Ingresa o regístrate acá para seguir este blog.

Imagen tomada de CSO Online, https://www.csoonline.com/article/3269341/cyber-attacks-espionage/a-first-quarter-look-at-cybercrime.html

@isitreallysafe

@isitreallysafe

En este blog iniciaré una serie de publicaciones acerca de la relación entre las áreas de cíber crimen y cíber seguridad, la importancia de las investigaciones tras los ataques informáticos y la confianza entre el sector privado y las unidades cyber de policía. En esta primera entrada aportaré una corta descripción acerca de lo que puede entenderse por cíber seguridad y cíber crimen como áreas de trabajo, para concentrarme luego en las clasificaciones en las que, en mi criterio, se encuentran las organizaciones en materia de cíber seguridad. De aquí pasaré a explicar cómo estas dos áreas se encuentran y se apoyan mutuamente.

En los blogs que seguirán a éste, que publicaré en las siguientes semanas, continuaré desarrollando este tema intentando responder preguntas como ¿cuándo y por qué debe hacerse una investigación tras un ataque informático? ¿quién debe hacer esa investigación? ¿cuándo deben las organizaciones compartir información sobre los ataques con las unidades cyber de policía?

Por ahora, daré inicio a la primera parte de esta secuencia de blogs hablando un poco acerca de la relación entre cíber seguridad y cíber crimen, así:

Se puede generalizar y decir que, en general, la cíber seguridad se enfoca en la protección de la información y de la infraestructura propias o de los clientes de quien provee estos servicios, mientras que el área de cíber crimen se encarga del análisis de las conductas maliciosas, que pueden o no ser delictivas dependiendo de la jurisdicción, de la identificación de los responsables y el estudio de sus tácticas, técnicas y procedimientos (TTPs, por sus siglas en inglés) y de su posterior judicialización, cuando ésta es posible.

Las dos áreas se acercan en la medida en la que hay un mayor nivel de experiencia y conocimiento, o un mayor nivel de exposición y riesgo. Si se piensa en un modelo de pirámide, en la base estaría el nivel básico de cíber seguridad, en el medio un nivel más avanzado y en la punta se encontraría un nivel que pasa de la defensa pasiva a la acción investigativa.

Niveles en cíber seguridad e interacción con cíber crimen

En el nivel básico, que es el nivel en el que se encuentra la gran mayoría de organizaciones, la cíber seguridad implementa controles de acceso, levanta barreras y controla el uso de recursos, pero no pasa de esto. Piense, por ejemplo, en las organizaciones que tienen un esquema elemental de seguridad en el que cuentan con algún producto de detección de malware, controlan el acceso de usuarios a su red y tal vez hasta implementan un firewall.

En el nivel medio, en el que se encuentran organizaciones con un nivel más específico de madurez en esta área, la cíber seguridad frecuentemente implementa y cumple con estándares internacionales de seguridad, o al menos le gustaría sinceramente hacerlo, y busca conocer acerca de las formas de malware más nuevas y de los métodos de ataque recientemente detectados para configurar la infraestructura a defender de forma correspondiente. En este nivel de la pirámide, la información acerca de los TTPs suele ser obtenida por los funcionarios del área a través de la información publicada por las empresas que ofrecen las aplicaciones más comunes contra malware, así como a través de foros o grupos de seguridad en los que con frecuencia se comparte esta clase de información, ocasionalmente incluso proviniendo de individuos inquietos que detectan los nuevos TTPs. Piense, por ejemplo, en organizaciones de un mayor tamaño que cuentan con equipos de cíber seguridad que administran la seguridad de su infraestructura informacional y, por ejemplo, reciben reportes de productores de aplicaciones contra malware para luego adecuar las reglas de los enrutadores y de los firewalls de sus organizaciones con el fin de mitigar esos vectores de ataque específicos.

A un nivel más alto aún, cuando la exposición al riesgo es más alta y el nivel de conocimiento es más específico, se encuentran las organizaciones para las que limitarse a cumplir con estándares de seguridad y recibir reportes o boletines de seguridad no es suficiente. Estas organizaciones tienen la necesidad de ir un paso más allá para minimizar su nivel de riesgo a uno que sea aceptable.

Pasando a la investigación activa

Las organizaciones en este nivel responden a los ataques con investigaciones más o menos profundas que les permiten, cuando menos, identificar la infraestructura usada por los atacantes, los vectores de ataque utilizados y, posiblemente, la identidad y la ubicación de esos atacantes. Estas organizaciones entienden su necesidad de contener el ataque en el menor tiempo posible (para lo que necesitan identificar esa infraestructura criminal), minimizar su impacto y neutralizar a sus adversarios (siendo la judicialización de los casos la mejor forma de conseguir esto, con frecuencia debiendo buscar la colaboración de autoridades judiciales y policiales en diferentes países).

Estas organizaciones suelen ser grandes bancos, grupos empresariales con presencia en varios países, entidades gubernamentales, el sector justicia y las mismas fuerzas de seguridad. Sus bienes informacionales son de un altísimo valor y cualquier afectación a su reputación puede generar desde una pérdida en su participación de mercado hasta una caída considerable en el valor de sus acciones en bolsa.

Sin embargo, esta clase de respuesta investigativa, que requiere de ciertos recursos, conocimiento y experiencia, puede y suele ser apropiada para organizaciones de cualquier tamaño y cualquier sector. Dos criterios que pueden ayudar a decidir si es adecuado responder de esta forma frente a un incidente, son la potencialidad de que el ataque genere un impacto importante y el desconocimiento acerca de las motivaciones y los TTPs de los atacantes.

En realidad, la variedad de casos en los que debería existir una investigación tras un ataque es muy amplia, independientemente del tamaño o del perfil de la organización víctima porque, finalmente, las motivaciones, los recursos y los TTPs de los atacantes son en esencia desconocidos de manera inicial y porque el potencial impacto de un ataque puede alcanzar proporciones descomunales, teniendo en cuenta que al menos parte de ese impacto se puede mitigar, aún después del incidente.

Como ya mencioné, en las próximas semanas abordaré temas como cuándo y por qué debe iniciarse una investigación tras un ataque, quién debe realizar la investigación, cuándo deben las organizaciones compartir información con las unidades cyber de policía y qué corresponde a esas unidades cyber para conseguir que, efectivamente, las organizaciones confíen en ellas.

(Nota: La imagen que encabeza este blog fue tomada de csoonline.com).

Carlos Álvarez
blogladooscuro @ gmail.com
@isitreallysafe

Compartir post