A menudo se ha comentado en este blog que el mercado de la seguridad está pletórico: es uno de los pocos para los que no parece haber crisis, se crean continuamente empresas, y continuamente hay noticia de empresas del ramo que salen a bolsa o son compradas por otras. Para HP, es un área clave, encuadrada en su Enterprise Group. Especialmente, desde que en 2010 adqurió Fortify y ArcSight. Precisamente, en las últimas semanas, la compañía ha presentado Thret Central, un servicio cloud que analiza las amenazas potenciales detectadas por el software de ArcSight. Una visita a Madrid de Art Gilliland, a cargo de esa área, dio la ocasión para mantener una charla altamente didáctica.
Para empezar, ¿se nota algún cambio en la conciencia y la actitud de las empresas, sus clientes, acerca de la seguridad de sus sistemas, sus redes y sus datos?
Observamos cambios en dos niveles. Uno en las exigencias de respuesta por parte de las compañías, y otro en cuanto a lo que piensan acerca de su seguridad. Esto nos indica que tenemos que hacer las cosas de manera diferente, y nos lleva a desarrollar las tecnologías adecuadas. Puedo darle dos reflexiones a propósito de lo que pasa con los clientes de HP. La primera es que casi todos están metidos de cabeza en procesos de cambio de sus infraestructuras; sobre esto se habla mucho, por supuesto, pero si me permite decirlo en el lenguaje de la seguridad, lo resumiría así: se está desplazando la superficie de ataque. Esto es lo que nos preocupa, y lo que pretendo transmitir a los clientes que visitaré en España.
¿Cuál es su segunda reflexión?
Tiene que ver con la aparición de un nuevo tipo de adversario. Hemos pasado tanto tiempo discutiendo sobre actores individuales, más o menos pintorescos, que hay quien se sorprende de que el atacante del presente pueda ser Anonymous, o un estado con intereses estratégicos, o una empresa que también los tiene, o una banda de delictiva. Esta diversidad es la que origina un mercado organizado alrededor del robo de información, y este mercado articula de manera específica a sus participantes. Quédese con el verbo articular: actores que se odian a muerte, como los ´hacktivistas` de Anonymous y los gobiernos, pueden estar cooperando en un mercado donde se compran y se venden servicios.
¿Con qué consecuencias?
Que ese modo de funcionar motiva a los participantes a especializarse en una fase del proceso, y la razón es que se puede ganar más dinero cuanto mejor sea el individuo en hacer algo específico que tenga valor para alguien dispuesto a pagar por ese algo. Si usted – perdone – quisiera lanzar un DDoS [ataque de denegación de servicio] contra un banco, puede alquilar una red de botnets por 17 dólares al día. Actualmente, hay servicios cloud que se ofrecen para perpretar ese tipo de ataques a muy buen precio. Lo que quiero decirles es que la tecnología permite ´productivizar` los ataques, y esta es la evidencia de la existencia de un mercado […].
Digo… qué consecuencias tiene para las víctimas.
Si yo soy un responsable de TI y tengo que proteger mi plataforma contra estos ataques cambiantes, estoy de facto compitiendo contra un mercado eficiente, con lo que mis probabilidades de fallar ante un ataque, son altas. Y si el fallo se produce y trasciende como es obligado, extenderá la percepción de que mi empresa ha sido negligente; aunque yo no haya sido negligente, la verdad es que no podía ganarles, no era capaz de competir con ellos en eficiencia ni en eficacia.
Y esa percepción dispara las alarmas […]
Cuando ocurren estas cosas, las autoridades toman medidas para que las compañías hagan lo que deben hacer. Ya tenemos tres factores en juego: infraestructuras nuevas, adversarios que forman un mercado eficiente y nuevos requisitos regulatorios, que llamamos compliance. Estos tres resumen los retos que enfrentamos. Tradicionalmente, los que nos dedicamos a esto profesionalmente, tenemos un background muy técnico… y ahora nos vemos en la necesidad de explicar sin tecnicismos estos problemas a personas del mundo de los negocios, porque los consejos de las empresas están muy preocupados por las cuestiones de seguridad, pero no están entrenados para entenderlas. Al principio, podíamos usar muletillas, pero eso no basta para mover los presupuestos: sólo cuando una auditoría pone de manifiesto los fallos existentes, un consejo de administración abrirá la mano.
¿Qué hacer entonces?
Lo que sugerimos a los clientes es que adopten un enfoque diferente, centrado más en el conocimiento del adversario. Que nos pongamos en su cabeza y pensemos en el proceso que va a seguir tratando de violentar nuestras defensas y las políticas de seguridad que tengamos. Hay que construir capacidades contra ese proceso, e ir tan allá en la cadena como sea posible.
¿A qué se refiere?
Puedo contarle el caso de una empresa estadounidense, contratista del Pentágono, que durante años había sufrido amenazas y ataques, hasta que aprendió que una serie de hechos identificables se producían prácticamente antes de cada incidencia. ¿Por qué? El adversario empieza por investigar el entorno de la empresa, su infraestructura, su personal, y así va creando los perfiles que pueden ser objetivo de un ataque. Cuando los tiene y ha reunido un paquete, alza la mano en Internet y dice «tengo los perfiles de 50 directivos de la empresa tal, ¿a quién le interesan y a qué precio?» Es obvio que quien compre esa información ilícita, lo hace con el fin de lanzar un ataque. Aquí será mejor que se lo cuento a través de una experiencia personal […]
Adelante.
En 2010, fui invitado a una conferencia en Vancouver por una persona con la que había trabajado años antes. De vuelta en mi oficina, recibí un mensaje suyo, al que adjuntaba una foto tomada mientras yo hacía mi presentación. Todo muy cordial, nada sospechoso […]
[…] adivino que había truco…
Como en esto soy bastante paranoico, y además teníamos fresco el caso del virus Aurora, lanzado contra Google, me fijé en que el archivo con la foto era pdf y no jpg; pedí a alguien de mi equipo que lo analizara y, en efecto, no había duda de que el de la foto era yo, y había sido tomada desde la primera fila del público. Pero, embebida en el pdf había una pequeña pieza de malware, específicamente creada para mí, llamémosla el virus de Art Gilliland. ¿Como se puede crear un perfil de Art Gilliland? Muy simple: si pincho para ver mi foto, y mando un mensaje de agradecimiento a quien me la envió, acabo de poner en marcha un proceso por el cual el autor del malware tendrá un punto de acceso a HP. Si repite la jugada con otros colegas, podrá alzar la mano en Internet y decir «tengo 50 puntos de acceso a HP, etcétera?».
Quedamos en que el primer paso era la investigación; el segundo será la infiltración […]
La persona que compre esa información sobre un cierto número de puntos de acceso a HP los usará para trazar un mapa de nuestra infraestructura. Nosotros, en HP, podemos descubrirlo y podemos bloquearlo, porque estamos para eso […]
Supongamos lo peor: consigue pasar, y apoderarse de datos sensibles sobre HP […]
Esos datos están en un servidor, están protegidos por determinadas defensas, y el tipo lo sabe. Alzará la mano en Internet y dirá «tengo un mapa de datos sensibles de HP, ¿a quién le interesan …?». El interesado, que ocupa el puesto siguiente en la cadena, capturará los datos y los extraerá para encriptarlos en su laptop. Ya tiene usted el ciclo: investigación, infiltración, hallazgo, captura, exfiltración. Suele haber hasta siete fases, que he resumido en cinco para que sea más fácil entenderlo.
No sé si el término es apropiado, pero ¿hacen contrainteligencia?
Es apropiado. Como compañía que suministra soluciones de seguridad, HP tiene que pensar en lo que puedo hacer ante cada caso, para que nuestros clientes sean menos fáciles de perfilar, lo que empieza por formarlos: «esto es lo que nunca debéis hacer», ya me entiende. Respondiendo a su pregunta, hemos aprendido que el 86% de los recursos destinados a seguridad tratan de mantener la distancia con el adversario, nada más. Podremos pararlo 100.000 veces o un millón de veces, pero si penetra una sola vez, podrá pasear por el resto de nuestra infraestructura.
¿En qué fase habría que concentrarse para estar mejor protegido contra esa posibilidad?
Creo que el punto más crítico para actuar estaría entre el momento en el que ha roto nuestra barrera pero aún no ha empezado a robar datos. Eso sería lo mejor, pero la verdad es que los estudios nos dicen que en el 94% de los casos las empresas se enteran tarde y por terceros.
Lo que significa que pueden dormir con el enemigo durante mucho tiempo sin saberlo […]
Una vez dentro, se tarda una media de 416 dias en descubrirlo. Claro que podemos intervenir, y ser lo bastante listos para bloquearlo, pero ya ha dispuesto de 416 días para actuar a su antojo. Cuando digo esto, la pregunta que me hacen algunos clientes es «hemos invertido tanto dinero en seguridad y no vemos los progresos». Normalmente, suelo responder que han invertido un montón de dinero para ser capaces de bloquear, en lugar de prepararse para la inevitabilidad de un ataque.
[…] ¿Inevitabilidad?
Los ciberdelincuentes son muy tozudos. Saben que pueden ganar mucho, y lo seguirán intentando hasta que encuentren una brecha por donde colarse. Por esto es esencial prepararse no sólo para bloquearlos, sino para encontrarlos una vez que se han colado, antes de que robe los datos que buscan. Este es un aspecto. El otro es entender qué activos les interesarán más, qué información puede tener más valor para ellos, y entonces poner nuestra vigilancia prioritariamente en esos activos. Yo sé que la información sensible está en este servidor, pero tengo que definir su grado de sensibilidad, conocer cómo se mueven los datos de un lado a otro de la infraestructura, quién tiene acceso a ellos, y en consecuencia reforzar la protección en los puntos críticos.
¿Se puede mitigar el riesgo con inversión?
Interesante cuestión; invertir en planificación ante desastres, por así decir. La experiencia nos dice que la mayoría de las organizaciones tienen alguna forma de recuperación de desastres naturales, y un sistema interno para notificar a sus ejecutivos, montar una sala de crisis, garantizar la continuidad del negocio, etcétera. Ahora, ¿cuántos han participado en un simulacro de incendio? ¿Cuántos en la simulación de un ciberataque en gran escala?. Hice estas preguntas en una conferencia en Amsterdam, ante 350 personas; el resultado fue que casi todos respondieron afirmativamente a la primera, y sólo 6 a la segunda.
¿Cuál es su papel dentro de HP?
Como profesional de la seguridad, mi trabajo consiste en ayudar a los clientes a estar preparados, a tomar conciencia de que un ataque puede ser inevitable, y ayudarles a mitigar las consecuencias si ocurre. Además de los cinco estadios que he citado, subrayaré otro, la construcción de capacidades defensivas, y para eso en HP tenemos tecnología y tenemos experiencia.