Se abordaron los escenarios de amenaza y ataque, el estado del arte de la tecnología defensiva, los retos futuros y la posible actuación gubernamental

En su XX edición, RESPUESTAS SIC se adentró en la protección de vanguardia ante APTs y DDoS

Más de 300 profesionales se dieron cita en Barcelona y Madrid, en sendas sesiones celebradas los días 26 y 28 de junio, respectivamente, en la edición número veinte de Respuestas SIC, para conocer de primera mano el escenario surgido ante el recrudecimiento de los ataques APTs (Advanced Persistence Threats) y DDoS (Distributed Denial of Service) y sus opciones de protección y salvaguarda. Bajo el rótulo de “Nuevos ataques, mejores defensas”, los participantes en la jornada analizaron la idoneidad de las herramientas tecnológicas actuales, la responsabilidad de operadores de telecomunicaciones e ISPs en la defensa ante APTs y DDoS y las posibilidades reales de compartir inteligencia entre los distintos protagonistas de este escenario, entre otras cosas.

La ponencia inaugural de este Respuestas SIC estuvo a cargo de Juan Miguel Velasco López-Urda, Consultor Estratégico de Seguridad y Cloud para Grandes Corporaciones, que abordó el panorama presente de la protección ante APTs y DDoS. En su exposición, Velasco quiso dejar claro que si bien es cierto que actualmente existen valoradas tecnologías para afrontar estas amenazas, también es urgente una combinación adecuada entre todas ellas para optimizar sus capacidades de protección. Tras hacer un análisis concienzudo de las amenazas actuales (APTs y demás malware, DoS, DDoS, ataques dirigidos y otros...) y reconocer a BYOD (Bring Your Own Device) como la nueva puerta de entrada para los “malos”, llegó a la conclusión de que el perímetro, si bien es necesario, no es suficiente, emplazando a su ajuste; a incluir elementos de monitorización y correlación continua y gestionada; a apoyarse en la simulación de entornos virtuales y analizadores de tráfico dinámicos no basados en firmas; a apostar por la solución desde el diseño; y a permitir al cloud adoptar un papel protagonista en lo que denominó “tercer perímetro”, animando su proactividad y la asunción por su parte de las políticas y reglas corporativas.

Aproximaciones del mercado

Ignacio Berrozpe Peralta, Ingeniero de Seguridad de Check Point, abrió la segunda parte de la jornada, donde otros seis representantes más de la industria presentaron las propuestas de producto y servicios de sus respectivas compañías: Alain Karioty, Director Regional de Ventas de Corero Network Security; Samuel Bonete Satorre, Ingeniero de Sistemas Senior de Fortinet; Jaume Ayerbe Font, Director de Ventas de Productos de Seguridad Empresarial de HP; María Campos Sánchez, Directora para España y Portugal de Stonesoft; Miguel Suárez Albares, Responsable de la Práctica de Seguridad de Symantec; y por parte de Trend Micro, Samuel Marín Drouín (en la sesión de Barcelona) y Jorge Hormigos Erustes (en la de Madrid).

De las intervenciones de estos profesionales se concluyó la imperiosa necesidad de repensarse el modelo de seguridad actual, reconociendo que los sistemas actuales están fallando. Los objetivos que habría que alcanzar, son: una mejor comunicación entre las distintas capas de protección, la disposición de más recursos de análisis, y la consideración de que lo que ha cambiado no son tanto las amenazas como el uso de la propia información, lo que obliga a disponer de más visibilidad.

En el turno de preguntas y respuestas, se quiso conocer, entre otras cuestiones, la opinión de los intervinientes sobre si el servicio de protección antes APTs y DDoS había de prestarlo directamente el fabricante o bien ser una responsabilidad de las operadoras de telecomunicaciones y proveedores de servicios, así como cuáles serían las recomendaciones de la industria para que las compañías hagan frente a estos ataques (donde los ponentes coincidieron en mayor concienciación y educación; conocimiento más crítico de las amenazas; y mayor visibilidad). Asimismo, se hicieron las siguientes reflexiones: la lectura que podrían sacar las compañías de seguros aprovechando la comentada “obsolescencia” o “quiebra” de las soluciones actuales; y el hecho de que quizá hubiera que retomar otro punto de partida, el de que la información no está hecha para ser protegida sino compartida.

Perspectiva de los usuarios

La recta final del evento, dedicada como viene siendo habitual a la exposición de compañías usuariasy centros de competencia sobre los escenarios de uso, y limitaciones y necesidades futuras, contó en esta ocasión con la participación de Olof Sandstrom Herrera, Director de Operaciones y Seguridad de Arsys; Luis Jiménez Muñoz, Subdirector General Adjunto del Centro Criptológico Nacional; y Santiago Pérez Iglesias, Responsable técnico del servicio anti-DDoS de Telefónica Digital.

En el marco de este debate, los tres intervinientes se mostraron especialmente de acuerdo en la necesidad de volver a considerar la seguridad como una pata indispensable del negocio, haciendo imprescindible contar en nómina dentro de la compañía con personal especializado, confiando igualmente en que la figura del responsable de seguridad se verá reforzada por la inminente Estrategia Española de Ciberseguridad. Según Luis Jiménez, “Tenemos que cambiar la forma de pensar en la seguridad como algo más, como un añadido; y recuperar la esencia misma de la protección como algo intrínseco al servicio”; y, en palabras del representante de Arsys, “De lo que estamos hablando es de hacking a la antigua usanza. Y aquí toda la tecnología de que disponemos es efectiva para tratar con ataques conocidos, pero no tanto para aquellos desconocidos, donde cambia el patrón de ataque. Ahí no queda otra que ir más allá de la tecnología como utility y confiar en profesionales proactivos. Las APTs tienen componentes de ingeniería social muy difíciles de gestionar, y los fabricantes no tienen soluciones todavía para combatir en este terreno”.

Olof Sandstrom lanzó también otro interesante dardo, apelando a su experiencia: no todos los ataques son APTs. Su valoración es que muchas veces confinamos en estas siglas lo que es un ataque convencional. “La inmensa mayoría son ataques ‘normales’ y ocurren porque no hemos hecho bien los deberes más básicos”, apostilló.

La colaboración fue también eje del discurso de Luis Jiménez, del Centro Criptológico Nacional –quien, por otro lado, considera que la amenaza de denegación de servicio está más o menos controlada con la tecnología existente–, recordando la labor de coordinación entre administraciones públicas, Fuerzas y Cuerpos de Seguridad del Estado y empresas y ciudadanos, a la que emplaza la Estrategia Española de Ciberseguridad, actualmente en trámite.

En lo que respecta a Telefónica Digital, su representante, refiriéndose al hecho de que en sus políticas defensivas en el terreno de la ciberdelincuencia los gobiernos también apuestan inevitablemente por labores ofensivas, consideró igualmente que conceder a los gobiernos más prerrogativas de cara a restringir la libertad a favor de la seguridad de los ciudadanos en estas lides es algo poco factible: “La solución no pasa por abrir todos las cartas (e-mails) para controlar todas las comunicaciones de un país. Tiene que haber otra manera. Y desde luego, y aunque avancemos en la lucha contra el ciberdelito, lo que también hay que aceptar es que, de algún modo, conviviremos con esta forma de delincuencia. Pasa lo mismo que con otras formas más antiguas: se lucha contra ellas, pero a nadie se le ha ocurrido pensar que los asesinatos o los robos acabarán algún día”. Y ello, considerando, además, que no es un problema únicamente nacional, y que no es posible aplicar una medida (restrictiva), porque va en contra de la propia naturaleza de Internet, como apuntó el Director de Operaciones y Seguridad de Arsys.

Por otra parte, y respondiendo a una pregunta realizada por los asistententes, los tres coincidieron en la responsabilidad mínima de los operadores de telecomunicaciones y proveedores de servicios de Internet en la lucha contra las APTs –“Poco pueden hacer, como mucho colaborar”, se apuntó–. No obstante, esta responsabilidad se ampliaba, en opinión del representante del CCN, en lo que respecta a los ataques DDoS, escenario en el que los servicios de prevención y mitigación deberían ser gratuitos. En este punto, los representantes de Arsys y Telefónica Digital no se mostraron partidarios de la gratuidad.