Son pequeños, no son los Pitufos y sin control son peligrosos: ¿qué son?

 

Por Netmedia Online

Por Juan Carlos Vázquez síguelo en @jc_Vázquez


No estoy yo para contárselo, pero si ha seguido las noticias de seguridad IT con certeza recordará que el Comando Central de Estados Unidos intensificó la lucha contra los delitos cibernéticos después de sufrir el mayor ataque informático cometido en 2008 y perpetrado contra los servidores del Ejército estadounidense.

El criminal detrás del ataque: una memoria USB infectada que fue insertada en una laptop que estaba en una base militar de Estados Unidos en el Medio Oriente. El código malicioso se introdujo en la red interna del Comando Central y se extendió a todos los equipos hasta llegar a nada más y nada menos que el Pentágono. Fue una violación importante contra la seguridad del país.

Pero ese peligroso USB no fue el único ni tampoco el más crítico. Meses más tarde el elemento más extraordinario detrás de la brecha de datos WikiLeaks, fue un CD etiquetado con la leyenda Lady Gaga, con el cual el sargento Bradley Manning ¾también apoyado de una memoria flash¾ fue capaz de sustraer más de 250,000 documentos confidenciales del gobierno estadounidense.

Según el reciente informe de McAfee se realizado en conjunto con la Universidad Carnegie Mellon para analizar el estado actual de la seguridad móvil, dice que el almacenamiento removible tal como USB y discos duros externos son parte predominante de los dispositivos utilizados para el trabajo y uso personal de acuerdo a 70% de los encuestados.

Aquí en b:Secure se ha mencionado constantemente que normalmente cuando una memoria USB se encuentra o es recogida por un empleado, el comportamiento común es conectar ese dispositivo a las computadoras del interior de la empresa. Ahora considere si esta memoria USB contenía exploits o programas maliciosos. Este tipo de ejercicios se realizaron hace algunos años por “Secure Network Technology” como parte de un análisis de ingeniería social y la prueba confirmó que los empleados desempeñan un papel clave en la seguridad de una empresa y que muchos de ellos todavía no entienden el peligro de las unidades USB, como dijo en su momento Steve Stasiukonis, vice presidente y fundador de dicha compañía.

El uso de este tipo de dispositivos hacia el interior de las organizaciones es “crítica” desde dos aristas: el robo de la información y la introducción de malware.

El costo promedio de las brechas de datos ha aumentado por encima de los $7 millones de dólares, de acuerdo con el reporte más reciente de Ponemon. Si a esto agregamos el factor de interrumpir la disponibilidad del negocio si algún malware introducido por un USB infectado llegara a impactar la infraestructura de manera crítica, el problema se sale de control. Es claro que es mucha responsabilidad el simple hecho de no llevar a cabo una estrategia correcta para esos pequeños dispositivos, pero tan peligrosos.

La mejor manera de pensar respecto al aseguramiento de los medios removibles, es dividir su estrategia en tres categorías: bloquear, filtrar y cifrar y enseguida serán presentados algunos escenarios que pueden ser aplicables dentro de su empresa, si aún no ha comenzado con la definición de una política fuerte en el uso de almacenamiento extraíble.

CASOS DE USO DE PROTECCION DE MEDIOS Y DISPOSITIVOS REMOVIBLES

Caso de Uso 1 – Que tolerancia ni que nada: Bloquear los medios removibles

Este es el más simple de los escenarios, pero el más restrictivo. Su política de control de dispositivos está fijada para bloquear todos los medios removibles. El usuario es impedido para escribir o leer desde el dispositivo. Por supuesto, “yo esperaría” que el evento sea registrado en la consola de administración, para efectos de auditoría o reporteo. Opcionalmente, un mensaje de alerta puede ser desplegado hacia el usuario, y esto, quizás lo enseñe que debe de alinearse a la política y por ende, se modifique su comportamiento a través del tiempo. Si usted sufre continuamente con sus usuarios de detecciones de virus relacionados con el famoso “Autorun”, esta es la mejor manera d e finiquitar al enemigo y poner la primera piedra de una estrategia de protección de datos al mismo tiempo.

Caso de Uso 2 – A leer solamente: Hacer los medios removibles de sólo Lectura

Esta es una política menos restrictiva de Control de dispositivos. Al usuario se le permite leer datos de un USB (por ejemplo), pero impide que datos sean copiados al dispositivo haciéndolo de solo lectura. Este escenario puede ser muy útil cuando usted tiene auditores o proveedores dentro de sus instalaciones y ellos necesitan leer información de sus dispositivos, pero no quiere que se fugue la información en los mismos. No he visto el caso de que alguna organización permita que el empleado pueda usar sus reproductor MP3 para leer música, pero que el dispositivo sea impedido de ser usado para copiar información en él, pero por supuesto el escenario es factible bajo este ejemplo. Otra situación que los administradores de seguridad omiten, es llevar el mismo nivel de restricción de los dispositivos USB de los escritorios hacia los servidores. Esta misma política le permitiría leer información, pero impedir que los administradores saquen información fuera de la red directamente desde su granja. O se imagina, protegiendo el frente de su casa con rejas y candados, pero en el patio de atrás todo mundo tiene acceso. No sé porque yo estoy seguro que hay más de uno en ese caso.

Caso de Uso 3. El Big Brother USB Show: Monitorear todos los dispositivos pero sin restricciones…

Definitivamente esta es la mejor opción, cuando los administradores de seguridad quieren empezar a controlar y reforzar el uso de los medios removibles en los usuarios, pero no tienen idea de cómo y por dónde empezar. Bajo este escenario, todos los dispositivos conectados a las máquinas de los usuarios son permitidos sin restricciones, pero por supuesto todos los eventos son reportados y registrados en alguna consola central. El usuario final no tienen ningún impacto, pero igualmente puede recibir una alerta que le indique que “alguien más” está monitoreando dichas actividades y por supuesto el comportamiento empezará a cambiar. De esta manera, usted tendrá la capacidad de saber quién conecta qué, de qué fabricantes, tipos de almacenamiento, fechas, horas, máquina del usuario e incluso si lo hizo en horarios de oficina o fuera de ella. Muchas compañías han usado esta estrategia cuando están planeando aplicar diferentes “niveles” de políticas precisamente dependiendo el rol de los usuarios o sus privilegios. Por ejemplo, los ejecutivos podrán conectar sus iPod, el equipo de ventas podrá sólo conectar sus módems 3G, o la asistente administrativa podrá leer información de USB pero no guardar en ellos, etc. Muchas compañías hablan de alineación a políticas, pero se sorprenderá cuando efectivamente se dé cuenta, que hasta en “el uso de USB hay clases sociales”. A partir de este momento, usted tendrá la capacidad de aplicar el siguiente Caso de Uso (#4).

Caso de Uso 4- Estandarización sobre dispositivos seguros

Este escenario le da capacidad al usuario final de leer y escribir sobre el dispositivo, pero únicamente si éste ha sido previamente aprobado bajo ciertas características del medio removible. Por ejemplo, todo el staff gerencial podrá hacer uso de medios removibles pero sí y solo sí estos están encriptados (por hardware). En otros entornos, el uso del USB será aprobado si es de cierto proveedor, de cierto modelo, de cierto número de serie, del nombre de la etiqueta incluso, por mencionar algunos.

Caso de Uso 5- Prevenir que los datos sensitivos salgan de la compañía por medios removibles

Hablamos de la categoría de filtrar y la política aplicada hacia el usuario involucra control del documentos, y básicamente impide que información clasificada o etiquetada según sea su contenido, su origen o el aplicativo sea copiada en dichos dispositivos. Le garantiza al usuario que cuente con la habilidad de usar medios removibles pero sin poner en riesgo a la organización de pérdida de datos. Para efectos de auditoría, es ideal tener registro de la serie de incidentes que quisieron violar dicha regla y por supuesto, sería “maravilloso” contar con la evidencia (archivo o archivos) que el usuario intentó “sacar” accidental o intencionalmente.

Caso de Uso 6- Asegúrese que todos los datos son encriptados cuando son transferidos a los medios removibles.

Como puede darse cuenta, este escenario es una variante o extensión del caso anterior, por lo que ahora el usuario si por alguna razón necesita copiar información sensible a un medio como un USB, tendrá la capacidad de hacerlo, pero únicamente si los datos van encriptados. Con esto garantiza, que si el dispositivo se extravía, dicha información sea revelada, pero igualmente que el destinatario pueda accederla si cuenta con el mecanismo correcto (típicamente la llave con la que se cifró) para desencriptarla.

Caso de Uso 7 – Encuentre información sensitiva en su máquina y encríptela

Pocas soluciones he visto, que son capaces de hacerlo, pero es un poderoso mecanismo para encriptar información directamente en los equipos de los usuarios. Típicamente una tarea de búsqueda de información clasificada o sensitiva se ejecuta en la máquina. Tan pronto como la información hace “match” con el criterio de búsqueda de la misma (por ejemplo, tipo de archivo, extensión, contenido, propiedades del documento, por mencionar algunos) automáticamente será encriptada y en algunos modelos avanzados hasta le será aplicada una política de “Rights Management”. De esta manera, garantiza que la información privilegiada únicamente pueda ser vista por un “círculo” autorizado tanto de usuarios internos que poseen la llave para revelarla, pero que hacia el exterior poseen credenciales para abrirla. Adobe y Microsoft son algunos de los fabricantes que ofrecer soluciones de “Rights Management”. Créame, es uno de los modelos más efectivos de confidencialidad de información, pero que requieren muchas cosas en el fondo, más allá de pensar solamente en una solución. Recordemos que procesos, tecnología y la gente son el triángulo amoroso que todos los administradores quisieran tener.

Caso de Uso 8 – Encripte todos los USBs sticks (por software)

Algunos fabricantes ofrecen soluciones de encripción de USB por hardware, pero aún menos son capaces de hacerlo mediante software. Cada uno tiene sus pros y contras como todo en la vida, pero es una manera más de proteger la información. Típicamente, cuando un usuario inserte un USB en su equipo le será presentada la opción de que el dispositivo necesita ser encriptado para su utilización. Si el usuario declina, en algunos casos y si la compañía es flexible, le permitirá usarlo solamente como de solo lectura. En cambio, si ellos aceptan la opción inicial todos los datos previamente contenidos serán respaldados y el dispositivo será formateado. Cuando el USB finalmente esté encriptado, los datos serán restaurados al mismo. Hasta este punto, el dispositivo quedará encriptado y podrá ser accedido para su uso en cualquier equipo, si y solo sí recuerda la contraseña con el que se encriptó el mismo. La simplicidad de esta opción y la capacidad de contar con portabilidad en los datos lo hace un modo muy popular entre los administradores, pero sobre todo sigue garantizando que los datos copiados se mantengan seguros, a pesar de que el dispositivo sea robado o extraviado (mismo caso que cuando hablamos de encripción de disco).

Caso de Uso 9- Escenarios híbridos y avanzados…

Comunicación de políticas hacia el usuario, procesos y flujos de trabajo bien definidos y versatilidad en la manera de configurar las soluciones, nos dan la capacidad de llegar a los siguientes escenarios, que muestran ya cierto madurez en la protección de los datos a través del manejo de medios removibles:

  • Encriptar todos los dispositivos para su uso, pero bloquear la información confidencial cuando esta es transferida a ellos…
  • Permitir la transferencia de datos solamente a dispositivos aprobados, y aquellos que no lo son hacerlos solamente de solo lectura…
  • Encriptar archivos transferidos a USB sticks no encriptados, pero no hacerlo a nivel de archivo si el destino ya está encriptado…
  • Crear contenedores encriptados en los USB, para que solamente se ocupe parcialmente el espacio del mismo (ejemplo: 2GB de 8GB). Ahora bien, usted puede copiar información sensible en la parte encriptada, pero el resto en la partición no segura…
  • Muchos más que vengan a su mente…

Mis datos ahora están seguros, pero y el malware ¿apá?

En la parte 2 de este artículo continuaremos hablando de este tema y de cómo afrontar las amenazas propagadas a través de medios removibles… como dijera mi padrino, Raúl Velasco: “Aún hay más…”

Juan Carlos Vázquez, es ingeniero en sistemas computacionales egresado del Instituto Tecnológico de San Luis Potosí (1994-1999), con diplomados en seguridad por la UVM y el ITESM. Focalizado al mundo de la seguridad desde hace 8 años. Cuanta con la certificación en BS7799-2 Lead Auditor y es un fiel Creyente de aquella frase que dice que “aquel que no sabe dónde está parado, dificilmente sabe a dónde se dirige” y que aplica muy bien para los temas de seguridad.

Fuente: http://www.bsecure.com.mx

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: