¿Cómo pueden el gobierno federal, las compañías estadounidenses y los militares protegerse a sí mismos y al bienestar del país de los ciberataques ofensivos?

Trabajo en Seguridad Cibernética y esta es una gran pregunta, puede sonar compleja pero la respuesta es simple.

Permítame responder su segunda pregunta sobre cómo prevenir los hacks y las interrupciones. ¿Hay alguna manera de prevenir esto, a gran escala? La respuesta es simple no. Además, no cuente con que nunca cambie.

Con demasiada frecuencia, queremos confiar y confiar en las soluciones de hardware y software. Hay una gran cantidad de productos en el mercado ahora que están destinados a proporcionar seguridad. El problema como con cualquier herramienta es el operador. Una idea errónea común y fallas relacionadas con la seguridad de TI es que hay una caja mágica que ejecuta software que evitará un ataque.
La seguridad adecuada implica un programa completo. Eso incluye capacitación, pruebas, controles de seguridad, auditoría, validación, un plan de gestión de riesgos, pruebas de vulnerabilidad, gestión y evaluación de amenazas, así como parches de software actualizados. Y cuando digo pruebas me refiero a pruebas de penetración, ataques simulados. No solo en Honeypots sino también en los sistemas reales.

Muchas empresas no entienden esto en absoluto. Hay dos tipos de empresas. Los que han sido pirateados y los que no se dan cuenta de que han sido pirateados.

Con demasiada frecuencia, cuanto más grande es la empresa, más política se vuelve. Ser director de seguridad de una gran empresa no es algo que deseo a nadie.

Un gran ejemplo, uno de los muchos que he encontrado.
Una empresa tenía millones invertidos en productos relacionados con la seguridad. Hardware y software. Tenían una buena política de seguridad y una buena gestión de seguridad. Fueron pirateados a través de un servidor de correo. La compañía tenía un producto de seguridad de correo electrónico para evitar esto. El servidor de correo también se aseguró lo mejor posible, excepto por un problema que abordaré más adelante. Abrieron un caso y quisieron saber por qué falló el producto de seguridad de correo electrónico. Estaban muy molestos y lo etiquetaron como un solo punto de falla.

La primera prioridad era detener la actividad en curso. Sin embargo, la compañía había incluido en la lista blanca varias direcciones IP que eran cuestionables; esto por sí solo no debería haber sido suficiente para causar el desastre que tuvo lugar. Se realizó un análisis post mortem y de causa raíz.

Durante el análisis, descubrimos que tenían una API mal escrita y desactualizada que se usaba para enviar correos masivos. El Código para la API fue producido por una empresa contratada. Debido a que la API era antigua, no podían parchear el servidor de correo y mantenerlo actualizado, ya que rompería la funcionalidad de la API.

Cuando se les preguntó por qué no hicieron esto, dijeron que costaría alrededor de $ 100,000 y que no podían pagarlo. Además, tenían usuarios que habían creado lo que pensaban que eran listas de correo internas utilizando el dominio de correo electrónico corporativo. Ese alias estaba en todo internet. A partir de ahí, probablemente puedas juntar las piezas.

Al final, esto terminó costando a la compañía millones de dólares. Entonces, 100 grandes suena barato ahora ¿verdad? Sin embargo, la OSC había tenido muchas peleas sobre esta situación; sus manos estaban atadas debido a la burocracia interna BS.
Esto es más común de lo que piensas. Las empresas no quieren que lo sepas. Target es otro gran ejemplo. El software desactualizado era un problema, pero ¿cómo se realiza una gran transferencia FTP durante días sin que nadie se dé cuenta? Especialmente cuando tiene sistemas y personas para monitorear dicha actividad. En segundo lugar, ¿por qué el FTP incluso estaba abierto y por qué ese servicio FTP estaría en condiciones de ser secuestrado para permitir el acceso a la base de datos back-end que contenía datos del cliente?

Himno, una vez más Fracaso humano. El administrador se equivocó con credenciales pero no tan malo como la compañía. Si la base de datos que contenía toda nuestra información hubiera sido encriptada según lo especificado por las NORMAS que fueron REQUERIDAS, esto no habría sido un problema tan grande. Puede que no haya sido un problema en absoluto. Por supuesto, alguien querría golpear tratando de descifrarlo. El punto es cuando se le preguntó a la compañía que no lo hicieron porque ¿por qué? API LEGADO. Sus propias palabras. “Elegimos no hacer esto, ya que supondría un aumento de costos que tendríamos que transmitir a nuestros clientes” Lo sentimos, no hay venta.

¿Ruptura? Es posible que se produzca un evento importante, probablemente patrocinado por el estado, en el que se verían interferencias y fallas, tales como la red eléctrica, las comunicaciones por Internet, las comunicaciones celulares, el control del tráfico aéreo, las redes de cable y los sistemas de puntos de venta, incluidos los cajeros .

Muchos llaman a este ataque simultáneo una venta de fuego. Hay planes operativos para tales eventos, sin embargo, la OMI por lo que he visto hasta ahora son pobres. Estos eventos generalmente ocurrirían por una de dos razones. Distracción para que alguien pueda llegar a otro objetivo, mercado de valores, reserva federal o algún otro sistema, o simplemente un precursor de un ataque del mundo real (de naturaleza física).
Es probable que veas que algo así ocurre. Usted pregunta cómo puede ayudar el Gobierno Federal. En este momento, están lisiados de alguna manera. Están intentando lo más rápido posible actualizar todo, contratar y capacitar a tantas personas como sea posible. El FBI y la CIA están contratando especialistas y agentes de seguridad cibernética, sin embargo, el problema es el pago. El pago es típicamente bajo.
Ve a visitar sus sitios web, tienen vacantes. 😉

El ejército de los Estados Unidos está trabajando para crear un equipo ofensivo de seguridad cibernética CB17 que está luchando por comenzar. El problema es que gran parte del personal alistado tiene problemas con la capacitación y la calidad de la capacitación es un poco cuestionable, sin embargo, eso es solo MI opinión, no un hecho. Están muy por detrás, lo sé.

El Gobierno Federal ha hecho un mal trabajo para asegurar su propia infraestructura. He trabajado en el sector estatal y federal. Les puedo decir que algunas áreas son más seguras que otras. Hay demasiados contratistas y personal a corto plazo. No puedo nombrar agencias con las que he trabajado debido a NDA, pero algunas me han impresionado, otras son bastante malas. Digámoslo de esta manera, las cosas por las que ni siquiera te preocupas o te importan mucho, generalmente son muy seguras. Es probable que los que le preocupan sean menos seguros.

La solución o soluciones a estos problemas son de amplio alcance. Los responsables deben entender con qué están tratando y dejar de pensar en hardware y software. Mientras tengamos sistemas operativos convencionales escritos en código que permita el desbordamiento del búfer, tendremos problemas. Mientras tengamos entidades que solo implementen seguridad a medias, tendremos problemas.
La solución principal implica un plan de seguridad integral. Un paquete. Esto es y debe considerarse ley. No se trata simplemente de sistemas y software. Se trata de la práctica. Además, al igual que la medicina, la seguridad ES una práctica. Tu aprendes algo nuevo cada dia.

Puede invertir millones de dólares en soluciones de software y hardware; sin embargo, si no tiene un plan de seguridad, controles de seguridad y gestión de riesgos, nada de eso vale nada. No puede permitir que cosas como que el Vicepresidente traiga una memoria USB contaminada para copiar imágenes de sus hijos en su PC de trabajo.

Hay muchas promesas en el horizonte cuando se trata de evaluación de amenazas, recolección de datos, monitoreo y prevención. Sin embargo, eso solo no nos va a salvar. Es una gran adición al juego, pero hasta que PEOPLE comience a aprender, entrenar y adherirse a las prácticas y políticas de seguridad, nada de eso funcionará. Piense en los días de las primeras pruebas de bombas atómicas. El secreto involucrado allí. Incluso entonces, hubo fugas, pero la seguridad era muy estricta. Esa es la actitud que todas y cada una de las empresas deben adoptar y cumplir. Simplemente no hay excusa en la política de seguridad laxa.

Espero que la situación mejore. Tal como está ahora, es horrible. A nivel federal, es peor de lo que admiten. Se debe dedicar más tiempo a la seguridad real y menos tiempo a escribir código de rouge para infiltrarse en los sistemas y monitorear al público.

Related Content

¿Debo obtener una licenciatura en Ciberseguridad y Aseguramiento de la Información?

¿Apple OS X e iOS Mail.app ejecutan programas aleatorios de JavaScript en correos electrónicos (spam o de otro tipo) que obtiene para sus usuarios?

¿Cómo almacena Quora las contraseñas de los usuarios?

¿Cuáles son mis opciones si restablezco de fábrica mi teléfono Android antes de cifrarlo?

¿Cuáles son las ventajas y desventajas de tener Avast Home y Norton 360 juntos en mi PC?

Hay varias formas

Pero primero: todas esas entidades que tenían la idea ‘brillante’ de conectar infraestructura crítica, sistemas gubernamentales sensibles o sistemas comerciales a Internet público han cometido un grave error estratégico. Antes de Internet, y durante un tiempo después de su disponibilidad general, tales sistemas estaban en redes PRIVADAS. Estos eran mucho más caros que el Internet ‘gratuito’, por lo que algunos lo aceptaron rápidamente, otros se adaptaron más lentamente. El gobierno comenzó primero con sitios web públicos, sin conectividad real desde el sitio web a otras partes de sus sistemas o redes. Entonces ocurrió locura. Presas, plantas de tratamiento de agua, plantas de energía nuclear, puentes, túneles migraron desde el control desconectado y los sistemas “SCADA” de intercambio de datos a Internet … algunos para permitir un mejor control remoto desde ‘cualquier lugar’ … no más tener que visitar el sitio … podría acceda y controle estos sistemas desde su oficina … o dormitorio, para el caso.

más sobre SCADA aquí: SCADA

Los proveedores de servicios de salud, las compañías de seguros, todos los niveles de gobierno, minoristas, empresas de servicios públicos e industria hicieron lo mismo y migraron a Internet de acceso público como columna vertebral básica de sus conexiones con el mundo exterior. Aquí es donde nos encontramos hoy.

Varias soluciones:

  • Migre sistemas sensibles (de regreso) a redes privadas. Costoso, pero seguro.
  • Migre sistemas confidenciales a una Internet / intranet / extranet privada … o como se llame ahora … con conexiones físicas limitadas solo a socios confiables, sin público en general, sin conexiones internacionales (a menos que sea un ‘miembro’ de la red privada.
  • Implemente la infraestructura de clave pública entre entidades confiables: PKI permite la identificación positiva de los participantes en transacciones e intercambios de datos / información. Todos los eventos e intercambios se firman digitalmente utilizando algoritmos irrompibles … criptografía.

Existen muchas soluciones menos drásticas para resolver muchos de los ataques a datos que son bien conocidos. Si los estándares gubernamentales actuales y las mejores prácticas actuales en general se hubieran implementado, la mayoría de los hacks conocidos se habrían evitado. Medidas como el cifrado de datos mientras está en sistemas / discos … solo se descifran cuando una entidad autorizada accede a ellos. O, mejor monitoreo en tiempo real del tráfico / transacciones de la red. O, moviendo los datos de archivo “fuera de línea”: ¿realmente OPM necesitaba 15 años de información personal confidencial de 21 millones de personas “en línea 24/7”?

En cuanto a la parte de “guerra” de su pregunta … solo tenemos que ver cómo los rusos ‘poseían’ las comunicaciones del gobierno georgiano y otros sistemas que les impedían comunicarse entre las entidades gubernamentales georgianas, incluidos los militares. Debe haber una manera (y hay formas) de detectar rápidamente tales ataques y pasar a un modo seguro sin degradar el servicio general. Creo que los rusos ‘solo’ usaron ataques de tipo de denegación de servicio (DOS) para evitar que los georgianos se comuniquen. Los ataques de DOS son simples, ya que solo usa computadoras para enviar transacciones continua y rápidamente a servidores y redes, incluso si son transacciones sin sentido, solo para vincular la capacidad del servidor / red para manejar el tráfico. Usted ‘solo’ necesita suficientes computadoras para abrumar la capacidad de la otra parte, incluso si es solo para descartar la transacción … todo consume ciclos de computadora / red que de otro modo procesarían actividad legítima.

Jesse Taylor

El gobierno federal, al menos, podría dejar de descartar a cualquier solicitante de empleo de seguridad cibernética que no se haya registrado en el servicio selectivo hace 30 años o que admitió haber usado marihuana alguna vez, los cuales no tienen nada que ver con sus calificaciones y se desproporcionadamente grupo de expertos que intentan reclutar.

John Clarke

En cualquier circunstancia que pueda imaginar, ellos no pueden. La razón por la que no pueden es simple. La naturaleza de cualquiera de las instituciones mencionadas es que existen únicamente para ejercer un conjunto singular de reglas u objetivos, o ambos. Para lograr su objetivo, todos operan de manera organizada, desde una base de control centralizada. En efecto, esto crea objetivos singulares, lo que los hace muy vulnerables a los ataques descentralizados. Esto no es nada nuevo, los mongoles se lo hicieron a Roma hace unos miles de años. Estoy seguro de que hubo ejemplos anteriores y posteriores. Algunos de ustedes aficionados a la historia pueden citar más y mejor.

Christopher Smith

No me especializo en seguridad cibernética, pero, según tengo entendido, la respuesta corta es no. El problema con la piratería frente a la seguridad cibernética es que para proteger un sistema, debe protegerlo de todas las posibles amenazas, ya que un pirata informático solo necesita encontrar 1 vulnerabilidad para explotar. La mejor forma en que lo escuché describir es que la seguridad cibernética es como tratar de tapar todos los agujeros en un colador cuando ni siquiera sabe dónde están todos los agujeros.

Christopher Smith

More Interesting

Cómo evitar que alguien descubra la contraseña del administrador en Windows 7

¿Qué deben saber todos sobre la ciberseguridad?

¿La mayoría de los hackers de la red son atrapados o permanecen sin descubrir?

¿Se pueden hackear todos los sitios web? Por qué no)?

¿Cuál es el mejor antivirus para Windows 10 en India?

¿Qué tan grande es la amenaza de Stuxnet?

¿Cómo pasó desapercibido Heartbleed durante tanto tiempo?

Cómo predecir un cifrado utilizando solo análisis de frecuencia

¿Cuál es el mejor sistema operativo de prueba de penetración?

¿Qué ataques de intrusión de red emergentes NO crean eventos en los sistemas SIEM actuales?

¿Cuáles son los requisitos para un trabajo en el campo de la seguridad cibernética?

¿Cómo se determina la seguridad de un sitio?

¿Qué tipo de problemas de seguridad tiene Facebook?

¿Cuáles son los antecedentes necesarios que necesito para comenzar un curso de pruebas de penetración, siempre que todavía sea un programador novato?

¿Cuáles son las diferencias entre un virus informático, un gusano, un troyano, malware y spyware?