El factor humano, los errores de nivel 7 o el PBCK son algunos de los apelativos que se suelen dar a esa pieza de los sistemas informáticos que siempre es susceptible de ser un punto de fallo en la seguridad de una empresa. Mantenerlos alerta es algo fundamental para que sean capaces de reconocer un ataque informático o para que tomen constantemente las medidas de seguridad que los responsables dictan para el buen funcionamiento de la empresa. El tener un plan que ayude a que las personas de una organización estén siempre alerta y con las defensas activadas es una buena opción.
Sobre este tema hablé el otro día con un compañero, y aquí van algunas de las cosas que se pueden hacer para conseguir tener a la gente siempre dispuesta. Algunos son más fáciles que implantar que otros, pero tal vez alguna idea te venga bien para ello.
1.- La comunicación constante
Es importante que las personas conozcan los ataques que están sufriendo otras compañías y los de la compañía propiamente. Es importante que sepan lo que sucede día a día en el mundo de la ciberseguridad. Tal vez los que estamos trabajando día a día con este mundo nos los sabemos todos, pero es importante que ellos sepan qué ha pasado y cómo ha sucedido para que tomen conciencia del mundo en el que nos encontramos. En las empresas no solo vemos casos de APT, sino también de Ransomware, Defacements o robo de información que acaba publicada en la red. Un boletín de noticias semanal fácil de leer y muy dirigido a personal no técnico puede ser de gran utilidad.
2.- El ataque vía Spear Phshing constante
En los últimos ataques dirigidos hemos visto como los primeros pasos de una intrusión se han basado en técnicas tan sencillas como enviar un Spear Phishing a empleados de la compañía para robarles alguna credencial interna de aplicaciones de gestión de la empresa sin segundo factor de autenticación y poder controlar parte de los sistemas de la organización con ella.
Figura 2: Estadísticas de acciones en una campaña de Spear Phising en una empresa |
Hacer una ataque constante de Spear Phishing a empleados para comprobar su nivel de concienciación ante estos ataques permite tomar métricas de cuánto tiempo tardarías en detectar uno de los ataques de APT con el personal de la compañía que cuentas.
3.- Política de mesas limpias
El aplicar un política de mesas limpias, es decir, sin papeles en ningún sitio, puede ayudar a evitar fugas de información por pérdida o robo de documentos. Esto es fácil de aplicar si cuentas con la inestimable ayuda del equipo de limpieza de la compañía y les premias por tirar todo a la basura. Los primeros días seguro que algún compañero se queja, pero después todo el mundo lo asume y habrás cerrado un riesgo del tirón. Esto debe realizarse también con dispositivos electrónicos y de almacenamiento, pero en este caso con reporte al equipo de seguridad.
4.- Monitorización aleatoria de cumplimiento de medidas
Igual que en los controles de los aeropuertos hay un registro aleatorio de pasajeros, esta misma política se puede aplicar a los equipos del personal. No es necesario hacer un proyecto de análisis forense completo del equipo y los dispositivos del empleado, pero sí a dedicar unos minutos a repasar la configuración del equipo, del dispositivo móvil, ver si está siguiendo las políticas de la compañía en el uso de pendrives, conexiones a redes WiFi en tránsito, cifrado de dispositivos, etcétera. Esto debe aprovecharse también como un momento de formación con la persona para que entienda mucho mejor cómo protegerse.
5.- El ataque "David Hasselhoff" al equipo de escritorio y al móvil
Dese los años en Informática 64 se ha transmitido a los nuevos empleados la necesidad de cerrar las sesiones cuando alguien se aleja de su puesto de trabajo. En nuestro caso seguimos tirando del viejo Ataque "David Hasselhoff" que consiste en poner a David desnudo con sus perritos de fondo de pantalla, pero también hemos recibido los típicos emails de invitaciones a boda o similares. Este juego entre nosotros hace que la gente tenga mucho cuidado del cierre de sus sesiones en todo momento. Unos segundos de descuido pueden servir para que te roben las cuentas cacheadas o las cookies de las sesiones, así que hay que tomar conciencia del riesgo. En Eleven Paths tus propios compañeros de sitio pueden ser tus peores enemigos en un ataque David Hasselfhoff.
Figura 3: Ingenieros, diseñadores, QA, Product Managers o gente de IT en Eleven Paths que han pasado con éxito por el curso 101 de David Hasselhoff |
El teléfono móvil hoy en día es un arma poderosa en la privacidad de las personas, tenerlo fortificado es fundamental y un empresa con una política de BYOD sin un plan de EMM (Enterprise Mobile Management) con políticas de seguridad tiene un montón de equipos conectados en sus redes que pueden acarrear serios riesgos de seguridad. Además de gestionar el dispositivo, hay que hacer a la gente que controle el acceso físico a los mismo. Retirar terminales "descuidados" temporalmente, configurar alertas a las 3 de la mañana a aquellos que no han quitado Siri, o robar cuentas usando los mensajes de previsualización, son algunas de las maldades - equivalentes al ataque David Hasselhoff - que algunos compañeros se hacen unos a otros.
6.- La prueba de los pendrives
De igual forma, conocer cómo se comportan los usuarios ante la aparición de pendrives nuevos en sus zonas de acción es más que interesante. Lo que deberían hacer los usuarios con cualquier aparición de un nuevo pendrive, disco duro o dispositivo sería reportarlo al equipo de seguridad, pero cabe la posibilidad de que se lo lleve a su casa o que lo intente conectar directamente a los equipos de la empresa. Monitorizar estos comportamiento te ayudará a saber el grado de concienciación que tienen los empleados. Saber en qué equipo ha acabado pinchado un pendrive se puede hacer remotamente si es un equipo corporativo, o poniendo un señuelo en forma de fichero en el mismo que llame a casa - como si fuera un ataque de doxing -.
7.- La actividad extraña en las cercanías
Muchas veces los ataques se pueden hacer desde las redes WiFi cercanas, o mediante el establecimiento de estaciones falsas GSM, pinchando una línea de teléfono, o manipulando los cuadros de control de las estaciones energéticas, de comunicaciones, etcétera. Probar cuanto tiempo tarda en llegar una alerta al equipo de seguridad después de poner a gente haciendo cosas "extrañas" en las cercanías - o directamente dentro - de tus instalaciones, puede ser una métrica que se ayude a saber en qué cosas debes formar a tus equipos para detectar lo antes posible este tipo de ataques.
8.- El pentesting persistente
Nuestra visión, como ya sabéis, es que los procesos de pentesting de una compañía deben ser constantes. 365 días al año. Esto nos permite que, nada más poner en producción algo, los nuevos despliegues y configuraciones estén sometidos al pentesting. Con la aplicación de estas medidas logramos que los desarrolladores y administradores tengan más cuidado en el tipo de acciones que toman, ya que si por pereza o descuido se dejan algo mal saben que van a ser detectados al poco por el sistema de pentesting persistente.
Figura 4: Consola de monitorización de Faast |
Esto a nosotros nos ha ayudado a que cada vez los técnicos sean más cuidadosos a la hora de publicar cosas al exterior.
9.- Resistencia frente a ataques de ingeniería social
La ingeniería social es un arte para hacer que las personas, con el afán de ayudar, se salten las políticas de seguridad. Compañeros como Claudio Caracciolo son un autentico maestro en conseguir que la gente siempre confíe en su magnifica y confiable sonrisa bonachona para lograr que los empleados de las empresas se salten las políticas de seguridad. Un test periódico con diferentes tipos de perfiles te permitirá saber cuánta gente se salta esa política y, con el afán de ayudar, es capaz de pinchar cualquier cosa en su sistema informático para solucionar un problema a un extraño.
10.- Formación continua
No hay nada como formar constantemente al personal de la empresa en seguridad informática. Que conozcan cómo defenderse, como manejar las herramientas que el equipo de seguridad pone a su disposición, que conozcan los procedimientos que deben seguir ante cualquier situación anómala, que se sepan de memoria las principales directrices de la política de seguridad. Hay que invertir tiempo en formar, informar y hacer campañas de incentivo en su aplicación.
Son solo algunas ideas, pero si las aplicas constantemente te permitirá tener una compañía con personas más preparadas para detectar los ataques y ser menos vulnerables. Realizar este tipo de pruebas - u otras similares - de manera constante te ayudará a tener métricas que podrás unir a las de la seguridad de tus sistemas y a elegir más eficientemente qué medidas debes aplicar en tus sistemas. Te van a atacar - si no lo han hecho ya - así que es mejor que mejor que cuentes con los mejores soldados en tus filas.
Saludos Malignos!
Muy buen post !!
ResponderEliminarPor otro lado, ya han empezado las rebajas...este año no hay algun cupon descuento para la serie 0xword? Queremos leer este verano !! xddd
Un saludo, crack !!
Lo de las mesas limpias. ¿No hay otro método que sea un poco más intrusivo? Eso es un imposible, además que va en contra la productividad. Ya no sólo de administrativos, también de técnicos y la verdad, es que el papel, planos etc es algo de lo que no se puede prescindir hoy en día.
ResponderEliminarPara Anónimo:
ResponderEliminarA mi que no me quiten mi libreta para trabajar pero la dejo en la cajonera cerrada con llave.
Mesas limpias no significa in papel ;)
Os paso un enlace de un kit de concienciación gratuito para implantar en empresas que "toca" prácticamente todos estos puntos y ayuda justamente a concienciar a los empleados en ciberseguridad:
ResponderEliminarhttps://www.incibe.es/empresas/Kit_de_concienciacion/
Me ha gustado mucho
ResponderEliminarY gracias Anónimo por el enlace de incibe. Está muy bien
ResponderEliminar