Wikileaks - La palabra de moda hoy en todo el mundo es un duro golpe para muchos, una gran sorpresa para otros, una enorme decepción para unos cuantos y una gran diversión para otros. Dejando de lado el motivo, los efectos y las ramificaciones, las exposiciones de tipo WikiLeaks tal vez representen la mayor amenaza a la seguridad de la información para las agencias gubernamentales. La falta de políticas de control de acceso y de mecanismos de cumplimiento bien definidos puede estar en la raíz de problemas de seguridad como este. Los intrusos maliciosos parecen estar causando este daño, ya sea al acceder ilegalmente a los documentos o al dar credenciales a demasiadas personas no verificadas que luego los llevan a WikiLeaks o, de hecho, a cualquier otro medio de comunicación. En el contexto de las exposiciones de WikiLeaks, este artículo analiza las diversas dimensiones de la seguridad de la información, las causas de políticas de seguridad estrictas, la necesidad de controlar el acceso privilegiado y las estrategias para mitigar las amenazas.
Los medios de comunicación de todo el mundo están ahora conmocionados por el episodio de WikiLeaks. Buena parte de la cobertura gira en torno al "qué", "por qué", "quién", "dónde", "cuándo" y "cómo" de la historia de WikiLeaks.
Si bien se está investigando para encontrar el verdadero motivo de por qué un analista de inteligencia del ejército y WikiLeaks decidieron sacar a la luz varios secretos, hay un hecho que está realmente claro en esta turbia secuencia de acontecimientos: Los intrusos maliciosos en agencias gubernamentales parecen estar causando este daño, ya sea al acceder ilegalmente a los documentos o al dar credenciales a demasiadas personas no verificadas que luego los llevan a WikiLeaks o, de hecho, a cualquier otro medio de comunicación.
En la polémica más reciente relacionada con la publicación de unos 220 de documentos diplomáticos estadounidenses, se cree que Bradley Manning, un analista de inteligencia del ejército de 22 años destinado en Irak, filtró los documentos clasificados a WikiLeaks.
Desde la detención de Manning, se está llevando a cabo una acalorada discusión sobre cómo consiguió acceder a esos datos sensibles. En una charla privada con el ex-hacker Adrian Lamo, Manning supuestamente confesó que la filtración fue posible debido a la falta de medidas de seguridad de la información. Lamo facilitó las transcripciones del chat a Wired.com y al FBI.
Al parecer, Manning tuvo acceso a dos redes clasificadas propiedad del Departamento de Defensa y del Departamento de Estado, y a la Unión Mundial de Sistemas de Comunicaciones de Inteligencia, respectivamente. "Llegaba con música en un CD-RW etiquetado con algo como 'Lady Gaga', borraba la música y luego escribía un archivo comprimido dividido. Nadie sospechaba nada y, lo más probable, es que nunca lo hagan", escribió Manning a Lamo.
Esto da lugar a una pregunta fundamental sobre todo el episodio: ¿cómo logró Manning acceder a las redes sensibles? ¡Ahí es donde empieza el problema!
El modus operandi exacto de Manning aún no se conoce del todo. Sin embargo, podemos suponer categóricamente que no debería haber tenido acceso a todas esas redes de las que había extraído los datos sensibles. Sin ninguna necesidad genuina, tuvo acceso a varias redes. Esto sugiere que la falta de políticas de control de acceso y de mecanismos de cumplimiento bien definidos puede estar en la raíz de los problemas de seguridad como este.
A medida que las agencias gubernamentales, el ejército y otros departamentos federales aprovechan cada vez más el poder de la tecnología de la información para gestionar sus actividades y ofrecer diversos servicios, la seguridad de la información se ha convertido en la principal preocupación. El episodio de WikiLeaks ha demostrado una vez más que la protección eficaz de los datos sensibles se ha convertido en un gran reto para las agencias gubernamentales.
Hoy en día, los conceptos de "trabajo desde casa" y "teletrabajo" se adoptan cada vez más en los organismos gubernamentales. Esto ha dado lugar a la proliferación del uso de computadores portátiles y dispositivos de almacenamiento como las tarjetas de memoria. Cuando los datos residen en estos dispositivos, resulta complicado garantizar la seguridad de la información. Podría llegar muy fácilmente a manos de usuarios malintencionados.
Es cruel comentar que muchos usuarios internos actúan con mala intención, puesto que sólo unos pocos lo hacen. Pero, a través de un manejo inadecuado e inseguro de los datos sensibles, los usuarios con buenas intenciones abren la puerta a los incidentes de seguridad.
El efecto de las ciberamenazas sobre los establecimientos privados puede limitarse a pérdidas financieras y de reputación. Quizás, podría ser mayor en el caso del espionaje corporativo o industrial, pero los incidentes de seguridad en las agencias gubernamentales podrían poner en peligro incluso la Seguridad Nacional. Las ramificaciones políticas de WikiLeaks trascienden las fronteras internacionales y los analistas políticos creen que este tipo de revelaciones suponen la mayor amenaza para la Seguridad Nacional.
No obstante, al igual que los establecimientos privados, las agencias gubernamentales también tienen la tarea de fomentar la confianza pública a través de la integridad y la confidencialidad de la información mientras sirven a los ciudadanos.
Un estudio reciente del Equipo de Respuesta a Emergencias Informáticas (CERT) afirma que:
"El número de casos de sabotaje informático interno en el sector de las TI es bastante sorprendente. El sector gubernamental es el segundo en número de ataques de sabotaje informático interno"
-- Common Sense Guide to Prevention and Detection of Insider Threats, 3ra edición - Versión 3.1, Dawn Cappelli, Andrew Moore, Randall Trzeciak y Timothy J. Shimeall, CERT, Universidad Carnegie Mellon.Como resultado, hay un mayor sentido de precaución y necesidad entre los establecimientos gubernamentales en todos los niveles para proteger la información sensible y asegurar su infraestructura informática. A medida que las agencias gubernamentales adoptan las nuevas tecnologías, las nuevas amenazas siguen su ritmo. La adopción de la computación en nube y la virtualización ha hecho que la seguridad empresarial sea aún más difícil y realmente importante.
En el contexto de las exposiciones de WikiLeaks, es pertinente analizar las diversas dimensiones de la seguridad de la información, las causas de las políticas de seguridad estrictas, la necesidad de controlar el acceso y las estrategias para mitigar las amenazas.
Empecemos por lo básico - Alcanzar el máximo nivel de seguridad de la información es el objetivo obvio para las empresas y los organismos gubernamentales. Pero, este objetivo está plagado de dos retos principales:
Ataques externos - Las organizaciones entran en contacto con una variedad de personas de diversas maneras. La información sensible y los recursos de TI se deben exponer o compartir con otros departamentos, agencias y ciudadanos. Un gran número de empleados deben acceder a datos sensibles y un número cada vez mayor de ciudadanos recurren a las tecnologías de la información para acceder a servicios empresariales o gubernamentales.
Siendo la transparencia en las transacciones el sello distintivo del funcionamiento del gobierno, se requiere que muchos detalles sean expuestos al público. Las agencias gubernamentales, por su propia naturaleza, manejan una enorme cantidad de datos/información sensible. Todo ello hace que los establecimientos gubernamentales sean vulnerables a las violaciones de datos y a los ciberataques de hackers aficionados y expertos.
Amenazas internas - Las amenazas a la seguridad de la información no siempre proceden del exterior. Bien podrían generarse dentro de la propia organización. El personal descontento, los empleados ingenuos o codiciosos, los contratistas expertos en tecnología y los empleados despedidos podrían actuar con mala intención y hacer un uso indebido del acceso privilegiado. Los negocios y la reputación de algunas de las organizaciones más poderosas del mundo, incluidas muchas agencias gubernamentales, se han visto destrozados en el pasado por un puñado de intrusos maliciosos
Tradicionalmente, los troyanos keylogger (que monitorean las pulsaciones del teclado, las registran en un archivo y las envían a atacantes remotos), el scripting entre sitios (que permite a los atacantes maliciosos inyectar scripts del lado del cliente en las páginas web visualizadas por otros usuarios y explotar la información para saltarse los controles de acceso) y los virus han actuado mayoritariamente como canales externos de ataque a la seguridad.
Sin embargo, últimamente, las amenazas internas parecen ser mucho más alarmantes y prevalentes, ya que muchos de los incidentes de seguridad reportados han sido causados por personas malintencionadas con acceso privilegiado, autorizado o no, a los recursos informáticos de la empresa y el gobierno. Los intrusos malintencionados pueden abusar del acceso privilegiado a los recursos informáticos y sembrar el caos robando, manipulando y destruyendo datos confidenciales.
De hecho, los análisis de los expertos en seguridad informática revelan que el acceso no autorizado a los recursos de TI por parte de personas malintencionadas con información privilegiada es la amenaza para la seguridad que crece con mayor rapidez. Y, las amenazas internas están creciendo a un ritmo sin precedentes.
Mientras que los dispositivos de seguridad, las soluciones de detección de intrusos y otras aplicaciones ayudan a combatir las amenazas externas, mitigar eficazmente las amenazas internas es un reto enorme y exige una estrategia múltiple. Antes de hablar de las formas de combatir las amenazas internas en los organismos gubernamentales, merece la pena profundizar en las causas.
En muchos de los ciber-sabotajes denunciados, el abuso del acceso privilegiado a infraestructuras informáticas críticas y el robo de identidades han servido de "canal de pirateo" para que los infiltrados maliciosos causaran estragos en la confidencialidad, integridad y disponibilidad de los sistemas de información de la organización.
La falta de controles internos, restricciones de acceso, gestión centralizada, transparencia, políticas sólidas y, para colmo, un estilo desordenado de almacenamiento y gestión de contraseñas privilegiadas convierten a la organización en un paraíso para los infiltrados maliciosos.
Las contraseñas privilegiadas se consideran las "llaves del reino" porque permiten a los usuarios obtener un acceso prácticamente ilimitado y un control total de los recursos informáticos, como servidores, bases de datos, dispositivos de red y aplicaciones informáticas. Aquellos que inicien sesión a través del modo privilegiado podrían acceder a absolutamente cualquier cosa fácilmente.
Normalmente, las agencias gubernamentales tienen miles de contraseñas privilegiadas, la mayoría de las cuales se utilizan en entornos compartidos. Esto significa que un grupo de administradores utiliza una cuenta privilegiada común para acceder al recurso. En realidad, las contraseñas se dejan abiertas para que las gestione el grupo.
Normalmente, las agencias gubernamentales tienen miles de contraseñas privilegiadas, la mayoría de las cuales se utilizan en entornos compartidos. Esto significa que un grupo de administradores utiliza una cuenta privilegiada común para acceder al recurso. En realidad, las contraseñas se dejan abiertas para que las gestione el grupo.
Las cuentas privilegiadas son accesibles para todos los miembros de un equipo. La naturaleza "compartida" garantiza el anonimato, lo que permite un uso indebido sin dejar rastro y, como resultado, las contraseñas privilegiadas permanecen prácticamente en el más absoluto desorden.
Cada vez está más claro que una gestión inadecuada de las contraseñas privilegiadas/administrativas podría ser el origen de un buen número de amenazas a la seguridad. De hecho, un análisis reciente realizado por expertos revela que más del 80 por ciento de los ataques internos se habían originado por personas que tenían acceso a identidades privilegiadas.
Por lo tanto, las contraseñas administrativas se comparten de forma insegura y se encuentran dispersas en la organización, lo que deja poco margen para los controles internos. El estilo desordenado para la gestión de contraseñas convierte a la organización en un paraíso para los hackers, ya sean internos o externos. Muchos incidentes de seguridad y violaciones de datos podrían deberse en realidad a la falta de políticas adecuadas de gestión de contraseñas y de controles internos estrictos.
No todos los incidentes de seguridad y las violaciones de datos pueden prevenirse o evitarse; pero, los que ocurren debido a la falta de controles internos eficaces sí se pueden prevenir.
Combatir las sofisticadas amenazas internas en las agencias gubernamentales exige medidas preventivas y una estrategia múltiple: controlar el acceso a los recursos, aplicar políticas de seguridad, adherirse a las mejores prácticas, monitorear los eventos para conocer la situación en tiempo real, grabar las sesiones de usuario, detectar vulnerabilidades, controlar los cambios, garantizar el cumplimiento de las normativas, analizar las acciones, automatizar el aprovisionamiento y desaprovisionamiento de usuarios y un sinfín de actividades más.
Es pertinente citar aquí uno de los enfoques de mejores prácticas sugeridos por el CERT. Abogando por la aplicación de prácticas estrictas de gestión de contraseñas y cuentas, el CERT afirma que: "Por muy alerta que esté una organización a la hora de impedir los ataques internos, si sus cuentas de equipo pueden verse comprometidas, estas personas tienen la oportunidad de eludir los controles manuales y automatizados. Las políticas y prácticas de gestión de contraseñas y cuentas deben aplicarse a los empleados, contratistas y socios comerciales. Deben asegurarse de que toda la actividad de cualquier cuenta se pueda relacionar con la persona que la realizó".
Una de las formas eficaces de mitigar las amenazas internas es automatizar todo el ciclo de vida de la gestión de acceso privilegiado aplicando las mejores prácticas. Las soluciones de gestión de información e identidad privilegiada (PIIM) actúan como la alternativa para los procesos tradicionales, ineficientes e inseguros de gestión de contraseñas. Proporcionan una solución automatizada y basada en políticas para la gestión de contraseñas administrativas compartidas y ayudan a conseguir un alto nivel de seguridad para los datos.
Las soluciones PIIM, también llamadas soluciones de gestión de contraseñas privilegiadas, ayudan a las organizaciones a proteger sus datos y evitar así incidentes de seguridad de múltiples maneras:
Además de implementar una solución PIIM, merece la pena aprovechar otras soluciones de seguridad de los datos, como el software de prevención de pérdida de datos (DLP), que podría ir más allá de la restricción del acceso para monitorear lo que hacen los usuarios con el acceso. La grabación y reproducción de sesiones también puede aprovecharse para realizar un seguimiento de las actividades de los usuarios. Además de implementar una solución de gestión de información e identidades privilegiadas, merece la pena aprovechar otras soluciones de seguridad de los datos, como el software de prevención de pérdida de datos (DLP), que podría ir más allá de la restricción del acceso para monitorear lo que hacen los usuarios con el acceso. La grabación y reproducción de sesiones también puede aprovecharse para realizar un seguimiento de las actividades de los usuarios. Esto será especialmente útil en escenarios en los que se permita el teletrabajo y el almacenamiento de información en tarjetas de memoria y CD.
Si está buscando una solución para reforzar la seguridad de su infraestructura de TI y, a su vez, proteger los datos críticos, ManageEngine Password Manager Pro sería la elección ideal. Password Manager Pro (PMP) es una bóveda web segura para almacenar y gestionar la información confidencial compartida, como contraseñas, documentos e identidades digitales de las empresas.
Ayuda a controlar el acceso a las contraseñas administrativas compartidas de cualquier "recurso empresarial", como servidores, bases de datos, dispositivos de red, aplicaciones, etc. PMP permite a los responsables de TI aplicar prácticas estándar de gestión de contraseñas.
Los investigadores señalan repetidamente que las amenazas internas y los incidentes de robo de identidad van en aumento y no dejarán de crecer debido a muchas razones, como la situación económica, los factores sociales y los avances tecnológicos que hacen que los delincuentes expertos en tecnología sean más creativos cada día que pasa. Los analistas opinan que durante los últimos seis meses casi se han duplicado los incidentes de seguridad en redes clave de organismos gubernamentales.
Lograr la seguridad de los datos es, de hecho, un viaje continuo en el que priman las medidas preventivas que ofrecen una protección integral. WikiLeaks nos abre los ojos: tomar medidas preventivas es la necesidad del momento. ¡Utilice Password Manager Pro y manténgase seguro!
