Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 26 de diciembre de 2008

Violaciones de seguridad más comunes

Hace un rato me encontré con un interesante y reciente informe desarrollado por la empresa Verizon Business mediante el cual se describen los problemas de seguridad más comunes que se produjeron durante los últimos cuatro años provocando pérdidas de información considerables en las empresas.

Del informe se desprende que:
  • en el 87% de los casos, los problemas se pudieron haber evitado sin problemas a través de medidas de seguridad básicas,
  • en el 66% de los casos, las empresas no sabían que estaban publicando información sensible a través de sus sistemas y sitios web,
  • en el 39% de las violaciones de seguridad, participaban activamente socios de negocio de la empresa (Partners), cuestión que fue multiplicándose desde el año 2004.
Como verán, hasta aquí sólo se mencionan tres de los puntos más importantes que expone el documento pero que más allá de ello, se suelen obviar por considerarse triviales olvidando que, sin embargo, constituyen los puntos claves para un atacante. Por otro lado,
  • el 73% de las debilidades se debieron a fuentes externas,
  • el 18% fue provocado por personal interno, lo que se conoce como factor insider.
Teniendo en cuenta esta información, se puede desmitificar la creencia que establece que el mayor daño es provocado por ataques externos (73%) que quizás es llevado a cabo por un chico que se encuentra al otro lado del mundo frente a su PC y tomando cerveza. Contrariamente a lo llamativo que pueda parecer este porcentaje, los daños provocados por estos ataques poseen un impacto mínimo.

No sucede lo mismo cuando el ataque es provocado desde dentro de la organización ya que, si bien el porcentaje es menor (18%), este tipo de ataques es el que más daño provoca en la empresa debido a que, en la mayoría de los casos, es cometida por personal que posee y conoce información privilegiada y sensible de la empresa.

Ahora bien, después de leer estos puntos, la pregunta que genera el punto de inflexión en torno a este tema es ¿podrían haber sido evitadas? Siendo la respuesta un rotundo SI.

En el mismo informe se expresa que el 87% de los problemas pudieron haberse evitado a través de medidas básicas de seguridad, es decir, por intermedio de la implementación de controles de seguridad razonables tendientes, precisamente, a prevenir este importante 87% de problemas.

Otro dato importantísimo que expone el documento es que el 22% de los ataques se produjeron a través de la explotación de vulnerabilidades de las cuales más del 80% eran conocidos, es decir, no se trataba de exploit 0-Day, además de poseer su correspondiente parche de seguridad que soluciona la debilidad.

Este punto en particular, trae a mi mente el gran ruido que ha estado causando, por ejemplo, el gusano Conficker con alta tasa de infección en apenas unos días, aprovechando una vulnerabilidad en plataformas Windows solucionada en el boletín de seguridad MS08-067, o la reciente vulnerabilidad en Internet Explorer solucionada en el boletín MS08-078 y que muchos troyanos están explotando activamente.

Resulta sumamente importante sa ber que algunas de las medidas de seguridad básicas que debemos tener en cuenta pasan por implementar y/o actualizar la Política de Seguridad de la información en la empresa, y controlar que se cumplan las medidas expuestas, en esto se centra casi la totalidad de la solución a los problemas de seguridad mencionados.

Saber con qué datos contamos, dónde se encuentran almacenados y cuál es el valor que posee cada uno de ellos según el plan de riesgos realizado, es también una cuestión a considerar ya que no es posible asegurar lo que no se conoce o lo que no se sabe dónde se encuentra.

Debemos intentar adoptar el sentido de un estratega para asegurar el entorno, o por lo menos, encontrar un adecuado equilibrio de seguridad en el mismo.

Un interesante documento que llama a la reflexión sobre los problemas de seguridad a los que comúnmente se expone una organización dejando sin protección el activo más valioso con el que cuenta, la información; muchas veces, sin saber que se encuentra disponible “para todo público”.

# pistus

Ver más