09 julio 2009

Vacaciones: el momento del ataque

Al planear un ataque contra un objetivo, una de las cosas que más importancia tienen es el "cuándo" se llevará a cabo. En general, grandes ataques, virus o gusanos, se han efectuado cuando las defensas del destino están más bajas (Navidades, Semana Santa, verano, etc...)

Lo más normal en periodos vacacionales es que los departamentos de seguridad roten a su personal para que el "fuerte" no quede solo y si pasa algo siempre haya alguien para reaccionar ante los ataques. El factor sorpresa es importante, la gente disfrutando de sus vacaciones (días de sol, familia, turismo...) y las organizaciones con sus servicios mínimos de seguridad, lo cual otorga menor protección o cuanto menos una mayor latencia en la mitigación del ataque.

En general, cuando el responsable de seguridad de un departamento está de vacaciones, sus acólitos son quienes se quedan de regentes, sin embargo, los huevos que están en el yunque son del que está tumbado en la arena tomando granizados. En caso de un incidente de seguridad, él será el responsable de la reacción, aunque no esté presente. Para poderse ir de vacaciones y estar tranquilo, se hace necesario contar con diferentes mecanismos:
  • Un equipo humano cualificado y de confianza: Para ello, se hace necesario que los mismos cuenten con una formación y una experiencia sólidas en materias de administración de sistemas, seguridad y gestión de incidentes.
  • Correcto bastionado de las infraestructuras: desde el diseño hasta la implantación, se hace imprescindible acciones procedimentadas de instalación y despliegue de los diversos activos en las redes de la organización.
  • Mantenimiento adecuado: aplicación de parches, service packs, opciones de configuración y securización nuevas, que solucionen problemas ante los servicios provistos.
  • Mecanismos de detección: Tener habilitadas las opciones de log de los diversos dispositivos (IDS, IPS, cortafuegos, WAF), así como de los propios servicios otorgados al exterior (web, SMTP, FTP, POP3, IMAP, etc,...)
  • Documentación actualizada: Este punto es IMPRESCINDIBLE. Aunque sea la parte más aburrida de una instalación y/o actualización, inventariar lo que se tiene, cómo y dónde se tiene, así como para qué se tiene, es importantísimo para acotar problemas, encontrar agujeros, priorizar acciones, etc,....
  • Mecanismos de alerta: Tanto para los operadores de primer nivel, como para el que está tostándose al sol en la toalla, es importantísimo el poder estar enterado de lo que ha sucedido. Asimismo es de suma importancia la cantidad y la calidad de la información recibida según el rol. Si se trata de un operador de nivel 1, quizá sea interesante enviar hasta el más mínimo y sospechoso movimiento; sin embargo, a altos niveles, sólo se hace necesario recibir notificación de aquellas que realmente hayan supuesto una amenaza grave o que hayan provocado una denegación de servicio, una pérdida de información o un servicio degradado (y así permitir descansar al que está de vacaciones no importunándolo con ataques de menor trascendencia)
En general, el responsable de sistemas o de seguridad de una gran corporación, creo que aunque intente desconectar en vacaciones, aunque lo intente, siempre estará más tranquilo si recibe un resumen diario de diferentes fuentes confiables que puedan dar un "balance de situación" o una foto diaria, de la seguridad de su empresa y que todo esté bajo control.

6 comments :

ChEnChO dijo...

Documentar es de cobardes!!!! :DD

Zerial dijo...

Que buen titulo "Vacaciones: el momento del ataque"

He organizado y participado de ataques especifico y es cierto que uno busca el momento justo, de madrugada, un sabado, un dia de fiestas, etc.

deltonos77 dijo...

vaya... uno que se "atreve" a hablar en primera persona!

Sep dijo...

Muy cierto, buen articulo.

Lorenzo Martínez dijo...

Gracias a todos por vuestros comentarios.

@Deltonos77 -> he hablado en primera persona en más de una ocasión en este blog. Me viene a la cabeza una mención que hice en http://www.securitybydefault.com/2009/06/hackeos-memorables-metasploit.html cuando rememoraba el haberme quedado sin conectividad configurando un firewall o reiniciando el servicio network en un servidor en un CPD :D

deltonos77 dijo...

@Lorenzo: Creo que marrones de este tipo nos ha pasado a todos, y como bien decias, al final ni festivos ni nada, esto es el modo de vida mercenario que implica estar en seguridad!.

Lo de primer persona me referia a @Zerial y su confesión, que aquí todos sabemos de "algun/@ cercano que ha estado en la parte atacante" :-)

Un saludo a tod@s, y buen finde en vuestras playas, campos, casas de pueblos...bien alejados de los CPDs