Del Hardening a la Ciberseguridad: La gran evolución de la seguridad

Del Hardening a la Ciberseguridad: Un pequeño paso para el hombre, un gran paso para la seguridad

Cuando escuchamos la palabra Hardening o bastionado de un sistema nos recuerda la seguridad de nuestra infraestructura. La tal vez vieja y única solución para tener nuestra infraestructura informática a salvo. El concepto de bastionado, en líneas muy generales, se limitaba a proteger la infraestructura informática. Un proceso con el que nos limitábamos a la securización del sistema. Para ello se actualizaban software y sistemas operativos, se cerraban puertos innecesarios o se eliminaban usuarios, servicios o aplicaciones que ya no estuviesen en uso. El Hardening, no cabe ninguna duda, era, es y será una medida absolutamente necesaria, e indispensable. Todo responsable de sistemas debe tenerlo muy presente en su rutina diaria, ya que, a pesar de la evolución, seguirá siendo la capa fundamental en la seguridad de la infraestructura. Pero hoy en día se presentan nuevos retos diarios en materia de seguridad. Nuevos conceptos que requieren servicios precisos como formación, auditorías, ciberinteligencia, Red Team…

Legislación

Hoy en día, quedarnos con el bastionado de la infraestructura no es suficiente para tener nuestra organización o negocio seguro. El activo más importante que posee una empresa es la información, tanto de sus clientes, como de sus proveedores, y por supuesto la suya propia. La buena custodia de esta información genera a la empresa la necesidad de proteger su activo principal, pero también la obligación de hacerlo de acuerdo a la normativa europea. Esta establece el tratamiento de los datos personales como un derecho fundamental a través de su Reglamento General de Protección de Datos (RGPD).

El RGPD se torna de obligado cumplimiento, y exige a las empresas que traten con datos personales, a que de manera anticipada y preventiva implementen las técnicas necesarias que aseguren la información de carácter personal. Para ello es necesario el despliegue de barreras y procedimientos que eviten el acceso a la información a personas no autorizadas para hacerlo. Y, en caso de existir una brecha de seguridad, a la obligación de comunicar las mismas dicha brecha en un plazo máximo de 72 horas.

Equipo de seguridad

Además de la evolución de la normativa que establece la securización en materia de protección de datos, es evidente que la evolución también llega a “casa de los ciberdelincuentes”. Estos siguen avanzando, aprendiendo y desarrollando nuevas vías que les facilite la ejecución exitosa de sus fines. Siempre están encaminados a la obtención de un beneficio económico de sus acciones delictivas. Por ello no cesan en investigar para descubrir nuevos vectores de ataque que, en combinación con la evolución de las nuevas tecnologías, faciliten el acceso hacia sus víctimas y la vulneración de sus activos. Si bien es cierto que, también seguirán utilizando los vectores ya existentes y que siguen siendo efectivos para concluir sus actividades delictivas.

El nuevo paradigma de seguridad digital y la continua evolución del concepto del término Ciberseguridad suponen un trabajo común. Obliga a los responsables de seguridad, sistemas y tecnología a trabajar cada vez más de la mano. Los roles de CTO, CSO, CIO y CISO de una organización deben de estar plenamente alineados y complementados, formando un equipo homogéneo y multidisciplinar. Con el fin común de hacer la vida más difícil a los atacantes que marquen su infraestructura como objetivo.

Estos nuevos retos implican la adopción de nuevas medidas defensivas. Incluso nos marcan la necesidad de conocer las ofensivas. Todo ello se desarrolla con dos objetivos:

  • Saber cuáles son nuestras capacidades de defensa en caso de un ataque real.
  • Saber las capacidades y posibilidades que podría tener un atacante ante las barreras de seguridad establecidas en nuestro sistema.

El buen bastionado de nuestra organización, hoy en día, debe complementarse con el despliegue de tecnología de última generación creada expresamente para la defensa ante los más novedosos ataques.

SHC_Hardering_Ciberseguridad_RedTeam

Blue Team junto a Red Team

Esta tecnología de defensa, tanto hardware como software deberá estar siempre gestionada por un equipo humano con capacidad de reacción ante cualquier incidente (Blue Team). El equipo estará compuesto por expertos multidisciplinares y especializados en el análisis de los sistemas. También analizarán el comportamiento tanto de las máquinas como de los usuarios con el fin de detectar cualquier incidente que suponga un peligro la seguridad de la empresa. El “Blue Team, a diferencia de un equipo de seguridad tradicional, tendrá como misión principal la vigilancia constante en previsión de cualquier acción, de origen externo o interno, que ponga en riesgo la seguridad de la organización.

La misión defensiva del “Blue Team” no se debe limitar a su activación ante un ataque. Debe de tener un papel proactivo mediante la obtención de información en las distintas redes de cualquier actividad susceptible de poder atentar contra los intereses de la organización. Gracias a esta actividad, de ciberinteligencia, se podrá prevenir, evitar, y en su caso mitigar cualquier actividad susceptible de atacar a la organización. Estos ataques pueden ser mediante un ataque dirigido de tipo informático, físico o simplemente de una campaña de desprestigio o publicidad desleal hacia la marca.

Es evidente que toda actividad especializada precisa de un entrenamiento continuo, y en ciberseguridad encontramos la figura del “coach”. Cuando un equipo “Blue Team” dispone supuestamente de las mejores herramientas y medios para, supuestamente, conseguir una defensa óptima ante un ataque, entra en escena el equipo de Red Team.

Red Team VS Test de Intrusión

Un equipo de “Red Team” ayudará a detectar todas las fisuras de seguridad (vulnerabilidades) de la infraestructura. Y, también detectará los posibles errores defensivos del equipo humano encargado de la seguridad de la infraestructura. Para ello seguirá una de las máximas de Sun Tzu, filósofo y militar chino, quien ya intuía, hace 2500 años, la necesidad del “Red Team” – “Conócete a ti mismo y conoce a tu enemigo”.

No debemos confundir el “Red Team” con un Test de Intrusión. En un Test de Intrusión se evalúan las medidas de protección de los distintos servicios de una organización. Un equipo de “Red Team” adoptará el rol de atacante, como si de un ciberdelincuente se tratase. Su intención es atacar a la organización, y acceder a la misma, para la obtención de información sensible o vulneración de la propia infraestructura. El objetivo del “Red Team” es valorar la seguridad de la infraestructura tecnológica y evaluar la capacidad de reacción y defensa del Blue Team, consiguiendo con ello una fortificación optima de los sistemas de una organización.

Cómo trabaja el Red Team

Para conseguir su objetivo se constituirá como un equipo totalmente ajeno a la organización, sin ningún tipo de información previa de la infraestructura (caja negra). Con ello mejora su efectividad, de la misma forma que lo haría un enemigo real ya que no contará con ninguna información ni ayuda interna. A diferencia del atacante real, el equipo contará con un contacto interno al que se le informará de las vulnerabilidades encontradas, especialmente las consideradas de una criticidad alta. Esta persona informará al equipo en caso de detectar cualquier actividad contra la infraestructura, para determinar si el origen dimana del equipo de “Red Team o por el contrario se trata de un ataque real que esté generando una brecha de seguridad.

Decir que elRed Team adoptará el rol de atacante es literal, ya que utilizará tácticas que van más allá de un simple ataque informático. Estas tácticas van desde el nivel perimetral o a sus servicios publicados en Internet. Con ello se busca obtener el acceso a la organización, utilizando todas las herramientas que podría utilizar un ciberdelincuente. Esto comenzaría con una exhaustiva fase de ciberinteligencia para la obtención de información de su objetivo. Pudiendo desarrollar desde la creación de una campaña de “phishing contra la empresa,  hasta la utilización y/o desarrollo de un malware específico para el acceso y control de los sistemas o extracción de información sensible.

Servicios profesionales de securización

Este post refleja, de forma directa y en líneas muy generales, la evolución del concepto de implementación de la seguridad. Pero también muestra, aunque de forma más indirecta, la evolución natural de la gran familia que formamos SmartHC. De expertos en la implementación de aquel bastionado tan necesario inicialmente, hasta llegar a ser referentes en materia de ciberseguridad con la implementación, entre otros muchos, de los servicios y técnicas reflejadas en esta entrada. Y no solo desde el punto de vista técnico ya que, la ciberseguridad va estrechamente ligada al cumplimiento normativo, y formativo en la materia.

No dudes en contactar con nosotros si esta entrada te ha generado las siguientes inquietudes: ¿Cómo implementar una política efectiva de ciberseguridad en mi empresa?, ¿qué hacer cuando falla la seguridad?, ¿Cómo nos enfrentamos ante una brecha de seguridad en nuestra organización?, ¿Cómo actuaría un equipo de respuesta a incidentes?, ¿Qué papel tiene un laboratorio de informática forense ante una brecha de seguridad?, ¿Se puede utilizar la ciberinteligencia como medida de prevención?, mi organización ¿cumple con la normativa vigente en materia de ciberseguridad y protección de datos?, ¿Cómo traslado la seguridad a las personas que trabajan en mi empresa?

En SmartHC estaremos encantados de asesorarte y ayudarte, pero recuerda siempre que el eslabón más débil somos nosotros, porque…

“En Internet, nosotros somos nuestra mayor vulnerabilidad, pero también nuestro mejor antivirus”

 

Ángel Pablo Avilés

Director de Seguridad y Estrategia

Comments are closed.