Abrir la sección de tecnología y leer que Anonymous o algún otro grupo atacó tal sitio web o extrajo información de tal compañía ya no es algo extraño. De hecho es más frecuente de lo que quisiéramos. Y después de La Pregunta “¿Qué estamos haciendo nosotros para evitar que salgamos en las noticias?” viene un segundo disparo: “¿Y a todo esto, cuántas veces nos atacan al día?”.
Hagamos una analogía con nuestro domicilio. Cada madrugada, alrededor de cinco personas están afuera observando nuestra casa y haciendo anotaciones. Todas las noches en promedio hay 15 individuos que pasan y jalan la puerta del jardín para ver si está abierta; hay 3 intentos de forzar esa puerta con alguna herramienta y uno de ellos es exitoso logrando cruzar el jardín y llegar así a la puerta principal. Más o menos una vez al mes consiguen vencer la cerradura de la puerta principal y entran a la casa pero hasta ahora el guardia siempre los ha detenido, impidiendo cualquier robo.
Del relato anterior, cuál sería la respuesta a la pregunta “¿Cuántos ataques hay por mes?”. Varios dirán que uno; otros dirán ninguno y escucho alguien que dice “18 intentos diarios”. Tal vez podríamos empezar haciendo una distinción entre “intentos” y “éxitos”.
Para responder cuántos ataques informáticos recibe una organización, el área de Seguridad se enfrenta al mismo dilema. ¿El promedio mensual de malware detectado y detenido, o tal vez sólo tomamos en cuenta infecciones comprobadas? ¿Intentos registrados por el detector de intrusos que está adelante del firewall perimetral o sólo ataques exitosos registrados por el que está dentro de la red corporativa? ¿Ataques dirigidos tipo APT detectados?
Conocer los números de ataques por mes no es una pregunta ociosa. Es una métrica que nos sirve para conocer tendencias, poderse comparar contra otra organización del mismo sector nacional o internacional, así como para medir qué tan bien están trabajando algunos de nuestros controles de seguridad. Y claro, para tomar decisiones y arrancar nuevos proyectos.
Hay varias cuestiones que pueden ser integradas a nuestro conteo de “ataques por mes”. Negación de servicio (donde hay varios tipos de negación: indisponibilidad de aplicaciones web, saturación del ancho de banda, etc.), Sniffers detectados en la red interna, SQL-injection, Cross Site Scripting (XSS), Archivos con exploits provenientes de Internet o Código Malicioso donde el menú a seleccionar es amplio: ¿backdoors? ¿canales de control (command and control channles)? ¿keyloggers? ¿spyware? ¿herramientas de hacking?.
Tal vez incluyamos algunos registros arrojados por el IPS (Intrusion Prevention System): intentos para adivinar contraseñas (o más general: ataques de fuerza bruta), abuso de privilegios o des-habilitación de la auditoría del sistema por ejemplo. Y con esto sólo sería el comienzo; dónde queda la elevación de privilegios no autorizada, el cross-site request forgery, el footprinting o bien el spoofing de direcciones IP dentro de la red?
Ante la gama de opciones, bien vale la pena sentarse, pensar y definir lo que para una organización significa un ataque, qué tipos de ataques se contabilizarán y posteriormente decidir si se desea monitorear intentos y/o éxitos. No hay que olvidar tomar en cuenta lo que las herramientas son capaces de reportar (un antivirus por sí solo no puede decirnos cuántos virus no pudo detectar, precisamente porque no tiene la firma para hacer dicha detección). Periódicamente deberemos de preguntarnos respecto al valor de cada una de las métricas (si no se toman decisiones con ellas, no sirven).
Lo aquí expuesto está orientado a la obtención de métricas y poder así entregar un reporte y tomar decisiones estratégicas; en teoría hay actividades diarias donde se están analizando datos para detectar un posible incidente de seguridad. No queremos enterarnos de que hubo un ataque exitoso hace 3 semanas y nosotros felices de la vida. Nos estamos tuiteando en @FaustoCepeda.
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.