Академический Документы
Профессиональный Документы
Культура Документы
NOTA: este estudio de caso está basado en el informe “Network Attacks: Analysis of
Department of Justice Prosecutions 1999-2006” realizado por Trusted Strategies, Inc.
encargado por Phoenix Technologies, Ltd.
Este estudio examina todos los casos de crímenes cibernéticos relacionados con la
intrusión en redes y robo de datos perseguidos y desvelados públicamente por la
Sección de Crímenes Informáticos y Propiedad Intelectual del Departamento de Justicia
©
Los casos analizados por el estudio incluyen toda la gama de ataques desde la
diseminación de código malicioso, como virus, troyanos, spyware y gusanos, hasta el
robo de propiedad intelectual, números de tarjeta de crédito u otro tipo de información
financiera privada.
Antes de examinar los datos recolectados, cada ataque fue estudiado y clasificado en
alguna de estas categorías:
• Tipo de ataque
El acceso no autorizado desde cuentas con privilegios es, con gran diferencia, la causa
de mayores pérdidas financieras para organizaciones individuales. No se trata de
ataques sofisticados, se trata habitualmente de ataques sencillos cometidos por
atacantes que han sido capaces de obtener un identificador de usuario válido con su
respectiva contraseña y utilizan esa información para acceder a recursos protegidos.
Los daños asociados como consecuencia de estos ataques son significativos, oscilando
entre miles y decenas de millones de dólares. Los costes medios que suponen estas
vulneraciones de las cuentas de usuario para las organizaciones individuales son de más
de 1,5 millones de dólares.
©
creencia popular. Aunque los virus y gusanos son los causantes de la mayor cantidad de
daños de forma agregada, este perjuicio se distribuye entre muchas víctimas. El coste
medio para una única organización individual debida a un único ataque de virus sólo
asciende, sorprendentemente, a 2.400 dólares.
Los cibercriminales que acceden a cuentas con privilegios especiales obtienen los
identificadores y contraseñas a través de variadas técnicas, desde el uso de programas
de crackeo.
En la mayoría de los casos, el atacante iniciaba sesión con más de una cuenta de
usuario privilegiado, lo cual denota familiaridad con la red atacada.
©
cuentas privilegiadas, hay que tener en cuenta que los accesos con esas cuentas sólo
debían provenir de unos de un pequeño número de equipos determinados.
Estos crímenes podrían haber sido evitados si los sistemas atacados hubieran
comprobado la identificación del equipo origen además de la identificación de usuario.
©
Como se observa en la figura A1.5, mientras el 79% de los crímenes son realizados
desde el exterior, los crímenes internos muestran patrones similares. La mayoría de
crímenes por inicio de sesión autorizada que pueden considerarse un ataque interno se
perpetran por ex empleados o por contratistas que utilizan identificadores y contraseñas
de antiguos colaboradores para obtener el acceso.
Los ex empleados constituyen el 21% de los ataques por inicio de sesión. En el 93% de
FUNDACIÓN UNIVERSITARIA IBEROAMERICANA
Por ejemplo, Laurent Chavet, de Kirkland, Washington, fue condenado por utilizar la
información de usuario de un antiguo compañero de trabajo para obtener acceso a los
sistemas de su antigua compañía desde su casa en San Mateo, Califormia. Los actos de
Chavet destruyeron los sistemas de la compañía y causaron una grave pérdida de datos
©
críticos.
De forma consistente con los descubrimientos sobre crímenes cometidos por personas
externas a la organización objeto del ataque, los crímenes con origen interno se puede
prevenir con la identificación del dispositivo que origina la conexión además de la
tradicional identificación del usuario. Esta afirmación es un hecho incluso en el caso de
utilizar los procedimientos de seguridad más robustos, como las claves de un solo uso.
A1.5. CONCLUSIONES
El estudio identifica una serie de puntos de importancia fundamental para todo tipo de
organizaciones. En primer lugar, las organizaciones afrontan unos riesgos por ataque
mucho mayores debidos a acceso no autorizado a redes y recursos internos, alrededor
de 1.5 millones de dólares de media, que los debidos a gusanos y virus, alrededor de
2,400 dólares de media.
©
Las principales conclusiones obtenidas de este estudio se enumeran a continuación:
• Los daños más importantes son los causados por atacantes que se loguean con
cuentas de administrador o de usuarios con privilegios elevados.
• La gran mayoría de atacantes, el 78%, efectúan los ataques desde los ordenadores
de su casa, a menudo desde equipos no autorizados y sin relación alguna con la
organización víctima del ataque.
NOTA: Estudio basado en el artículo “Proactively Managing Security Risk” por Naresh
Verma, Yih Huang y Arun Sood
Para comprender la necesidad de esta nueva capa, hay que considerar una de las
herramientas de seguridad más populares: la detección y prevención de intrusiones por
detección de patrones de ataque. Mientras que la defensa es efectiva una vez que el
ataque ha sido descubierto y analizado, no puede anticiparse a nuevos ataques y por
tanto, el sistema vulnerable durante un período de tiempo. En contraste, un sistema de
gestión de riesgos de seguridad proactivo se centra en el análisis de los recursos
corporativos y el riesgo asociado a ellos, para desarrollar un plan de protección. La
cobertura de seguridad resultante no deja el sistema vulnerable durante ningún lapso de
tiempo, ya que no se basa en el conocimiento previo de los ataques. En definitiva, no
existe la protección infalible y no se puede garantizar incluso aunque se tenga los
mejores cortafuegos o sistemas de prevención y detección de intrusión. Sin embargo,
aun queda una cuestión: ¿qué volumen de pérdidas está dispuesto a tolerar la
compañía? En un contexto militar supondría medir el grado de supervivencia, y los
©
oportunidades a los intrusos para causar daños. La metodología de gestión de riesgos
de seguridad proactiva está impulsada por la necesidad de asignar un requerimiento de
tiempo de exposición a cada riesgo asociado con los servidores en el sistema.
Data Protection, unauthorized Content and Behavior Vericept, Vontu, Port Authority,
information access Modeling (CBM) Oakley, Workshare, McAfee
Authorization/authentification and Network Acces Control Cisco, Juniper, Nortel, HP,
malware propagation (NAM) StillSecure, Lockdown,
ForeScout, McAfee,
Symantec, Netegrity
Identy Role Based ConSentry, Nevis Networks,
Access Control (I/RBAC) Applied Identity, Vernier,
Caymtus, PacketMotion
Unauthorized user access fron lost or Physical device security FullArmor, NetlO, Quest
FUNDACIÓN UNIVERSITARIA IBEROAMERICANA
©
• Pérdida Anual Esperada (PAE) = VA · FE · TAO
Las empresas son conscientes del hecho de que el riesgo no puede ser completamente
eliminado y debe ser tolerado. El paradigma de tolerancia a intrusiones asume que la
compañía permanece vulnerable hasta cierto punto y que los ataques ocurrirán e incluso
algunos tendrán éxito. El principal objetivo de una aproximación proactiva es limitar el
daño que puede ser causado por el intruso y la aseguración de que el sistema se
mantiene seguro y operacional. Una aproximación proactiva permite a las
organizaciones gestionar la seguridad de sus infraestructuras y los valores de negocio
que esas infraestructuras alojan.
TOLERANCIA A
CONCEPTO FIREWALL, IDS, IPS
FUNDACIÓN UNIVERSITARIA IBEROAMERICANA
INTRUSIONES
Carga de trabajo para el Alta: gestionar las reglas de Baja: no se generan falsas
administrador del sistema reacción, gestionar falsas alarmas alarmas
©
El tiempo de exposición (y, por tanto, el riesgo asociado) es diferente para cada servidor
y puede ser modelado por factores como:
De acuerdo a las directrices del NIST (Publicación Especial 800-44 del NIST), una
compañía de este tipo debe tener una exposición mínima a vulnerabilidades como parte
de la planificación y gestión de servidores web. Las directrices del NIST para una
aproximación superior para securizar servidores web públicos se muestra en la figura
B1.3.
FUNDACIÓN UNIVERSITARIA IBEROAMERICANA
©
La figura B1.3 ilustra una arquitectura empresarial segura con tres dominios primarios:
no confiable, confiable corporativo y privado. Cada uno de ellos representa una zona de
riesgo alto, medio o bajo, respectivamente. Asimismo, si un activo (por ejemplo, un
servidor web) en un dominio no confiable es atacado y no mitigado en poco tiempo, la
amenaza se propagará en cascada a los otros dominios y resultará en un daño
acumulativo.
©
de exposición. También se concluye que el efecto acumulativo de una amenaza que se
propague conlleva efectivamente a mayores pérdidas y de nuevo el tiempo de
exposición juega un papel fundamental en reducir las pérdidas acumulativas.
La figura B1.4 también proporciona una guía para delimitar los objetivos de seguridad
corporativos. Estos objetivos juegan un papel crítico en el modelado de riesgos y
FUNDACIÓN UNIVERSITARIA IBEROAMERICANA
B1.5. CONCLUSIONES
No son aproximaciones excluyentes, sino que deberían convivir para alanzar un nivel de
seguridad óptimo. La selección de parámetros basada en una vista holística del sistema
de seguridad puede reducir el coste de capital así como el coste operacional. Se
anticipar que la aproximación proactiva proporciona una límite más alto de las pérdidas
y por tanto, el administrador del centro de datos tiene mayor libertad en la planificación
©
de eventos nos esperados, como la instalación de parches. Esta libertad conlleva a
menores gastos operativos.