1. Ciberseguridad en la PYME 2014
Superficies de ataque en el Data Center privado y en Cloud
Por Enrique Martín Garcia
Telvent Global Services
C/ Valgrande, 6
28018 Alcobendas
Madrid – Spain
enrique.martingarcia@telvent.com
2. Superficies de ataque en el Data Center privado y en Cloud
Febrero de 2015
2
Contenidos
Resumen ............................................................ 2
Introducción....................................................... 2
Fundamentos de Ciberseguridad......................... 3
Gestión de riesgos ............................................ ..3
Motivación............................................................. 3
Visibilidad.............................................................. 4
Capacidad de explotación ..................................... 4
Recursos y preparación de las organizaciones ..... 4
Medida de la Ciberseguridad ........................... ..5
Superficie de ataque............................................... 5
Cálculo de los indicadores sintéticos..................... 5
Resultados obtenidos ......................................... 5
Resultados cualitativos..................................... ..5
Resultados cuantitativos................................... ..6
Madurez................................................................. 6
Superficie de ataque............................................... 6
Resultados en la nube (The Global Cloud) ...... ..7
Conclusiones ...................................................... 8
Referencias......................................................... 8
Resumen
Históricamente una de las grandes barreras
en las empresas para la adopción de
soluciones basadas en la nube (Cloud) fue
la seguridad de la información. Los
incidentes conocidos durante 2014 [1]
y que
afectaron a distintos proveedores de
servicios Cloud a nivel mundial, parecían
reafirmar esta barrera unánimemente
aceptada. Sin embargo, durante 2014
realizamos una serie de análisis de
seguridad a distintas empresas tipo PYME,
encuadradas en distintos sectores y que nos
proporcionaron una visión bastante clara
acerca del estado de madurez de su
seguridad IT. En este estudio vamos a
ofrecer una comparativa entre los valores de
las superficies de ataque de los servicios
explotados de manera autónoma por las
empresas en sus Data Centers propios y con
su personal interno, frente a los obtenidos
sobre servicios desplegados en nuestra nube
(The Global Cloud).
Introducción
La ciberseguridad de las organizaciones ha
empezado a preocupar a sus directivos a raíz
del incremento de visibilidad que los
incidentes de este tipo han tenido en los
medios de comunicación. Una prueba de
esto es la actividad desarrollada por Telvent
Global Services en 2014 para analizar el
estado de la Ciberseguridad de distintas
empresas.
En este análisis se realizó una identificación
de los niveles de madurez para distintos
aspectos que componen el gobierno de la
seguridad de la información en las
organizaciones.
Los niveles de madurez utilizados para
evaluar cada uno de los aspectos analizados
fueron los siguientes:
1. Inicial. Las acciones se realizan
informalmente, o de manera
reactiva, sin dejar evidencia, ni estar
procedimentado.
3. Superficies de ataque en el Data Center privado y en Cloud
3
2. Repetible. La forma de actuar está
procedimentada, pero no existen
mecanismos de registro y control de las
acciones realizadas.
3. Definido. Los procedimientos, generan traza
de su actuación, pero esta no es analizada.
4. Gestionado. La gestión de la organización
está basada en el seguimiento de KPIs.
5. Optimizado. Existe una vocación por la
mejora continua.
La madurez se calculó sobre distintas áreas que
gestionan el nivel de seguridad de una organización:
Gobierno de la seguridad (Política y
procedimientos)
Gestión de la continuidad (Disponibilidad e
integridad de la información)
Seguridad perimetral (Gestión de canales y
protocolos de entrada y salida)
Seguridad interna (Gestión de sistemas,
aplicaciones y datos)
Seguridad física (Controles y salvaguardas
de acceso físico)
En función de la evaluación realizada sobre
distintos aspectos de cada una de las áreas, se
generó un indicador sintético numérico que ofrecía
un valor entre 1 y 5 de las mismas.
Las empresas analizadas pertenecen a distintos
sectores, algunos de ellos clasificados como críticos
por el Centro Nacional de Protección de
Infraestructuras Críticas:
Alimentación
Químico
Administración Pública
Otros sectores no críticos:
o Fabricación
o Servicios generales
o Logísitica
o Venta On Line
o Servicios Legales
El tamaño de las empresas analizadas se
corresponde con el Pequeña y Mediana Empresa
(PYME), llegando hasta los 250 trabajadores y
facturaciones comprendidas entre 2 y 10 millones
de Euros.
En este documento presentaremos el cálculo
de un parámetro concreto que estimamos
fundamental a la hora de determinar el
grado de seguridad de una organización
(Superficie de Ataque) para todas ellas, y lo
compararemos con el obtenido al calcularlo
sobre nuestra nube (The Global Cloud).
Para el cálculo del valor de este indicador
sintético, se utilizará una media de los
valores obtenidos en las áreas de seguridad
evaluadas y que se explica en puntos
posteriores de este estudio.
Fundamentos de Ciberseguridad
Gestión de riesgos
La seguridad de los activos de información
de una organización concreta podría parecer
asociada a la no existencia de riesgos sobre
dichos activos. Esta situación es imposible,
por lo que debemos enfocar nuestra
actividad a intentar minimizar los riesgos a
los que están sometidos nuestros activos de
información en cada momento.
Si entendemos el riesgo como la
probabilidad de que algo dañe nuestros
activos de información causando pérdidas a
nuestra organización (Impacto), llegaremos
a la siguiente ecuación:
Riesgo = Probabilidad x Impacto
Es difícil actuar sobre el impacto sin alterar
el valor de los activos de la organización,
por lo que nos concentraremos en minimizar
la probabilidad de que algo (Amenazas)
dañe nuestros activos.
Pero, ¿qué factores afectan a esta
probabilidad?
Motivación
De acuerdo a una de las fuentes de
información más seguidas en el sector de la
Seguridad (Hackmageddon[2]
), este es el
reparto de las motivaciones tras los ataques
a los activos de información:
4. Superficies de ataque en el Data Center privado y en Cloud
4
No se puede conocer a ciencia cierta el tamaño de
negocio del Ciber Crimen a nivel mundial, pero se
sospecha que es muy superior al de grandes
multinacionales e incluso al Producto Interior Bruto
de algunos pequeños países. (McAfee [3]
). Esta
motivación sigue su tendencia de crecimiento de
manera continua.
Visibilidad
La alta conectividad de los sistemas de negocio a
Internet, hace que sea más cómoda y económica su
explotación, pero también hace posible el acceso de
terceros no autorizados a los servicios y
aplicaciones publicadas.
En esta figura se aprecian los sistemas con puertos
IP accesibles desde Internet. Como veremos más
adelante, el número de canales y protocolos abiertos
es un factor que incrementa directamente la
probabilidad de ser atacado y sufrir algún impacto.
Capacidad de explotación
Nuestros activos de información tendrán
una mayor probabilidad de ser atacados si
presentan debilidades en su implementación
y si estas debilidades son fácilmente
rebasadas y de una manera repetitiva. En
este caso se dice que nuestros sistemas son
vulnerables. La vulnerabilidad de los
sistemas y servicios es algo que incrementa
el riesgo y que, por tanto, disminuye la
seguridad de nuestros activos de
información.
Es de destacar que en los últimos años, el
mercado de empresas que comercian con
este tipo de debilidades se ha incrementado
de manera significativa, pudiéndose
encontrar incluso en el espacio Web
habitual.
Recursos y preparación de las
organizaciones
Los tres pilares básicos sobre los que debe
descansar la estrategia de seguridad de
cualquier organización son, por este orden,
las personas, los procedimientos definidos
y la tecnología implantada. Un personal
concienciado, la existencia de
procedimientos de gestión de controles e
incidentes y la implantación de soluciones
tecnológicas acordes al entorno a proteger,
son medidas apropiadas para disminuir el
riesgo que deben soportar nuestros activos
de información.
5. Superficies de ataque en el Data Center privado y en Cloud
5
Medida de la Ciberseguridad
Superficie de ataque
Si aceptamos que la disminución del riesgo
incrementa nuestra seguridad, parece necesario
definir un parámetro que aglutine los conceptos
anteriormente revisados y permita seguir su
evolución temporal dentro de la organización. Este
parámetro o indicador a definir seria aquel que
permitiera cuantificar la disminución del riesgo de
los activos mediante la minimización de la
probabilidad de impacto. En este caso hemos
seleccionado la Superficie de Ataque. (SA)
La superficie de ataque se define de la siguiente
manera:
Es claro que la SA aumenta con los procesos y
datos accesibles (PD) y los Canales y protocolos
(CP) abiertos, y disminuye en función de los
controles de acceso que implantemos sobre ellos.
Este indicador es fundamental para poder diseñar
una estrategia de defensa en profundidad de los
activos y ofrece un valor objetivo para realizar un
seguimiento periódico de la evolución del estado de
seguridad de una organización.
Cálculo de los indicadores sintéticos
Para poder determinar el valor de la superficie de
ataque, debemos calcular el valor de los siguientes
indicadores sintéticos:
PD: Accesibilidad a los procesos y datos de
la organización.
CP: Canales y protocolos de la organización
accesibles.
CA: Conjunto de medidas que regulan el
derecho de acceso a los dos recursos
anteriores.
En el caso del primer indicador, se ha utilizado el
valor del Gap detectado entre el grado de madurez
actual de la organización y el valor máximo en la
escala de madurez utilizada.
El grado de madurez para el indicador PD
es la media aritmética de los siguientes
valores asignados a cada organización:
PD1: Gestión del bastionado de
sistemas
PD2: Gestión de parches
De igual manera se ha realizado el cálculo
de CP, pero en este caso la media aritmética
se ha realizado sobre los siguientes valores
de madurez:
CP1: Gestión de servicios accesibles
desde Internet
CP2: Gestión de servicios accesibles
desde la Intranet
CP3: Análisis de visibilidad y
vulnerabilidades periódico
En el caso del cálculo de CA, se ha
asignado directamente la media aritmética
de los valores obtenidos para la madurez en
las siguientes Áreas:
CA1: Controles técnicos de
seguridad perimetral
CA2: Gestión de usuarios
CA3: Política de seguridad y
procedimientos
CA4: Controles de seguridad física
Con esta metodología se ha realizado el
cálculo de las superficies de ataque que
mostraremos en el siguiente punto.
Resultados obtenidos
Resultados cualitativos
Los resultados cualitativos más importantes
en todas las organizaciones estudiadas son
los siguientes:
1. Amplio margen de mejora en la
definición, implantación y
supervisión periódica de políticas y
procedimientos de seguridad
2. Escasa inversión en la formación de
concienciación periódica (al menos
anual) de los usuarios
3. Equipos de seguridad poco dotados
o inexistentes, siendo una tarea
6. Superficies de ataque en el Data Center privado y en Cloud
6
complementaria de los equipos de Sistemas
y Comunicaciones de la organización. Esta
circunstancia compromete seriamente la
aplicación sistemática de los POS
(Procedimientos Operativos de Seguridad) y
no permite la disminución y gestión de la
superficie de ataque de la organización.
4. Falta de visibilidad sobre los servicios
publicados en Internet, no habiéndose
realizado jamás un estudio, al menos, de
visibilidad y vulnerabilidades de caja negra.
5. Escasa externalización de los Servicios
gestionados de seguridad tipo SOC, dándose
el caso de organizaciones con plataformas
de recolección de logs y eventos de
seguridad que, sin embargo, no tiene los
recursos necesarios para su operación y
gestión.
6. Bajo nivel de preparación en la respuesta
ante incidentes de seguridad (Incluyendo la
disponibilidad y continuidad de servicios)
Resultados cuantitativos
La aplicación de la métrica de cálculo descrita
anteriormente sobre las organizaciones estudiadas
ofrece los siguientes valores:
Madurez
El grado de madurez de la gestión de la seguridad,
una vez evaluadas las distintas áreas descritas
anteriormente, ofrece los siguientes resultados por
sectores:
Sector Madurez
Fabricación 1,93
Servicios 2,19
Químico 2,25
Logística 2,64
Venta On Line 2,77
Legal 2,78
Administración Pública 2,88
Alimentación 3,07
Mínimo: 0 – Máximo: 5
Como podemos observar, las empresas relacionadas
con la Fabricación, los Servicios generales, el sector
Químico y la Logística obtienen el grado de
madurez más bajo.
Las organizaciones del sector Alimentación,
Administración Pública y Legal son las que
han ofrecido mayor nivel de madurez en
este estudio.
Superficie de ataque
Según lo expuesto anteriormente, las
organizaciones más maduras en su gestión
de la seguridad, deberían presentar una
superficie de ataque menor.
Los valores obtenidos para la superficie de
ataque en las organizaciones estudiadas y
divididos por sectores, son los siguientes:
Sector Sup.de Ataque
Fabricación 6,88
Químico 6,21
Servicios 4,78
Logística 2,53
Legal 2,36
Administración Pública 2,01
Venta On Line 1,79
Alimentación 1,72
Mínimo: 0 – Máximo 8
Gráficamente podemos ver los valores de la
superficie de ataque calculados por sector y
oredenados de mayor a menor:
1,93
2,19 2,25
2,64
2,77 2,78 2,88
3,07
0,00
0,50
1,00
1,50
2,00
2,50
3,00
3,50
7. Superficies de ataque en el Data Center privado y en Cloud
7
Los resultados obtenidos confirman la relación
inversa entre la madurez en la gestión de la
seguridad y su efecto en la disminución de la
superficie de ataque.
Resultados en la nube (The Global Cloud)
A pesar de la existencia de estudios que afirman que
la superficie de ataque de los servicios prestados
desde la cloud aumenta sobre los servicios
prestados desde la propia organización, creo estar
en condiciones de afirmar que dichos estudios son
antiguos, y olvidan algunos aspectos fundamentales
en el gobierno de la seguridad.
El estudio más importante [4]
y que ha servido como
referencia para muchos de los posteriores, data de
2010. La evolución en la implantación de la
tecnología de virtualización desde ese año a la
actualidad ha igualado las superficies de ataque en
los dos ámbitos y simplemente ha trasladado dos de
las superficies de ataque a otro dominio de
confianza. (La red interna de la organización). Este
hecho es aún más preocupante si tenemos en cuenta
que los usuarios internos suelen ser la fuente de los
incidentes de seguridad más dañinos.
El otro aspecto que obvia este estudio es el gobierno
de la seguridad.
Como podemos ver en la siguiente tabla, el grado
de madurez de los aspectos básicos de gobierno de
la seguridad son superiores en un proveedor de
servicios debidamente cualificado (certificado ISO
27001 – CSA STAR e ISO 22301) que en la media
de las organizaciones estudiadas en este periodo:
Personas Procedimientos Tecnología
Data
Center
Privado
2,3 1,5 2,8
The
Global
Cloud
4 4,2 4,1
En el apartado de la preparación de las
personas, cualquier organización certificada
ISO 27001 debe contar con un plan de
formación (revisable anualmente) y unos
objetivos de mejora auditables.
Este mismo razonamiento aplica a la gestión
y supervisión de los procedimientos de
seguridad, con especial atención a los
procedimientos operativos de bastionado y
parcheado de sistemas y servicios.
Respecto a la tecnología, las medidas
implantadas en este tipo de proveedores de
servicios Cloud, supera a las de cualquier
organización del tamaño de las citadas.
(Defensa ante DDOS, Security Operation
Center, tecnologías redundantes y de
distintos fabricantes en todas las capas de
protección perimetral, estudio periódico de
visibilidad y vulnerabilidades, interlocución
ante los CERTs - Computer Emergency
Response Team - nacionales e
internacionales, etc.)
El resultado cuantitativo para la superficie
de ataque de nuestra Cloud, calculada por el
mismo método que el descrito anteriormente
ofrece una valor de 0,68, lo que le sitúa muy
por debajo de los valores obtenidos para las
compañías mejor valoradas en este estudio.
6,88
6,21
4,78
2,53 2,36
2,01 1,79 1,72
0
1
2
3
4
5
6
7
8
8. Superficies de ataque en el Data Center privado y en Cloud
8
Conclusiones
Parece claro que el cambio en el nivel de riesgo que
afrontan las organizaciones en la actualidad,
motivada fundamentalmente por la actividad
Cibercriminal, obliga a replantear la explotación
segura de sus servicios al más alto nivel.
Las diferencias encontradas entre los niveles de
madurez de la seguridad entre organizaciones se
explica fácilmente teniendo en consideración la
importancia que las Directivas de dichas
organizaciones han asignado a la protección de sus
activos de información. La existencia de
responsables de seguridad nombrados oficialmente,
políticas y procedimientos publicados y revisados y
equipos de seguridad dedicados en exclusiva, hacen
la diferencia.
Evidentemente es una decisión de inversión y en los
momentos actuales esto puede suponer una barrera
para las organizaciones. Sin embargo, la no acción
puede poner en riesgo la continuidad de la actividad
de negocio, por lo que se deben estudiar otras
soluciones basadas en servicios que ayuden a
mantener una superficie de ataque menor a la actual
y que, por tanto, minimicen el riesgo en las
cantidades que cada organización pueda permitirse.
A la vista de los resultados comparativos entre el
mantenimiento de la superficie de ataque en el
Centro de datos corporativo y en un proveedor de
servicios Cloud debidamente certificado, la
migración selectiva y progresiva de ciertos servicios
críticos puede ser una opción válida para aumentar
el nivel de seguridad de la organización.
La posesión de certificaciones tipo ISO 27001 y
CSA-STAR de seguridad de la información, e ISO
22301 de continuidad de negocio debe ser algo a
exigir a los proveedores de servicios Cloud que
podrían ayudarnos en el mantenimiento a mínimos
de nuestras superficies de ataque y niveles de
riesgo.
Referencias
[1] Panda Labs. “THE MOST
INFAMOUS ATTACKS OF 2014”.
http://mediacenter.pandasecurity.com/media
center/wp-
content/uploads/2014/07/pandalabs-
forecast-2015.pdf
[2] Hackmageddon. “December 2014
Cyber Attacks Statistics”.
http://hackmageddon.com/2015/01/09/dece
mber-2014-cyber-attacks-statistics/
[3] McAfee Center for Strategic and
International Studies. June 2014. “Net
Losses: Estimating the Global Cost of
Cybercrime”.
http://www.mcafee.com/mx/resources/repor
ts/rp-economic-impact-cybercrime2.pdf
[4] Nils Gruschka, Meiko Jensen.
“Attack Surfaces: A Taxonomy for Attacks
on Cloud Services”. 2010 IEEE 3rd
International Conference on Cloud
Computing.