La seguridad basada en conocimiento previo es insuficiente: RSA Summit

RSA EMEA Summit

Ayer fue un día movidito en el sector TIC. Microsoft celebraba su evento para desarrolladores, los marketeros estaban en Innovatea, y a los que nos “pone” el tema de la seguridad teníamos una cita señalada en el calendario: RSA Advanced Cyber Defense Summit 2015 (ES), o #RSAEMEASummit (EN), para resumir.

Un evento al que asistía en calidad de analista, con una confrontación de sentimientos a flor de piel.

Por un lado, he tenido malas experiencias en este tipo de saraos de traje y corbata. Demasiado serios para un servidor, que es más de camisa abierta con camiseta debajo. Por otro, la cita lo merecía, y mucho, habida cuenta de las aguas turbulentas en las que se mueve RSA Security, al ser filial de EMC, recientemente comprada por Dell (EN).

Sobre lo primero, lo comentaba al término por Twitter (ES) y lo vuelvo a comentar por aquí. El evento ha sido muy entretenido. Sí, entretenido, pese a que hablar de seguridad corporativa no es un tema que llene estadios, y pese a estar dirigido a un público a medio camino entre negocio y security. 4 ponentes, con tablas, con mucha experiencia, y charlas de 25-30 minutos. No puedo quejarme, y dudo mucho que el resto de los allí presentes lo hiciera. No al menos si como a un servidor, les gusta más que les planten la semilla a ver lo que brota en la cabeza, a que les digan qué tienen que pensar.

Me lo he pasado en grande. Tanto que hasta no me he dado cuenta de que querían venderme sus productos. Lo justo y necesario, oiga, sin resultar pedantes, dando razones más que justificadas, y ahondando en el porqué de esa apuesta. Todo adobado con dosis de conocimiento y ganas de aportar a los presentes. Y eso es decir mucho. Que uno lleva ya tiempo en esto, y sé de qué pie cojean la mayoría…

Sobre lo segundo, ha sido sin lugar a duda la comidilla de cada rincón, y poco hay que añadir. Una fusión a un año vista, que se dice pronto. RSA seguirá operando como siempre. Es más, quizás la estrategia de este nuevo gigante acabe por transformar la marca EMC en única marca para aquellos mercados como el español, donde Dell apenas tiene presencia, lo cual no estaría nada mal.

Hechos estos matices, entramos a lo que de verdad nos interesa. ¿De qué se habló en el evento?

El estado actual de la ciberseguridad

Cita indiscutible, claro está. El discurso de la tecnológica pasa por afrontar los retos de esa tercera plataforma (cloud computing, movilidad, big data y social). Modularidad, inmediatez e inteligencia, como comentábamos no hace mucho, frente a esa arquitectura estática cliente-servidor que hasta ahora ha dirigido el mercado (y que sigue aún presente en la mayoría de compañías).

Un escenario cambiante, líquido, con altas dosis de incertidumbre, donde la gestión del riesgo se vuelve sencilla y llanamente un must. Un entorno cada vez más conectado, rico en variables cuantificables, en el que los riesgos llegan cada día por nuevos vectores, con nuevas estrategias y bajo un nivel de complejidad nunca antes visto.

La industria del cibercrimen no es una excusa para vender servicios integrales e inteligentes, es una realidad. Una verdadera maquinaria de hacer billetes, con su propia distribución departamental, con una gestión centralizada de todo el negocio.

Todo esto hace que al final, las murallas levantadas entorno al activo más valioso de las compañías (la información) no sean suficiente.

Las cuatro charlas, de hecho, giraron alrededor de un mismo núcleo: la necesidad de afrontar la seguridad un paso más allá del clásico control basado en herramientas SIEM. 

Esas mismas herramientas que siguen siendo necesarias, pero que ya no cubren todas las casuísticas habituales de acceso ilícito a los datos de las empresas.

Comentaba Roberto Llop (EN), director de RSA EMEA:

“El 95% de los ataques a empresas se realizan mediante el robo de credenciales”.

Información sustraída no por fallos propios de seguridad, por brechas en esas fortalezas digitales, sino por la más sencilla (y antigua) de las estrategias: la ingeniería social.

Que es exactamente la misma situación que estamos viviendo los usuarios. Los antivirus siguen siendo útiles, pero no cubren todo el abanico de técnicas que hoy en día se están utilizando dentro de la industria del crimen, y esto acaba haciendo que para un cibercriminal sea más pragmático centrar esfuerzos en atacar al usuario que al sistema.

Para contrarrestar este paradigma, RSA propone focalizarse.

Focalización en el gobierno de identidades, inteligencia analítica y mitigación de riesgos contextual

“Puede que tú no uses la nube, pero tu trabajador seguramente sí”.

James Grehan (EN) definía de esta manera tan directa una situación que es habitual en cualquier organización. Da igual que las medidas de control de información estén convenientemente auditadas, si al final el trabajador saca esa información y la almacena (por comodidad, por ubicuidad, o por simple costumbre) en entornos inseguros.

La gestión de identidades es uno de los tres pilares en los que se asienta esa mirada más allá del SIEM, y pasa por conocer a la perfección las necesidades de cada trabajador, con el fin de que este disponga de los permisos necesarios mínimos para desempeñar su trabajo.

¿Qué nivel de acceso tiene cada uno? ¿Y qué nivel de acceso realmente necesitaría? No se trata por tanto de proteger absolutamente todo, sino de centrarse en lo verdaderamente crítico, como son los accesos desde plataformas externas o accesibles desde fuera, así como aquellos roles que tengan permisos de administración.

¿Para el resto? Toda la comodidad e inmediatez que su nivel de permisos acepte.

Firewall, IDS/IPS, antivirus, DLP, autenticación fuerte,… Estamos basando la seguridad en herramientas que se defienden de cosas conocidas”.

Cuánta razón tenía Ignacio Berrozpe (EN), encargado de dirigir la charla más técnica, al señalar el principal hándicap de las herramientas tradicionales de seguridad, basadas en firmas, y por tanto, en conocimiento previo.

La realidad actual es que si bien hay un porcentaje significativo de ataques ya conocidos, la feroz evolución de las herramientas de ataque hace que los ciclos de desarrollo hayan bajado lo suficiente como para que esos nuevos vectores representen mayor riesgo que los vectores de los que ya tenemos conocimiento.

Necesitamos entonces ver todo aquello que se queda fuera, que el SIEM es incapaz de tachar como potencialmente peligroso. Y facilitarle igualmente el trabajo del analista, sin inundarle con miles de volcados y logs que no llevan a ningún lado.

La compañía cuenta con tres productos para ello, que funcionan al unísono, acoplándose si fuera necesario al entorno SIEM que ya haya implementado en la organización.

  • RSA Security Analytics (ES): Un analizador de tráfico (FW LOG, Auth Log, Network Session,…), con capacidad de aprendizaje y parametrizable a los requisitos de cada empresa. Una inteligencia previa al trabajo del analista.
  • RSA ECAT (ES): Análisis, detección y determinación del alcance de los riesgos a los que estamos expuestos. La idea es tener, en la medida de lo posible, medidas de actuación para que, llegado el caso (que llegará…), el impacto económico sea el menor posible.
  • SecOps (EN): Respuesta a incidentes, respuesta a intrusiones y SOC. El que acaba por tomar acción, minimizando las consecuencias.

“El riesgo cubre muchos procesos distintos. Distintos alcances, diferentes técnicas, diferentes interlocutores, diferentes inquietudes, según el negocio específico de cada uno”.

Termino con las palabras de Manuel Lorenzo (EN), centradas en la figura de RSA Archer (ES), la plataforma de gestión de riesgo de la compañía.

Y aunque este tema me toca más de lejos que el resto, sí me ha parecido interesante la postura de RSA respecto a cómo integrar el riesgo operativo con el propio del IT, a sabiendas de que los dos se rigen por parámetros diametralmente opuestos.

En fin, que me volví a casa con buen sabor de boca. Con haber disfrutado de un evento, centrado en el negocio de la compañía, pero que al menos tenía interés en aportar información a los que como un servidor, no estábamos allí para ir de compras (al menos no interesadamente), sino para aprender de los que sin duda siguen siendo claros referentes del sector.