Trabajo en Seguridad Cibernética y esta es una gran pregunta, puede sonar compleja pero la respuesta es simple.
Permítame responder su segunda pregunta sobre cómo prevenir los hacks y las interrupciones. ¿Hay alguna manera de prevenir esto, a gran escala? La respuesta es simple no. Además, no cuente con que nunca cambie.
Con demasiada frecuencia, queremos confiar y confiar en las soluciones de hardware y software. Hay una gran cantidad de productos en el mercado ahora que están destinados a proporcionar seguridad. El problema como con cualquier herramienta es el operador. Una idea errónea común y fallas relacionadas con la seguridad de TI es que hay una caja mágica que ejecuta software que evitará un ataque.
La seguridad adecuada implica un programa completo. Eso incluye capacitación, pruebas, controles de seguridad, auditoría, validación, un plan de gestión de riesgos, pruebas de vulnerabilidad, gestión y evaluación de amenazas, así como parches de software actualizados. Y cuando digo pruebas me refiero a pruebas de penetración, ataques simulados. No solo en Honeypots sino también en los sistemas reales.
- ¿Cuál es el mejor enfoque para la prueba de lápiz de caja negra?
- ¿Cuál es el comando de código hexadecimal para eliminar todos los datos mediante desbordamiento de búfer?
- ¿Por qué es importante el cifrado de correo electrónico?
- ¿Cómo puede un juego defenderse de un ataque DDoS?
- ¿Se considera OTP como una transacción 3D segura o la entrada del número de tarjeta, fecha de vencimiento y número de cvv se considera segura en 3D?
Muchas empresas no entienden esto en absoluto. Hay dos tipos de empresas. Los que han sido pirateados y los que no se dan cuenta de que han sido pirateados.
Con demasiada frecuencia, cuanto más grande es la empresa, más política se vuelve. Ser director de seguridad de una gran empresa no es algo que deseo a nadie.
Un gran ejemplo, uno de los muchos que he encontrado.
Una empresa tenía millones invertidos en productos relacionados con la seguridad. Hardware y software. Tenían una buena política de seguridad y una buena gestión de seguridad. Fueron pirateados a través de un servidor de correo. La compañía tenía un producto de seguridad de correo electrónico para evitar esto. El servidor de correo también se aseguró lo mejor posible, excepto por un problema que abordaré más adelante. Abrieron un caso y quisieron saber por qué falló el producto de seguridad de correo electrónico. Estaban muy molestos y lo etiquetaron como un solo punto de falla.
La primera prioridad era detener la actividad en curso. Sin embargo, la compañía había incluido en la lista blanca varias direcciones IP que eran cuestionables; esto por sí solo no debería haber sido suficiente para causar el desastre que tuvo lugar. Se realizó un análisis post mortem y de causa raíz.
Durante el análisis, descubrimos que tenían una API mal escrita y desactualizada que se usaba para enviar correos masivos. El Código para la API fue producido por una empresa contratada. Debido a que la API era antigua, no podían parchear el servidor de correo y mantenerlo actualizado, ya que rompería la funcionalidad de la API.
Cuando se les preguntó por qué no hicieron esto, dijeron que costaría alrededor de $ 100,000 y que no podían pagarlo. Además, tenían usuarios que habían creado lo que pensaban que eran listas de correo internas utilizando el dominio de correo electrónico corporativo. Ese alias estaba en todo internet. A partir de ahí, probablemente puedas juntar las piezas.
Al final, esto terminó costando a la compañía millones de dólares. Entonces, 100 grandes suena barato ahora ¿verdad? Sin embargo, la OSC había tenido muchas peleas sobre esta situación; sus manos estaban atadas debido a la burocracia interna BS.
Esto es más común de lo que piensas. Las empresas no quieren que lo sepas. Target es otro gran ejemplo. El software desactualizado era un problema, pero ¿cómo se realiza una gran transferencia FTP durante días sin que nadie se dé cuenta? Especialmente cuando tiene sistemas y personas para monitorear dicha actividad. En segundo lugar, ¿por qué el FTP incluso estaba abierto y por qué ese servicio FTP estaría en condiciones de ser secuestrado para permitir el acceso a la base de datos back-end que contenía datos del cliente?
Himno, una vez más Fracaso humano. El administrador se equivocó con credenciales pero no tan malo como la compañía. Si la base de datos que contenía toda nuestra información hubiera sido encriptada según lo especificado por las NORMAS que fueron REQUERIDAS, esto no habría sido un problema tan grande. Puede que no haya sido un problema en absoluto. Por supuesto, alguien querría golpear tratando de descifrarlo. El punto es cuando se le preguntó a la compañía que no lo hicieron porque ¿por qué? API LEGADO. Sus propias palabras. “Elegimos no hacer esto, ya que supondría un aumento de costos que tendríamos que transmitir a nuestros clientes” Lo sentimos, no hay venta.
¿Ruptura? Es posible que se produzca un evento importante, probablemente patrocinado por el estado, en el que se verían interferencias y fallas, tales como la red eléctrica, las comunicaciones por Internet, las comunicaciones celulares, el control del tráfico aéreo, las redes de cable y los sistemas de puntos de venta, incluidos los cajeros .
Muchos llaman a este ataque simultáneo una venta de fuego. Hay planes operativos para tales eventos, sin embargo, la OMI por lo que he visto hasta ahora son pobres. Estos eventos generalmente ocurrirían por una de dos razones. Distracción para que alguien pueda llegar a otro objetivo, mercado de valores, reserva federal o algún otro sistema, o simplemente un precursor de un ataque del mundo real (de naturaleza física).
Es probable que veas que algo así ocurre. Usted pregunta cómo puede ayudar el Gobierno Federal. En este momento, están lisiados de alguna manera. Están intentando lo más rápido posible actualizar todo, contratar y capacitar a tantas personas como sea posible. El FBI y la CIA están contratando especialistas y agentes de seguridad cibernética, sin embargo, el problema es el pago. El pago es típicamente bajo.
Ve a visitar sus sitios web, tienen vacantes. 😉
El ejército de los Estados Unidos está trabajando para crear un equipo ofensivo de seguridad cibernética CB17 que está luchando por comenzar. El problema es que gran parte del personal alistado tiene problemas con la capacitación y la calidad de la capacitación es un poco cuestionable, sin embargo, eso es solo MI opinión, no un hecho. Están muy por detrás, lo sé.
El Gobierno Federal ha hecho un mal trabajo para asegurar su propia infraestructura. He trabajado en el sector estatal y federal. Les puedo decir que algunas áreas son más seguras que otras. Hay demasiados contratistas y personal a corto plazo. No puedo nombrar agencias con las que he trabajado debido a NDA, pero algunas me han impresionado, otras son bastante malas. Digámoslo de esta manera, las cosas por las que ni siquiera te preocupas o te importan mucho, generalmente son muy seguras. Es probable que los que le preocupan sean menos seguros.
La solución o soluciones a estos problemas son de amplio alcance. Los responsables deben entender con qué están tratando y dejar de pensar en hardware y software. Mientras tengamos sistemas operativos convencionales escritos en código que permita el desbordamiento del búfer, tendremos problemas. Mientras tengamos entidades que solo implementen seguridad a medias, tendremos problemas.
La solución principal implica un plan de seguridad integral. Un paquete. Esto es y debe considerarse ley. No se trata simplemente de sistemas y software. Se trata de la práctica. Además, al igual que la medicina, la seguridad ES una práctica. Tu aprendes algo nuevo cada dia.
Puede invertir millones de dólares en soluciones de software y hardware; sin embargo, si no tiene un plan de seguridad, controles de seguridad y gestión de riesgos, nada de eso vale nada. No puede permitir que cosas como que el Vicepresidente traiga una memoria USB contaminada para copiar imágenes de sus hijos en su PC de trabajo.
Hay muchas promesas en el horizonte cuando se trata de evaluación de amenazas, recolección de datos, monitoreo y prevención. Sin embargo, eso solo no nos va a salvar. Es una gran adición al juego, pero hasta que PEOPLE comience a aprender, entrenar y adherirse a las prácticas y políticas de seguridad, nada de eso funcionará. Piense en los días de las primeras pruebas de bombas atómicas. El secreto involucrado allí. Incluso entonces, hubo fugas, pero la seguridad era muy estricta. Esa es la actitud que todas y cada una de las empresas deben adoptar y cumplir. Simplemente no hay excusa en la política de seguridad laxa.
Espero que la situación mejore. Tal como está ahora, es horrible. A nivel federal, es peor de lo que admiten. Se debe dedicar más tiempo a la seguridad real y menos tiempo a escribir código de rouge para infiltrarse en los sistemas y monitorear al público.