La importancia del bastionado de sistemas por Lorenzo Martínez Rodríguez

Estudio de viabilidad, oportunidad y diseño de una red de centros de excelencia en I+D+i en ciberseguridad

INCIBE – Instituto Nacional de Ciberseguridad

 

 


The latest Tweets from INCIBE (@INTECO) … Desde hoy #INTECO pasa a ser @INCIBE: Instituto Nacional de Ciberseguridad pic.twitter.com/1ltS7oxYuS.

La importancia del bastionado de sistemas

18/05/2015, por Lorenzo Martínez Rodríguez

Quejarse está en el ser humano. Cuando llueve, porque llueve; cuando hace calor, porque hace calor. Cuando gana el Madrid porque no pierde el Barça, y viceversa. Pero la cosa es quejarse. Sin embargo, no en todas las ocasiones pensamos qué podemos hacer para cambiar o mejorar las causas de nuestras quejas. Cierto es que no todas las cosas están bajo nuestro control o alcance, pero podemos hacer mucho empezando por nuestro entorno.

En el mundo de la seguridad, pasa lo mismo. Nos quejamos de los daños causados por otros, pero: ¿qué hemos hecho para prevenirlo?

Todos los sistemas son susceptibles de ser atacados. La seguridad de los datos contenidos, es objetivo de mafias, rivales o espionaje industrial, entre otras amenazas, que desean hacer dinero gracias al valor de nuestra información. Ya sea robándola para usarla en su beneficio, como cifrándola para pedirnos un rescate a cambio, o para aprovechar el poder y la conectividad a Internet de las máquinas que la almacenan para enviar spam, minar bitcoins, albergar pornografía o malware, o simplemente servir de pivote desde el que cometer cibervandalismos a través de Internet, y que los dedos nos apunten a nosotros.

Recordando la pregunta planteada: ¿qué hemos hecho para evitarlo?

Pensamos que cuando conectamos una máquina que da un servicio a Internet, el sistema operativo ya es seguro por el mero hecho de actualizar los parches y ponerle un “antivirus”. Parece que el objetivo de Steve Jobs, en el que un usuario desempaqueta un producto Apple, que lo enchufas y ya funciona, es el mensaje que los trabajadores de departamentos de sistemas y de desarrollo, dejando para después el trabajo de la securización de dichos sistemas.

Si me dieran un euro cada vez que me he sentado delante de algunos clientes que me han dicho “¿Y qué más da si me hacen un defacement? ¿Qué más da que pase algo si tenemos backup de todo?” ya me habría jubilado siendo millonario.

Que levante la mano quien no haya oido que le dicen…. “Además, ya nos hicieron una auditoría muy completa hace 6 meses y nos dieron que estaba todo bien”. Claro,… y desde hace 6 meses hasta ahora, ¿no ha cambiado nada?

La lucha contra los ataques que llegan día a día, no es algo estático.

Las medidas y las mejoras en la seguridad tienen que implantarse de manera continua.

“Pruebas de denegación de servicio no me hagáis y las que hagáis en horario que no sea de máxima producción” Aha, claro… ¿y dices que quien te venga a atacar va a ser tan considerado como nosotros preguntando qué pruebas puede y cuáles no puede hacer, y cuándo puede hacerlas?

Funcionamos con multas

Está claro que basta con que un radar nos haga una foto y nos quite peso del bolsillo, para que tengamos precaución con el acelerador en la siguiente. Cuando hay una normativa que exige que apliquemos ciertas medidas de seguridad, nos preocupamos un poco más. En general, se hace por cumplir, no por la conciencia de la seguridad en sí. Es decir, que subestimamos una vez más lo que puede pasar. Entonces es cuando, para cumplir la checklist, subcontratamos el servicio a “una empresa especializada”.

Aquí llega cuando los departamentos de compras se ponen medallas por conseguir “apretarle” al proveedor de confianza en base a conseguir un precio más bajo en la realización de los servicios de sistemas y seguridad. Obviamente, si se ha logrado que una empresa tenga que hacer un servicio perdiendo dinero, enviará al recurso más barato que tenga… o aplicará un esfuerzo proporcional al pago recibido. Obviamente, esto redundará en el resultado final, es decir, en que la seguridad volverá a ser quien pague el pato.

La formación de los empleados

A lo largo de los tres años que llevo en mi aventura empresarial, he dado multitud de cursos relacionados con seguridad a empresas, universidades y organizaciones. En mi experiencia, lo que más demanda he vivido son cursos de Hacking Ético y Análisis Forense. En último lugar, y en general por obligación de un plan de estudios, cursos de hardening de Sistemas Operativos e Infraestructuras, seguridad perimetral, etc,.. Quedan restringidos, sobre todo, a Universidades que requieren incluir estos contenidos en másters de seguridad.

De estos datos se puede extrapolar lo siguiente:

  • A la gente, lo que más le llama la atención es romper, en primer lugar.
  • Estoy de acuerdo en que para poder proteger, hay que saber atacar. Es decir, que para auditar si los sistemas de tu organización están seguros, tener conocimientos de pentesting es algo imprescindible En segundo lugar, Análisis Forense. O sea que nos interesa poder identificar, una vez que hemos tenido un incidente de seguridad, cómo y cuándo ha pasado, y cuál ha sido el alcance.
  • En último lugar, está la protección de sistemas operativos, la configuración segura de servicios, la fortificación de infraestructuras, las buenas prácticas de seguridad en dispositivos móviles, monitorización de sistemas y redes… En general, tener conocimientos sobre cómo ponerle las cosas más difíciles a los malos, nos interesa menos que ponernos en el lugar de un supuesto atacante.

Como me decía un señor con el que tuve que firmar un contrato hace poco, y al que hacía alusión por incluir por escrito ciertas cláusulas: “Creer algo, está bien pero controlarlo está mejor” Si crees que con una auditoría cada 6 meses es suficiente, perfecto. Pero si aceptas un consejo, toma medidas para que la tuya, no sea la próxima base de datos que aparece en Pastebin.

Y ya que estamos citando a los famosos, no nos sonará nueva la que dice que “la mejor defensa es un buen ataque”, aunque también es famosa si intercambiamos los sustantivos quedando como “el mejor ataque es una buena defensa”

Lorenzo Martínez – CTO Securizame y editor de Security By Default | @lawwait / https://www.securizame.com/

Màs información de Segurpricat Siseguridad : la consultoria de seguridad

Julian Flores @juliansafety
Director de seguridad,Segurpricat Siseguridad

     

Anuncios

1 comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s