Tu sistema está comprometido, asúmelo

Como ya comenté en un apunte de hace tiempo sobre el hecho de que el enemigo puede estar dentro, los profesionales de la Seguridad de la Información empleamos mucho tiempo definiendo medidas, contramedidas, requisitos, métricas, planes, sistemas de seguridad, instalando parches, … con el objetivo de que nuestros activos no se vean comprometidos.

Se emplean cantidades ingentes de dinero (no siempre correctamente) para mantener al malo fuera de nuestros dominios…

El problema es que el atacante no siempre está fuera, puede estar ya dentro.

Se ha dicho mil y una veces… o más.

La siguiente derivada es asumir que el enemigo está dentro, que nuestra red ha sido comprometida.

Aquí es donde entran en juego los detectores de intrusión, configurados para detectar al enemigo dentro, así como análisis de logs y demás pero no pensando en cómo dejar al enemigo fuera… sino pensando qué hacer, una vez que el enemigo está dentro.

Hay muchos tipos de enemigo:

  • Un virus que impide trabajar, ataca a la disponibilidad del sistema.
  • Un virus generalista que busca robar datos personales, financieros, …
  • Un virus específicamente diseñado pensando en tu organización para robar información sensible, diseños nuevos, proyectos, …, enviado a un objetivo muy concreto y orientado.
  • Un atacante, una persona ajena que accede a tus sistemas de forma remota.
  • Un empleado, personal subcontratado que por la razón que sea se dedica a robar, alterar o destruir información, …
  • Otros, …

Las posibilidades son múltiples y como dice el artículo que menciono, destinar una pequeña parte del presupuesto a monitorizar la red y buscar intrusos, asumiendo que están dentro, es una política que los responsables de seguridad de la información de grandes organizaciones deben al menos valorar pues el riesgo es real.

¿Cómo se si mi sistema está o no comprometido? ¿Tengo que hacer una revisión activa de todos mis sistemas, elegir una muestra o simplemente esperar a que los sistemas de análisis de log y monitorización avisen de que se ha detectado una intrusión?

¿Estoy seguro de que todo mi personal es leal? ¿Me fio del 100% del personal subcontratado? ¿Se establecen los mismos controles para todo el tipo de personal?

¿Tenemos un plan de contingencia? ¿Sabemos qué hacer cuando detectemos una intrusión o que nuestro sistema se ha visto comprometido?

Especialmente en grandes redes, con cientos si no miles de servidores y miles o incluso millones de usuarios, accediendo a diferentes servicios, desde diferentes redes o incluso desde Internet, a información de diferentes grados de clasificación, … sistemas de información complejos.

¿El asumir que nuestros sistema están comprometidos es algo sensato o es sólo paranoia?

Dejar un comentario?

1 Comentarios.

  1. Creo que es como todo hay que tenerlo en su justa medida, no debemos obviarlo ni mucho menos pero tampoco debemos emparanoiarnos porque sería contraproducente. ahora el problema es también el de siempre, donde se encuentra la justa medida? Aquí cada uno debe imponer su criterio tratando de que sea el bueno 🙂

Deje un comentario

A %d blogueros les gusta esto: