Mòdul Professional 1: Incidents de ciberseguretat - Introducció

Índex

1 Definició

Quan parlem de seguretat informàtica, o ciberseguretat, estem parlant de preservar certs aspectes o propietats dins dels sistemes IT. D'aquestes propietats, les tres primeres són les mes bàsiques i clàssiques i s'han anat incorportant poc a poc d'altres, fins a completar les sis propietats que actualment es consideren necessàries per considerar un sistema segur. Cal recamrcar però que depenent de l'entorn i tipus d'organització en prioritzarem una o altre i per tant poden tenir diferent pes o consideració d'una organització a un altre (militar -> Confidencialitat, serveis->Disponibilitat, bancs->Integritat).

1.1 Disponibilitat

Aquesta propietat fa referència al fet de poder utilitzar el recursos IT en el moment que siguin necessaris. Per tant estem parlant de que si un client vol visitar la nostra botiga virtual ho pugui fer, si un comercial necessita consultar un preus en el catàleg de productes intern també, o fins i tot si un administratiu necessita imprimir un albarà tingui la impressora disponible i plenament funcional.

Com veurem més endavant, mitjançant un altre propietat de la ciberseguretat, cada perfil d'usuari se l'hi hauran assignat un recursos a utilitzar i la disponibilitat ha d'assegurar que els pugui utilitzar quan els necessiti.

1.1.1 Atacs típics

Per vulnerar la disponibilitat l'atac més típic és el Denial of Service (DoS) o el Distributed Denial of Service (DDoS) que, mitjançant una demanda massiva del recurs fa que aquest es colapsi i ningú pugui utilitzar-lo.

1.1.2 Defenses típiques

Per contrapartida, les defenses típiques són la redundància i l'alta disponibilitat de forma genèrica o solucions més específiques per atacs concrets.

1.2 Integritat

La integritat versa sobre la propietat de que els recursos tan sols siguin modificats i manipulats per processos controlats, establerts i segurs. Així doncs quan accedim a un recurs, com per exemple un document ofimàtic, ens garanteix que aquest no ha estat manipulat per tercers ni tampoc s'ha corromput al disc o durant la transferència de xarxa.

1.2.1 Atacs típics

Els atacs més típics acostumen a ser la manipulació mal-intencionada de comunicacions o documents mitjançant tècniques de Man in the Middle (MitM) o la simple corrupció del medi que emmagatzema la informació (errors de disc).

1.2.2 Defènses típiques

Com a defenses podem destacar per exemple sistemes de signaruta digital i funcions de resum (hash). Totes aquestes tècniques permeten verificar si un arxiu ha estat modificat, ja sigui intencionadament o no, i ja no correspon amb la seva funció hash prèvia. Lògicament la funció hash per si sola es pot regenerar, per això és important aconpanyar-la amb la signatura digital.

1.3 Confidencialitat

La confidencialitat és la propietat que assegura que un recurs IT tan sols és accessible per aquells rols o persones a les quals se l'hi ha garantit l'accés. Aquí cal remarcar la importància d'una bona gestió de rols i accessos utilitzant sempre la màxima del "mínim accés possible", és a dir, que a un recurs tan sols hi tinguin accés aquelles persones que el necessitin de forma imprescindible per desenvolupar les seves funcions dins l'empresa.

Aquest aspecte és força important ja que va molt lligat amb normatives estatals com la LOPD. Tot sovint, en la cultura popular, es redueix la ciberseguretat a aquest aspecte, però com hem vist no té perquè ser el fonamental.

1.3.1 Atacs típics

Com a atacs típics podem contemplar la irrupció en sistemes informàtics forànis, interceptació de comunicacions o simplement accés a recursos privats.

1.3.2 Defenses típiques

A nivell de defensa típica podriem destacar l'ús d'encriptació per assegurar que la informació, tot i s'hi aconsegueixi accés a nivell físic, sigui intel·ligible per l'atacant i no pugui utilitzar-la a nivell pràctic.

1.4 Autenticació

Molt lligada amb la confidencialitat, l'autenticació cerca poder verificar la identitat d'un usuari. Així doncs acostuma a ser el primer pas alhora d'utilitzar qualsevol sistema IT ja que, un cop reconeguda la identitat, se l'hi poden atorgar permisos per accedir als recursos assignats (disponibilitat) de forma confidencial i també garantir l'accés físic, traçabilitat, etc.

1.4.1 Atacs típics

L'atac més normal sobre aquesta propietat de la ciberseguretat és la suplantació o falsificació de la identitat (spoofing). Aquest pot ser llançat per accedir a un sistema amb un usuari concret, utilitzant atacs de diccionari o força bruta, o també per suplantar un servei legítim dins la xarxa víctima (p.e.: DHCP Spoofing).

1.4.2 Defenses típiques

L'enfortiment dels sistemes d'autenticació és la defensa més habitual, com per exemple l'autenticació per doble factor o l'ús de certificats digitials. També s'ha de combinar amb un sistema d'autenticació per capes que granuli les exigències d'autenticació dels usuaris en funció del sistema al que s'accedeix.

1.5 No repudi

Aquesta cinquena propietat és aquella que permet assegurar l'autor d'un recurs IT, s'aconseguiex implementant un sistema de traçabilitat i control de canvis i permetrà imputar responsabilitats sobre l'ús dels recursos IT.

1.5.1 Atacs típics

De nou, molt lligat amb l'integritat i l'autenticació, els atacs més típics poden ser el defacement o la suplantació de pàgines web o de documentació i serveis interns.

1.5.2 Defenses típiques

Aquí hem d'implementar un sistema d'autenticació prou robust i que estigui entrellaçat amb un sistema d'integritat, per tant el mecanísme més típic són els certificats digitals.

2 Abast

L'abast defineix les àrees lògiques o la natura que podem diferenciar alhora d'aplicar diferents mecanismes de seguretat. Aquestes són bàsicament quatre, i són combinables en parelles.

2.1 Seguretat física

Aquest és el domini de la ciberseguretat que inclou els elements físics dels sistemes IT, des de l'estructura de l'edifici fins als accessos físics als sistemes.

2.2 Seguretat lògica

Aquí en referim a aquells elements de natura intangible com poden ser les dades o els processos.

2.3 Seguretat activa

La seguretat activa és aquella que cerca reduir la possibilitat de que un risc es materialitzi i per tant evitar que directament succeeixi. És la més desitjable, però no podem dependre o confiar exclusivament en aquest tipus de seguretat.

2.4 Seguretat passiva

La seguretat passiva intenta reduir l'impacte que suposa que un risc es materialitzi i esdevingui una realitat. Aquestes són mesures necessàries i molt importants ja que, tot i que intentem evitar incidents, sabem que tard o d'hora succeiran i per tant em d'estar preparats per entormar-los i poder-los solventar.

3 Elements que protegeix

Els elements sobre els quals aplicarem els mecanismes de seguretat són:

3.1 Infraestructura

Ja sigui l'estructura física dels edificis com els elements físics que composen el sistema de IT.

3.2 Informació

La part lògica del sistema IT (dades, configuracions, etc).

3.3 Processos

La forma d'utilitzar el sistema IT també cal protegir-ho ja que, processos mal formulats poden provocar atacs.

3.4 Usuaris

Els propis usuaris del sistema, formen part del mateix, i per tant son un vector d'atac molt temptador, ja que acostumen a estar poc protegits.

4 Àrees d'actuació

Per protegir tots els elements esmentats anteriorment aplicarem mecanismes de seguretat en diferents àrees, que combinats, ens donaran el nostre sistema de ciberseguretat.

4.1 Polítiques

Les polítiques són aquelles normes i reglaments interns, d'ús obligatori, que asseguren un ús segur dels actius de l'organització. Inclouen una visió general del que es vol assegurar i donen pes i autoritat dins l'empresa a la ciberseguretat. D'aquesta manera són els documents que originen les actuacions en la resta d'àrees d'actuació i obliguen legalment al seguiment i compliment de les mateixes a tots els treballados de l'organització (caps inclosos).

Així doncs estableixen el "què" es vol però no el "com". Per establir el "com" fan referencia als mecanismes de protecció, procediments i auditories que s'implementaràn per donar respota a aquestes polítiques.

És important destacar que aquestes polítiques han d'arribar exclusivament al personal que les ha d'emprar (per exemple, el procés de baixa d'usuari del sistema IT no ha de ser conegut per un treballador de màrqueting) i també han de contenir clarament els rols i responsabilitats així com les sancions per incomplir-les amb l'objectiu de depurar responsabilitats en cas de no ser complertes o ser mal executades.

4.2 Mecanismes de protecció

Els mecanismes de protecció són sistemes físics o lògics que treballen per reduir el risc o l'impacte de determinades amenaces. Per implementar-les cal fer primer un estudi de riscos i valorar si el cost del risc és assumible o no, i en cas de que no ho sigui valorar els costos de les diferents mesures de seguretat que el poden pal·liar això com el risc residual resultant.

Amb tot, cal valorar molt bé quins mecanismes de protecció s'implementen (si val la pena fer-ho) i sobretot cal recordar que aquests mecanismes necessiten un manteniment i supervisió adequat per no esdevenir ineficaços.

4.3 Procediments

En aquests cas s'estableixen rols, responsabilitats i formes de procedir (treballar) dins l'organització. Un procediment típic seria la baixa d'usuaris al sistema IT, o la destrucció de dispositius d'emmagatzematge.

A diferència de les polítiques, el nivell de detall tècnic és important, ja que aquests procediments van destinats a les funcions que han de desenvolupar aquestes tasques.

4.4 Auditories

Finalment, l'última àrea d'actuació de la ciberseguretat són les auditories, tant internes com externes, que estan enfocades a verificar que tot el que hem esmentat fins ara s'està realitzant d'acord amb el que s'ha planificat, detectar si quelcom no és suficient o si han sorgit necessitats noves o no previstes.

5 Evolució

5.1 Anys 70

Inicialment la seguretat informàtica tenia un caràcter més físic, enfocat principalment a protegir davant desastres naturals. Això era degut a que les comunicacions entre diferents sistemes IT eren incipients i per tant la major part d'atacs tenien de forma forçossa un component físic.

Així doncs van proliferar molt hackers individuals, que per curiositat i diversió, exploraven aquestes tecnologies emergents i poc madures que permetien fer "coses divertides".

5.2 Actualitat

En les darreres dos o tres dècades la ciberseguretat ha experimentat un augment logarítmic tant d'importància com de complexitat. Als anys 90, un noi podia irrompre en sistemes informàtics empresarials de forma simple donat la gran descoixença i simplicitat dels mecanismes de seguretat. Poc a poc les empreses s'han anat fent més dependents dels sistemes IT, el crim s'ha enfocat més en aquest component i en conseqüència s'ha anat prenent més consciencia de la seva importància i els mecanismes adoptats han crescut en eficàcia i complexitat.

També s'ha vist una clara tendència cap al cibercrim organitzar, promogut per màfies i guerres entre estats, amb objectius clarament econòmics i/o geopolítics, deixant de banda l'imatge del hacker solitari.

5.3 Futur

Tot i que en un futur proper es preue que els atacs clàssic i habituals constitueixin encara el gran gruix dels atacs efectuats hi ha una clara tendència a l'ús de Malware i Botnets enfocades a l'extorsió i obtenció de beneficis ràpids.

També es contempla la tendència a explotar les tecnologies emergents com IoT, on s'obre un nou camp d'objectius on, a més dels propis dispositius i la informació que proporciones, acostumen a atorgar capacitat d'interacció amb l'entorn físic on estan instal·lats.

Finalment tecnologies com IA estan obrint camp a nous tipus de Malware, atacs persistents, etc que sobrepassen les defenses classiques.

Data: 2021-07-19 dl. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-26 dl. 12:05