Cuando la seguridad pasa a segundo plano a la productividad – Krebs on Protection


«Debemos preocuparnos tanto por asegurar nuestros sistemas como por ejecutarlos si queremos hacer el cambio revolucionario necesario». -El grupo de trabajo de Wikileaks de la CCIA.

Así termina una sección clave de un informe Agencia Central de Inteligencia de EE. UU. producido a raíz de una gigantesca violación de datos en 2016 que condujo a Wikileaks publicar miles de documentos clasificados robados de la división de operaciones cibernéticas ofensivas de la agencia. El análisis destaca una serie impactante de fallas de seguridad en una de las organizaciones más secretas del mundo, pero las debilidades subyacentes que dieron lugar a la violación también son lamentablemente muy comunes en muchas organizaciones hoy en día.

La CIA produjo el informe en octubre de 2017, aproximadamente siete meses después de que Wikileaks comenzó a publicar Bóveda 7 – resmas de datos clasificados que detallan las capacidades de la CIA para realizar vigilancia electrónica y guerra cibernética. Pero el contenido del informe permaneció oculto a la vista del público hasta principios de esta semana, cuando porciones muy redactadas fueron incluidas en una carta de Senador Ron Wyden (D-Ore.) Al Director de Inteligencia Nacional.

La CIA reconoció que sus procesos de seguridad eran tan «lamentablemente laxos» que la agencia probablemente nunca hubiera sabido sobre el robo de datos si Wikileaks no hubiera publicado los documentos robados en línea. ¿Qué tipo de fallas de seguridad crearon un entorno que supuestamente permitió que un ex empleado de la CIA extrajera tantos datos confidenciales? Aquí hay algunos, sin ningún orden en specific:

  • No detectar rápidamente incidentes de seguridad.
  • No actuar ante señales de advertencia sobre empleados potencialmente riesgosos.
  • Moverse demasiado lento para promulgar salvaguardas de seguridad clave.
  • Falta de monitoreo de la actividad del usuario o capacidad robusta de auditoría del servidor.
  • No hay controles efectivos de medios extraíbles.
  • No hay una sola persona capacitada para garantizar que los sistemas de TI se construyan y mantengan de forma segura durante todo su ciclo de vida.
  • Datos históricos disponibles para todos los usuarios de forma indefinida.

Sustituya la frase «armas cibernéticas» con «productividad» o simplemente «sistemas de TI» en el informe de la CIA y podría estar leyendo la autopsia producida por una empresa de seguridad contratada para ayudar a una empresa a recuperarse de una violación de datos altamente dañina.

Una parte redactada del informe de la CIA sobre la violación de Wikileaks.

DIVIDIDOS PERMANECEMOS, UNIDOS CAEMOS

Una frase clave en el informe de la CIA hace referencia a deficiencias en la «compartimentación» del riesgo de ciberseguridad. A un alto nivel (no necesariamente específico de la CIA), la compartimentación de entornos de TI implica conceptos importantes como:

  • Segmentar la crimson de uno para que las infecciones de malware o las infracciones en una parte de la purple no puedan extenderse a otras áreas.
  • No permitir que varios usuarios compartan contraseñas de nivel administrativo
  • Desarrollar líneas de base para la actividad del usuario y de la pink de modo que las desviaciones de la norma se destaquen de manera más destacada.
  • Inventario, auditoría, registro y monitoreo continuos de todos los dispositivos y cuentas de usuario conectados a la purple de TI de la organización.

«La Agencia durante años ha desarrollado y operado sistemas de misión de TI fuera del alcance y la gobernanza de TI de la empresa, citando la necesidad de la funcionalidad y velocidad de la misión», observó la CIA. «Si bien a menudo cumple un propósito válido, esta» TI en la sombra «ejemplifica un problema cultural más amplio que separa la TI de la empresa de la TI de la misión, ha permitido a los propietarios del sistema de misión determinar cómo o si se vigilarán ellos mismos».

Todas las organizaciones experimentan intrusiones, fallas de seguridad y descuidos de debilidades clave. En empresas lo suficientemente grandes, estas fallas probablemente ocurran varias veces al día. Pero, con mucho, el factor más importante que permite que pequeñas intrusiones se transformen en una violación de datos completa es la falta de capacidad para detectar y responder rápidamente a incidentes de seguridad.

Además, debido a que los empleados tienden a ser la debilidad de seguridad más abundante en cualquier organización, es una buena strategy instituir algún tipo de capacitación continua en conciencia de seguridad para todos los empleados. Algunos expertos en seguridad que conozco y respeto rechazan los programas de concientización de seguridad como una pérdida de tiempo y dinero, observando que no importa cuánto entrenamiento haga una empresa, siempre habrá un porcentaje de usuarios que harán clic en cualquier cosa.

Eso puede o no ser exacto, pero incluso si lo es, al menos la organización tiene una thought mucho mejor de qué empleados probablemente necesitan controles de seguridad más granulares (es decir, más compartimentación) para evitar que se conviertan en una responsabilidad de seguridad grave.

Carta del senador Wyden (PDF), reportado por primera vez por The Washington Article, vale la pena leerlo porque señala una serie de continuas debilidades de seguridad en la CIA, muchas de las cuales ya han sido abordadas por otras agencias federales, incluida la autenticación multifactor para nombres de dominio y acceso a sistemas clasificados / sensibles, y antispam protecciones como DMARC.


Etiquetas: senador Ron Wyden, Agencia Central de Inteligencia de EE. UU., Wikileaks

Esta entrada fue publicada el miércoles 17 de junio de 2020 a las 7:37 pm y está archivada en A Minimal Sunshine, Data Breaches.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first