¿Quién es el responsable de las vulnerabilidades tecnológicas?
Febrero 2021
Arturo Sanabria
Director de operaciones en MNEMO Colombia
Autor: Arturo Sanabria
Cargo: Director de operaciones en MNEMO Colombia
¿Quién es el responsable de las vulnerabilidades tecnológicas?
Saben que existen, cómo mitigarlos y aun así muchos sistemas siguen siendo afectados.
La protección frente a los riesgos cibernéticos en las compañías depende de la sostenibilidad del sistema de seguridad. La tarea se hace cada vez más ardua por todo el trabajo continuo y de mejora que las diferentes áreas deben asumir según sus responsabilidades.
En muchos ámbitos son mencionados los pilares de la seguridad como lo son la Confidencialidad, Integridad y Disponibilidad; pero frente a las brechas de seguridad en el momento de tomar acciones manteniendo la integridad de los sistemas y a su vez poder preservar su disponibilidad y confidencialidad ¿Cómo se establecen las tareas diarias que permitan que cada vez la mitigación del riesgo sea un proceso más natural dentro de las organizaciones? , ¿Cómo se mantiene y como se audita? Son preguntas que en el momento de responderlas con actividades reales el trabajo no puede resultar tan sencillo como parece.
Para entender un poco el panorama real de las compañías en el momento de mantener su seguridad tecnológica es necesario realizar un análisis por medio de las responsabilidades dentro del sistema de seguridad y de esta manera definir en donde pueden existir mayores riesgos al respecto.
Descubrimiento de Vulnerabilidades
Quienes trabajan en la búsqueda de nuevas brechas de seguridad suelen ser profesionales que apoyan a las organizaciones, fabricantes y sociedad en general para que estén alerta de los diferentes huecos de seguridad que se encuentran dentro del desarrollo y aplicabilidad de las nuevas versiones de software, las cuales fueron pasadas por alto y pueden ser aprovechadas por ciberdelincuentes para afectar los sistemas.
El proceso investigativo merece un reconocimiento importante por el aporte realizado a la seguridad TI global, pero donde todo cambia radicalmente es en el uso de dicho conocimiento y es la línea que separa a los ciberdelincuentes de los profesionales de seguridad informática.
Una vez es descubierta la vulnerabilidad esta puede ser socializada con su respectivo análisis buscando que no afecte a ninguna organización o persona aportando a la seguridad cibernética.
Este ciclo ya es conocido ampliamente por los profesionales de seguridad, pero es mencionado como preámbulo a todo el análisis realizado a continuación.
Dentro de este proceso existen variables las cuales permiten que sean aprovechadas de una forma más eficaz y es cuando aparecen los exploits que aprovechan dichas vulnerabilidades logrando afectar los sistemas expuestos.
En este momento existen varios estados en los cuales una organización se puede encontrar:
a. Conocimiento: Aquellas organizaciones donde son consientes de las brechas de seguridad, están atentos a los boletines de seguridad, alertas y proveedores que notifican al respecto de los nuevos riesgos a los cuales se ven expuestos.
b. Desinterés: Organizaciones donde no existen procesos que analicen, traten o mitiguen futuros riesgos tecnológicos a raíz de nuevas vulnerabilidades o exposiciones.
c. Desconocimiento: Es donde se encuentran las organizaciones frente a las vulnerabilidades y aun peor si se tratan de día cero, que son aquellas que no son de conocimiento general y podrían afectar una brecha la cual no esta determinada y mucho menos tratada.
Papel de los fabricantes de software
Es obvio que es el principal objetivo de los atacantes, debido a que vulnerarlos es el futuro triunfo de acceder a innumerables compañías que los utilizan y que pueden tener dichos huecos de seguridad.
Su presencia en millones de compañías a nivel global es el atractivo mas grande en el mundo cibernético tanto para su protección como para su vulneración.
Este proceso inicial de conocimiento de una nueva brecha de seguridad es imperceptible para las compañías a menos que mantengan al día sus procesos de investigación de alertas tempranas. Los fabricantes cumplen con su labor de investigación según cada una de sus capacidades de investigación y apoyados con laboratorios que se dediquen a la mejora continua de sus productos.
Otros no son tan grandes y podrían popularizarse de manera rápida por lo que en el momento de una brecha de seguridad el nivel de respuesta o desarrollo de un parche de seguridad no es tan rápido, exponiendo a sus usuarios. Estos últimos son aún mas atractivos para atacantes ya que contaran con más tiempo para explotarlos.
El papel de los fabricantes genera impacto positivo por medio de sus métodos de notificaciones de nuevos riesgos y publicación de nuevos parches que solucionen los problemas de seguridad detectados.
PERSPECTIVA INTERNA
Existe la realidad cibernética donde las compañías deben protegerse debido a diferentes riesgos, que pueden ir desde programas malignos generados para aprovechar vulnerabilidades en general, ataques dirigidos para obtener información privilegiada o eventos que podrían desencadenar una denegación de los servicios corporativos.
Como se aborda tal responsabilidad según el rol interno y aporte a la sostenibilidad del sistema de seguridad.
¿Quién remedia o mitiga el riesgo reportado?
¿Infraestructura los responsables?
El área de infraestructura cumple un rol muy importante dentro del aseguramiento y afinamiento de las plataformas donde se mantienen en reposo o en tránsito la información y en algunos casos son responsables de las estaciones de trabajo donde la información está en uso. Con este preámbulo y en conocimiento que la información es lo mas importante de las organizaciones se puede definir que esta área es determinante en la sostenibilidad y aseguramiento de la seguridad corporativa.
Cuando se aborda al equipo de infraestructura para indicarles su apoyo puntual en el ciclo de aseguramiento con relación a la mitigación de nuevas vulnerabilidades, ellos deben tener en cuenta tareas de mitigación de estos riesgos por medio la implementación de parches, mejoras en la configuración o hardening de los sistemas que administran.
Los pasos mencionados son los que como mínimo deben abordar como parte de la solución, y el realizarlos de manera adecuada significa tener la responsabilidad de no afectar los servicios misionales de las compañías.
Prueba del parche: En muchas oportunidades los parches son la solución base de los problemas reportados en una vulnerabilidad, pero no todos; sin embargo, un parche nuevo podría afectar o no a la infraestructura modificando ítems que afecten configuraciones u otro software que se ejecuten sobre estos sistemas. Por dicha razón no se puede tomar a la ligera y ejecutarlos de manera inmediata.
En muchas organizaciones como en realidad se debería hacer es contar con un sistema de pruebas donde se ejecuten dichas actualizaciones para valorar dichos riesgos y antes de poner el sistema en producción con el nuevo parche o tunning no afecte los procesos que normalmente se ejecutan. Ahora pensar en esto es mucho más sencillo si se cuentan con herramientas de virtualización en donde se podrían clonar los sistemas probar los resultados.
Control de cambios: También otro de los ítems necesarios dentro cumplimiento normativo de seguridad de la información y calidad, donde se debe tener un proceso de control de cambios donde los integrantes de infraestructura deberían reportar la implementación de nuevos parches en sus sistemas críticos y por ende pasar por una reunión de validación de este, generación del plan de trabajo, plan de recuperación, programación y ejecución.
Programación de instalación del parche: Se puede tomar como una tarea casi que automática por medio de sistemas de distribución de parches; pero esto aplica mas que todo en estaciones de trabajo, por que en servidores no es común que se deje esto de manera automática por el riesgo que sugiere el no pasar por el proceso de pruebas y control de cambios. Tampoco debemos olvidar que la mayoría de las compañías únicamente masifican parches de Microsoft porque para otros softwares solos esperan que se ejecuten de manera automática por equipo y en donde por privilegios de administrador no se logre, terminan quedando en la misma versión por mucho tiempo.
En este punto la problemática se divide en el control estricto de implementación de nuevas versiones, parches o service pack de aplicaciones de servidores; y la masificación de parches en sistemas operativos clientes.
Si es de manera masiva se debe programar debido a la carga de red que se puede tener debido a la masificación de este, o en el caso de los servidores, o en activos de comunicación por la criticidad, reinicios, verificaciones y demás tareas incluidas dentro del proceso.
Verificación del sistema: Después de las tareas anteriores infraestructura deberá realzar seguimiento del parche, tunning o cualquier actividad ejecutada para la mitigación de una vulnerabilidad, validando que las funcionalidades propias del servicio no se vean afectadas y reportando a las áreas de seguridad la instalación de este para sus validaciones.
A todo esto, quedan las siguientes preguntas que las organizaciones deben realizarse
¿Es suficiente?
Los procesos realizados por el área de infraestructura son los necesarios dentro del proceso de mitigación del riesgo y evidentemente es fundamental dentro de la cadena de procedimientos que, si o si se deben llevar a cabo, pero no en todos los casos se pueden aplicar los parches o procedimientos recomendados. Algunas ocasiones cuando estos afectan los servicios activos, se deben tomar decisiones de no uso para dar prioridad a la prestación del servicio; es por ello que se deben analizar otras medidas que los apoyen a lograr el objetivo.
Quizás se deben analizar otros métodos por los cuales se colabore de manera activa a que el riesgo se vea mitigado o totalmente controlado.
¿Los tiempos utilizados son los adecuados para mitigar el riesgo?
Verificando cada uno de los pasos generales mencionados anteriormente, es evidente que pueden pasar horas, días y quizás semanas antes que se llevan a cabo, por todo lo que implica implementar parches o configuraciones específicos sobre sistemas críticos, o en otros casos la masificación de parches de seguridad.
Este tipo de análisis son claros para los ciberdelincuentes donde aprovechan este tiempo para buscar los sistemas expuestos en donde ni han notado los huecos de seguridad o están en el proceso de implementación de los controles.
Si se toma como única medida pasar la responsabilidad a los encargados de infraestructura lo mas seguro es que en algún momento un atacante se aproveche de esta circunstancia y pueda explotar de manera efectiva una vulnerabilidad o aprovechar una exposición.
Administradores de plataformas de seguridad
¿Deberían responsabilizarse de mitigar las vulnerabilidades?
Si el área de infraestructura tiene su responsabilidad claramente definida y sus procesos de mitigación claros, entonces ¿Cuál el papel los administradores de plataformas de seguridad?
Los administradores de plataformas tienen todo el protagonismo dentro de la lucha contra los atacantes que buscan explotar las vulnerabilidades de una organización.
Se mencionan de manera muy general diferentes etapas que se deberían cumplir al respecto dentro del ciclo de mitigación por parte de aquellos que administran las herramientas que están en la línea de defensa.
Verificar nuevas amenazas: no es una tarea manual, ya que todas las plataformas pertenecen a un fabricante que cuenta con laboratorios que generan constantemente firmas que detectan nuevas amenazas para sus clientes. Entonces es allí donde la responsabilidad de estos se resume en mantener actualizados sus sistemas de protección.
Validar cuales afectan a la compañía: las plataformas de seguridad liberan nuevas actualizaciones, firmas de protección y configuraciones que aumentan el nivel de protección; pero en varios casos las firmas liberadas no se aplican en protección automáticamente, entonces es donde el administrador de la plataforma deberá verificar esas nuevas firmas para activarlas en protección donde sea necesario.
Puede que los sistemas de manera automática tomen las nuevas firmas de protección y en muchos casos cumplan su labor de prevenir esos posibles ataques que buscan explotar vulnerabilidades “en los casos que aplique”; pero en otras ocasiones se hace necesario personalizar las nuevas firmas o versiones de productos. La seguridad no puede darse de una manera estática ya que los ataques son dinámicos y por lo tanto las verificaciones que se deben realizar a diario deben cumplir con la misma ideología.
Es común encontrar organizaciones donde sus soluciones de seguridad se configuran en el momento de la implementación y automatizan sus servicios de actualización de firmas, pero después no se hace ninguna tarea adicional que valide en nivel de detección con relación a los nuevos retos cibernéticos.
Implementar controles: cada amenaza tiene un objetivo en específico y para ello existen soluciones de seguridad que permiten poner un escudo de protección para aquellas que son conocidas y en algunos casos poder generar acciones preventivas frente a comportamientos anómalos no identificados.
Pero de nada sirven las soluciones si no son gestionadas adecuadamente y con esto nos referimos a tenerlas en constante monitoreo, aplicabilidad según eventos detectados y en especial con ajustes de prevención de indicadores de compromiso a los que puedan tener acceso bien sea por la misma industria de seguridad o gremios de seguridad cibernética.
Los fabricantes de seguridad conocen los riesgos latentes y actualizan sus firmas o métodos de detección constantemente generando capas de protección “virtuales” que proporcionan protección y seguridad mientras los administradores evalúan los riesgos asociados, estos niveles de protección se evaluaran según los riesgos asociados y la afectación frente a servicios implementados.
Los controles también pueden ser implementados sobre activos intermedios, los cuales pueden proporcionar seguridad para aquellos que no tienen localmente las firmas o configuraciones de protección. Para este tipo de procesos es indispensable asegurar que sean al único canal de comunicación con los activos vulnerables y que sea viable la revisión de las conexiones que llegaran a ellos.
Los administradores de plataformas de seguridad dependen de las soluciones o servicios con que cuenten y el plan de verificación de brechas de seguridad para intentar estar un paso adelante a los posibles riesgos.
Verificación de indicadores de control: Cuando se implementa un control de seguridad es importante validar si es funcional y si en algún momento se generan registros al respecto, de esta manera se mide el nivel de exposición al cual estuvo expuesta la organización. De igual forma en el caso de las vulnerabilidades o exposiciones es importante realizar análisis de vulnerabilidades excluyendo los niveles de seguridad y al igual con estos implementados. Los datos comparativos reflejaran la realidad de protección de la organización.
Las vulnerabilidades no deben ser una evaluación estática, al contrario, debe ser un análisis constante dinámico con objetivos específicos, metas claras y responsabilidades asociadas a los controles. Las organizaciones deben contar con un plan de seguimiento del estado de seguridad de sus activos críticos que a su vez este asociado con el impacto a sus objetivos misionales.
PERSPECTIVA EXTERNA
La responsabilidad de atender los riesgos y brechas de seguridad de una compañía se encuentra en la estrategia de ciberseguridad organizacional. Las tareas resultantes de este plan de aseguramiento deben cubrir de manera consistente las necesidades de los procesos misionales de la organización y blindar sus intereses corporativos.
Otra manera de aportar al fortalecimiento de una estructura de seguridad está en la visión externa de la misma con la evaluación externa desde el punto de vista global, regional y gremial.
Proveedor de ciberseguridad
Los proveedores son figuras necesarias dentro del esquema de fortalecimiento cibernético de las organizaciones; la razón especifica se encuentra en que son compañías donde su razón de ser es la ciberseguridad y, trabajan constantemente de manera independiente o con fabricantes de seguridad en estrategias para ofrecer a sus clientes soluciones y servicios que apoyen la mitigación de los riesgos.
La estrategia de seguridad debe contemplar escenarios globales que proporcionen herramientas de prevención, permitiendo a las organizaciones tener una postura proactiva y no reactiva frente a los riesgos latentes.
La postura de los proveedores es importante en el éxito de la estrategia cibernética, al igual que la adopción de las medidas por parte de los clientes. A continuación, se mencionarán varios puntos globales donde se apoya activamente a las organizaciones desde una vista externa.
Monitorización y generación de alertas tempranas y preventivas: estar atentos al comportamiento de los eventos de seguridad generados por los activos de seguridad de las organizaciones como proceso importante para conocer el nivel de exposición y la efectividad de los controles implantados. El peor riesgo de las compañías es no tener una visión clara de su estado de seguridad y no realizar revisiones para generación de planes de acción, bien sea de remediación o de mejora.
Generación de IOC: Los indicadores de compromiso se pueden proporcionar por varias vías, dentro de las mas comunes se encuentra la incorporación de firmas de seguridad propias de los fabricantes de las plataformas incorporadas. Pero una sola fuente de información no es la mejor estrategia, ya que podrían presentarse eventos los cuales no son de conocimiento claro por algún proveedor y existe el riesgo latente diario de nuevos tipos de ataques que puedan afectar de manera grave a la infraestructura. Un proveedor de seguridad que este a la vanguardia de seguridad debe contar con alianzas fuertes en la comunidad cibernética que le permita tener acceso de primera mano a información de posibles ataques y que puedan proporcionar estos datos a los clientes antes que los fabricantes de seguridad los conozcan y generen firmas para estos.
Apoyo en la creación de controles: mas que un proveedor la mentalidad de socio estratégico toma más valor cuando de apoyo en la creación de esquemas fuertes de seguridad se trata. La consultoría de como implementar controles, políticas y siguientes pasos es tarea fundamental de los consultores externos, son quienes tienen la vista de cómo es el comportamiento de las amenazas en otros clientes o ambientes y por lo tanto compartirlas y asociarlas en aquellos que nos han sufrido dichos problemas.
Seguimiento y apoyo a incidentes: Los momentos de problemas cibernéticos es donde las organizaciones necesitan todo el apoyo necesario por parte de sus socios estratégicos de servicios cibernéticos; debe existir un plan previo de atención a incidentes donde se tengan en cuenta todos los factores de riesgo y tener una respuesta clara ya sea de manera técnica o estratégica.
Colaboración
Luego de analizar los diferentes factores para tener en cuenta y responsabilidades de seguridad en un ámbito corporativo solo queda como conclusión que el trabajo de todos los actores involucrados en el proceso de mitigación de vulnerabilidades es vital para la sostenibilidad cibernética. No es un trabajo solamente de los administradores de los activos, si no de todos los que hacen parte de una u otra forma de los procesos de mitigación.
El trabajo colaborativo se debe extender más allá de los limites internos de la organización, siendo participe de trabajo coordinado con sus proveedores en el ramo de seguridad tecnológica, planteando nuevas estrategias frente a futuros ataques y como disminuir las brechas que se puedan tener frente a los ataques actuales.
Los esfuerzos deberán centrarse en planear las estrategias de control y mitigación de ataques de día cero, los cuales son difíciles de prever, pero lo que sí se puede planear son las acciones de reacción en caso de ser victima de este tipo de ataques, donde los planes de continuidad funcionen de la manera mas optima que no permitan que la organización se vea afectada.