recursos dedicados a I+D". Como consecuencia de su cometido habitual, los atacantes imponen "por decreto" el impulso de I+D en laboratorios como los de Hispasec, que no contemplan entre sus planes quedarse a la zaga, según palabras de su director de Formación.

Los directores de Seguridad pueden utilizar la información y los análisis que les proporciona la inteligencia en seguridad para reaccionar y proteger los posibles “agujeros” en el sistema, pero existen otros productos que ayudan a complementar este servicio, como el software SIEM (Security Information & Event Management).

Un ejemplo es el del fabricante RSA, que permite recolectar los logs de diferentes dispositivos de la empresa para correlacionarlos y monitorizarlos, detectando si se produce algún tipo de evento de seguridad, explica Yinon Glasner. "La inteligencia humana consiste en estar cerca de 'los malos', estar en los mismos lugares donde ellos se comunican y entender las técnicas y herramientas que utilizan", concluye.

Como vemos, la Red es una fuente de 'toxicidad' que las compañías han de controlar en todo momento. No es óbice este hecho para que Internet pueda convertise también en el aliado número uno del analista de seguridad, como bien recuerda Sergio de los Santos: "Lo primero es leer los diferentes blogs, páginas y foros dedicados a la seguridad, aunque me atrevería a decir que apenas un 10 por ciento merece la pena (abunda el sensacionalismo y un problema añadido es una terrible intrusión), y de esos, un 10 por ciento proporciona contenido original".

A pesar de estos condicionantes, la cantidad de información de calidad es aceptable y, "una vez separado el grano de la paja, es posible conocer las amenazas casi en tiempo real, gracias a novedades como Twitter, RSS, listas de correo, etc. de verdaderos profesionales", subraya.

La unión hace la fuerza

El Cluster de Seguridad Madrid Network aglutina a relevantes empresas de esta comunidad autónoma, con el objetivo de apoyarlas en su internacionalización.

Cada uno de los socios del cluster implementa su propia estrategia, según afirma Lucio González, managing director del consorcio, que recomienda "un buen análisis de activos y riesgos, junto a una buena política de seguridad que involucre a toda la organización", y añade: "Aquí, todos y cada uno de los profesionales han de tener una concienciación en seguridad suficiente para que, al final, empleados, medidas de seguridad, políticas, procedimientos y organización caminen hacia unos objetivos comunes y sin fisuras".

En definitiva, una unidad interna que también se traslada a la que promueve el cluster entre sus empresas asociadas.

En consonancia con los expertos consultados por RED SEGURIDAD, Lucio González mantiene que una estrategia de seguridad “tradicional” se asocia con adjetivos como “pasiva” y “reactiva”, es decir, "normalmente se reacciona ante determinados eventos", mientras que, en esta nueva estrategia de inteligencia en seguridad, podríamos decir que pasamos a una seguridad “activa” o “proactiva”.

Envía tu comentario

Los campos marcados con * son obligatorios

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual