Hemos charlado con Alberto Torralba

Alberto Torralba,
Consulting System Engineer, Cisco Content Security Team
“Las empresas deberían entrenar a sus
empleados con simulacros de ciber-ataques”
Los ciber-delincuentes han identificado a los usuarios finales de
tecnología como el eslabón más fácil para atacar y conseguir
sus propósitos. En su rutina habitual al abrir emails y
descargarse archivos adjuntos de remitentes supuestamente
seguros, o navegar en webs a priori de confianza, pueden
liberar, inconscientemente, ataques con múltiples objetivos:
bloquear sistemas, robar información, forzar transacciones
económicas, etc.
Estas prácticas son altamente peligrosas en un entorno
empresarial. Cisco cuenta con una división enfocada a la
prevención de los ataques que tienen su origen en el contenido
que manejan los empleados en sus interrelaciones y
comunicaciones digitales: Cisco Content Security Team.
Hemos charlado con Alberto Torralba, Consulting System
Engineer que pertenece a este equipo de trabajo, para conocer
cómo pueden hacer frente las empresas a unas amenazas que,
parece ser, están irremediablemente ‘condenadas’ a sufrir.
El diagnóstico que hacéis los expertos está claro, pero
¿son conscientes las organizaciones de sus
vulnerabilidades en ciberseguridad?
Hay de todo, no se puede generalizar. Las hay que tienen unas
políticas de seguridad muy agresivas y las hay con
comportamientos muy laxos. Pero sí es verdad que hoy en día
todas tienen algún sistema de seguridad, ya sea de contenido,
perimetral, antivirus… La diferencia es que unas implantaciones
están mejor, otras peor… lo mismo que los productos, unos
son más válidos, otros menos. Eso sí, donde flaquean más es,
justamente, en proteger el entorno del usuario final y en
concienciarle de sus vulnerabilidades y de la transcendencia de
sus acciones.
políticas de seguridad determina que esto sea más o menos fácil. Lo
veo, por ejemplo, en las incidencias con CryptoLocker, que son las
que más me estoy encontrando últimamente. Es un software que,
cuando un usuario se lo descarga, cifra el disco duro y se visualiza
una web en la que se requiere un pago en bitcoins para descifrarlo.
El objetivo no son las empresas, lo que se busca es que los
usuarios paguen. Es un ataque con un mecanismo conocido que si
tiene éxito es porque las políticas de seguridad son excesivamente
relajadas.
¿Es posible que una empresa esté blindada al 100% en
ciberseguridad?
La experiencia nos ha demostrado que no se puede parar el 100%
de los ataques. El objetivo es impedir los máximos posibles, si es el
97% mejor que el 95%. Y para luchar contra ese tanto por ciento
que es imposible repeler es imprescindible utilizar herramientas que
analicen qué ha pasado y, sobre todo, contar con usuarios
conscientes que apliquen a sus interacciones en el ordenador,
como mínimo, las mismas pautas que se les aconseja en otros
ámbitos, como utilizar contraseñas seguras para sus tarjetas
bancarias, etc. Con estos dos elementos combinados, se reduciría
ese porcentaje impredecible.
¿Existe algún tipo de empresa que tenga un perfil más
atractivo para concentrar los ataques de los
ciber-delincuentes?
Todas son susceptibles de sufrir un ataque porque los hackers
se han dado cuenta de que lo más sencillo es atacar a los
usuarios no a las empresas. La falta de rigurosidad de las
Alberto Torralba, Consulting System Engineer, Cisco Content Security Team
| Entrevista
¿Qué aporta Content Security a este escenario?
Content Security engloba a esos elementos de seguridad que
intentan analizar la información que va a visualizar el usuario.
Otras áreas se centran en analizar posibles amenazas antes de
que lleguen a las infraestructuras, servidores, puertos,
ordenadores, servicios, etc. En este caso, hablamos de analizar
lo mismo que ve un usuario. Se trabaja sobre ataques de
ingeniería social. Es decir, al usuario se le presenta una
información sobre la que no va a sospechar porque está
habituado a ella. El objetivo es ayudarle a reconocer que lo que
ve no es lo que parece.
Para ello, hay que aplicar un enfoque heurístico al entorno de
protección porque hoy en día todo está interrelacionado, los
usuarios interactúan con emails, webs,
redes sociales… y, en la misma línea, los
distintos mecanismos de seguridad tienen
que comunicarse entre sí: el sistema de
correo necesita información de un IPS, de
un firewall, de elementos de comunicación,
etc. Los sistemas de protección tienen que
compartir datos para ser más sólidos, de
manera que un parámetro sin valor para
uno per se, puede, por ejemplo, ser la
clave que permita a otro catalogar una
posible amenaza.
deberían incorporar los de ciberseguridad.
Esa vulnerabilidad de los empleados debe contrarrestarse con
herramientas tecnológicas adecuadas. Productos hay muchos y su
coste suele ser determinante en la elección de unos u otros. Cada
empresa debe valorar sus necesidades y sus capacidades, pero si
su negocio está conectado a Internet, algo ya habitual, no debería
buscar excusas para no prestar atención a las amenazas online,
porque no es la empresa, sino el empleado el que va a recibir los
ataques; no lo olvidemos: un usuario final con acceso a información
corporativa, cuentas bancarias, etc.
Y a nivel TI, ¿qué prácticas son las más recomendables? ¿Los
equipos TI tradicionales están preparados o se necesitan
perfiles especializados en seguridad?
En la administración TI es fundamental
tomar conciencia de que la infraestructura
tecnológica tiene que estar siempre
actualizada, desde los parches de los
servidores a las versiones de los
navegadores. Es uno de los fallos con los
que nos encontramos más habitualmente.
A veces, no se hace por falta de recursos
pero es crítico tener una actitud proactiva
en este sentido. También es muy
recomendable, sobre todo en empresas
con altos volúmenes o tipos de negocio
muy sensibles en este área, contar con
profesionales especialistas en seguridad;
igual que los hay para redes,
comunicaciones, etc. Pueden provenir de
otro entorno TI, pero la formación
específica es imprescindible.
“Content Security
engloba a esos
elementos de
seguridad que
intentan analizar la
información que va a
visualizar el usuario”
La capacidad de renovación de los
ataques es realmente sorprendente. El
malvertising, la inserción de malware en
la publicidad, y el Snowshoe Spam son
algunas de las últimas invenciones…
Antes un spammer utilizaba siempre la
misma red, con las mismas fuentes y
enviaba, más o menos, la misma información. Con Snowshoe
nos encontramos que ahora utiliza muchas redes y en vez de
replicar el mismo ataque, intenta no repetir contenidos ni URL
para simular que es la primera vez que aparece esa amenaza
en Internet. La dinámica tradicional para burlar los ataques es
acción/reacción; es decir, actúo porque he aprendido de un
problema anterior. En este caso es muy difícil responder a algo
que no sabes cómo va a ser ya que la vida de los ataques cada
vez es menor. Es el caso de las URLs autogeneradas que
pueden tener incluso una duración de tan sólo una hora y luego
desaparecen. De nada sirve tenerlas, tras un primer ataque, en
tu base de datos para detectarlas después porque ya no van a
existir más.
¿Qué pueden hacer las organizaciones para que el usuario
final no se convierta, inconscientemente, en la quinta
columna de los ciber-delincuentes?
Es imprescindible que estén formados y entrenados. Es muy
recomendable hacer simulacros de ataques. No basta con
transmitirles unos conocimientos de prácticas seguras, hay que
ponerlas en práctica, mostrarles en tiempo real una amenaza
(virus, phishing, spam…), que actúen y vean las
consecuencias. El problema es que a los empleados se les da
formación, pero no se les entrena. Al igual que se hacen
simulacros de riesgos laborales e incendios, las organizaciones
Anteriormente apuntaba a la falta de rigurosidad de las políticas
de seguridad como una de las causas del éxito de los ataques,
¿cómo configurar una política de seguridad correcta?
No hay nada más seguro que meter el PC en una caja fuerte,
seguro que nadie lo hackea, pero así no se puede trabajar. La
seguridad hay que balancearla con la capacidad de trabajo. Si
prohíbes todo, dificultas los procesos que van a generar el dinero
que sustenta el negocio, pero si permites todo, tendrás muchos
problemas que lastrarán también el desarrollo de la empresa. En el
equilibrio está la clave. Pero quizás sí es necesario ser más rigurosos
para evitar dejar en manos de personas que no tienen conocimiento
suficiente decisiones que pueden tener importantes consecuencias
en seguridad. Eso es lo que ocurre si dejamos que entre un email y
permitimos que el usuario sea quien decida si es bueno o malo, si
puede activar un link o no, si se puede abrir un ejecutable
libremente, etc. Ser más rigurosos significa que expertos y
responsables de negocio tomen la decisión por él plasmándolo en
políticas de seguridad, donde se defina qué hacer con cada
situación en la que éste se puede encontrar.
¿Qué planteamiento y dinámicas transmite Cisco a sus clientes
para afrontar con éxito una estrategia de seguridad?
Para nosotros, todo incidente de seguridad se vincula a tres fases:
Antes, Durante y Después. El Antes se refiere a lo realizado para
.
formar a los usuarios finales y al equipo TI, montar los elementos de
Alberto Torralba, Consulting System Engineer, Cisco Content Security Team
| Entrevista
seguridad, establecer unas políticas, etc. El Durante estará
determinado por la capacidad de respuesta en función del nivel
de actualización de los sistemas y de si se ha definido bien la
política de seguridad. Y el Después está asociado a qué hacer
si algo pasa la protección establecida.
Se necesitan sistemas que nos den información después
de un ataque, que permitan limpiar esos incidentes,
determinando el camino que ha seguido la amenaza, y
recuperar el estado anterior mediante la restauración de un
backup.
Lamentablemente es una secuencia muy poco habitual en las
organizaciones. Por otra parte, la protección que propone Cisco
se basa en la participación de múltiples
sistemas, no basta con un motor de
análisis. La combinación de varios
(antispam, antivirus, reputación…)
acelerará el rechazo de un ataque dentro
de un entorno colaborativo en el que se
comparte continuamente información para
que, si no es uno, sea otro el responsable
de la decisión final.
Cognitive ha sido su última incorporación, ¿qué novedades
aporta respecto a otros sistemas de correlación de
información?
La correlación de información siempre ha existido, la cuestión
es cuanta inteligencia tiene tu sistema, qué algoritmos utilizas.
En ese ámbito, Cognitive proporciona análisis del
comportamiento en la navegación web mediante inteligencia
artificial. Facilita datos a partir de la conexión sin necesidad de
que haya contenidos. Pero es una tecnología para el Después
que indicaba anteriormente. Permite detectar un incidente del
que sin ella no se tendría conocimiento, pero la incidencia ya ha
ocurrido, es necesario ejecutar una acción de limpieza y
remediación.
¿De qué manera ofrece Cisco sus
soluciones? ¿Hay algún entorno
más seguro y sencillo a la hora de
implementar seguridad?
Proporcionamos las mismas
tecnologías tanto en modalidad
appliance, como para entornos
virtuales y despliegues en la Nube.
Son las mismas, sólo varía la forma
de instalar un sistema. El análisis
sobre un email, una transferencia
http o una transacción de red va a
ser igual. Incorporar nuestra
tecnología de Content Security es
muy sencillo. Instalar una plataforma
de correo de Cisco en un cliente no
tiene por qué llevar más de 2 ó 3
horas. Lo más complicado es
establecer las políticas seguridad
con las que se va a utilizar: qué decisiones se toman, quién las
toma, quién las escribe… Es como ver la tele, cambiar de
cadena con el mando es muy fácil, lo que cuesta es decidir qué
quieres ver.
“En la
administración TI es
fundamental tomar
conciencia de que la
infraestructura
tecnológica tiene
que estar siempre
actualizada”
¿Esa filosofía es la que está marcando
la política de adquisiciones de Cisco?
La esperanza de vida de las tecnologías de
nicho en seguridad pasa por su asociación
o integración en proveedores más grandes
donde se complementen con otros
conocimientos. Es algo que Cisco ha
sabido ver y por lo que se ha convertido
en uno de los drivers del mercado. No hay
más que repasar las primeras marcas en
seguridad que están bajo su paraguas: ScanSafe, Sourcefire,
ThreadGrid, IronPort, SenderBase, Cognitive… El conocimiento
compartido entre todas se materializa en Cisco Talos Security
Intellegence (*).
.
(*) http://www.cisco.com/c/en/us/products/security/talos.html
Alberto Torralba, Consulting System Engineer, Cisco Content Security Team
| Entrevista