Informe Grandes volúmes de datos, o cómo buscar una aguja en un pajar Índice 2 Incapacidad para identificar brechas en la seguridad 3 Mejores prácticas para poner los Big Data al servicio de la seguridad 5 Metodología 6 Grandes volúmes de datos, o cómo buscar una aguja en un pajar Los grandes volúmenes de datos, o Big Data, están cambiando el panorama de las empresas a nivel mundial. Son pocas las tecnologías que permanecen inalterables ante las oportunidades que presenta este fenómeno, y la seguridad no es una excepción. Con el aumento de sofisticación de los ataques y el incremento de la presión normativa, las necesidades en cuanto a variedad, volumen y análisis de los datos de seguridad han crecido, desbordando las capacidades de los sistemas de administración de la información tradicionales. Dado el ingente volumen de datos relacionados con la seguridad que gestionan las organizaciones en la actualidad, identificar una amenaza cada vez se parece más a buscar una aguja en un pajar. Sin embargo, la recopilación de más cantidad de datos puede jugar también un papel transformador en la seguridad de la información. Las empresas deben aguzar el ingenio para aprovechar y tamizar esta enorme cantidad de información con el fin de protegerse contra las implacables amenazas a las que se enfrentan a diario. En un contexto en el que los ataques a la seguridad y los casos de fraude siguen ocupando los titulares y la ciberdelincuencia vive momentos álgidos, las empresas deben tomar medidas más inteligentes para protegerse contra amenazas que cada vez son más sofisticadas. Las empresas son conscientes de que necesitan seguridad más basada en la información y empiezan a poner en marcha programas de seguridad que aprovechan los Big Data. En tiempos de antivirus, seguridad de endpoints y prevención de intrusiones, ¿por qué deberían las empresas intentar extraer los datos que recopilan sus sistemas de seguridad? La realidad es que a medida que evoluciona la seguridad, también lo hacen los miles de mecanismos de ataques sigilosos ideados por los ciberdelincuentes. Estos grupos desarrollan malware que rastrea con paciencia tanto desde dentro como desde fuera de la red, mezclándose con la actividad normal y camuflando las actividades malintencionadas del personal interno. Los ataques selectivos avanzados, como las amenazas persistentes avanzadas, podrían permanecer inactivos en una red durante semanas o meses sin que se disparen las alarmas de los sistemas de seguridad, y este tipo de amenaza únicamente puede detectarse mediante el análisis de datos detallado y continuo. Cuanto mayor sea la organización, más grande será el grupo de datos y más difícil y prolongado resultará detectar las anomalías. Pero en esta situación el factor tiempo resulta crítico. Una vez activos, la única limitación para los ataques selectivos avanzados es el ancho de banda de las redes de las víctimas, que podría facilitar que en solo unos minutos escaparan de la red terabytes de datos pirateados. Los profesionales de la seguridad deben aprovechar el potencial de los Big Data para identificar nuevas tendencias, patrones y amenazas contra sus organizaciones. Es preciso adoptar herramientas que ofrezcan la visibilidad necesaria para mejorar los niveles de información de seguridad. Nosotros creemos que ha llegado el momento de la seguridad basada en Big Data. Las organizaciones no consiguen identificar las brechas en la seguridad en el momento en el que se producen. Para este informe, la firma de investigaciones de mercado tecnológico de Reino Unido, Vanson Bourne, entrevistó a 500 responsables de la toma de decisiones de TI. El informe investiga cuál es la posición de las empresas ante los retos que plantea la administración de la seguridad en un mundo de ingentes cantidades y variedades de datos. La investigación recalca la escala del problema y el imperativo empresarial de detectar y gestionar las actividades anómalas y potencialmente peligrosas que se esconden entre cantidades colosales de tráfico de datos. De manera más específica, el informe revela una falta alarmante de sistemas de supervisión de la seguridad adecuados que deja a las organizaciones desprotegidas frente a los ciberdelincuentes durante el curso normal de su actividad, en ocasiones durante varios días. A esto hay que añadir una confianza equivocada en la solidez de las ciberdefensas actuales y la mayor exposición ante las amenazas avanzadas. A medida que crece el volumen de los datos de seguridad, los profesionales de TI y de la seguridad deben asegurarse de colaborar estrechamente, ya que el fenómeno de Big Data amenaza con dejar al descubierto una dicotomía preocupante entre los dos. Gartner sostiene que los Big Data generan valor empresarial, ya que permiten a las empresas descubrir patrones que no se habían observado hasta la fecha y desarrollar análisis más precisos sobre las empresas y los entornos, incluida la seguridad de la información. En este informe arrojamos luz sobre algunas de las tendencias principales y proporcionamos orientación y buenas prácticas para los profesionales de la seguridad en su examen del panorama de la seguridad basada en Big Data. Incapacidad para identificar brechas en la seguridad Uno de los hallazgos más importantes de este informe es la incapacidad de la mayoría de las empresas para identificar las brechas y los riesgos para la seguridad en el momento en el que se producen. Si bien es verdad que las empresas finalmente detectan los problemas, descubrir cuánto tiempo les lleva depende de a qué departamento de la empresa le pregunte. En el estudio de Vanson Bourne, el 35 % de los responsables de la toma de decisiones de TI manifestó que podían detectar una fuga de datos a los minutos de haberse producido. El estudio reveló también que el 22 % dijeron que a menudo lleva un día completo identificar una fuga y el 5 % que pueden tardar hasta una semana. Esto significa que, de media, una empresa tarda 10 horas en reconocer una brecha en la seguridad. Sin embargo, en su informe 2012 Data Breach Investigations Report (Informe sobre las investigaciones de fugas de datos), Verizon sugiere que de todas las organizaciones que sufrieron un ataque, ni siquiera una pudo identificar la amenaza en un plazo de horas o minutos. De hecho, más del 27 % tardaron varios días, el 24 % tardó semanas y un alarmante 39 % tardó meses entre que se produjo el ataque y el momento del descubrimiento. Al 9 % les llevó un año o más. Huelga decir que la enorme cantidad de datos que se podrían haber obtenido en ese tiempo es significativa y tiene un valor incalculable. Además, parece que incluso si las organizaciones pudieron detectar las fugas en cuestión de horas, el 72 % de los ataques pueden poner en riesgo los sistemas o las redes en solo unos segundos o minutos. Según Verizon, la filtración de datos (o transmisión de datos fuera de la red) solo requiere unos minutos o segundos en el 46 % de los casos. 3 Grandes volúmes de datos, o cómo buscar una aguja en un pajar Sin embargo, tan preocupante como esto es la obvia desconexión entre la realidad de lo que los sistemas pueden hacer y lo que los responsables de la toma de decisiones creen que pueden hacer. Dado el volumen de amenazas que intentan repeler las organizaciones cada día, el hecho de que una brecha en la seguridad pase desapercibida durante más de un día laborable es una preocupación seria. Entre las serias implicaciones que tiene no detectar las amenazas en tiempo real se pueden citar la pérdida de datos, el robo de propiedad intelectual, el tiempo de inactividad del sistema, el incumplimiento de normativas, daños a la reputación de la marca y erosión de la confianza del cliente. Esta situación se agrava por el crecimiento del uso de tecnologías móviles por parte de empleados de la empresa y por el retraso aún mayor en la detección de ataques en el caso de los endpoints móviles. Mientras el 44 % de los encuestados manifestaron que los incidentes se detectaban en solo minutos en los dispositivos móviles, un 20 % de los profesionales de la seguridad respondieron que les llevaría un día descubrir un riesgo para la seguridad; en realidad, el tiempo medio para detectar una brecha en la seguridad se elevaba a 14 horas. Pensemos en los estragos que podría provocar un ataque en una empresa a lo largo de un día de trabajo; dadas las velocidades de descarga de datos, se podrían robar terabytes de información comercial confidencial y propiedad intelectual, y se podrían inutilizar sistemas, por no mencionar el impacto negativo que tendría en la imagen de marca y en la confianza del cliente. La pérdida de la confianza del cliente (62 %) fue la consecuencia más admitida de una brecha en la seguridad, seguida por el daño a la imagen de marca y la reputación de la empresa (52 %). También destacan entre las preocupaciones de los administradores de TI los problemas de cumplimiento de normativas (41 %), el impacto financiero debido a pérdidas de clientes y las sanciones (40 %), y una disminución de la confianza de los empleados en la seguridad (36 %). Sin embargo, no solo las amenazas externas pueden provocar fugas de información. La filtración de datos puede generarse también desde dentro de la empresa de manera intencionada o por un descuido. Por ejemplo, el estudio puso de manifiesto que llevaría una media de 41 horas descubrir a un administrador de base de datos que hiciera un uso indebido de sus permisos. Es decir, más de una semana de trabajo. Por ejemplo, en el Departamento de Telecomunicaciones y Servicios de Información de San Francisco (DTIS), un administrador de TI creó una cuenta de administrador privada en sistemas dentro del proyecto FiberWAN de la ciudad. El administrador mantuvo la contraseña en secreto bloqueando el acceso de la organización a la configuración de la red durante 10 días. Los gastos para revertir la interrupción que debió asumir el departamento superaron el millón de dólares y el administrador fue condenado; a esto hay que añadir la pérdida de servicios públicos y el daño a la reputación de esta agencia municipal. •El 22 % de las empresas necesitan un día para identificar una brecha en la seguridad. •El 5 % de las empresas necesitan hasta una semana para identificar una brecha en la seguridad. •De media, una organización tarda 10 horas en identificar una brecha en la seguridad. •Debido a una injustificada confianza en la seguridad las organizaciones están en riesgo. •El segundo mejor hallazgo de nuestro estudio es que los administradores de TI confían demasiado en el nivel de seguridad de sus organizaciones. Estos hallazgos han sido confirmados por el último Cybercrime and Security Survey Report (Informe de un estudio sobre ciberdelincuencia y seguridad) publicado por el gobierno australiano y CERT Australia. Aunque la mayoría de los ataques comunicados por las 450 empresas representadas parecían proceder de fuentes externas, un alarmante 44 % se habían originado supuestamente en el interior de las organizaciones. Este informe descubrió que más de la mitad de los encuestados consideraba los ataques dirigidos contra su organización, con motivaciones entre las que se incluían la obtención de ganancias financieras ilícitas (15 %), hacktivismo (9 %), uso del sistema para cometer otros ataques (9 %), uso del sistema para fines personales (6%), ataques de gobiernos extranjeros (5 %), quejas personales (5 %), y ataques de empresas de la competencia (4 %). También se les preguntaba a los encuestados qué factores creían que habían contribuido a los incidentes. El motivo más mencionado fue el uso de poderosas herramientas de ataque automáticas (14 %), seguido por el aprovechamiento de vulnerabilidades de software para las que no se ha aplicado un parche o no protegidas (11 %), y el ataque a sistemas operativos, aplicaciones o dispositivos de red que no se han configurado correctamente (10 %). Esto nos recuerda que las medidas y los controles de ciberseguridad internos de una empresa también son fundamentales. Aunque no cabe duda de que hay que proteger el perímetro, la mayoría de las tecnologías tradicionales no se ocupan de las amenazas internas. Este tipo de amenazas solo pueden evitarse mediante un análisis detallado de los comportamientos comparado con lo que se considera "normal" en una organización. Posiblemente una estrecha supervisión de los procesos habría evitado situaciones como las descritas. Mientras más de la mitad de los profesionales de la seguridad (58 %) declararon haber experimentado algún tipo de brecha en la seguridad el año pasado, el 73 % admitieron que podían evaluar su estado de la seguridad en tiempo real. Las organizaciones también respondieron con confianza acerca de su capacidad para identificar amenazas internas en tiempo real (74 %), amenazas en el perímetro (78 %), malware de tipo zero-day (72 %) y controles de cumplimiento de normativas (80 %). Sin embargo cuando el estudio profundizó sobre estas afirmaciones, se descubrió que en realidad solo el 35 % de las empresas podía detectar ataques a la seguridad en un plazo de minutos. De hecho, de los que dijeron haber sufrido ataques a la seguridad el año pasado, solo un cuarto (24 %) manifestaron haberlos reconocido en unos minutos, mientras que la media de tiempo en detectar una fuga real llegaba incluso a 19 horas. Por último, llegado el momento de averiguar el origen real del ataque, solo el 14 % declararon hacerlo en cuestión de minutos, mientras el 33 % tardaba un día y el 16 %, una semana. 4 Grandes volúmes de datos, o cómo buscar una aguja en un pajar Cuando se les preguntó a las organizaciones qué solución de información de seguridad y administración de eventos (SIEM) tenían, en su caso, solo una parte de las respuestas se consideraron herramientas SIEM verdaderas. Una gran parte de los encuestados creían que un antivirus estándar y un sistema de seguridad de base de datos les proporcionaban el nivel adecuado de protección y análisis en tiempo real. Es cierto que estas herramientas tradicionales pueden bloquear y repeler muchos ataques, pero carecen de la capacidad para detectar las amenazas que se generan en el interior. Las soluciones SIEM avanzadas correlacionan los eventos, amenazas y riesgos para detectar los ataques que hay en curso, sirven como plataforma de investigación y generan informes de cumplimiento de normativas a partir de la supervisión de la actividad. Las organizaciones almacenan aproximadamente de 11 a 15 terabytes de datos a la semana, pero el 58 % de las empresas guardan esta información solamente durante tres meses. No existe una recomendación válida para todos, pero las organizaciones deben ser conscientes de que las amenazas avanzadas pueden producirse a lo largo de meses o años escapando al radar de muchas tecnologías de seguridad. Si no se conservan los datos, la organización no podrá localizar, conocer y eliminar estas insidiosas amenazas. La encuesta en la que se basa el presente estudio indica que muchas empresas han aplicado una estrategia poco profunda para la seguridad, considerando que una infraestructura de seguridad básica es suficiente para estar protegidos. Pero el panorama de las amenazas evoluciona rápidamente. Las empresas deben asegurarse de contar con defensas coordinadas e integradas en las redes, dispositivos, aplicaciones, bases de datos y servidores para hacer frente a las amenazas que cada vez son más numerosas y sofisticadas, y que se originan tanto dentro como fuera de la organización. Para obtener la visibilidad que necesitan, es preciso recopilar y analizar la información de seguridad de todos los puntos de vulnerabilidad en tiempo real con el fin de identificar las correlaciones y patrones que indican que se han intentado atacar las defensas. Contar con esta información a posteriori no evita las terribles consecuencias que un ataque puede producir. Aunque aproximadamente el 75 % de los responsables de la toma de decisiones afirma que pueden evaluar su estado de la seguridad en tiempo real: • Solo el 35 % afirman poder detectar brechas en la seguridad en cuestión de minutos. los que afirmaron haber sufrido un ataque a la seguridad en el último año, solo el 25 % lo reconocieron en un plazo de minutos. • La media de tiempo en detectar un ataque real era de 14 horas. • De Solo el 14 % pudieron identificar el origen del ataque en minutos, mientras que al 33 % les llevó días y al 16 %, una semana. El estudio descubrió que las organizaciones almacenan aproximadamente de 11 a 15 terabytes de datos a la semana. Para poner esta cifra en perspectiva y destacar la cantidad de información que se deja insuficientemente protegida, 10 terabytes es el equivalente a la colección impresa de la Biblioteca del Congreso de Estados Unidos. Son muchos datos para analizar y gestionar. Hay otro factor que contribuye a que la situación sea más preocupante: el 58 % de las empresas almacenan estos datos de valor inestimable durante menos de tres meses. Las amenazas avanzadas llegan en todo tipo de formas y tamaños y, en ocasiones, tardan meses en activarse. Según el Informe de McAfee® sobre amenazas: Cuarto trimestre de 2013, la aparición de nuevas amenazas persistentes avanzadas se aceleró en la segunda mitad de 2013. Estas amenazas se infiltran en las defensas de la organización y pueden permanecer inactivas durante meses. Posteriormente, cuando la organización menos lo espera, atacan, filtrando información confidencial o instalando malware y virus en la empresa antes de volver al estado inactivo, para volver a lanzar otro ataque en el futuro. El periódico The New York Times fue víctima de este tipo de ataque que sufrió persistentemente por un período de cuatro meses, durante los cuales los ciberdelincuentes consiguieron infiltrarse en sus sistemas informáticos y robar las contraseñas de los periodistas y otros empleados. Las organizaciones deben conservar sus datos de seguridad durante más tiempo y aplicar análisis para revelar patrones, tendencias y correlaciones con el fin de detectar amenazas persistentes avanzadas y poder atajarlas rápidamente. Mediante el uso de análisis, las empresas pueden localizar y bloquear amenazas en tiempo real, pero además, los análisis a largo plazo de enormes cantidades de información de seguridad pueden garantizar también la rápida detección incluso de las amenazas que están inactivas. Mejores prácticas para poner los Big Data al servicio de la seguridad La situación de las amenazas en la actualidad plantea numerosos retos a las organizaciones. Ya sea por el volumen de datos, la sofisticación de las amenazas o la falta de visibilidad en tiempo real, las organizaciones no están aprovechando todo el potencial que presenta la oportunidad de la seguridad basada en Big Data. Esto cambiará en cuanto las empresas empiecen a experimentar el valor real para el negocio de desbloquear la información oculta sobre sus datos de seguridad. ¿Cuáles son las mejores prácticas para la información sobre amenazas en tiempo real en la era de la seguridad basada en Big Data? • Recopilar toda la información de seguridad: para obtener información sobre seguridad basada en riesgos, hacer frente a las APT y mejorar la supervisión de la seguridad, las empresas deben almacenar y analizar los datos adecuados. Esto no se limita a la administración de registros. Sin herramientas de automatización y sin sistemas de gestión de datos de alto rendimiento, puede resultar una tarea difícil. El despliegue de tecnologías que ofrezcan detección inteligente y recopilación automatizada ofrecerá a las empresas un mayor contexto sobre las amenazas externas y los usuarios internos. • Sintetizar análisis eficaces en tiempo real: el volumen, velocidad y variedad de la información ha llevado a los sistemas SIEM antiguos al límite. Ahora, con la urgencia de identificar claramente ataques complejos, las organizaciones necesitan análisis avanzados que no se limiten a la comparación de patrones, sino que realicen estudios basados en riesgos verdaderos y apliquen modelos respaldados por un sistema de administración de datos que esté a la altura de los sofisticados análisis en tiempo real. 5 Grandes volúmes de datos, o cómo buscar una aguja en un pajar • Almacenar e investigar tendencias a largo plazo: aunque el análisis de los datos en tiempo real es esencial para obtener valor de la seguridad de las soluciones SIEM, las organizaciones deben tener también la capacidad para investigar las tendencias y patrones a lo largo del tiempo. La detección de amenazas persistentes avanzadas no debe limitarse a encontrar una aguja en un pajar; debe pasar la ingente cantidad de datos por una criba que permita encontrar la aguja adecuada. • Aumentar la visibilidad de las amenazas: para ser eficaz, el análisis de SIEM debe ir más allá de las direcciones IP y proporcionar a los profesionales de la seguridad un conocimiento de la naturaleza del sistema externo. Muchas soluciones SIEM aportan información sobre las amenazas, pero lo realmente importante es el alcance de esta información y cómo se utiliza. Las implementaciones de flujos de información de amenazas efectivas emplean dichos datos para realizar comprobaciones de reputación en tiempo real, alertando inmediatamente sobre la interacción con una amenaza conocida y elevando la reputación de la fuente externa en la calificación de riesgos. • Personalizar soluciones SIEM: las organizaciones que disponen de soluciones SIEM avanzadas y fáciles de utilizar deben ser capaces también de personalizar su despliegue de SIEM según los riesgos, lo que redunda en un aumento de las posibilidades de detectar amenazas persistentes avanzadas (APT), amenazas internas y otros ataques difíciles de descubrir. Como mínimo, el proceso debe saber cuáles son los datos confidenciales, cuáles son los servicios más críticos y qué usuarios de confianza acceden a estos sistemas y servicios. Una solución SIEM sólida debe disponer de un motor basado en riesgos al que se puedan añadir fácilmente estos parámetros para que la priorización de riesgos se realice de manera correcta. • Supervisar y bloquear: muchas organizaciones confunden la supervisión con el bloqueo. Las empresas de éxito saben qué pueden y qué no pueden bloquear y aplican un programa de supervisión para detectar las amenazas que pueden aprovechar servicios, datos y recursos disponibles. Es el lema "prevenir lo que se pueda y supervisar lo que no se pueda". En la base de todo programa de seguridad serio están la protección de la confidencialidad, la disponibilidad y la integridad de los activos. Una solución SIEM eficaz organizará esta supervisión mediante la recopilación de todos los eventos relevantes para la seguridad, la comparación con el contexto y la ejecución de análisis con el fin de detectar actividades sospechosas o maliciosas. • Crear sinergias entre los equipos de TI y de seguridad: debe haber un mayor nivel de entendimiento y cooperación entre estos dos equipos. En la mayoría de las organizaciones no existe el nivel de convergencia entre seguridad y TI que sería deseable, y los departamentos de TI suelen creer que los activos están protegidos cuando, en realidad, no es así. Hoy día, las empresas operan en la era de los Big Data y esto afecta tanto a la protección de las organizaciones como a la conexión con sus clientes. Las amenazas avanzadas a las que se enfrentan las organizaciones en la actualidad y las que afrontarán en el futuro requieren que se obtengan más datos de seguridad, se realicen análisis con un mayor nivel de sofisticación para poder gestionar las amenazas en tiempo real y se conserven tanto los datos actuales como los históricos para poder realizar análisis a largo plazo de las tendencias y patrones como medio de detección de ataques inactivos o internos. Depender de estrategias basadas en la administración de datos antiguos y herramientas de antivirus y bases de datos no es suficiente para supervisar los ataques a la seguridad y no garantiza la protección de las organizaciones. Los ataques son demasiado constantes y sofisticados para despreciar el uso de una solución SIEM. Además, SIEM deja de percibirse como una herramienta para el cumplimiento de normativas para pasar a ser un componente esencial de la arquitectura de seguridad de una organización. Mientras las organizaciones se esfuerzan por detener las amenazas, que son cada vez más ocultas y complejas, muchas siguen dependiendo de una multitud de distintas herramientas de seguridad que creen que pueden resolver el problema cuando, por el contrario, dejan numerosas brechas en la infraestructura; desde la red y los dispositivos hasta los servidores y las bases de datos. Este enfoque ya no es viable. Para disfrutar de visibilidad y análisis en tiempo real, exámenes predictivos, modelos a largo plazo y una respuesta ante amenazas más rápida y más eficaz, las organizaciones deben adoptar un enfoque de la seguridad integrado y multicapa. Muchas de las respuestas están en los Big Data, pero solo si la organización tiene la capacidad para aprovechar el creciente volumen de información de seguridad. Mediante el despliegue de una solución SIEM para analizar estos datos, las organizaciones pueden frustrar las amenazas avanzadas en tiempo real y detectar las ocultas, inactivas. Bienvenido a la era de la seguridad basada en Big Data Metodología La compañía de investigaciones de mercado Vanson Bourne entrevistó a 500 responsables de la toma de decisiones en enero de 2013, entre los que se encontraban 200 de Estados Unidos y 100 de Reino Unido, 100 de Alemania y 100 de Australia. McAfee, S.A. Avenida de Bruselas n.º 22 Edificio Sauce 28108 Alcobendas Madrid, España Teléfono: +34 91 347 8500 www.mcafee.com/es McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin aviso previo; se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Copyright © 2014 McAfee, Inc. 61098rpt_needle-datastack_0514_fnl_ETMG