banner

Hackers, #Zappos, Culebras y otras cosas

No es que este intentando lanzar un hechizo, un maleficio, o me haya pillado el pie con la puerta del coche, no es nada parecido. Simplemente es una reacción después de leer que hace unos días un nuevo ataque comprometia la Seguridad de la web Zappos (tienda online propiedad de Amazon) accediendo a la información de más de 24Milliones de usuarios, donde se vuelve a mostrar la (in)madurez en Seguridad que muestran algunas empresas, y sino, miremos un poco hacia atrás para recordar el ataque a la red PlayStation Network de SONY, el Caso Stratfor, y muchos otros más.

¿Es que acaso las empresas se han olvidado de proteger sus Sistemas? ¿Cómo pueden seguir cayendo una y otras vez ante técnicas de ataque ampliamente conocidas (a veces) como es SQL Inyection?

Estoy seguro que estas empresas, tienen una arquitectura de red segura (DMZ), balanceadores de carga e incluso sistemas de protección perimetrales (cortafuegos, IDS, etc). Pero entonces ¿Cómo puede seguir ocurriendo? 

Esto se debe a que desde hace ya unos años, se viene potenciando e impulsando mucho la protección perimetral de los Sistemas, es decir, se ha invertido el esfuerzo en asegurar el perímetro de la red de las empresas, y quizás en ese proceso se han descuidado otras no menos importantes.

No se si seré un romántico de la Seguridad, o es una deformación profesional, pero si partimos de que la ·Seguridad· Absoluta no existe, el principio de Seguridad "defensa en profundidad" nos viene como anillo al dedo.

Creo que ha llegado el momento de subir de nivel en la defensa de los Sistemas, superado la defensa del perímetro, se debe de pensar en avanzar hacia el núcleo de los Sistemas, aplicando algunas de los principios de la Seguridad como son:
  • Mínimo privilegio y funcionalidad
  • Configuración Segura de los Sistemas
  • Defensa en Profundidad

Siguiendo estos "principios" (seguro que me olvido de alguno más), para proteger los Sistemas llevaría a cabo un Análisis de la Situación y actuaría de la siguiente forma:
 

  1. Análisis de la Seguridad actual: realización / actualización del análisis de riesgo de seguridad de la empresa.
  2. Actualización de la Política de Seguridad, estableciendo una revisión en el organigrama y estructura de Seguridad de los Sistemas: Segregación de funciones Responsable de Seguridad, Administrador de Seguridad y Administrador de Sistemas (estructura mínima, aunque dependerá de otros factores, que no trataré en este artículo).
  3. Revisión de los Procedimientos y Procesos de Seguridad disponibles, así como toda la documentación relativa. Procedimientos de Gestión de Incidentes, Actualizaciones de Seguridad, Configuración, Copias de Seguridad, Centro de Respaldo, etc.
  4. Dependiendo del resultado del Análisis de Riesgos (AR), en este punto de revisarían todos los controles de seguridad aplicados, y se reforzarían aquellos que mostrarán su ineficacia.
  5. Rediseño de la Arquitectura de Red de la empresa, DMZ con segmentación de zonas, protección perímetro externo e interno. Despliegue de Sondas de Red para control de tráfico interno / externo, y sondas de Sistemas (HIDS) en los servidores de base de datos. Junto a las sondas es fundamental implantar un Sistema de Monitorización y Correlación de eventos de Seguridad (SIEM).
  6. etc...
Se podría seguir, añadiendo más y más capaz de seguridad, como implantar sistemas Honeypot, dispositivos de detección y prevención de ataques web dinámicos (WAF), auditorías de código fuente a las páginas web para aplicar "sanitización de entradas / salida de datos", configuración segura de los Sistemas Operativos y aplicaciones (NIST Security Guide), etc.

Por tanto, la "Seguridad" no es solo la implementación de medidas técnicas, sino es el conjunto de controles técnicos y procedimentales que ayudan a establecer un nivel adecuado de seguridad que reduzca las zonas de exposición a la mínima expresión.

Un Saludo.

No hay comentarios :

Publicar un comentario en la entrada