Estableciendo un lenguaje común en ciberseguridad

Desde la trincheraActualmente se habla mucho sobre ciberseguridad y los nuevos riesgos a los que estamos expuestos pero, ¿entendemos todos lo mismo sobre ciberseguridad?, ¿sabemos cuáles son esos nuevos riesgos?, ¿tenemos claridad en cómo enfrentar los nuevos tipos de ataques? Dada la importancia de estos temas, a partir de este número empezaremos a dedicar un espacio para tratar diversos temas relacionados con ciberseguridad y ciberinteligencia.

En este número iniciaremos con una serie de definiciones elementales, pretendiendo establecer un lenguaje común que nos permita crear un marco de referencia y contexto general para futuros artículos. Las definiciones están basadas en diversas fuentes[1] y en algunos casos llevan un poco de mi cosecha.

Antes de entrar en materia, quisiera comentar algunas premisas que hay que tener presentes como parte de este contexto común y que hacen que los conceptos a describir más adelante sean relevantes:

  • Los atacantes han cambiado, ahora son grupos organizados con las capacidades y los recursos para concretar sus metas además de contar con una motivación y una clara definición del objetivo que persiguen.
  • Las estrategias de ataque son más complejas y de largo plazo, utilizan múltiples pasos para llegar a su objetivo, combinan diversas técnicas de explotación (exploits) y de evasión, emplean malware avanzado así como diversos mecanismos para pasar desapercibidos.
  • Los ataques ahora son dirigidos, es decir, se planean, articulan y ejecutan pensando en el perfil particular de la víctima, de tal forma que sea mucho más factible el éxito. Lo anterior, aunado al valor de la información que los atacantes buscan extraer, provoca que su impacto sea muy alto. En otras palabras, la probabilidad de ocurrencia y el impacto de estos riegos se han incrementado significativamente.
  • Por último, si bien puede sonar pesimista o un tanto catastrófico, en este momento la mayoría de los expertos coinciden en que debemos pensar que es casi un hecho que seremos atacados y que la probabilidad de éxito de dichos ataques es alta, por lo que se vuelve prioritario trabajar en fortalecer, entre otras, la capacidad de detectar que estamos siendo víctimas de un ataque avanzado; de analizar su estructura y comportamiento para poder contenerlo y remediarlo; así como de analizar los efectos o el impacto que se haya tenido.

A continuación menciono algunas de las definiciones que considero básicas para entender el contexto y establecer ese lenguaje común:

APT (advanced persistant threat, ataque persistente avanzado). Ciberataque en contra de una entidad específica realizado por un ciberactor para robar, por un tiempo prolongado, información valiosa. Los atacantes buscan pasar inadvertidos y utilizan múltiples métodos para vulnerar a la organización objetivo, estos normalmente son difíciles de detectar y remover sobre todo para las tecnologías de seguridad tradicionales. Una vez que el blanco es vulnerado se crean puertas traseras que permiten al atacante tener acceso continuo (esto se conoce como comando y control) sobre los sistemas comprometidos. El atacante busca expandir su alcance tomando control de más equipos y así afianzar su permanencia (lograr la persistencia), para mantener el acceso por largos periodos de tiempo con el fin de recolectar más información sobre el blanco, realizar más ataques (movimientos laterales) hasta que se logre el acceso y extraer la información objetivo. Típicamente se organizan a través de campañas, las cuales pueden estar conformadas por una o más operaciones, y cada operación suele tener las siguientes fases: 1) preparación; 2) infección; 3) expansión y consecución de la persistencia; 4) búsqueda y extracción de información; 4) limpieza.

Ciberespacio. Un dominio global en el entorno de la información consistente en la red interdependiente de infraestructuras de sistemas de información incluyendo Internet, redes de telecomunicaciones y equipos de cómputo.

Ciberactor. Persona u organización que posee un objetivo, motivación y recursos para hacer daño buscando una oportunidad para explotar una vulnerabilidad. Se identifican los siguientes tipos:

  • Grupos delincuentes.
  • Grupos terroristas.
  • Grupos subversivos (hacktivismo).
  • Gobiernos hostiles (rogue state).
  • Hackers aislados.
  • Competencia (espionaje).

Ciberamenaza. Un ciberactor malintencionado con un propósito político, social, económico o personal, con cierto nivel de capacidades (capabilities) y que tiene la intención de dañar u oponerse a un gobierno, organización privada o a alguna norma social.

Ciberriesgo. Grupo de riesgos a los que una organización se ve expuesta al participar o interactuar en el ciberespacio, entendiendo por riesgo la probabilidad de que una ciberamenaza determinada explote las vulnerabilidades de un activo o grupo de activos y que ocasione una pérdida o daños a los mismos (impacto). Usualmente se mide mediante la combinación de la probabilidad de ocurrencia y el posible impacto.

Ciberataque. Actividad maliciosa realizada a través  del ciberespacio con el fin de destruir la integridad de datos, robar información clasificada o perturbar, desactivar, destruir o maliciosamente controlar un entorno o infraestructura de cómputo.

Ciberseguridad. La habilidad de proteger o defender el uso del ciberespacio de ciberataques con el fin de evitar el acceso, uso, alteración, modificación, extracción o destrucción no autorizado de la información almacenada electrónicamente.

Ciberinteligencia. Adquisición y análisis de información para identificar, rastrear, predecir y contrarrestar las capacidades, intensiones y actividades de los ciberactores y ofrecer cursos de acción que mejoren la toma de decisiones para la prevención, detección y remediación de ciberataques.

Crawler. Herramienta que analiza de forma automatizada páginas Web con el fin de copiar su contenido e inspeccionar todos su hipervínculos, para posteriormente procesarlas e indexarlas, facilitando el trabajo de los motores de búsqueda y reduciendo sus tiempos de respuesta.

Analítica de seguridad (security analytics). Es la recolección y procesamiento de grandes conjuntos de datos de seguridad con herramientas que permitan: 1) gran escalabilidad para colectar, procesar y almacenar muchos terabytes o petabytes de datos; 2) flexibilidad analítica que permita interactuar, consultar y visualizar esos grandes volúmenes de información en una diversidad de formas, y 3) alto rendimiento, a través de una arquitectura adecuada para procesar los algoritmos de análisis de información y las consultas complejas, produciendo resultados en tiempos aceptables.

DeepWeb y Darkweb. DeepWeb son todos los sitios Web que no pueden ser accedidos a través de los buscadores (search engines) y que no son indizados o catalogados por los crawlers. En la Deepweb se puede encontrar todo tipo de contenido, desde documentos inofensivos hasta redes de criminales, venta de armas, pedofilia, pornografía infantil, y material por el estilo. La DarkWeb es una pequeña porción de la DeepWeb que se oculta intencionalmente y se mantiene el anonimato del origen y destino, los navegadores tradicionales no pueden acceder por lo que se requiere un navegador específico como por ejemplo Tor (The Onion Router).

Malware. Software o código malicioso que puede dañar o deshabilitar, tomar control o robar información de un sistema computacional. Incluye botnets, virus, gusanos, troyanos, bombas lógicas, rootkits, bootkits, puertas trasera, spyware y adware.

Spearphishing. Campaña de phishing dirigida a un blanco específico que parece más creíble para las víctimas al contar con información muy específica que hace sentido en su contexto, por lo que la probabilidad de éxito es muy alta.

.

Conclusión

Hoy ciberseguridad es un concepto difuso en el mercado, existen múltiples definiciones o formas de entenderlo, aunque por otro lado sí existen elementos comunes. Se puede decir que es un concepto que está de moda, sin embargo, los riesgos son un hecho, están presentes y todo tipo de organización está expuesta, por lo que considero que una tarea fundamental de los responsables de seguridad de la información es el establecer un lenguaje común al interior de su organización para facilitar el entendimiento de: 1) la problemática, 2) la postura particular de ciberseguridad, y 3) los esfuerzos que se hagan para mitigar los riesgos.

 [email protected]

.

 [1] – NIST IR 7298 , GLOSSARY OF KEY INFORMATION SECURITY TERMS

– Lifecycle of an Advanced Persistent Threat, Counter Threat Unit research, DELL

http://www.brightplanet.com/2014/03/clearing-confusion-deep-web-vs-dark-web/#more-3106

– CISA® GLOSSARY

http://www.networkworld.com/community/blog/defining-big-data-security-analytics

– Cybersecurity for dummies, Palo Alto Netowrks Edition

– SEI Emerging Technology Center: Cyber Intelligence Tradecraft Project

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*