Al adoptar un enfoque centrado en el riesgo, conocer las aplicaciones críticas y estudiar sus componentes principales, es posible llenar más fácilmente los espacios en blanco con esa inteligencia sobre amenazas externas para tener una visión más clara y completa.
Siempre menciono cuán importante es una fuerte gestión del riesgo para un CISO. Cuando se trata de riesgo, las aplicaciones de las que dependen los usuarios son una gran preocupación. En una encuesta de seguridad realizada en 2016 por el Ponemon Institute, a petición de F5, la mayoría de los encuestados citó a la seguridad en torno de las aplicaciones como área de gran preocupación. Esto tiene sentido, las aplicaciones son donde almacenamos nuestros valiosos datos. Cuando se caen, no podemos trabajar.
Sabemos que las aplicaciones son esenciales para los negocios pero también son difíciles de monitorear. La misma encuesta reportó que las organizaciones tienen en promedio 1,175 aplicaciones. Esa es una gran cantidad de aplicaciones para monitorear y la mayoría de los encuestados dijeron que no estaban seguros de saber dónde estaban todas sus aplicaciones. Antes de empezar a recopilar la inteligencia sobre las amenazas, es necesario tener una idea de dónde están las aplicaciones y cuáles son las más críticas para el negocio de la empresa.
La siguiente pregunta es, ¿cuánto realmente sabemos sobre esas aplicaciones? Muchas soluciones funcionan sobre una multitud de aplicaciones y servicios más pequeños. Dentro de estas capas y subsistemas se encuentra una gran cantidad de variables en la implementación y la seguridad. Esto puede dar lugar a inconsistencias en la autenticación, registro, cifrado y disponibilidad. Por ejemplo, una aplicación crítica puede tener una interfaz web altamente disponible, conectada a través de un enlace cifrado a una base de datos frágil con un registro de auditoría deficiente.
Y, ¿qué hay de la robustez interna de la implementación? Las aplicaciones cambian rápidamente en la era de DevOps (desarrollo y operaciones). Un programador puede empujar un cambio de código a un sistema en vivo en un segundo, pero ¿qué tan seguro es eso? La mayoría de los encuestados expresaron tener baja confianza en prácticas seguras de desarrollo. Sin embargo, DevOps puede ser benéfico para la seguridad de las aplicaciones si se realizan las pruebas adecuadas en entornos maduros, esto significa que las comprobaciones de control de calidad y de seguridad deben ser automatizadas, relevantes y completas.
Una vez que se tenga idea de la estructura e implementación de las aplicaciones, es posible analizar los riesgos asociados a cada una de ellas. Comencemos con los conceptos básicos como los requisitos de confidencialidad, integridad y disponibilidad. Diferentes usuarios tendrán distintas prioridades, lo que puede conducir a algunas ideas útiles. Por ejemplo, la disponibilidad es importante para la mayoría de los usuarios. Así que cuando pensemos en la disponibilidad de las aplicaciones, especialmente aplicaciones SaaS como Office365 o Dropbox, es necesario incluir la conectividad de red como una dependencia. Si la conectividad a Internet de la organización cae por cualquier razón, la productividad se va con ella. Incluso si no se tienen servicios de cara a Internet, la amenaza a la disponibilidad de las aplicaciones por un ataque DDoS es algo que se debe tener en cuenta.
¿Cómo mantener una mirada en los ataques DDoS? Es difícil ya que en Internet cada ataque siempre es sorpresa. Existe una multitud de enemigos invisibles con la capacidad de atacar instantáneamente y luego desaparecer. Los CISOs necesitan información actualizada y relevante sobre estas amenazas. Si sabemos cuáles son nuestras necesidades, es mucho más fácil conectar esta inteligencia a las brechas para poder tomar decisiones informadas.
Entonces, ¿cómo conseguir inteligencia sobre las amenazas? Ciertamente, están disponibles varios insumos sobre amenazas para comprar, sin embargo, la información más importante que se necesita para defender mejor las redes ya está disponible. La verdad básica es que la mayoría de las intrusiones se basan en vulnerabilidades conocidas.
Los equipos de gestión de vulnerabilidades mantendrán los parches de proveedores para todas las aplicaciones críticas. Como CISO, es probable que esté supervisando el nivel de los parches en todas las aplicaciones para asegurarse de que se está manteniendo el ritmo de las expectativas. Sin embargo, hay piezas más interesantes de información que se deben tener en cuenta. Si una aplicación está en constante necesidad de parches de seguridad, tal vez no vale la pena la carga en las operaciones de TI. También es posible supervisar la ventana de amenazas y la remediación para aplicaciones vitales. Si se lanza una nueva vulnerabilidad, se debe tomar nota de cuánto tiempo lleva en promedio que el proveedor reconozca y responda con una corrección. Una vez más, un número más alto que el promedio, o más allá de la tolerancia al riesgo, es un indicador de que se pueden necesitar controles adicionales alrededor de la aplicación. Disponer de inteligencia que indique cuáles exploits y vulnerabilidades están actualmente activas en la industria a la cual pertenece la empresa, puede ayudar a priorizar qué implementar primero.
Por otra parte, más de la mitad de los encuestados citaron la falta de visibilidad de sus aplicaciones como un problema que impide la seguridad. Cuando se busca visibilidad en una aplicación compleja, es esencial descomponer sus componentes. Esto significa mirar las entradas y salidas, las interfaces internas, las diferentes zonas sobre las que se realiza la comunicación de la aplicación y lo que ésta deja detrás. El factor más importante son las dependencias externas a la aplicación, las cuales pueden apuntar a lugares donde se puede buscar inteligencia adicional. Por ejemplo, cuando DynDNS fue víctima de un ataque masivo de DDoS a finales de 2016, casi otros 70 servicios importantes cayeron porque alojaban su DNS en Dyn. Otro ejemplo funciona en la dirección opuesta: muchas aplicaciones SaaS requieren credenciales de organización para la autenticación. Reunir información sobre lo que está sucediendo con las credenciales internas es algo que definitivamente se requiere hacer. Dondequiera que una aplicación salga del control de la organización es un lugar que se debe mirar.
Algunas de las amenazas más recientes provienen fuera de la organización. ¿Qué nuevos ataques contra aplicaciones están surgiendo? ¿Qué nuevos sectores de la industria están siendo apuntados? ¿Qué servicios SaaS específicos están cayendo bajo asedio? ¿Qué tipos de infraestructura o tecnologías se han encontrado con serias vulnerabilidades? Hay mucha inteligencia sobre amenazas por ahí, tal vez demasiada para que un CISO pueda manejarla. Sin embargo, al adoptar un enfoque centrado en el riesgo, conocer las aplicaciones críticas y estudiar sus componentes principales, es posible llenar más fácilmente los espacios en blanco con esa inteligencia sobre amenazas externas para tener una visión más clara y completa.