Ciberseguridad en la PYME 2014

Superficies de ataque en el Data Center privado y en Cloud

Por Enrique Martín Garcia

Telvent Global Services

C/ Valgrande, 6 28018 Alcobendas

Madrid – Spain

enrique.martingarcia@telvent.com

Superficies de ataque en el Data Center privado y en Cloud

Febrero de 2015 2

Contenidos

Resumen ............................................................ 2

Introducción ....................................................... 2

Fundamentos de Ciberseguridad ......................... 3

Gestión de riesgos ............................................ .. 3

Motivación ............................................................. 3

Visibilidad .............................................................. 4

Capacidad de explotación ..................................... 4

Recursos y preparación de las organizaciones ..... 4

Medida de la Ciberseguridad ........................... .. 5

Superficie de ataque ............................................... 5

Cálculo de los indicadores sintéticos ..................... 5

Resultados obtenidos ......................................... 5

Resultados cualitativos ..................................... .. 5

Resultados cuantitativos ................................... .. 6

Madurez ................................................................. 6

Superficie de ataque ............................................... 6

Resultados en la nube (The Global Cloud) ...... .. 7

Conclusiones ...................................................... 8

Referencias ......................................................... 8

Resumen

Históricamente una de las grandes barreras

en las empresas para la adopción de

soluciones basadas en la nube (Cloud) fue

la seguridad de la información. Los

incidentes conocidos durante 2014 [1]

y que

afectaron a distintos proveedores de

servicios Cloud a nivel mundial, parecían

reafirmar esta barrera unánimemente

aceptada. Sin embargo, durante 2014

realizamos una serie de análisis de

seguridad a distintas empresas tipo PYME,

encuadradas en distintos sectores y que nos

proporcionaron una visión bastante clara

acerca del estado de madurez de su

seguridad IT. En este estudio vamos a

ofrecer una comparativa entre los valores de

las superficies de ataque de los servicios

explotados de manera autónoma por las

empresas en sus Data Centers propios y con

su personal interno, frente a los obtenidos

sobre servicios desplegados en nuestra nube

(The Global Cloud).

Introducción

La ciberseguridad de las organizaciones ha

empezado a preocupar a sus directivos a raíz

del incremento de visibilidad que los

incidentes de este tipo han tenido en los

medios de comunicación. Una prueba de

esto es la actividad desarrollada por Telvent

Global Services en 2014 para analizar el

estado de la Ciberseguridad de distintas

empresas.

En este análisis se realizó una identificación

de los niveles de madurez para distintos

aspectos que componen el gobierno de la

seguridad de la información en las

organizaciones.

Los niveles de madurez utilizados para

evaluar cada uno de los aspectos analizados

fueron los siguientes:

1. Inicial. Las acciones se realizan

informalmente, o de manera

reactiva, sin dejar evidencia, ni estar

procedimentado.

Superficies de ataque en el Data Center privado y en Cloud

3

2. Repetible. La forma de actuar está

procedimentada, pero no existen

mecanismos de registro y control de las

acciones realizadas.

3. Definido. Los procedimientos, generan traza

de su actuación, pero esta no es analizada.

4. Gestionado. La gestión de la organización

está basada en el seguimiento de KPIs.

5. Optimizado. Existe una vocación por la

mejora continua.

La madurez se calculó sobre distintas áreas que

gestionan el nivel de seguridad de una organización:

Gobierno de la seguridad (Política y

procedimientos)

Gestión de la continuidad (Disponibilidad e

integridad de la información)

Seguridad perimetral (Gestión de canales y

protocolos de entrada y salida)

Seguridad interna (Gestión de sistemas,

aplicaciones y datos)

Seguridad física (Controles y salvaguardas

de acceso físico)

En función de la evaluación realizada sobre

distintos aspectos de cada una de las áreas, se

generó un indicador sintético numérico que ofrecía

un valor entre 1 y 5 de las mismas.

Las empresas analizadas pertenecen a distintos

sectores, algunos de ellos clasificados como críticos

por el Centro Nacional de Protección de

Infraestructuras Críticas:

Alimentación

Químico

Administración Pública

Otros sectores no críticos:

o Fabricación

o Servicios generales

o Logísitica

o Venta On Line

o Servicios Legales

El tamaño de las empresas analizadas se

corresponde con el Pequeña y Mediana Empresa

(PYME), llegando hasta los 250 trabajadores y

facturaciones comprendidas entre 2 y 10 millones

de Euros.

En este documento presentaremos el cálculo

de un parámetro concreto que estimamos

fundamental a la hora de determinar el

grado de seguridad de una organización

(Superficie de Ataque) para todas ellas, y lo

compararemos con el obtenido al calcularlo

sobre nuestra nube (The Global Cloud).

Para el cálculo del valor de este indicador

sintético, se utilizará una media de los

valores obtenidos en las áreas de seguridad

evaluadas y que se explica en puntos

posteriores de este estudio.

Fundamentos de Ciberseguridad

Gestión de riesgos

La seguridad de los activos de información

de una organización concreta podría parecer

asociada a la no existencia de riesgos sobre

dichos activos. Esta situación es imposible,

por lo que debemos enfocar nuestra

actividad a intentar minimizar los riesgos a

los que están sometidos nuestros activos de

información en cada momento.

Si entendemos el riesgo como la

probabilidad de que algo dañe nuestros

activos de información causando pérdidas a

nuestra organización (Impacto), llegaremos

a la siguiente ecuación:

Riesgo = Probabilidad x Impacto

Es difícil actuar sobre el impacto sin alterar

el valor de los activos de la organización,

por lo que nos concentraremos en minimizar

la probabilidad de que algo (Amenazas)

dañe nuestros activos.

Pero, ¿qué factores afectan a esta

probabilidad?

Motivación

De acuerdo a una de las fuentes de

información más seguidas en el sector de la

Seguridad (Hackmageddon[2]

), este es el

reparto de las motivaciones tras los ataques

a los activos de información:

Superficies de ataque en el Data Center privado y en Cloud

4

No se puede conocer a ciencia cierta el tamaño de

negocio del Ciber Crimen a nivel mundial, pero se

sospecha que es muy superior al de grandes

multinacionales e incluso al Producto Interior Bruto

de algunos pequeños países. (McAfee [3]

). Esta

motivación sigue su tendencia de crecimiento de

manera continua.

Visibilidad

La alta conectividad de los sistemas de negocio a

Internet, hace que sea más cómoda y económica su

explotación, pero también hace posible el acceso de

terceros no autorizados a los servicios y

aplicaciones publicadas.

En esta figura se aprecian los sistemas con puertos

IP accesibles desde Internet. Como veremos más

adelante, el número de canales y protocolos abiertos

es un factor que incrementa directamente la

probabilidad de ser atacado y sufrir algún impacto.

Capacidad de explotación

Nuestros activos de información tendrán

una mayor probabilidad de ser atacados si

presentan debilidades en su implementación

y si estas debilidades son fácilmente

rebasadas y de una manera repetitiva. En

este caso se dice que nuestros sistemas son

vulnerables. La vulnerabilidad de los

sistemas y servicios es algo que incrementa

el riesgo y que, por tanto, disminuye la

seguridad de nuestros activos de

información.

Es de destacar que en los últimos años, el

mercado de empresas que comercian con

este tipo de debilidades se ha incrementado

de manera significativa, pudiéndose

encontrar incluso en el espacio Web

habitual.

Recursos y preparación de las organizaciones

Los tres pilares básicos sobre los que debe

descansar la estrategia de seguridad de

cualquier organización son, por este orden,

las personas, los procedimientos definidos

y la tecnología implantada. Un personal

concienciado, la existencia de

procedimientos de gestión de controles e

incidentes y la implantación de soluciones

tecnológicas acordes al entorno a proteger,

son medidas apropiadas para disminuir el

riesgo que deben soportar nuestros activos

de información.

Superficies de ataque en el Data Center privado y en Cloud

5

Medida de la Ciberseguridad

Superficie de ataque

Si aceptamos que la disminución del riesgo

incrementa nuestra seguridad, parece necesario

definir un parámetro que aglutine los conceptos

anteriormente revisados y permita seguir su

evolución temporal dentro de la organización. Este

parámetro o indicador a definir seria aquel que

permitiera cuantificar la disminución del riesgo de

los activos mediante la minimización de la

probabilidad de impacto. En este caso hemos

seleccionado la Superficie de Ataque. (SA)

La superficie de ataque se define de la siguiente

manera:

Es claro que la SA aumenta con los procesos y

datos accesibles (PD) y los Canales y protocolos

(CP) abiertos, y disminuye en función de los

controles de acceso que implantemos sobre ellos.

Este indicador es fundamental para poder diseñar

una estrategia de defensa en profundidad de los

activos y ofrece un valor objetivo para realizar un

seguimiento periódico de la evolución del estado de

seguridad de una organización.

Cálculo de los indicadores sintéticos

Para poder determinar el valor de la superficie de

ataque, debemos calcular el valor de los siguientes

indicadores sintéticos:

PD: Accesibilidad a los procesos y datos de

la organización.

CP: Canales y protocolos de la organización

accesibles.

CA: Conjunto de medidas que regulan el

derecho de acceso a los dos recursos

anteriores.

En el caso del primer indicador, se ha utilizado el

valor del Gap detectado entre el grado de madurez

actual de la organización y el valor máximo en la

escala de madurez utilizada.

El grado de madurez para el indicador PD

es la media aritmética de los siguientes

valores asignados a cada organización:

PD1: Gestión del bastionado de

sistemas

PD2: Gestión de parches

De igual manera se ha realizado el cálculo

de CP, pero en este caso la media aritmética

se ha realizado sobre los siguientes valores

de madurez:

CP1: Gestión de servicios accesibles

desde Internet

CP2: Gestión de servicios accesibles

desde la Intranet

CP3: Análisis de visibilidad y

vulnerabilidades periódico

En el caso del cálculo de CA, se ha

asignado directamente la media aritmética

de los valores obtenidos para la madurez en

las siguientes Áreas:

CA1: Controles técnicos de

seguridad perimetral

CA2: Gestión de usuarios

CA3: Política de seguridad y

procedimientos

CA4: Controles de seguridad física

Con esta metodología se ha realizado el

cálculo de las superficies de ataque que

mostraremos en el siguiente punto.

Resultados obtenidos

Resultados cualitativos

Los resultados cualitativos más importantes

en todas las organizaciones estudiadas son

los siguientes:

1. Amplio margen de mejora en la

definición, implantación y

supervisión periódica de políticas y

procedimientos de seguridad

2. Escasa inversión en la formación de

concienciación periódica (al menos

anual) de los usuarios

3. Equipos de seguridad poco dotados

o inexistentes, siendo una tarea

Superficies de ataque en el Data Center privado y en Cloud

6

complementaria de los equipos de Sistemas

y Comunicaciones de la organización. Esta

circunstancia compromete seriamente la

aplicación sistemática de los POS

(Procedimientos Operativos de Seguridad) y

no permite la disminución y gestión de la

superficie de ataque de la organización.

4. Falta de visibilidad sobre los servicios

publicados en Internet, no habiéndose

realizado jamás un estudio, al menos, de

visibilidad y vulnerabilidades de caja negra.

5. Escasa externalización de los Servicios

gestionados de seguridad tipo SOC, dándose

el caso de organizaciones con plataformas

de recolección de logs y eventos de

seguridad que, sin embargo, no tiene los

recursos necesarios para su operación y

gestión.

6. Bajo nivel de preparación en la respuesta

ante incidentes de seguridad (Incluyendo la

disponibilidad y continuidad de servicios)

Resultados cuantitativos

La aplicación de la métrica de cálculo descrita

anteriormente sobre las organizaciones estudiadas

ofrece los siguientes valores:

Madurez

El grado de madurez de la gestión de la seguridad,

una vez evaluadas las distintas áreas descritas

anteriormente, ofrece los siguientes resultados por

sectores:

Sector Madurez

Fabricación 1,93

Servicios 2,19

Químico 2,25

Logística 2,64

Venta On Line 2,77

Legal 2,78

Administración Pública 2,88

Alimentación 3,07

Mínimo: 0 – Máximo: 5

Como podemos observar, las empresas relacionadas

con la Fabricación, los Servicios generales, el sector

Químico y la Logística obtienen el grado de

madurez más bajo.

Las organizaciones del sector Alimentación,

Administración Pública y Legal son las que

han ofrecido mayor nivel de madurez en

este estudio.

Superficie de ataque

Según lo expuesto anteriormente, las

organizaciones más maduras en su gestión

de la seguridad, deberían presentar una

superficie de ataque menor.

Los valores obtenidos para la superficie de

ataque en las organizaciones estudiadas y

divididos por sectores, son los siguientes:

Sector Sup.de Ataque

Fabricación 6,88

Químico 6,21

Servicios 4,78

Logística 2,53

Legal 2,36

Administración Pública 2,01

Venta On Line 1,79

Alimentación 1,72

Mínimo: 0 – Máximo 8

Gráficamente podemos ver los valores de la

superficie de ataque calculados por sector y

oredenados de mayor a menor:

1,93 2,19 2,25

2,64 2,77 2,78 2,88

3,07

0,00

0,50

1,00

1,50

2,00

2,50

3,00

3,50

Superficies de ataque en el Data Center privado y en Cloud

7

Los resultados obtenidos confirman la relación

inversa entre la madurez en la gestión de la

seguridad y su efecto en la disminución de la

superficie de ataque.

Resultados en la nube (The Global Cloud)

A pesar de la existencia de estudios que afirman que

la superficie de ataque de los servicios prestados

desde la cloud aumenta sobre los servicios

prestados desde la propia organización, creo estar

en condiciones de afirmar que dichos estudios son

antiguos, y olvidan algunos aspectos fundamentales

en el gobierno de la seguridad.

El estudio más importante [4]

y que ha servido como

referencia para muchos de los posteriores, data de

2010. La evolución en la implantación de la

tecnología de virtualización desde ese año a la

actualidad ha igualado las superficies de ataque en

los dos ámbitos y simplemente ha trasladado dos de

las superficies de ataque a otro dominio de

confianza. (La red interna de la organización). Este

hecho es aún más preocupante si tenemos en cuenta

que los usuarios internos suelen ser la fuente de los

incidentes de seguridad más dañinos.

El otro aspecto que obvia este estudio es el gobierno

de la seguridad.

Como podemos ver en la siguiente tabla, el grado

de madurez de los aspectos básicos de gobierno de

la seguridad son superiores en un proveedor de

servicios debidamente cualificado (certificado ISO

27001 – CSA STAR e ISO 22301) que en la media

de las organizaciones estudiadas en este periodo:

Personas Procedimientos Tecnología

Data

Center

Privado

2,3 1,5 2,8

The

Global

Cloud

4 4,2 4,1

En el apartado de la preparación de las

personas, cualquier organización certificada

ISO 27001 debe contar con un plan de

formación (revisable anualmente) y unos

objetivos de mejora auditables.

Este mismo razonamiento aplica a la gestión

y supervisión de los procedimientos de

seguridad, con especial atención a los

procedimientos operativos de bastionado y

parcheado de sistemas y servicios.

Respecto a la tecnología, las medidas

implantadas en este tipo de proveedores de

servicios Cloud, supera a las de cualquier

organización del tamaño de las citadas.

(Defensa ante DDOS, Security Operation

Center, tecnologías redundantes y de

distintos fabricantes en todas las capas de

protección perimetral, estudio periódico de

visibilidad y vulnerabilidades, interlocución

ante los CERTs - Computer Emergency

Response Team - nacionales e

internacionales, etc.)

El resultado cuantitativo para la superficie

de ataque de nuestra Cloud, calculada por el

mismo método que el descrito anteriormente

ofrece una valor de 0,68, lo que le sitúa muy

por debajo de los valores obtenidos para las

compañías mejor valoradas en este estudio.

6,88

6,21

4,78

2,53 2,36 2,01 1,79 1,72

0

1

2

3

4

5

6

7

8

Superficies de ataque en el Data Center privado y en Cloud

8

Conclusiones

Parece claro que el cambio en el nivel de riesgo que

afrontan las organizaciones en la actualidad,

motivada fundamentalmente por la actividad

Cibercriminal, obliga a replantear la explotación

segura de sus servicios al más alto nivel.

Las diferencias encontradas entre los niveles de

madurez de la seguridad entre organizaciones se

explica fácilmente teniendo en consideración la

importancia que las Directivas de dichas

organizaciones han asignado a la protección de sus

activos de información. La existencia de

responsables de seguridad nombrados oficialmente,

políticas y procedimientos publicados y revisados y

equipos de seguridad dedicados en exclusiva, hacen

la diferencia.

Evidentemente es una decisión de inversión y en los

momentos actuales esto puede suponer una barrera

para las organizaciones. Sin embargo, la no acción

puede poner en riesgo la continuidad de la actividad

de negocio, por lo que se deben estudiar otras

soluciones basadas en servicios que ayuden a

mantener una superficie de ataque menor a la actual

y que, por tanto, minimicen el riesgo en las

cantidades que cada organización pueda permitirse.

A la vista de los resultados comparativos entre el

mantenimiento de la superficie de ataque en el

Centro de datos corporativo y en un proveedor de

servicios Cloud debidamente certificado, la

migración selectiva y progresiva de ciertos servicios

críticos puede ser una opción válida para aumentar

el nivel de seguridad de la organización.

La posesión de certificaciones tipo ISO 27001 y

CSA-STAR de seguridad de la información, e ISO

22301 de continuidad de negocio debe ser algo a

exigir a los proveedores de servicios Cloud que

podrían ayudarnos en el mantenimiento a mínimos

de nuestras superficies de ataque y niveles de

riesgo.

Referencias

[1] Panda Labs. “THE MOST

INFAMOUS ATTACKS OF 2014”.

http://mediacenter.pandasecurity.com/media

center/wp-

content/uploads/2014/07/pandalabs-

forecast-2015.pdf

[2] Hackmageddon. “December 2014

Cyber Attacks Statistics”.

http://hackmageddon.com/2015/01/09/dece

mber-2014-cyber-attacks-statistics/

[3] McAfee Center for Strategic and

International Studies. June 2014. “Net

Losses: Estimating the Global Cost of

Cybercrime”.

http://www.mcafee.com/mx/resources/repor

ts/rp-economic-impact-cybercrime2.pdf

[4] Nils Gruschka, Meiko Jensen.

“Attack Surfaces: A Taxonomy for Attacks

on Cloud Services”. 2010 IEEE 3rd

International Conference on Cloud

Computing.