BIG DATA: de la Seguridad “Defensiva” a la Seguridad “Ofensiva”

Posted on 19 de septiembre de 2014

0


BIG DATA: de la Seguridad “Defensiva” a la Seguridad “Ofensiva”

 

Con información de Caracas Digital

 

BIG DATA: de la Seguridad “Defensiva” a la Seguridad “Ofensiva”

BIG DATA: de la Seguridad “Defensiva” a la Seguridad “Ofensiva”

La llegada del Big Data a nuestro entorno es nada más ni nada menos que la evolución natural del uso de la información, asegura el Ing. Rubén Recabarren, Consultor Internacional en Seguridad Informática, la diferencia está en que los datos se presentan en mayor volumen, mayor velocidad y mayor variedad.

Al cuestionamiento si a big data se le debe brindar toda la seguridad, señala que una vez reconocida al Big Data como una extensión al manejo de nuestros datos, la respuesta es indudablemente sí, así mismo expresa que en el punto de la historia en el que nos encontramos, y para lograr un salto significativo en el nivel de seguridad de nuestros datos es necesario alejarnos un poco de la seguridad “defensiva” y acércanos muchísimo más a lo que se podría llamar seguridad “ofensiva”, la motivación de esta idea es simple: “no existe sistema invulnerable”.

Estas afirmaciones las realizó en entrevista con Caracas Digital, en momentos que este medio de comunicación se presta a realizar el III Foro de Big Data el próximo mes de noviembre, dirigido a profesionales IT del segmento empresarial y del gobierno central, abordando el tema “BIG DATA – SECURITY 2014”.

Evolución de la Información

A juicio de Rubén Recabarren, la idea del “Big Data” es simplemente la evolución natural del manejo de nuestros datos que comenzó con la revolución de la tecnología de la información hace una década atrás. La diferencia del Big Data de hoy y los problemas del pasado es que ahora nuestros datos se presentan en mayor volumen, mayor velocidad y mayor variedad. En consecuencia, es difícil trazar una línea definitiva entre lo que es Big Data y lo que no, pues lo que es mucho hoy, es ínfimo mañana, etc. Sin embargo, todos los sistemas informáticos en su propia evolución se encuentran irremediablemente con estos tres problemas: volumen, velocidad y variedad. Es decir, estamos condenados a lidiar con el Big Data querramos o no, lo sepamos o no. Desde cuantas veces se emite una cédula a una misma persona, hasta lo que se twittea en un radio de 3 kilómetros alrededor de una empresa privada, son problemas que nos obligan a enfrentarnos a los intríngulis del Big Data, aun cuando no lo hagamos de manera oficial.

Empresas Privadas y Públicas por el mismo Camino

Los sistemas y los datos en Venezuela no escapan a esta realidad y caminamos como el resto del mundo al paso que la tecnología disponible nos brinda en un momento dado. Muchas empresas privadas en el país, notablemente IBM, se encuentran mercadeando soluciones oficialmente bajo el nombre de BigData. El resto de empresas y organismo no lo hacen de la misma manera oficial ni con el mismo alcance, pero no escapan a la misma realidad.

Innegablemente Sí, Big Data necesita Seguridad

Una vez que reconocemos al Big Data como una extensión al manejo de nuestros datos, la respuesta es indudablemente sí. Lamentablemente, el avance de la velocidad, volumen y variedad de nuestros datos no va a la par con el avance de la conciencia de la necesidad de su seguridad. Esto tampoco es nada nuevo, el empuje de la tecnología de la información ha sido muy fuerte desde sus inicios, y la situación no ha cambiado en lo absoluto. En todo caso tiende a continuar avanzado cada vez más aceleradamente.

Protegiendo a Big Data con Soluciones “made in house” o Soluciones Privadas

De acuerdo a la versión de Recabarren, la seguridad informática es más un proceso que un resultado final. En consecuencia, se hace necesario entender todas las soluciones de seguridad informática, no sólo las aplicables a Big Data, como piezas de una estructura en construcción y no como una poción milagrosa que va a resolver todos nuestros problemas de seguridad como por arte de magia. En este sentido, las soluciones existentes son simplemente extensiones naturales a sus contrapartes tradicionales que buscan lidiar con el mayor volumen, velocidad y variedad propios del Big Data. La forma en que estas soluciones tradicionales se adaptan a estos problemas es utilizando los mismos conceptos básicos de seguridad: 1) Defensa en profundidad: establecer controles que solapen su actividad, 2) Monitoreo: instrumentalización de los controles de seguridad y su continuo análisis, reacción y adaptación y finalmente 3) Protección CIA: Confidencialidad, Integridad y Disponibilidad. Soluciones escalables con estas características han existido por varias décadas. Hoy en día es simplemente cuestión de implementarlas sobre las nuevas tecnologías de espacio, redes ultra-veloces y agregadores de fuentes diversas. Estas soluciones se pueden adquirir de forma privada, se puede utilizar software libre/comunitario o se pueden desarrollar “in-house”. Sin embargo, el costo de utilizar esta última opción puede ser mucho más alto que las anteriores juntas debido a la súper-especialización que estas implican.

Solo dos venezolanos en el mundo exhiben su Especialización en Seguridad Informática

A nuestra pregunta, ¿hay personal capacitado en seguridad para big data? el experto responde, el personal altamente capacitado para brindar seguridad de datos de forma tradicional no es abundante. Si tomas como ejemplo la certificación GSE del SANS Instituto, reconocida como una de las más exigentes y prestigiosas credenciales de seguridad informática por su nivel de especialización, al día de hoy, sólo existen 106 personas en el mundo que la han obtenido. De esas 106, nos contamos sólo 2 venezolanos. Si extrapolas estas cifras a una especialización aún mayor hacia la velocidad, volumen y variedad, las cifras no son nada alentadoras. Hasta donde tengo conocimiento, no existen certificaciones oficiales de reconocido prestigio especializadas en “Big Data.” Pero es cuestión de tiempo nada más hasta que empiecen a salir. Esta situación es evidencia del rezago de la seguridad informática con respecto a los temas de la tecnología de la información de forma general.

¿Los responsables de las inversiones IT están dispuestos a destinar recursos para seguridad en big data?

No mucho más que lo que están dispuestos a invertir en seguridad informática en general. Lo vimos con el reciente incidente de las fotos de famosas robadas de la plataforma iCloud. Muchos comentarios, de forma adelantada, han salido a tratar de justificar el incidente al decir que los usuarios utilizaron contraseñas débiles. Este razonamiento pasa por alto el hecho de que a mayor volumen de información hace que los atacantes aumenten y sus motivaciones cambien. En consecuencia, una misma vulnerabilidad: la utilización de claves débiles se ve potenciada por el hecho de estar presente en un ambiente de “Big Data”. Por lo tanto, la responsabilidad del resguardo de estos datos es algo que los responsables de seguridad informática de iCloud no pueden transferir a sus usuarios, puesto que su acumulación en volumen es lo que los ha hecho más vulnerables.

¿Ante un “gigante” como big data quiénes son los que se dedicarían a atacar?

Excelente pregunta. Como adelantábamos en la pregunta anterior, nuestros atacantes aumentan, y sus motivaciones cambian. Por un lado, es necesario diferenciarlos del atacante con motivaciones financieras. Regresando al ejemplo anterior, a pesar de que hubo intentos de vender fotos todavía no filtradas de iCloud por medio de métodos de pago anónimos como Bitcoins, esto es algo que no debe haber tenido mucho éxito. La respuesta generalizada era: para qué pagar por algo que en unas semanas va a ser gratis? haciendo referencia a que eventualmente todas esas filtraciones estarían disponibles en Internet sin tener que pagar un centavo. Los atacantes del Big Data en este caso, no estaban en busca de una ganancia monetaria y si lo estaban se dieron cuenta que perdieron su tiempo.

¿Existen Características claves de un atacante de big data?

Los atacantes del Big Data tampoco tienen características propias del “hacktivismo” como se le ha llegado a conocer. Regresando al caso anterior, no se hizo ninguna afirmación política junto con el filtrado de fotos, y a pesar de que algunos intentaron desprestigiar la plataforma iCloud con este incidente, tales intenciones nunca cumplen su objetivo correctamente. Todas las plataformas de competidores tienen los mismos problemas, sólo necesitan afirmar que no los tienen para que alguien en algún lado de los oscuros rincones de la Internet les demuestre que no tienen razón. Todavía es demasiado temprano para caracterizar definitivamente a los atacantes propios del fenómeno “Big Data”, sin embargo, se puede afirmar con bastante seguridad que su volumen debe ser mayor y sus motivaciones deben ser muy variadas. Muy en concordancia con las características de Big Data que comentábamos en las anteriores preguntas.

¿Qué estrategias deben de tener los responsables IT para que big data no sea atacada o vulnerada?

Excelente pregunta de nuevo. Aquí voy a tomar un riesgo y salirme de las recomendaciones tradicionales. En mi humilde opinión, en el punto en la historia en el que estamos, para lograr un salto significativo en el nivel de seguridad de nuestros datos es necesario alejarnos un poco de la seguridad “defensiva” y acércanos muchísimo más a lo que se podría llamar seguridad “ofensiva”. La motivación de esta idea es simple: “no existe sistema invulnerable”. En lugar de continuar acercándonos a la inalcanzable invulnerabilidad, tratemos de disuadir a nuestros atacantes de otra forma además de obligarlos a adaptarse y a encontrar nuevas formas de vulnerarnos. La alternativa es simple una vez que reconocemos la futilidad de las anteriores estrategias: lo que necesitamos es realizar “más arrestos”. Tan simple como eso. No importa que tan pequeña o inofensiva sea la falta, ante un incidente de seguridad informática, enfoquemos nuestro esfuerzo en conseguir las pruebas, la identidad y llevar a la justicia a los perpetradores.

¡De buena fuente!

Rubén Recabarren, es profesional de seguridad informática con especialización en pruebas de penetración con más de 10 años de experiencia. Sus trabajos incluyen proyectos de sistemas de detección y prevención de intrusiones, análisis forense, ingeniería reversa, protocolos de comunicación segura, sistemas de autenticación, biometría, auditoría de aplicaciones web, infraestructuras de clave pública, redes privadas virtuales, etc. Adicionalmente, Rubén es un apasionado por la búsqueda de soluciones novedosas a problemas bien conocidos, la criptografía y la inteligencia artificial. 

 

Anuncios
Posted in: EDUCACIÓN, INTERNET