La practica de RedTeam tiene ROI (Retorno de inversion), Aunque su calculo no es obvio.
Creemos que la forma mas apropiada de validar las capacacidades e identificar los espacios de mejora mas relevantes para la gestion del riesgo de una empresa, es una actitud proactiva y la practica continua del ejercicio de redteam.
El ROI de esta practica esta directamente relacionado a la promesa de ROI de todo el stack de tecnologias, procesos y personas vinculadas a ciberseguridad.
Decimos que está directamente relacionado a la promesa de ROI del stack de ciberseguridad completo, dado que la practica de Red Team como seguridad ofensiva busca poner a prueba la eficacia de la organizacion para prevenir, detectar, responder y recuperarse de incidentes de seguridad en los tiempos comprometidos por el CISO y aceptados por la junta de direccion*
La promesa de ROI de ciberseguridad como un todo, es una función de mitigación del riesgo al que esta expuesta una empresa, su gente, su capital y su reputación.
El riesgo que se busca mitigar impacta tanto en las ganancias potenciales, los costos de hacer negocios, las relaciones con sus clientes, socios, proveedores y finalmente la valuación de la empresa (Market Cap) independientemente de que cotice en un mercado o no. El ejemplo actual mas emblematico se llama Ransomware.
Cuando una organizacion no es capaz de prevenir, detectar, responder o recuperarse, en forma eficaz de un ataque (en tiempo y forma), la promesa mencionada antes no puede cumplirse o se cumple de forma defectusosa, con un impacto concreto en el ROI esperado (riesgo mitigado)**
En ultima instancia la practica de RedTeam colabora en los procesos de mejora de la capacidad y los tiempos de prevencion, deteccion, respuesta y recupero de la organizacion.
Podria concluirse ademas que el costo de la practica de RedTeam forma parte necesaria de un correcto calculo de TCO (Costo total de propiedad) de la suma de todas las tecnologias y procesos de ciberseguridad de una empresa, dado que el mismo no podria no incluir un componente de validacion de eficacia, requerido como parte de las metricas del area.
Notas:
*MANUAL DE SUPERVISIÓN DE RIESGOS CIBERNÉTICOS PARA JUNTAS CORPORATIVAS – OEA (Organizcion Estados Americanos)
APÉNDICE I Métricas de ciberseguridad a nivel de junta
Desarrollo de métricas económicas cibernéticas El riesgo cibernético ahora se acepta como una conversación a nivel de la junta. Sin embargo, el desafío es cómo comunicarle, de manera efectiva y precisa, el impacto financiero de los incidentes cibernéticos a la junta. Antes de que las juntas puedan tomar decisiones informadas sobre cómo administrar el riesgo cibernético, primero deben tener la capacidad de traducir los datos de ciberseguridad en métricas financieras. Los directores de la junta deberán trabajar con la gerencia para delinear la información de ciberseguridad más relevante dado el entorno operativo de la organización, incluida la industria o el sector, los requisitos normativos, la huella geográfica, etc. Para comenzar, las siguientes recomendaciones de riesgo cibernético a nivel de junta proporcionan un punto de partida que las juntas deben considerar solicitarle a la gerencia:
• ¿Cuáles son nuestras métricas trimestrales de índice de pérdida esperada relacionadas con nuestra condición de riesgo cibernético en nuestras diferentes unidades de negocios y entornos operativos?
• ¿Cuál es el impacto financiero relacionado con nuestro peor escenario de riesgo cibernético?
• ¿Qué procesos hemos establecido relacionados con la toma de decisiones sobre la aceptación del riesgo cibernético, la solución del riesgo cibernético y la transferencia del riesgo cibernético? ¿Cómo medimos la manera en que estas decisiones reducen nuestra exposición financiera al riesgo cibernético?
• ¿Cómo estamos midiendo y priorizando nuestras actividades de control e implementación y los presupuestos de ciberseguridad frente a nuestra exposición financiera al riesgo cibernético? ¿Hemos conectado nuestra estrategia de implementación de control y los programas de ciberseguridad, incluidos los presupuestos, con nuestra estrategia de transferencia de riesgo cibernético?
• Según nuestros objetivos de desempeño financiero, ¿cómo puede el riesgo cibernético impactar nuestro desempeño financiero? ¿Cuál es nuestro valor anual de pérdida de riesgo cibernético esperado?
• ¿Cuál es nuestro plan de remediación de riesgo cibernético para alcanzar nuestro nivel de tolerancia de pérdida esperado? ¿Está nuestro plan produciendo un rendimiento financiero neto positivo?
• ¿Cómo alinea nuestro programa de ciberseguridad el análisis del índice de pérdida esperada basado en el riesgo cibernético y los objetivos de tolerancia de pérdida esperada? ¿Cómo estamos midiendo, rastreando y demostrando cómo nuestras inversiones en ciberseguridad están reduciendo nuestra exposición financiera a incidentes cibernéticos y entregando rendimiento de la inversión en ciberseguridad?
• ¿Cómo estamos midiendo y alineando nuestro análisis de índice de pérdida esperada basado en riesgo cibernético y la planificación de ciberseguridad con nuestro plan de transferencia de riesgo de seguro cibernético?
• ¿Cómo medimos la efectividad del programa de ciberseguridad de nuestra organización y cómo se compara con los de otras compañías?
Esta es la charla que me pidieron dar en Rosario. Lo digo asi, porque hago referencias a soluciones de IBM (que considero correctas a los fines en los que va la presentacion) por lo que es un mix entre una charla de corte academico y una con fines comerciales.
Esto no invalida el contenido, las ideas, los conceptos o la intencion de llevar algo valioso a quienes se tomaron el tiempo de asistir, de hecho, precisamente por entender cuan valioso es el tiempo de los asistentes, tanto mas esmero en que el contenido sea de valor.
Riesgo de “Perdida total” es un concepto financiero, relacionado con cierto tipo de inversiones especulativas, sobre activos que no tienen valor intrínseco y que por lo tanto, solo valen algo mientras alguien crea que vale algo.
Aplicado a la ciberseguridad, estamos aceptando que una brecha y compromiso de la confidencialidad o de la integridad de la información implica un impacto fatal (Mortal, Total, Irreversible y definitivo) del valor de la organización impactada. Entendiendo que el valor esta dado no por los activos físicos de dicha organización, sino por la promesa y expectativas del negocio (aunque aplique también a organizaciones sin fines de lucro o gobierno) y donde el modelo de dicho negocio, es altamente dependiente de la confianza de sus clientes, confianza además que se sostiene en la promesa de ser diligentes en el cuidado de la información puesta a disposición, resguardo y custodia de los segundos (los clientes) respecto de los primeros (proveedores). Así, en concreto, si se acepta que una brecha de seguridad con compromiso de confidencialidad o integridad puede destruir el valor de una empresa, entonces es comprensible que también se acepte que dicho escenario de perdida total debe ser evitado.
Sera que cuando el Mindset del los responsables directos e indirectos de la ciberseguridad (y acá incluyo al CISO, pero también al CIO, al CTO, al CEO, a los accionistas y Síndicos) esta alineado con este modelo, es cuando se puede explicar la urgencia de hacer algo?
Urgencia en entender como se pueden mitigar los riesgos de intrusión, Contener o minimizar el impacto de las intrusiones que no se puedan evitar (evitar que propague dicha intrusión hasta llegar los activos mas valiosos), recuperarse rápida y eficazmente de una intrusión asegurando o identificando los activos de información comprometidos, las vulnerabilidades técnicas o administrativas involucradas en la intrusión, para aprendiendo de los sucedido, evitar que vuelva a suceder.
Esto impacta en la inversión que se debe hacer. SI. pero mas importante, impacta en la cultura de todos los miembros de la organización.
Ciberseguridad, seguridad de la informacion, seguridad informatica, Seguridad.
El objetivo de la seguridad es proteger.
El problema de la seguridad es que la idea detras de proteger habilita universos de posibilidades de no alcanzar el objetivo (de no mantener un estado de “seguro” a lo largo del tiempo.
Entonces no hay un problema detras de la ciberseguridad, sino que hay infinitos problemas. No se puede trabajar (al menos no de manera saludable) con infinitos.
Podra encontrar leyes, patrones, guias, recomendaciones, mejores practicas, etc. Cada maestro con su librito.
¿Se puede repensar este problema? –> El problema de definir el problema, creyendo que cuando se puede identificar el problema, se puede trabajar en una (o varias posibles) solución.
Sigue una enumeracion de “cosas” que hay que meter en la ecuacion, en el modelo, en la situacion, en la conversacion.
01 – Las empresas no invierten en seguridad
02 – Las empresas no invierten lo suficiente en seguridad
03 – Las empresas no saben como invertir en seguridad
04 – Los empresarios no quieren invertir en seguridad
05 – Los empresarios no entienden los riesgos tecnologicos en los que incurren, al incorporar tecnologia, persiguiendo… (coloque aqui lo que crea que persiguen los empresarios cuando deciden incorporar nuevas tecnologias en sus empresas)
06 – No se puede proteger lo que no se conoce (o no se entiende que debe ser protegido)
07 – Los datos son el nuevo petroleo de las empresas (y las naciones)
08 – Los CIOs / CTOs no entienden a los CISOs / CSOs
09 – Los CIOs / CTOs tienen objetivos enfrentados, opuestos, diferentes, no alineados, a los CISOs /CSOs
10 – Las empresas no saben que hay dentro de sus organizaciones (no tienen inventarios confiables de dispositivos, sistemas, aplicaciones, datos)
11 – La gestion de las identidades y los accesos esta contaminada por y con politica organizacional, intereses personales y flojera (?)
12 – Dentro de las organizaciones ni se premia el trabajar de forma segura ni se castiga el trabajar de forma insegura.
13 – Los desarrolladores no tienen foco en seguridad
14 – La seguridad es un problema de todos
15 – El usuario es el eslabón mas debil
16 – La ingeniería social no puede se combatida desde la tecnologia
17 – Un atacante decidido y con recursos es imparable
18 – La motivacion economica no es la unica, aunque es la mas importante
19 – Todo empleado tiene un precio
20 – Empleados y dueños tienen motivaciones diferentes
21 – La mayoria de las empresas tienen una etica (interna) asimetrica
22 – No hay balas de plata
23 – Los fabricantes de soluciones de seguridad hablan de sus soluciones y de los problemas que resuelven sus soluciones, pero no colocan todo esto en un contexto de completitud (eso lo tiene que hacer cada cliente)
24 – Hay pocos recursos especializados en seguridad
25 – Los proveedores de servicios de seguridad (consultoras) tienen los mismos problemas de acceso a recursos especializados que las empresas que los contratan
26 – La seguridad es una profesion aburrida, ingrata y se percibe como un inhibidor
27 – El deficit de especialistas en seguridad aumentara.
28 – Actores gubernamentales y otros actores No estatales pero con intereses geopoliticos operan y seguiran operando en la 5 dimension (ciberespacio) como si fuera un campo de batalla (guerra fria)
29 – No hay legislaciones transnacionales efectivas o capacidad policial multijuridiccional – global hoy que represente una amenaza para los criminales que se encuentran detras de los ataques a personas o empresas
30 – Los incidentes de seguridad a personas y empresas son cada vez mas rentables (considerando los ultimos 5 años) para los criminales que se organizan para llevarlos a cabo.
31 – No hay industrias no afectadas por ataques
32 – No hay “tamaño de empresa” fuera del radar de los criminales
33 – Se ataca la seguridad de una empresa, porque se persigue un fin economico o un fin politico (este ultimo podría ser ecologico)
34 – La capacidad de monetizar un ataque suele ser desproporcionadamente menor al daño que produce a la victima (1/100 – 10/100?)
35 – Los fabricantes de “lo que sea, aplicaciones, plataformas, servicios, etc” lanzan, hacen publico, comercializan sus “lo que sea” habitualmente sin hacer lo suficiente para evitar que se incluyan “vulnerabilidades” que puedan ser explotadas por un atacante.
Supongo que con un poco mas de tiempo se me pueden ocurrir (o aflorar) algunas hipotesis mas. Conste aqui que utilizo la idea de hipotesis, porque aunque con forma de afirmaciones, no necesariamente son validas, universales o libres de excepciones, pero pueden servir para comenzar a bosquejar cierto tipo de patron (de segundo nivel) relacionado con por un lado como se entiende la realidad en la que estamos inmersos (y que cambio abruptamente en los últimos 50 años, lo que es muy poco por cierto), la forma en la que nos comunicamos (intercambiamos o compartimos eso que entendemos) y tomamos decisiones para operar sobre esa realidad.
¿Hay un problema de como entendemos la realidad actual, como la modelamos, como creemos que funciona, porque funcionaria como lo hace, etc, etc?
¿Hay un problema en como nos comunicamos, sobre quien es responsable, cuales son las herramientas, metodos, validaciones, simbolos, capacidad de incorporación, asimilacion, comparaciones, etc.?
¿Hay un problema para alcanzar acuerdos accionables, alinear esfuerzos, hacer sinergia, sumar voluntadas, negociar, etc?
Si esto fuera cierto y pueda aplicarse a cualquier disciplina, al aplicarlo a ciberseguridad, seguridad de la informacion, seguridad informatica, seguridad (y gobierno de datos) ¿habra posibilidad de construir algo que lo mejore?
Estoy en eso.
Creo que es posible, por eso me tome este 2021 para pensar y repensar y volver a pensarlo un par de veces mas, cuestionar todo, ir un poco mas alla, cruzar lo que Se de esta disciplina con otras disciplinas de las que se un poco menos, profundizar un poco en esas otras disciplinas, encontrar puntos de contacto entre disciplinas, alcanzar algún tipo de síntesis que permita operar, accionar, transformar, transmutar.
Ambicioso? Si, seguramente, pero no me corre nadie y puedo dedicarle el resto de lo que tenga por delante, hacer sinergia con otros que tengan inquietudes parecidas, sumar, multiplicar. (y en lo posible, tambien vivir de eso)
El 24 de Junio de 2021 participe en este webinar junto a Xelere e IBM Security para hablar de ZeroTrust y de las soluciones de IBM para gestión de identidades.
Las PyMEs también son blanco de ciber amenazas, La falta de recursos y conocimiento las hace más vulnerables. Es probable que una PyME no pueda darse el lujo de contratar un CISO para que atienda la gestión de la ciberseguridad. Es probable incluso que sea una sola persona la que esté a cargo de toda infraestructura tecnológica que soporta la empresa.
¿Qué hacer en estos casos? ¿Es posible enfrentar estos desafíos sin ser especialista en ciberseguridad? ¿Qué atender primero y por que? ¿Cómo pensar en este juego de roles y tener éxito?
Ya está disponible el vídeo del encuentro de hoy, sobre #Ransomware y #ZeroTrust organizado por .@Akamai_LATAM .@Akamai Fue un desafío, una conversación intensa y creo que valiosa. Ojalá lo disfruten.
Acceso gratuito, requiere registrarse en la plataforma brighttalk, hecho que sugiero hagan, para poder acceder a este y otros recursos muy valiosos (de toda la industria)
About this webinar
A medida que se desdibujan las líneas entre los dispositivos personales y empresariales, las amenazas a los usuarios remotos y los dispositivos aumentan. Este aumento repentino y la necesidad de escalar rápidamente el acceso a aplicaciones críticas para el negocio son un desafío, independientemente del tipo de aplicación o la ubicación.
¿Cómo está protegiendo a sus usuarios ante los ataques de phishing y ransomware?
Santiago Cavanna, profesional con mas de 20 años de experiencia en la industria de tecnología de la información y Ciberseguridad, conversará con Hugo Werner, VP regional en Akamai para Latinoamérica, y Carlos Deance, Gerente de Infraestructura y Operaciones en INFONAVIT México, sobre los desafíos de mantener a los empleados trabajando de forma totalmente remota o en un modelo híbrido, y cómo Zero Trust/SASE pueden colaborar en la estrategia de prevención de los ataques que este nuevo modelo genera.
Algunos temas a tratar en el encuentro: Confianza cero (Zero Trust) como modelo de seguridad SASE Mejores prácticas de aplicaciones de acceso remoto Prevención de malware y phishing Aplicaciones de seguridad de nivel empresarial Prioridades comerciales a raíz del cambiante panorama de amenazas
Y estas mis notas previas que guiaron la conversacion:
Apertura,
Me especializo en ciberseguridad desde 1999 (aunque entonces usábamos el término seguridad informática).
Consultor y Arquitecto, dirijo un thinktank de seguridad y transformación digital y coordino el centro de estudios en ciberseguridad y protección de datos de la universidad del CEMA en Argentina.
Me tocará el doble rol de moderador y ponente.
Hemos articulado esta conversación en tres bloques y esperamos ocupar no más de una hora, hora y cuarto como máximo
Hemos habilitado la posibilidad de hacer preguntas, que reservaremos para el final. y en caso de no llegar a contestarlas veremos de hacer llegar una respuesta luego.
Primer tema :
Introducción : Aumento de los ataques de Ransomware. 5 minutos
Como arquitecto de seguridad uno de los objetivos finales que se espera alcanzar, es asegurarnos que una arquitectura es apropiada para proteger los activos de una organización. El proceso incluye modelar amenazas para validar luego que se están contemplando las superficies de ataque y que se las están protegiendo apropiadamente.
Cuándo modelo una amenaza parto de una hipótesis, un caso de uso. El caso de uso por el que se comienza suele tener como característica, alta probabilidad de ocurrencia, alto impacto y posibilidades de ser abordados desde la tecnología, es decir que existen cosas bajo nuestro control, que accionadas adecuadamente mitigan el riesgo de forma significativa. y ahí entran los principios de Diseño “zero trust”. Un modelo patrón que nos ayudará a dar respuesta a esa amenaza.
Entonces una buena forma de comenzar esta reunión es preguntarnos si el Ransomware cumple estas condiciones de probabilidad e impacto.
Vamos a suponer que me creen. aunque no es difícil hacer una búsqueda en internet para encontrar decenas de reportes con poco margen de dispersión sobre estos números.
Estadísticas y tendencias:
Se estima que a finales de 2015 ocurría un ataque de ransomware cada 4 minutos, hubo un pico entre 2016 y 2017, luego salió del radar.
Desde principios de 2020 y lo que va del 2021 hemos visto un crecimiento astronómico. Hablamos de un ataque cada 11 segundos. Esto es más de 50 veces la marca de 2015. – Eso significa que en el transcurso de esta charla más de 350 empresas serán impactadas por un ataque. En caso de personas, estamos hablando de una cada 2 segundos.
Algunos de estos ataques serán exitosos, otros no. En qué porcentaje… Es difícil de decir, a las empresas no les gusta reconocer esto, a menos que estén obligadas.
Se estima que para el año 2021 las bandas criminales detrás de estos ataques provocaron pérdidas directas por 20.000 millones de dólares, los más pesimistas llegan a 6 trillones de dólares por impacto indirecto en la economía mundial.
Es probable que este año unas 10.000 empresas terminen pagando rescate. y eso no significa que recuperen la información, según Gartner, solo el 8% de quienes pagan, logran recuperar en tiempo y forma. Ya sea porque o bien no reciben las llaves para desencriptar o porque el proceso es tan lento y costoso que es preferible reconstruir, restaurar desde respaldos y rellenar el gap.
Para una empresa pequeña, el rescate promedio podría rondar los 10.000 dólares. En grandes empresas hemos visto pedidos de rescate de decenas de millones.
Pero esto es solo una fracción del costo que debe afrontar una empresa impactada con éxito por un ransomware.
Tendrá problemas de operación por semanas o meses.
Tendrá impacto reputacional, eventualmente acciones legales por parte de clientes, socios.
Tal vez deba afrontar multas o pagar compensaciones.
Probablemente deba reconstruir parte de la infraestructura informática que soporta el negocio para asegurarse que no haya persistencia de los atacantes.
¿Qué cambió?
El trabajo remoto a causa de la pandemia y un cambio en la modalidad de ataque que lo volvió más rentable. Las bandas criminales se organizan, se ofrecen servicios mutuamente
Ahora buscan robar información y amenazan con hacerla pública. La tasa de pago de rescate también se disparó y no hace más que retroalimentar el problema.
No vamos a discutir si se debe pagar o No. Es un tema muy interesante pero no alcanzaría la jornada para enumerar los argumentos a favor y en contra.
No hay industria o sector de la economía que esté fuera de peligro.
Seguramente hay empresas que tienen más que perder que otras, que almacenan más información de sus clientes o cuya reputación tiene un peso mayor en el modelo de negocio, pero las estadísticas muestran que no hay en principio una preferencia.
Perseguir estas bandas criminales es muy difícil, se imagina que trabajan en forma remota (aunque hay evidencia concreta de presencia en la región o al menos programadores nativos de la región)
Las técnicas de ataque mejoran, eso incluye la forma como se ocultan los atacantes o como ofuscan la ruta del dinero.
Finalmente cabe aclarar que se trata de una cantidad pequeña de “ransomware”, decenas, pero que son ofrecidos en el mercado negro como kits de ataque o como servicios, ransomware as a service. que luego son utilizados por grupos más pequeños que se encargan de la última milla, probablemente de la inteligencia necesaria para el spear phishing.
¿Cuál es la probabilidad de que sea atacado?
¿Cual es la probabilidad de que ese ataque sea exitoso?
Segundo tema:
El problema explicado en sus partes y vectores. 5 minutos
El ransomware es un tipo de ataque compuesto o combinado, Multifacético.
Esto se observa en lo que se conoce como Kill Chain, o sucesión de hechos que deben ocurrir hasta que el ataque se considera exitoso.
Es decir que no se trata del accionar de un solo componente ni que ocurren de una vez,
Para hacerlo simple. hablaremos de las macro fases de un ataque de este tipo.
Compromiso,
Propagación,
Exfiltración,
Encripción
Extorsión.
De hecho, me interesa concentrarme en las primeras tres macro fases. la del compromiso, la propagación y la exfiltración.
Observamos que el compromiso inicial en general sigue alguno de estos tres caminos.
El primero de ellos es a partir de una vulnerabilidad de día cero, sobre una aplicación o servicio expuesto (luego veremos que no necesariamente debe estar expuesto a internet)
En este primer camino, no hay participación de los usuarios, pero en los dos siguientes si y es fundamental.
El segundo está asociado con ataques de phishing con el objetivo de robar credenciales de acceso (ya que es habitual que los usuarios que usan métodos primitivos de autenticación, reutilicen el password en varios sistemas y que haya una acumulacion excesiva de privilegios
El tercer camino,
es el compromiso del dispositivo del usuario, a través de un malware que circunvalo el antivirus que suponemos estaba en dicho dispositivo y es el iniciador de un proceso largo y paciente de reconocimiento, movimiento lateral, propagación.
Aca los objetivos se separan. Por un lado se buscará operar sobre el dispositivo comprometido, por otro lado, se buscará propagar a la red y servidores de la empresa.
Quedémonos un poco más en esta tercer via. Porque precisamente decíamos que mandar a trabajar a los empleados a sus casas, muchas veces sin garantizar pleno control sobre los endpoints era una de las claves del crecimiento tan violento sobre el ransomware.
Las estadísticas muestran que son las campañas de spear phishing responsables de más del 85% de las brechas de seguridad de endpoint en los últimos 2 años.
Un usuario abre un adjunto, hace click en un enlace, descarga y ejecuta scripts maliciosos,
No se trata solo de correo electrónico, porque ahora debemos sumarle las redes sociales y plataformas multimedia y gaming.
Y todo esto ocurre fuera de las redes “en teoría” seguras, que habitualmente lo contienen cuando trabaja dentro de la oficina. Redes que en general filtran este tipo de contenido y previenen el acceso a sitios que se sabe, son peligrosos.
También es probable, muy probable que el usuario no se de cuenta de lo que ocurrió. No hay consecuencias inmediatas, todo parece funcionar como se espera.
El éxito de estos ataques es
pasar del endpoint de un usuario a las redes y servidores de la empresa en búsqueda de más botín de guerra, propagar sin ser descubierto en la mayor cantidad de equipos, descubrir y exfiltrar información para recién entonces encriptar y pedir rescate.
Estas dos últimas acciones distinguen estos ataques de otros que solo buscan el robo de información o el sabotaje, pero no hay que perder de vista que se utilizan tácticas y técnicas comunes y conocidas. La Matriz de Mitre es una fuente muy apropiada para entender cómo operan estos ataques y también para entender cómo prevenirlos, detectarlos o contenerlos.
Las empresas no pueden hacer que todo el tráfico de navegación de sus usuarios remotos, pasen por sus redes y filtros antes de alcanzar internet. Ancho de banda como primer motivo. Aunque no es el único.
Luego esa PC vuelve a la oficina o se conecta via VPN
para trabajar. cuando eso ocurre comienza la fase de propagación apalancada muchas veces en vulnerabilidades de día cero o conocidas pero no corregidas presentes en servidores o incluso impresoras que podrían ser accesibles dentro de esos “perímetros” de confianza.
Ya vendrán luego las acciones de movimiento lateral, escalación de privilegios, operación sobre controladores de dominio o incluso utilizar la propia infraestructura de distribución de software para propagarse dentro de la red.
El tiempo entre el compromiso inicial y la detección o el pedido de rescate ha sido en varios de los casos más resonantes, de meses, eso explica también el tipo de información que han utilizado para la extorsión y la capacidad de exfiltrar dichos documentos / información.
Uno puede suponer que se trata de aplicaciones extremadamente sofisticadas, imposibles de detectar y detener, pero no siempre es así, de hecho, en la mayoría de los casos, la dificultad para detectarlos, radica más en la incapacidad de controlar ciertos aspectos de las comunicaciones, el monitoreo, la aplicación de parches, problemas de segmentación de redes, exceso de permisos, en fin, una sucesión de factores simples y comunes, pero difíciles de erradicar de la cultura de las organizaciones.
¿Cómo sacan la información?
¿Cómo se llevan gigas de archivos sin que nadie lo note?
Créame que es un trabajo de hormiga. Tal vez lo más relevante a esta altura es comprender que no todo el tráfico se monitorea. No todos los protocolos se analizan. Fragmentar la información y enmascararla dentro de una consulta DNS por ejemplo, es una demostración de lo creativo que pueden ser.
Tercer tema:
Abordaje y Soluciones. 5 minutos
No hay una solución única, un único camino madurativo.
Es el conjunto de controles, articulados, retroalimentandose y apuntando a un un norte que viene resultando más apropiado y efectivo.
Comencé hablando de una hipótesis, de un caso de uso sobre el cual se modela la amenaza, en este caso de Ransomware. La clave está que se siguen principios de diseño de arquitectura, si gustan un Modelo Patron que conocemos como Zero Trust cuyos principios son:
No confío en nada ni en nadie.
Autenticar a cada paso,
Monitorear todo todo el tiempo
Accionar en tiempo real.
Y que responden a un mundo en en donde los usuarios son mobile y las aplicaciones de negocio viven en nubes híbridas.
Pongamos todo junto.
En la fase de compromiso inicial tenemos los endpoints, Corporativos o de terceros (incluye BYOD, Dispositivos de otras organizacio como prestadores de servicios y proveedores sobre los que no podemos hacer gestión completa)
Vimos además que pueden contener información valiosa, sensible y queremos evitar que se vea expuesta, comprometida.
El objetivo debería ser poder detectar el ataque de spear phishing antes incluso de que llegue al endpoint.
Si no puedo detectar el ataque, debería poder evitar la exfiltración de información y la propagación a las redes corporativas.
Para ello es necesario que el tráfico, todo el tráfico entrante y saliente sea analizado y filtrado. estamos de acuerdo?
Debo poder filtrar la comunicación que llega desde orígenes de mala reputación, Debo evitar que una comunicación intente alcanzar un destino que no es confiable. (siguiendo un link o como parte de la descarga de los elementos que constituyen un sitio comprometido)
En la fase de propagación, debemos comprender que estamos frente a un dispositivo, potencialmente comprometido, vamos a suponerlo comprometido.
¿Dejaríamos entrar un dispositivo comprometido a nuestra red?
Pero cuando se conecta por VPN estamos haciendo eso mismo, estamos permitiendo acceder a un dispositivo comprometido a nuestra red.
¿Habrá forma de permitir que los usuarios hagan su trabajo (accedan a las aplicaciones de negocios) sin tener que entrar a la red?
¿Habrá forma de evitar el uso de credenciales comprometidas sobre aplicaciones claves para el negocio o la infraestructura que la soporta?
Estas soluciones se conocen hace décadas. por un lado tenemos los Reverse proxy. y créame que también han evolucionado al punto de permitir “encapsular” aplicaciones legacy (no web), de resolver la gestión de identidades federadas y de incorporar capacidades de autenticación con múltiples factores.
Si no permito que un endpoint toque las redes donde están los servidores o filtre toda comunicación que no sea requerida, estoy dificultando la propagación de un ataque.
Proceso madurativo implica que se puede convivir, que se podría seguir usando VPN, pero que necesariamente hay que repensar el rol de firewalls de intranet.
Por otro lado tenemos las soluciones tipo Jump Server para el acceso privilegiado de administración. Los administradores no deberían tener acceso a las credenciales de privilegio y cuando sea necesario deberían atravesar un bastión de seguridad que analizaria (incluso limitaria) la interacción con dichos servidores y la transferencia de archivos. Despues de todo, tampoco debería confiar ciegamente en los administradores.
Respecto a la exfiltración de información. Esto debería aplicar indistintamente a donde se encuentre el endpoint pero también para el resto de los componentes de la infraestructura de la empresa.
Si fuera posible analizar el tráfico de salida, comprender su contenido, protocolo, destinatario estaríamos mucho más cerca también de evitar la fuga de la información comprometida.
Esto debería incluir la exfiltración creativa, como la que se hace sobre protocolo DNS. pero también cualquier otra que implique comunicación cifrada.
¿Es el destino de las comunicaciones de mala reputación o denunciadas como parte de un ataque de ransomware o forma parte de las comunicaciones habituales esperadas de nuestros procesos y aplicaciones?
Acá es donde uno esperaría poder trabajar en conjunto con proveedor de servicios de seguridad que tenga una economía de escala, capacidad para hacer el análisis sin impactar en la performance de las comunicaciones. Que pueda accionar
Bajar a papel es como… pensar dos veces, pensar de a muchos, discutir con uno mismo, exponerse y crecer.
Aunque parece obvio y tal vez lo sea, me voy a permitir repasar algunas ideas y reflexiones respecto al porque es mejor escribir lo que se va a decir, antes de decirlo.
Me refiero a las ponencias, presentaciones, disertaciones, exposiciones o como mejor prefiera definir y describir usted mismo el acto de hablar en público.
Cuando pensamos la Revista del CECIB, lo hicimos considerando que el objetivo principal por el cual un profesional querría dedicar tiempo y cabeza era el comunicar una idea. https://www.cfp.cecib-ucema.com/inicio
La comunicación es compleja, siempre es compleja. No solo porque sacar una idea de la cabeza y volcarla en algo que pueda ser compartido es difícil, sino porque ni hay una única forma de hacer, ni cada uno responde de igual forma a esas formas.
Por eso pensamos en ofrecer una variedad de formas para comunicar esa idea, formas complementarias y que al final también simplifican el proceso posterior, el de consumir esa idea. Claramente (para mi) estas formas obligan a ajustar el lenguaje que se usa y otra vez, aunque esto parezca obvio, no lo es.
Cuando sugerimos iniciar con un “paper” un escrito, lo hacemos para asegurarnos que la idea que se quiere comunicar es clara, primero y que los elementos para describirla y explicarla están allí presentes, en el escrito, de forma que su lectura sea en principio suficiente. Esto implica un conjunto de supuestos para el lector y dado que no todos los potenciales lectores podrían tener el conocimiento accesorio para entender algunos de los conceptos utilizados para la descripción/explicación en cuestión, se abre la posibilidad y necesidad de ir un poco mas allá.
La entrevista, el dialogo entre quien trae una idea y quien trata de entenderla, permite en un lenguaje mas coloquial poner un poco mas de luz en aquellas áreas que como dije antes, podrían no ser tan accesibles para todos.
La ponencia (el presentar esa idea en forma hablada, con un soporte visual o incluso la demostración de un caso de uso concreto) también permitirá interpretar esa idea, desde un lugar diferente a los dos anteriores. Al final quien expone una idea en un tiempo restringido (como suelen ser las presentaciones en la actualidad) esta obligado a resumir, consolidar, ir al punto y al mismo tiempo enfatizar los elementos mas importantes de su idea. Es un espacio para ejemplos, para experiencias concretas o hipotéticas, para la emoción, la provocación, el llamado a la acción.
No se necesita ser un especialista en comunicación, la propia profesión nos requiere a diario, comunicar y explicar, justificar y defender ideas y posiciones. Con un poco de ayuda eso se puede volcar a formatos digitales que perduran y permite seguir desarrollando esa idea, integrarla con otras, mejorarla o incluso si fuera necesario, corregirla.
Pero incluso y acá viene el punto del por que del título. Tanto la entrevista como la ponencia en si misma necesitan ser preparadas.
En las entrevistas, siempre es mejor que las preguntas se diseñen en conjunto, luego las respuestas se piensan con tiempo ( y deberían escribirse, al menos una vez, para tener ese registro en algún lugar del recuerdo al cual volver)
Respecto a la ponencia, uno podría pensar que el escrito original es suficiente, y la respuesta desde mi experiencia es que NO, como tampoco la presentación (ppt) es suficiente ya que al fin no se trata de leerla sino de soportar los eventuales silencios que ayudan a comunicar una idea (y por eso se recomienda que tengan la menor cantidad de texto posibles). Así y todo, la ponencia debería escribirse, bajarse a papel. Con el mismo lenguaje que uno utilizaría al hablar, las mismas palabras, las mismas estructuras de párrafos, tiempos, ejemplos. Es casi como escribir un segundo paper, pero solo para uno.
Mi recomendación, sobre todo para quienes no tienen la práctica de dar ese tipo de presentaciones en público, es que escriban la ponencia tal como la dirían cuando les llegase el momento, luego la lean en voz alta al menos dos veces, la segunda grabando el audio para luego escucharlo.
Yo se que mi voz no suena como me gustaría que sonara y es raro escucharme en un audio, sobre todo si me estoy exponiendo y ni hablar cuando estoy diciendo algo controversial, pero es una forma practica de reducir la presión, de aproximarme al momento con mucho menos riesgo y eventuales consecuencias. Es una forma de equivocarme a costo cero, aprender, mejorar y avanzar.
Al final no es una competencia, digo, no le tengo que ganar a nadie mas que a mis nervios y para eso lo que mejor me ayuda además de bajar a papel lo que quiero comunicar es practicar.
Si Tenes una idea, bájala a papel.
Escribe un ensayo (como este que acabas de leer), un “Paper”, un ppt, un audio, un video. Aunque no se lo muestres a nadie, pero hacelo.
Mucho mejor si lo quieres compartir.
Para eso creamos el CFP del CECIB. Para que los profesionales de Ciberseguridad y Gobierno de Datos que quieran compartir sus ideas tengan un espacio respetuoso y la ayuda de la propia comunidad de la que forman parte para compartir sus ideas.
