Conoce a tu enemigo

Opinión: Posiblemente, el principio más crítico que uno aprende en ciberseguridad es saber dónde están ubicados nuestros activos estratégicos. El primer paso para construir una estrategia de ciberseguridad sólida es tener visibilidad sobre cada aspecto de los datos críticos, incluyendo información vital que se mueve continuamente a lo largo y ancho de la red, endpoints e infraestructuras Cloud.

Cotidianamente las noticias están llenas de historias que dicen “Eso no debió haber pasado”. Un titular reciente que llamó poderosamente mi atención fue “Dispositivos explosivos improvisados estallan en el barrio de Chelsea en Nueva York”, un ejemplo de lo que quiero explicar. Nadie pudo realmente anticipar el ataque, pero a través de cámaras colocadas en el área, las fuerzas del orden pudieron identificar a un sospechoso y seguir sus huellas en cuestión de horas.

En el mundo real, nadie puede conocer cada una de las amenazas potenciales a futuro o cuando éstas atacarán. Se pueden hacer adivinanzas rimbombantes con los datos e inteligencia correcta pero no puedes predecir nada con seguridad. Es por esto que Nueva York, Londres y otras áreas metropolitanas han instalado un sistema de cámaras, que les permite reunir información y responder con una investigación rápidamente.

Recuerdo la película Minority Report con Tom Cruise. La premisa es que 3 psíquicos tienen premoniciones de un “pre-crimen”. Anticipando asesinatos antes de que ocurrieran, ayudando a la policía a arrestar a los sospechosos antes de que cometieran el crimen. Desafortunadamente, ningún experto en ciberseguridad en el mundo tiene la habilidad de predecir ataques con absoluta certeza. No existe una caja mágica que puedas instalar en tu infraestructura de red que te alertará sobre amenazas antes de que ocurran, pero es ahí donde el concepto de conocer a tu enemigo entra en juego.

Conocer a tu enemigo no se trata de predecir el futuro, se trata de entender tus debilidades, identificar los puntos ciegos y desarrollar estrategias de mitigación, para reaccionar a posibles amenazas de tu enemigo. Recordemos una cita de Donald Rumsfeld durante una conferencia de prensa en 2002: “Los reportes que dicen que algo no ha pasado, siempre son interesante para mí, porque hasta donde sabemos, hay conocidos que son conocidos, hay cosas que sabemos. Pero también hay desconocidos conocidos, lo que nos hace pensar que hay cosas de las cuales no sabemos nada”.

La misma verdad yace en los ataques cibernéticos actuales, que vienen en muchas formas diferentes. Mientras muchos ataques provienen de agentes externos, no desestime que sus empleados, clientes y proveedores pueden ser sospechosos también. Algunos ataques están dirigidos a la infraestructura de red, otros, a la nube o inclusive en sus endpoints y dispositivos móviles. Hay casos donde los routers han sido usados contra sus propias organizaciones.

El hecho es que las naciones conducen operaciones de espionaje, compañías rivales hurtan propiedad intelectual unas de otras, cibercriminales roban millones de dólares y operativos políticos, filtran información sensible de los oponentes. Después de trabajar en ciberseguridad por casi 2 décadas, casi nada me sorprende. Todos estos tipos de amenazas deben de estar en la lista de enemigos. La gente, sus dispositivos, su infraestructura, pueden ser recursos que los exponen si son explotados intencional e inadvertidamente.

Posiblemente, el principio más crítico que uno aprende en ciberseguridad es saber dónde están ubicados nuestros activos estratégicos. El primer paso para construir una estrategia de ciberseguridad sólida es tener visibilidad sobre cada aspecto de los datos críticos, incluyendo información vital que se mueve continuamente a lo largo y ancho de la red, endpoints e infraestructuras Cloud.

La realidad es que los servidores se mueven, la gente comete errores y los ataques pueden ocurrir desde una gran variedad de vectores. La constante en su estrategia de defensa debería ser asegurar la habilidad de rastrear cada transacción mientras los datos viajan a través de la empresa. Ver qué es lo que pasa, es un prerrequisito si de verdad te vas a proteger contra enemigos que no se ven.

No te puedes saber cuándo o de dónde vendrá el siguiente ataque, pero si te puedes preparar para detectarla lo más rápido posible. Se trata de conocer a tu enemigo y tener una imagen completa de lo que pasa antes, durante y después de un ataque. Lo más rápido que puedas ver y responder, menor será el daño inflingido.

Por Justin Harvey, Director de Estrategia de Seguridad de Gigamon


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022