La gestión de la seguridad de una organización grande suele ser algo complejo. El volumen de sistemas de información que se manejan crece día a día a una velocidad superior a la que se introducen los mecanismos de gestión y seguridad. Además, la obsolescencia continuada del parque informático, el cumplimiento normativo y legislativo, unido a los incidentes que surgen, hacen que el día a día de un equipo de seguridad de una organización sea una aventura en la que tienen que lidiar con los temas urgentes, los proyectos importantes y la visión a largo plazo. Una aventura que los CISO y los CSO de las organizaciones deben vivir con la cabeza fría para llevar a la compañía dentro de los límites de un "Riesgo Aceptable".
Pero no penséis que esto es solo su trabajo. No, al igual que hay auditores fiscales y contables que revisan todo lo que tiene que ver con el movimiento de dinero y presupuestos dentro de las empresas, también están los auditores internos de seguridad que revisan si el trabajo de los CISO y los CSO está siendo el adecuado o no y si, está alineado y cumple con la normativa global, central o gubernamental. Estos informes suelen, además, sacar del plan de trabajo a los CSO y CISO ya que acaban en los más altos estamentos de la empresa y les rompe la planificación de su trabajo.
Figura 2: Informe de auditoría de seguridad a los sistemas IT del DHS |
En el gobierno de los Estados Unidos también hacen estos informes de auditoría, y han publicado el referente al mes de Noviembre que se ha realizado a los sistemas de información del DHS (Department of Homeland Security), con unos resultados que he visto en tantas y tantas organizaciones que me he sentido hasta "feliz". No feliz en el sentido de que disfrute con que un sistema de seguridad esté mal, sino feliz porque he estado con muchos - y cuando digo muchos, son muchos - CISO y CSO que sufren por las cosas que ellos saben que tienen mal y luchan contra viento, marea y presupuestos por ir avanzando poco a poco. Muchos de ellos, además, sufren pensando que están peor que otros, y ver que el DHS tiene exactamente los mismos problemas, me ha hecho animarme a publicar este artículo para mis amigos CISO y CSO.
Shadow IT - Mal inventariado de activos
El primer punto importante que dice este informe de auditoría seguro que los conocéis muchos. El informe de auditoría hace referencia a que los informes de activos consolidados de las distintas áreas no muestran los mismos activos que el informe del área de seguridad. En esto falla el DHS.
Figura 3: Mal inventariado de activos en los reportes |
Esto también se produce porque no hay un sistemas centralizado de inventario o porque muchas áreas en las empresas empiezan a meter lo que se ha dado en llamar Shadow IT, o lo que es lo mismo, del Bring Your Own Device referido al terminal smartphone, muchos departamentos de las empresas empiezan a hacer cosas como Bring Your Own Cloud, Bring Your Own NAS, Bring Your Own WiFi Hotspot, etcétera, debido a que como muchos empleados tienen conocimientos avanzados de tecnología, comienzan a hacerse "sus cosas" cuando las necesitan, generando un problema de seguridad en la organización sin darse cuenta. Esto, por supuesto, da lugar a las famosas Hidden Networks dentro de las empresas.
Defence in Depth - Do the Basics
Si una empresa no está preparada para asumir su siguiente paso en el nivel de madurez de seguridad, entonces va a estar perdida. Siempre contamos que las empresas más inmaduras en seguridad tienden solo a invertir en Prevenir los incidentes de seguridad, por lo que basan muchas de sus inversiones en software de protección perimetral, con la esperanza de poder frenar todos los atacantes fuera de sus sistemas. Es como los padres que quieren proteger a sus hijos de todos los males sin asumir que no van a ser capaces de hacerlo siempre.
Figura 4: Sistemas operativos sin soporte |
Las empresas que están en un segundo nivel de madurez, asumen que los enemigos están en su red e invierten más en Detectar. Pueden ser atacantes que hayan logrado entrar por una red WiFi en una sucursal, por una impresora mal configurada en Internet, o por un simple Spear Phishing a la persona concreta, o directamente un empleado malicioso pero hay que asumir que el enemigo está dentro. Si no has preparado tus sistemas dentro del perímetro para ser "resilliance", entonces será un paseo militar por tu red.
Figura 5: Software sin actualizar en los puestos de trabajo. Un regalo para un Metasploit |
Mi recomendación es que no dejes de aplicar la política de Defensa en Profundidad en tu organización, y comienza por lo más básico. No dejes sistemas sin actualizar constantemente. No utilices sistemas operativos sin soporte y actualiza absolutamente todo el software que corra sobre los sistemas operativos. Si esto pasa, un atacante dentro de un equipo con un Metasploit va a destrozar tu sistema, tu red, y tu empresa como un cuchillo cortando mantequilla caliente. En esto, también falla el DHS, como muchas empresas.
Procesos & Incident Response Plan
La gestión es importante en la seguridad. De hecho, supongo que estaréis todos hartos de escuchar que la seguridad no es un producto sino un proceso continuo de gestión que mezcla, Tecnología, Personas y Procesos. Si no tienes los procesos de seguridad bien incrustados en tu compañía, va a ser completamente inmanejable gestionar la seguridad y dentro de esos procesos deben estar los relativos al último nivel de madurez de una compañía: Asumir que el riesgo va a convertirse en realidad y tener un proceso para responder a ese incidente.
Figura 6: Malos procesos de gestión de incidentes de seguridad |
¿Qué pasa si me roban los datos del servidor central?¿Qué pasa si un atacante encuentra un 0day en mi sistema expuesto a Internet? ¿Cómo voy a responder ante ese problema? Todos los Planes de Contingencia deben tener su Incident Response Plan, para poder gestionar y resolver correctamente el fallo. Las empresas maduras asumen que eso puede pasar y tienen un plan. Nosotros contamos el caso del bug de Jeep que Charlie Miller y Chris Valasek encontraron. La compañía no tenía previsto que apareciera un bug en el software y no contaba con un sistema de actualización, y le ha costado mucho dinero en tener que actualizar el software coche a coche.
Identity & Access Control
Otro de los puntos en el que el informe de DHS ha hecho hincapié ha sido en la mala gestión de la Identidad y el Control de Acceso. Desde contraseñas inseguras, hasta la falta de uso de Segundos Factores de Autenticación en los sistemas de información internos de la organización, pasando por una falta de control de cuentas privilegiadas.
Figura 7: Control de cuentas privilegiadas |
Entre las cosas que cita hay una reflexión más que interesante que debería hacerte replantear los procesos legales de tu organización, y es que las cuentas que están autenticadas con usuarios y contraseñas las cataloga de "accesos anónimos", ya que el usuario y la contraseña puede ser robado de tantas y tantas formas que garantizar que la acción que hace una cuenta en un sistema ha sido realizada por la persona a la que se le entregó inicialmente es complicado.
Figura 8: Falta de Segundos Factores de Autenticación |
Para eso, el plan incide en el establecimiento de segundos factores de autenticación y el control de cuentas privilegiadas, no solo en los sistemas internos, sino especialmente en los accesos remotos a los sistemas de información. Hay muchas organizaciones que tienen sistemas de información importantes para la empresa puestos en Internet y sin ningún segundo factor de autenticación y/o autorización todavía. Si te interesa este tema, te recomiendo que veas cómo lo vemos la identidad, la autenticación y la autorización en Eleven Paths con nuestras tecnologías.
Continuos Monitoring & Persistent Pentesting: Long Hanging Fruit
Controlar la seguridad de una organización con auditorías cíclicas cada 6 meses o cada año, es algo que deja una ventana de exposición muy amplia. Estas auditorías son una buena verificación de que se están haciendo bien las cosas, si ya has implantado un sistema de Continuous Monitoring que verifique día a día las vulnerabilidades de todos tus sistemas, o un sistema de Pentesting Persistente como nuestro Faast que va a estar buscando vulnerabilidades día a día con una análisis exhaustivo de todos los activos expuestos a Internet.
Figura 9: Long hanging fruit - Sin actualizar, passwords inseguras y SQL Injection |
Que una organización como el DHS tenga Long Hanging Fruit en forma de SQL Injection en las webs de sus sistemas de información dice muy poco de sus sistemas de Continuous Monitoring y de Pentesting Persistente. Si quieres que te hagamos un piloto gratuito para tu organización de nuestro sistema de Pentesting Persistente Faast, ponte en contacto con nosotros y vemos cómo hacértelo.
Figura 10: Aplicación de Continuous Monitoring & Persistent Pentesting |
Dicho esto, si eres un CSO o un CISO de una organización espero que este informe te sirva para hacer ver a los jefes lo complejo que es gestionar la seguridad de una empresa. Y si te sirve de algo mi opinión, en los presupuestos del año que viene huye de tecnología super-fashion que acaba de ganarse un espacio en un nuevo cuadrante mágico de algún analista y céntrate en afianzar las cosas fundamentales que yo creo que están bien recogidas en este artículo.
Saludos Malignos!
la "sutil" alusión a Gartner es cojonuda xD
ResponderEliminarbuena lectura
saludos
Muy buen artículo sobre la gestión de la seguridad.
ResponderEliminar... No estamos tan mal ... Mal de muchos consuelo de CISO :-D))))
ResponderEliminarY recordad que los DOMINGOS no se lee este blog .... Si Chema no descansa seguirá siendo HUMANO