lunes, 6 de junio de 2011

Amenazas Persistentes Avanzadas. La inseguridad de la información como fuente de inteligencia estratégica para los intrusos

Desarrollando el concepto de las Amenazas Persistentes Avanzadas - APAv
Considerando los impactos que puede tener una fuga de información a nivel corporativo y los constantes intentos de los intrusos por alcanzar las infraestructuras tecnológicas de las empresas, vía la práctica del engaño y manipulación de información disponible en internet, se hace evidente una tendencia o vector de ataque que busca como objetivo contar con un grado de control de la infraestructura atacada, actuando persistentemente para retener el acceso y las posibilidades que este brinda.

En este sentido, Richard Betjlich, detalla los elementos básicos del adversario que actúa siguiendo los elementos de una Amenazas Persistentes Avanzadas - APAv, con el fin de comprender mejor su motivaciones y movimientos que nos permitan, más adelante, establecer algunas contramedidas que permitan limitar el accionar de este tipo de amenazas, que buscan comprometer la esencia misma de la ventaja competitiva de las empresas, como lo es su información: (BEJTLICH, R. 2010)

Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada.

Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos.

Avanzada significa que el adversario puede operar un amplio espectro de posibles intrusiones informáticas, es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades, o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas dependiendo de las prácticas de seguridad y control de la empresa objetivo.

Como quiera que este tipo emergente de amenazas no es nuevo, en cuanto se basa en un componente eminentemente humano y asociado con comportamientos de las personas frente al tratamiento de la información, si representa una importante novedad, cuando se trata de operaciones digitales asistidas con propósitos de espionaje y desinformación, aplicados sobre objetivos gubernamentales, militares o privados.

Casos recientemente publicados y ampliamente difundidos dan cuenta que este tipo de amenazas han cobrado importantes organizaciones, poniendo en tela de juicio sus posturas frente a la seguridad de la información. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, M. 2011)

  • El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática.
  • De otra parte tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal al inicio de este año. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas interno de correo electrónico con datos sensibles y otra información crítica de la misma.
  • Finalmente el ataque a Google efectuado el año anterior, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google.

APAv - Lecciones aprendidas y algunas por aprender
El foco fundamental de una APAv es atacar a los usuarios y no a las máquinas. Es un movimiento psicológico y de comportamiento basado en la información misma de las víctimas, que genera una falsa sensación de seguridad que permite al atacante, tener acceso a la infraestructura interna de las organizaciones. En este sentido, se hace necesario establecer iniciativas de monitoreo de cruce de información, balancear la necesidad natural de los empleados por descargar información, permitir dispositivos móviles en las redes internas y el acceso a redes sociales; un mundo de intereses cruzados que enfrenta los derechos fundamentales de los individuos y la exposición a los riesgos propia de las empresas con presencia en internet.

¿Qué hemos aprendido de los múltiples casos de uso efectivo de las APAv? Hagamos una mirada crítica sobre tres elementos fundamentales:

1. Nuestra naturaleza orientada a confiar en los demás. Esta condición sana y generosa que al interior de las empresas se genera por un ambiente de camaradería y motivación al trabajo en equipo, se ve mancillada y desvirtuada, frente a las APAv, dado que la información expuesta de las personas de la empresa en internet, opera como estrategia de inteligencia que permite abrazar la confianza de una comunidad, que de manera inadvertida acepta y entiende, que de personas conocidas podemos aceptar mensajes o comunicaciones, generando graves brechas de seguridad que comprometen el buen nombre y los activos intangibles de la empresa.

2. Manejo de las expectativas de las personas. Esta situación propia de los seres humanos, que generalmente busca alcanzar y satisfacer de manera natural, se ve oscurecida, cuando un tercero es capaz de conocer o inferir este tipo de deseos o anhelos, en los cuales encuentra el mejor motivador y motor para capturar la atención de sus víctimas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos, que hagan sentido con las esperanzas e intereses de las personas en las organizaciones.

3. El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluyen todo el tiempo. Es nuestro deber, saber que debe circular y que no, que información voy a compartir y cuáles serán sus implicaciones de hacerlo. Debemos tomar mejores decisiones informadas sobre los riesgos derivados de ubicar información en los medios electrónicos, sabiendo que al hacerlo estamos minando nuestro propio derecho a la privacidad y control de la misma. Así, mientras más conscientes seamos de la información que tenemos y compartimos, mejores experiencias tendremos al interactuar en la red.

Todo esto nos lleva indefectiblemente a cuestionarnos sobre el contexto futuro y emergente que nos traen las nuevas tendencias tecnológicas y propuestas de servicios, que no hacen otra cosa que motivarnos a mantener información en otros dominios, compartir información con otras personas y movilizarnos todo el tiempo sin restricciones de cables o lugares. Por tanto, se requiere hacer un pare en el camino y comenzar a desaprender de nuestros comportamientos actuales y concretar algunas recomendaciones que nos permitan disfrutar de manera responsable este nuevo entorno abierto, móvil y dinámico que nos proponen los nuevos desarrollos.

En este contexto, detallamos a continuación algunas lecciones que tenemos por aprender frente a los avances de las APAv, que prometen seguirnos sorprendiendo ahora en un universo personalizado en la nube y con empoderamiento permanente de los usuarios frente al uso de las tecnologías de información y comunicaciones.

1. Insistir en el valor de la información como activo crítico empresarial. ¿Por qué no le duele a las personas la información de la empresa? ¿Por qué sólo hasta cuando algo ocurre nos interesamos en el tratamiento de la información? La respuesta es sencilla, no existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida.

2. Clasificar la información como práctica natural del tratamiento de la información. Todos sabemos que manejamos información privada y pública. Nadie quiere que se conozca parte de su vida y obra, a menos que cada uno lo autorice formalmente. De igual forma debería funcionar con la información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. Así, mientras este ejercicio intuitivo que hacemos de manera personal, no sea una práctica natural en el entorno corporativo, continuaremos escuchando historias que nunca se debieron contar.

3. Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Esto significa, que la información no será solamente un activo crítico, sino la fuente misma de las acciones de la organización frente a los retos de seguridad de la información que le sugiera su entorno, teniendo la capacidad de cambiarlo si es necesario.

Reflexiones finales
Conocer y advertir este tipo de estrategias de inteligencia informática, exige de cada una de las organizaciones, afianzar sus esfuerzos de entrenamiento y prácticas asociadas con el tratamiento de la información, dado que cada vez más habrá “comandos especializados”, que adelanten operaciones focalizadas para tener información sensible que requiere un tercero, utilizando como puente a alguno de los empleados. Por tanto, mientras más conciencia se tenga del nivel de exposición que se tiene frente al manejo de la información, mejor será el “mínimo de paranoia administrable” que cada una de las personas debe desarrollar.

En consecuencia y sabiendo que la situación no habrá de mejorar en el corto plazo, desarrolle una función de contrainteligencia informática sustentada en la formación y desarrollo de “firewalls” humanos, que compartiendo información y advirtiendo situaciones fuera de lo establecido, pueda distinguir la asimetría de la inseguridad de la información, a través de patrones de comportamiento emergentes y divergentes.

Finalmente y sabiendo que el adversario será persistente en su misión para lograr el acceso no autorizado, debemos advertirle, que si bien no conocemos qué nuevo movimiento estará planeando, si estaremos vigilantes y perseverantes para hacerles la vida más difícil, aprendiendo de nuestra maestra la inseguridad de la información.

Referencias
BEJTLICH, R. (2010) Understanding the advanced persistent threat. Information Security Magazine. July. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advanced-persistent-threat (Consultado: 6-06-2011)
SAVAGE, M. (2011) Gaining awareness to prevent social engineering techniques attacks. Information Security Magazine. May. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Gaining-awareness-to-prevent-social-engineering-techniques-attacks (Consultado: 6-06-2011)