El concepto de perímetro de seguridad está desactualizado. Pero, ¿cómo se les hace la vida más difícil a los hackers?

La necesidad del trabajo en equipo en el campo de la seguridad de la información no surgió ayer: las realidades modernas nos imponen la necesidad de unir esfuerzos, sin importar si estamos hablando de socios o competidores en el mercado, porque en última instancia el objetivo de la seguridad de la información es proteger al cliente. Por eso, en los albores de Internet, comenzaron a surgir diversas alianzas y alianzas.



Pero casi ninguno de ellos ha demostrado ser lo suficientemente grande, persistente o influyente como para afectar drásticamente lo que está sucediendo en el espacio de seguridad de la información de productos y datos. Además, la naturaleza misma de dicha cooperación, independientemente de las condiciones del mercado, es directamente opuesta al concepto de libre competencia. Y en general, la búsqueda conjunta de exploits y formas de contrarrestar a los piratas informáticos es viciosa, porque se basa en las herramientas para piratear el producto, lo que puede resultar en un espionaje industrial banal, cubierto con buenos objetivos de seguridad colectiva. ¿Y por qué no ver a su competidor directo luchar contra un ataque de piratas informáticos? Un ejemplo típico: "Estoy sentado junto al río y el cadáver de mi enemigo pasa flotando".







Pero este "cadáver" luego envenena todo el "río", porque en la cabeza de los clientes potenciales, incluidos los de las personas que firman presupuestos y la implementación de nuevas soluciones, los nombres de las empresas no se demoran, pero el concepto en sí es constante. Como resultado, todavía tenemos "las nubes son peligrosas", "los datos se roban a diario", etc.



Y ahora tenemos un mundo donde la información, incluida la información sobre el tema de la seguridad de la información, es valiosa, cerrada y extremadamente reacia a compartirla. Y por eso, los hackers ganan, y con confianza.



¿Por qué ganan los hackers?



Primero: el intercambio de información. A diferencia de las empresas comerciales acurrucadas en su propio rincón, la comunidad de hackers es muy sociable y bastante abierta. Y los ladrones están compartiendo información activamente entre ellos. A veces, por supuesto, no la clave, sino el hecho en sí: la circulación de datos entre los hackers de sombrero gris y negro es mucho más activa que la misma a nivel de empresa. Los piratas informáticos tienen foros, canales y comunidades enteros. Las empresas, en el mejor de los casos, se reúnen durante un par de conferencias al año, donde los oradores, haciendo clic en diapositivas en la pantalla grande, hablan sobre algo que ha estado desactualizado durante al menos seis meses. Ahora, cuando el mundo está paralizado, se ha movido por completo a la categoría de actuaciones grabadas durante 15-20 minutos, que simplemente puede ver en línea sin ninguna interacción.



En segundo lugar, siempre estamos rezagados. Es imposible prever todos los vectores de ataque y métodos de piratería. Estamos del lado del escudo, no de la espada, por lo que lo único que nos queda es reparar los agujeros de seguridad y asegurarnos de que este exploit, mecanismo, escenario o cualquier otra cosa que se haya utilizado nunca vuelva a funcionar así. Un hacker puede preparar su ataque durante semanas, llevarlo a cabo en un minuto y tú arrasarás sus consecuencias durante meses. O, como en el caso de la ejecución especulativa de código en procesadores, no podrá resolver el problema hasta el final. Y tienes suerte si el atacante es White Hat, quien te proporcionará todos los datos sobre cómo exactamente llevó a cabo el ataque, y tus datos no irán a ninguna parte. ¿Y si no?



Las paredes se derrumbaron y nos despertamos en un mundo nuevo



Solo los perezosos no conocen el concepto de "perímetro de seguridad" y, estamos seguros, casi todos los que trabajaban en TI lo han encontrado de una forma u otra. O lo construyó él mismo.

La esencia del perímetro es que esto es una cosa de los barbudos de los 80. Fue solo que una vez sobre la mesa de 40 o más grandes CTO de empresas tecnológicas en ese momento, se planteó el concepto de seguridad de la información según el principio del perímetro, que firmaron ... O incluso lo inventaron ellos mismos. O espiaron a los militares. No es la cuestión. Y la conclusión es que el perímetro ya no existe: COVID-19 lo destruyó de raíz junto con el advenimiento del concepto de trabajo remoto masivo.



¿Cómo se transfirió a los empleados al teletrabajo o al teletrabajo parcial antes? Este proceso se resolvió paso a paso. Acceso: a menudo a través de VPN, cifrado, espacios de trabajo separados para dichos empleados y, por supuesto, su aislamiento de los detalles y las partes más suaves dentro de la empresa o proyecto. bueno, la mayoría del tiempo. Los empleados que no tenían ninguna importancia en términos de acceso o los especialistas capacitados para tal interacción fueron trasladados a una ubicación remota. ¿Qué tenemos ahora?



Ahora se están levantando túneles para millones de trabajadores remotos desplazados en todo el mundo, pero ¿cuántos de ellos mantienen al menos los conceptos básicos de higiene y seguridad de la información en sus computadoras domésticas? ¿Cuántos han comprobado sus contraseñas y, al menos, se han asegurado de que sus máquinas puedan conectarse a la red corporativa?



Y si antes tuviéramos una infraestructura distribuida en máquinas virtuales, discos en la nube y entornos SaaS, que ya hiciera el nivel de seguridad de un sitio a otro, por decirlo suavemente, desigual, desde el cual el concepto de "perímetro" en sí mismo estaba estallando las costuras, ahora este mismo concepto se puede enviar a la basura. Porque con tantos agujeros potenciales y factores humanos, en principio, ningún perímetro es posible.



Y las soluciones de pago en el campo de la protección de dispositivos, DevOps, SecOps, etc., están lejos de ser una panacea. Porque todos, de hecho, se apoyan en proyectos de código abierto, con todas las consecuencias consiguientes. ¿Alguna vez se ha preguntado por qué las empresas que gastan cientos de millones de dólares en dicho software todavía están sujetas a ataques cibernéticos y han sido pirateadas con éxito por algún grupo de piratas informáticos solitarios?



Vivimos en un mundo donde una solución 100% efectiva simplemente no se puede comprar, porque no existe. Y nos encontramos con una situación paradójica en la que un hacker solitario puede aterrorizar a una empresa concreta o, en general, a todo el sector. Simplemente porque es más inteligente, más capaz y más atento que cualquier ingeniero contratado por estas empresas. Bueno, o simplemente porque tuvo la suerte de encontrar algo en el código fuente que ni siquiera los autores del código notaron.



Una situación tan paradójica, cuando la cola no solo se mueve, sino que hace girar al perro alrededor de su eje, solo es posible en nuestra esfera y red de TI nativa :)



Todos estamos en el mismo barco



En nuestra opinión, lo más valioso para los piratas informáticos modernos son las direcciones IP. Son como máscaras que aseguran su anonimato y cuantas más de ellas estén disponibles gratuitamente, mejor.



Pero todos hemos vivido durante mucho tiempo en condiciones de escasez de direcciones libres en el espacio IPv4, y aún no ha habido una transición masiva a IPv6. Entonces, cada atacante tiene un grupo limitado de direcciones en términos de disponibilidad. Y cuanto más, más caros son para él, tanto en términos de financiación como en términos de costes laborales.



Creamos nuestro producto con un pensamiento simple: si aumenta el costo del "juego", simplemente no se "jugará". Si para cada ataque al objetivo es necesario obtener más y más direcciones IP nuevas, o incluso buscar direcciones "limpias" que no han aparecido en otros "proyectos" del hacker, entonces podremos incrementar significativamente el precio de la entrada y el inicio del "juego".



El concepto mismo de prohibir las direcciones IP y crear listas de bloqueo es imperfecto y no lo salva de tipos realmente ingeniosos que pueden poner de rodillas a una corporación. Pero puede eliminar la mayor parte de los piratas informáticos que se dedican a piratear por su cuenta, que no tienen grandes recursos y valoran su tiempo y dinero. Tal práctica, en nuestra opinión, es capaz de equilibrar ligeramente las "reglas del juego" actuales, que se han inclinado notablemente hacia la comunidad de hackers después del inicio de la pandemia: después de todo, el perímetro como concepto tiene, de hecho, caído. Y no se sabe si alguna vez se restaurará.



Además, en otras industrias y esferas, esa colectivización, cuando todos comparten información abiertamente, ya está funcionando. Vale la pena recordar cómo Reddit bajo el lema "¡A la luna!" decidió castigar a los corredores de Wall Street a corto plazo. La ola maloliente que se levantó después del bombeo masivo de acciones de GameStop todavía está rodando por todo el mundo hoy, consulte las noticias.



El concepto de una lista de prohibiciones formada y verificada colectivamente nos lleva al comienzo mismo del texto: a la tesis de que es necesario compartir información crítica. Para un pirata informático, la dirección IP es fundamental; este es su punto de entrada. Para la empresa, la información sobre la dirección desde la que se llevó a cabo el ataque no tiene ningún valor y no amenaza sus secretos y secretos de ninguna manera. Tenemos una situación en la que todos ganan cuando los lobos son alimentados y las ovejas están a salvo; ni un solo paranoico dentro de la empresa te reprochará por filtrar datos estratégicos al dominio público, pero al mismo tiempo tenemos la capacidad de golpear dolorosamente puntos que son importantes para los ciberdelincuentes.



Esta es la razón por la que estamos trabajando en CrowdSece invitamos a todos los demás a unirse a nosotros en la formación de listas de prohibiciones. Solo para hacer Internet y, en general, nuestro mundo, más limpio y seguro con el mínimo esfuerzo.



All Articles