De la prevención a la anticipación - pdf - junio 2014

295 views
231 views

Published on

Una de las principales preocupaciones de los profesionales de la Seguridad es cómo hacer frente al reto que supone llegar a tiempo para impedir que un ataque tenga éxito o para limitar su impacto en el caso de que lo haya logrado.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
295
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

De la prevención a la anticipación - pdf - junio 2014

  1. 1. convergencia monográfico 46 red seguridad junio 2014 especial detectado hasta que la información llega al primer nivel de respuesta. Tiempo de Explotación: El tiem- po que necesita un atacante para explotar el ataque (lograr el impacto deseado) después del éxito ini- cial del mismo (de la rotura de las defensas). Tiempo de Reacción: El tiempo transcurrido entre la detección del ataque y el momento en el que estamos en condiciones de comen- zar a responder a dicho ataque. Tiempo de Eficacia: El tiempo transcurrido entre que comienza la respuesta y esta alcanza un nivel de eficacia suficiente para impedir el éxito del ataque o minimizar su impacto. Tiempo de Retirada: El tiempo que necesita un atacante, después de alcanzar sus objetivos, para des- aparecer del escenario y borrar su rastro. Tiempo de Respuesta: Es la suma de los tiempos de detección, reac- ción y eficacia. Hasta este momento, los mayo- res esfuerzos que han realizado las organizaciones han estado destina- dos a aumentar el tiempo de retar- do, primero, y a disminuir el tiempo de respuesta, después. Para aumentar el tiempo de retardo, y por lo tanto el de ataque, lo habitual ha sido incrementar la cantidad y calidad de las medidas de seguridad con la intención de maximizar este tiempo y lograr el objetivo de llegar a impedir el éxito de los ataques. Para ello, se han instalado muros, puertas blinda- das, sistemas de cifrado, corta- fuegos, controles de acceso, etc.; en resumen, una serie de medidas de seguridad cada vez más avan- zadas y eficaces, pero con un coste económico que en muchos casos es muy importante. Este camino tiene un límite, no se puede seguir invirtiendo hasta conseguir un tiempo de retardo que tienda al infinito. Para disminuir el tiempo de res- puesta, el camino utilizado ha sido principalmente intentar que uno de sus componentes, el tiempo de detección, tienda a cero, y para ello se han instalado sistemas de detección y alarma avanzados, de alerta temprana, tanto en el mundo físico como en el ciberespacio, que implican una inversión en medios humanos y técnicos de un nivel aceptable para la reducción de tiempo alcanzada. Pero en el caso de otro de los componentes del tiempo de respuesta, el tiempo de reacción, es prácticamente inviable que el objetivo sea lograr el cero, por los costes que ello conlleva, dado que supondría tener todos nuestros recursos, listos para la intervención, las 24 horas de los 365 días del año. El problema de los tiempos del que estamos hablando, y su posible solución, es idéntico tanto en un escenario del mundo físico como en el ciberespacio; pero, además, es que hoy en día la separación de ambos mundos ya no existe, lo que ocurre en el ciberespacio tienen reflejo en el mundo físico y viceversa, están completamente interrelacionados. Por tanto, la respuesta a este problema de tiempos, que no es otra cosa sino la defensa de los activos de nuestra organización, debe plantearse en un escenario de interrelación entre el mundo físico y el ciberespacio. Nuestro objetivo es impedir que el atacante tenga éxito, y para ello es necesario que nuestra respuesta ante un ataque sea efectiva, antes de que transcurra el tiempo que el atacante necesita para tener éxito en su ataque y explotar dicho éxito. Una de las principales preocupa- ciones de los profesionales de la Seguridad es cómo hacer frente al reto que supone llegar a tiempo para impedir que un ataque tenga éxito o para limitar su impacto en el caso de que lo haya logrado. Este problema del tiempo tiene diferentes enfoques y varian- tes dependiendo de los autores y modelos de seguridad. Para pasar de la prevención a la anticipación vamos a utilizar el paradigma de la Convergencia de la Seguridad, el modelo de Seguridad Integral, y lo primero, para ser concretos y pre- cisos, es definir qué entendemos por cada uno de los tiempos que intervienen en el problema. Tiempo de Retardo: El tiempo que retrasan las medidas de segu- ridad que tengamos implantadas el éxito de un ataque. Tiempo de Ataque: El tiempo que necesita un atacante para que su ataque tenga éxito. Tiempo de Detección: El tiempo transcurrido entre el momento en que se ha iniciado el ataque y es Ricardo Cañizares Sales Director de Consultoría de Eulen Seguridad De la prevención a la anticipación
  2. 2. red seguridad junio 2014 47especial convergencia monográfico Para garantizar la seguridad de una organización hacen falta cuatro elementos indispensables: inteligencia, personas, herramientas y metodología no de la inversión; pues lo mismo ocurre con la inteligencia: las inver- siones que hagamos en esta materia van a tener un retorno mucho más alto que cualquier otra inversión en otro tipo de recursos. Tenemos que pasar de una seguri- dad reactiva a una seguridad proac- tiva, debemos anticiparnos. No podemos esperar a que nos golpeen para intentar reaccionar, siempre llegaremos tarde. Tenemos que tomar la iniciativa, sobre todo en aquellos campos en los que las empresas se juegan su superviven- cia. Y no solo me estoy refiriendo a campos como el de la protección de infraestructuras críticas, hay otros escenarios en los que la anticipación es necesaria y seguro que se les ocurren muchas circunstancias en las que sería de utilidad disponer de la capacidad de anticipación que nos proporciona la inteligencia. a disuadirlo y hacer que abandone su ataque. En el desarrollo de nuestro modelo de seguridad, siempre hemos desta- cado que para garantizar la seguri- dad de una organización hacen falta cuatro elementos indispensables: inteligencia, personas, herramientas y metodología. El volumen de las inversiones en seguridad que realizan las diferentes organizaciones en estas cuatro áreas es dispar, dependiendo, entre otras cosas, de sus necesidades de segu- ridad y diferentes sensibilidades. En lo que sí coinciden casi todas ellas, por supuesto con alguna excepción, es que sus inversiones en inteligencia son prácticamente nulas. Esta falta de inversión en inteligen- cia debe cambiar. Todo el mundo sabe que un buen procedimiento es una medida de seguridad barata, eficaz y eficiente y con un alto retor- Tiempo de Respuesta < Tiempo de Ataque + Tiempo de Explotación En esta carrera corre con ventaja el atacante, ya que él es quien decide el momento de salida, y lo escoge cuando las condiciones le son más propicias para alcanzar su objetivo. En este momento, en la mayoría de los escenarios a los que tenemos que hacer frente, no es posible lograr una mayor reducción del tiempo de respuesta a un coste razonable, e incrementar el tiempo de ataque aumentando el tiempo de retardo en base a ampliar las medidas de seguridad implantadas; �tampoco es una solución que por relación coste/eficacia sea aceptable. Ante esta tesitura solo nos queda intentar “adivinar” el momento y lugar del ataque para poder incluir un nuevo tiempo en la ecuación. Tiempo de Anticipación: La ante- lación con la que nuestro servicio de inteligencia nos proporciona infor- mación fiable del posible inicio del ataque. Tiempo de Anticipación + Tiempo de Respuesta < Tiempo de Ataque + Tiempo de Explotación Si, como hemos visto en el momen- to en el que nos encontramos, la res- puesta es anticiparnos, entonces la solución es la inteligencia. Tenemos que ser capaces de detectar que un ataque va a comenzar y activar nuestros recur- sos, escasos y costosos, con la agilidad y rapidez necesarias para impedir que el atacante tenga éxito y lo explote. El mero hecho de la activación de los medios de res- puesta es una medida de seguri- dad eficaz, ya que va a ser detec- tada por el atacante y puede llegar

×