Una de las principales preocupaciones de los profesionales de la Seguridad es cómo hacer frente al reto que supone llegar a tiempo para impedir que un ataque tenga éxito o para limitar su impacto en el caso de que lo haya logrado.
VII Seg2 - La inteligencia un requisito indispensable - EULEN Seguridad
De la prevención a la anticipación - pdf - junio 2014
1. convergencia
monográfico
46 red seguridad junio 2014 especial
detectado hasta que la información
llega al primer nivel de respuesta.
Tiempo de Explotación: El tiem-
po que necesita un atacante para
explotar el ataque (lograr el impacto
deseado) después del éxito ini-
cial del mismo (de la rotura de las
defensas).
Tiempo de Reacción: El tiempo
transcurrido entre la detección del
ataque y el momento en el que
estamos en condiciones de comen-
zar a responder a dicho ataque.
Tiempo de Eficacia: El tiempo
transcurrido entre que comienza la
respuesta y esta alcanza un nivel
de eficacia suficiente para impedir
el éxito del ataque o minimizar su
impacto.
Tiempo de Retirada: El tiempo
que necesita un atacante, después
de alcanzar sus objetivos, para des-
aparecer del escenario y borrar su
rastro.
Tiempo de Respuesta: Es la suma
de los tiempos de detección, reac-
ción y eficacia.
Hasta este momento, los mayo-
res esfuerzos que han realizado las
organizaciones han estado destina-
dos a aumentar el tiempo de retar-
do, primero, y a disminuir el tiempo
de respuesta, después.
Para aumentar el tiempo de
retardo, y por lo tanto el de ataque,
lo habitual ha sido incrementar la
cantidad y calidad de las medidas
de seguridad con la intención de
maximizar este tiempo y lograr el
objetivo de llegar a impedir el éxito
de los ataques. Para ello, se han
instalado muros, puertas blinda-
das, sistemas de cifrado, corta-
fuegos, controles de acceso, etc.;
en resumen, una serie de medidas
de seguridad cada vez más avan-
zadas y eficaces, pero con un
coste económico que en muchos
casos es muy importante. Este
camino tiene un límite, no se puede
seguir invirtiendo hasta conseguir
un tiempo de retardo que tienda
al infinito.
Para disminuir el tiempo de res-
puesta, el camino utilizado ha sido
principalmente intentar que uno de
sus componentes, el tiempo de
detección, tienda a cero, y para
ello se han instalado sistemas de
detección y alarma avanzados, de
alerta temprana, tanto en el mundo
físico como en el ciberespacio, que
implican una inversión en medios
humanos y técnicos de un nivel
aceptable para la reducción de
tiempo alcanzada. Pero en el caso
de otro de los componentes del
tiempo de respuesta, el tiempo de
reacción, es prácticamente inviable
que el objetivo sea lograr el cero,
por los costes que ello conlleva,
dado que supondría tener todos
nuestros recursos, listos para la
intervención, las 24 horas de los
365 días del año.
El problema de los tiempos del
que estamos hablando, y su posible
solución, es idéntico tanto en un
escenario del mundo físico como
en el ciberespacio; pero, además,
es que hoy en día la separación
de ambos mundos ya no existe,
lo que ocurre en el ciberespacio
tienen reflejo en el mundo físico
y viceversa, están completamente
interrelacionados.
Por tanto, la respuesta a este
problema de tiempos, que no es
otra cosa sino la defensa de los
activos de nuestra organización,
debe plantearse en un escenario de
interrelación entre el mundo físico y
el ciberespacio.
Nuestro objetivo es impedir que
el atacante tenga éxito, y para ello
es necesario que nuestra respuesta
ante un ataque sea efectiva, antes
de que transcurra el tiempo que el
atacante necesita para tener éxito
en su ataque y explotar dicho éxito.
Una de las principales preocupa-
ciones de los profesionales de la
Seguridad es cómo hacer frente
al reto que supone llegar a tiempo
para impedir que un ataque tenga
éxito o para limitar su impacto en el
caso de que lo haya logrado.
Este problema del tiempo tiene
diferentes enfoques y varian-
tes dependiendo de los autores y
modelos de seguridad. Para pasar
de la prevención a la anticipación
vamos a utilizar el paradigma de la
Convergencia de la Seguridad, el
modelo de Seguridad Integral, y lo
primero, para ser concretos y pre-
cisos, es definir qué entendemos
por cada uno de los tiempos que
intervienen en el problema.
Tiempo de Retardo: El tiempo
que retrasan las medidas de segu-
ridad que tengamos implantadas el
éxito de un ataque.
Tiempo de Ataque: El tiempo que
necesita un atacante para que su
ataque tenga éxito.
Tiempo de Detección: El tiempo
transcurrido entre el momento en
que se ha iniciado el ataque y es
Ricardo Cañizares
Sales
Director de Consultoría de
Eulen Seguridad
De la prevención a la
anticipación
2. red seguridad junio 2014 47especial
convergencia monográfico
Para garantizar la seguridad de una organización
hacen falta cuatro elementos indispensables:
inteligencia, personas, herramientas y metodología
no de la inversión; pues lo mismo
ocurre con la inteligencia: las inver-
siones que hagamos en esta materia
van a tener un retorno mucho más
alto que cualquier otra inversión en
otro tipo de recursos.
Tenemos que pasar de una seguri-
dad reactiva a una seguridad proac-
tiva, debemos anticiparnos.
No podemos esperar a que nos
golpeen para intentar reaccionar,
siempre llegaremos tarde. Tenemos
que tomar la iniciativa, sobre todo en
aquellos campos en los que las
empresas se juegan su superviven-
cia. Y no solo me estoy refiriendo a
campos como el de la protección de
infraestructuras críticas, hay otros
escenarios en los que la anticipación
es necesaria y seguro que se les
ocurren muchas circunstancias en
las que sería de utilidad disponer de
la capacidad de anticipación que
nos proporciona la inteligencia.
a disuadirlo y hacer que abandone
su ataque.
En el desarrollo de nuestro modelo
de seguridad, siempre hemos desta-
cado que para garantizar la seguri-
dad de una organización hacen falta
cuatro elementos indispensables:
inteligencia, personas, herramientas
y metodología.
El volumen de las inversiones en
seguridad que realizan las diferentes
organizaciones en estas cuatro áreas
es dispar, dependiendo, entre otras
cosas, de sus necesidades de segu-
ridad y diferentes sensibilidades. En
lo que sí coinciden casi todas ellas,
por supuesto con alguna excepción,
es que sus inversiones en inteligencia
son prácticamente nulas.
Esta falta de inversión en inteligen-
cia debe cambiar. Todo el mundo
sabe que un buen procedimiento es
una medida de seguridad barata,
eficaz y eficiente y con un alto retor-
Tiempo de Respuesta < Tiempo de
Ataque + Tiempo de Explotación
En esta carrera corre con ventaja el
atacante, ya que él es quien decide
el momento de salida, y lo escoge
cuando las condiciones le son más
propicias para alcanzar su objetivo.
En este momento, en la mayoría
de los escenarios a los que tenemos
que hacer frente, no es posible lograr
una mayor reducción del tiempo de
respuesta a un coste razonable, e
incrementar el tiempo de ataque
aumentando el tiempo de retardo
en base a ampliar las medidas de
seguridad implantadas; �tampoco
es una solución que por relación
coste/eficacia sea aceptable.
Ante esta tesitura solo nos queda
intentar “adivinar” el momento y
lugar del ataque para poder incluir
un nuevo tiempo en la ecuación.
Tiempo de Anticipación: La ante-
lación con la que nuestro servicio de
inteligencia nos proporciona infor-
mación fiable del posible inicio del
ataque.
Tiempo de Anticipación + Tiempo de
Respuesta < Tiempo de Ataque +
Tiempo de Explotación
Si, como hemos visto en el momen-
to en el que nos encontramos, la res-
puesta es anticiparnos, entonces la
solución es la inteligencia.
Tenemos que ser capaces
de detectar que un ataque va a
comenzar y activar nuestros recur-
sos, escasos y costosos, con la
agilidad y rapidez necesarias para
impedir que el atacante tenga éxito
y lo explote. El mero hecho de la
activación de los medios de res-
puesta es una medida de seguri-
dad eficaz, ya que va a ser detec-
tada por el atacante y puede llegar