Todo va a peor... en 2023.

 La nueva IT distribuida, donde todo el mundo se conecta desde cualquier lugar y en cualquier momento, está creando una explosión de la superficie de exposición sin precedentes. Y todo va a peor, así lo piensan casi el 70% de los CISO.

Además, la nueva tendencia BYOD, puede exponer a las empresas a malware y a ciberdelincuentes si los dispositivos de los empleados no cumplen con las políticas de seguridad BYOD corporativas. No todos los endpoints pueden gozar del mismo grado de confianza, porque no todos son iguales… Durante este año, hemos ido viendo ataques muy dirigidos y focalizados en la obtención de réditos monetarios, con muchos secuestros de servidores, ordenadores corporativos, etc. El ransomware fue una auténtica plaga bíblica en 2022, y todavía continúa siendo la mayor preocupación del 91% de los CIOs encuestados en el último informe de ciberamenazas de SonicWall.

A todo esto, hay que sumar los últimos acontecimientos geopolíticos que conllevan nuevas ciberamenazas y, por tanto, nuevas tendencias en ciberseguridad. Hay que estar preparados para lo peor, ya que los planes tradicionales de seguridad ya no son suficientes.

En 2023, según datos recogidos por nuestro Informe sobre Ciberamenazas, los ciberdelincuentes están diversificando y ampliando sus técnicas y habilidades para atacar infraestructuras críticas, lo que hace que el panorama de amenazas sea aún más complejo, obligando a las organizaciones a reconsiderar sus necesidades de seguridad. A pesar de la disminución en los intentos globales de ransomware (-41%), una variedad de otros ataques ha tenido una tendencia al alza a nivel mundial, incluido el cryptojacking (+399%), el malware de IoT (+37%) y las amenazas encriptadas (+22%).

Estas amenazas encriptadas utilizan los canales cifrados de comunicaciones para alcanzar y comprometer el endpoint ante la pasividad de todos los elementos de protección que no pueden analizar ese tráfico por diferentes razones (normalmente la falta autorización de certificados digitales unido a la falta de capacidad de proceso de los firewalls). La ciberdefensa se está trasladando al endpoint, por lo que la defensa por capas, la visibilidad y control de la infraestructura, el uso de la IA y los antivirus de nueva generación serán más necesarios que nunca.

Además, en 2023 también estamos viendo un auge de la seguridad en la nube, un incremento de la seguridad IoT y un aumento de la ciberseguridad móvil como una de las principales tendencias. A todo esto, hay que sumar la importancia de la gestión de identidades y de accesos y las consecuentes medidas robustas de control de acceso a los datos.

Este panorama ha llevado a un aumento en el uso de arquitecturas de seguridad Zero-Trust, aumentando el perímetro de seguridad allá donde estén los trabajadores, independientemente de si un usuario está dentro o fuera del perímetro. Así, más que nunca es necesario redefinir quién puede acceder y a qué.

Por ello, en 2023 desde SonicWall seguiremos desplegando tecnologías como el acceso remoto seguro, arquitecturas Zero- Trust, acceso remoto seguro para todo tipo de organizaciones, seguridad de los datos y aplicaciones en el Cloud, protección de la identidad (MFA, single sign-on, uso de tunnel all-mode y always on VPN, etc.), nuevos firewalls como puntos centrales de nuestras arquitecturas multiperimetrales, herramientas de visibilidad y control de nuestras infraestructuras, mejores puntos de acceso seguros y switches, etc.

Así, la construcción de una nueva ciberdefensa es básica y obligatoria, por capas, preparada para detectar todo tipo de ataques de corte conocido y desconocido, con visibilidad central para poder responder en tiempo real, y todo a un TCO asequible para una PYME. Y en todo este nuevo entorno, la puesta en marcha de antivirus de nueva generación, con capacidad de roll-back, como última línea de defensa, es fundamental. Hay que estar preparados para lo peor, no hay paraíso sin serpiente, dicen.

Resumen ejecutivo del Informe de ciberamenazas 2023 de Sonicwall

 Mientras que los cibercriminales tratan de aumentar los ataques de #ransomware con variantes más sigilosas y que generen ingresos más estables, el #cryptojacking ha ido en aumento: tal y como detallamos en el Informe de Ciberamenazas 2023 de SonicWall, en 2022 alcanzó una nueva cifra récord. En lo que va de año, no se aprecia ningún signo de ralentización y los cibercriminales siguen desarrollando las cepas existentes y diversificando los blancos de sus ataques. Algunas ideas de lo que está pasando:

• Los cibercriminales cada vez se centran menos en los #endpoints y dirigen más ataques contra los servicios en la #nube, incluido uno contra clústeres de Kubernetes con el fin de minar Dero.
  

• Los endpoints de MacOS también han estado en el punto de mira, y se han utilizado versiones crackeadas de FinalCutPro para distribuir malware de cryptojacking HonkBox.

• Los servidores de Oracle Weblogic son el blanco de un nuevo crypter conocido como ScrubCrypt, diseñado para evadir las protecciones de Windows Defender.

• SonicWall ha seguido observando cómo los cibercriminales se saltan el cryptojacking por completo y roban criptomonedas directamente: a finales de marzo, observamos una nueva variante de AsyncRAT diseñada para robar Bitcoin, Ethereum y Tether.

¿Todavía no ha leído el Informe de Ciberamenazas 2023 de SonicWall? ¡No espere más! Basado en datos de 1,1 millones de sensores globales en más de 215 países y territorios, este informe ofrece un profundo análisis del malware — qué sectores están sufriendo más ataques, qué áreas se están viendo más afectadas y qué impacto tienen estos ataques sobre empresas como la suya. Y no se pierda la actualización semestral de las amenazas el próximo 26 de julio.  Descarga: https://lnkd.in/duyWVEjr #ciberseguridad

Todo va a peor, ¿qué estamos haciendo mal?

Todo comenzó en marzo de 2020, cuando una pandemia nos encerró en casa. Millones de trabajadores comenzaron a conectarse desde casa, desde todo tipo de dispositivos…hubo que adaptarse a marchas forzadas. Y el trabajo remoto e híbrido se impuso como norma, y se generalizó. Ahora, el perímetro ha desaparecido y la superficie de exposición se ha disparado. La nueva IT distribuida está creando una explosión de la superficie de exposición sin precedentes.

Y todo va a peor, así lo piensan el 66% de los CISO. Esta nueva tendencia BYOD, puede exponer a las empresas a malware y piratas informáticos si los dispositivos de los empleados no cumplen con las políticas de seguridad BYOD corporativas. Hemos visto este año ataques muy dirigidos y focalizados en la obtención de réditos monetarios, con muchos secuestros de servidores, ordenadores corporativos, etc. El ransomware ha sido una auténtica plaga bíblica en 2022, siendo la mayor preocupación del 91% de los encuestados en el último estudio de SonicWall.

Sonicwall: Consola de https://securitycenter.sonicwall.com

A todo esto, hay que sumar los últimos acontecimientos geopolíticos que conllevan nuevas ciberamenazas y, por tanto, nuevas tendencias en ciberseguridad. Hay que estar preparados para lo peor, ya que los planes tradicionales de seguridad ya no son suficientes.

En 2023 estamos viendo cómo los ciberataques continúan evolucionando y cómo las empresas están viviendo una explosión de las amenazas encriptadas, el mayor reto al que nos enfrentamos actualmente, aumentando un 132% en lo que va de año.

Estas amenazas encriptadas utilizan los canales cifrados de comunicaciones para alcanzar y comprometer el endpoint ante la pasividad de todos los elementos de protección que no pueden analizar ese tráfico por diferentes razones (normalmente la falta autorización de certificados digitales). La ciberdefensa se traslada al endpoint, por lo que la defensa por capas, la visibilidad y control de la infraestructura, el uso de la IA y los antivirus de nueva generación serán más necesarios que nunca.

Además, en 2023 también estamos viendo un auge de la seguridad en la nube, un incremento de la seguridad IoT y un aumento de la ciberseguridad móvil como una de las principales tendencias. A todo esto hay que sumar la importancia de la gestión de identidades y de accesos y las consecuentes medidas robustas de control de acceso a los datos.

Este panorama ha llevado a un aumento en el uso de arquitecturas de seguridad Zero-Trust, aumentando el perímetro de seguridad allá donde estén los trabajadores, independientemente de si un usuario está dentro o fuera del perímetro. Así, más que nunca es necesario redefinir quién puede acceder y a qué.

La ciberseguridad es clave, al dispararse exponencialmente la superficie de exposición. Nunca hemos estado tan expuestos. Los datos registrados a nivel mundial en recién lanzado Informe sobre Ciberamenazas 2023 de SonicWall, indican que una empresa promedio recibió 1.014 ataques de ransomware durante los 3 primeros trimestres de 2022, y el 91% de los CIOs y IT Managers de todo el mundo aseguran que su mayor preocupación actual son los ataques de motivación económica (ransomware en su mayoría).

Por ello, en 2023 desde SonicWall seguiremos desplegando tecnologías como el acceso remoto seguro, arquitecturas Zero-Trust, acceso remoto seguro para todo tipo de organizaciones, seguridad de los datos y aplicaciones en el Cloud, protección de la identidad (MFA, single sign on, uso de tunnel allmode y always on VPN, etc.), nuevos firewalls como puntos centrales de nuestras arquitecturas multiperimetrales, herramientas de visibilidad y control de nuestras infraestructuras, mejores puntos de acceso seguros y switches, etc.

Así, la construcción de una nueva ciberdefensa es básica y obligatoria, por capas, preparada para detectar todo tipo de ataques de corte conocido y desconocido, con visibilidad central para poder responder en tiempo real, y todo a un TCO asequible para una PYME. Y en todo este nuevo entorno, la puesta en marcha de antivirus de nueva generación, con capacidad de roll-back, como última línea de defensa, es fundamental.

El fin de la "Línea Maginot"​: Del Bastión al Aeropuerto

En la historia siempre ha habido disrupciones que cambian la historia, y que se manifiestan de forma súbita, aunque el cambio se viniera fraguando desde muy atrás. Tenemos ejemplos en la caída de Acre, en 1291, el último enclave en tierra santa de los reinos francos, con su mítica "torre maldita", que supone el fin de las cruzadas y del dominio cristiano en el Mediterráneo oriental. O en la conquista de Constantinopla en 1453 por el sultán Mehmed II, por la "Kerkaporta" o puerta del panadero, que alguien olvidó cerrar. Y esta conquista propició el inicio de la edad moderna y del descubrimiento de América, por el cierra de las rutas de comercio hacia el Este por este acontecimiento.

En nuestro cercano siglo XX, tenemos grandes ejemplos también, y uno es el que da nombre a este artículo, el de la línea Maginot. Como sabemos, la primera guerra mundial fue de estrategias poco móviles, de pocos avances, trincheras, etc. Al finalizar, Francia construyó en la frontera con Alemania una red de bunkers y fortificaciones para contener una posible agresión alemana. Pero en 1940, durante la segunda guerra mundial, el paradigma había cambiado, y la "Blitzkrieg" alemana, la guerra de rápidos movimientos, desbordó por el Norte, por los bosques de las Ardenas, esta línea de defensa obsoleta. Toda la inversión no sirvió de nada, porque todo estaba orientado hacia Alemania, para detener un ataque que jamás se produjo desde esa dirección.

El fin de la línea Maginot en 1940 por la "Blitzkrieg"

En #ciberseguridad, estamos librando una guerra continua y muy intensa contra el cibercrimen y muchas organizaciones de carácter criminal o militar. Hace unos años, el paradigma de defensa era el de "bastión", al estilo de la línea Maginot: Un firewall perimetral, una zona desmilitarizada, y una red interna, aislada del exterior. Los usuarios se encontraban seguros dentro del perímetro, y la defensa se construía con ese concepto "perimetral". Pero en los últimos años esto ha cambiado. La explosión de la superfície de exposición que se aceleró con la pandemia, ha propiciado la dilución de las fronteras de nuestras redes, gracias al teletrabajo, el IoT (múltiples dispositivos conectados), 5G, etc. Así, el paradigma ha cambiado, ya no hay torres ni murallas, sino que se parece más al de un aeropuerto, en el que las personas entran y salen por múltiples lugares, sin controles, y es difícil detectar aquellos maletines que son sospechosos de contenido peligroso o indeseado.

Además, hay determinados cambios tecnológicos que están empeorando la situación, ya de por sí complejísima. Uno de ellos es el impulso de la privacidad sobre la ciberseguridad. El tráfico viaja encriptado, en conexiones HTTPS, cifradas, y en muchas organizaciones no se habilita a los dispositivos (firewalls, appliances de ciberseguridad, etc.) para la inspección de este tráfico. Y al no poderse realizar "Man in the middle" (interceptar el tráfico, descifrarlo, inspeccionarlo, volverlo a cifrar y enviarlo a su destino), estas conexiones se convierten en tuberías directas que pasan a través de nuestras defensas, de forma impune. Otro cambio es la implantación de los DNS cifrados (dos alternativas, DNS sobre HTTPS o DNS sobreTLS), que imposibilita el bloqueo del acceso a determinados lugares maliciosos, desde dónde se descarga el software malicioso como virus, ransomware, etc. O el creciente uso de protocolos de comunicaciones en los que los firewalls no prestan mucha atención por su simplicidad. Hablo de UDP, que en sí, no constituye un peligro, pero si se estructura (p.e. con QUIC de Google), puede ser una nueva tubería de entrada en nuestra organización para el cibercrimen.

Plano de una fortificación de la línea Maginot

Así, estamos asistiendo a un nuevo cambio de paradigma, en la ciberseguridad, en el que hemos pasado, al igual que en la segunda guerra mundial, a una guerra de movimientos, de rapidez, donde las fortificaciones han pasado a mejor vida. ¿Y cuál es la estrategia, entonces ante esta nueva situación? Pues lo que siempre ha dictado la estrategia militar: Cuándo desconocemos por dónde recibiremos el ataque y con qué intensidad, hay que establecer una defensa por capas, en profundidad. Desde el firewall hasta el endpoint, pasando por el email, las aplicaciones en la nube, los puntos de acceso WIFI, los switches, etc. A esto, hay que añadir visibilidad y control, para poder identificar rápidamente los ataques, incluso los más sigilosos (en nuestro caso usando IA -Inteligencia Artificial-). Y a la detección, debe seguir una respuesta contundente, aislando aquellas partes de la infraestructura que hayan sido comprometidas, para poder valorar daños y recuperar la normalidad cuanto antes. Y finalmente, toda esta defensa debe tener un TCO que pueda pagar cualquier organización, independientemente de su tamaño y tipología.

En #Sonicwall somos muy conscientes de esta situación, y ya hace tiempo que dimos los pasos para ayudar a nuestros clientes, junto con nuesto extenso y selecto canal de distribución, a desplegar estrategias de este tipo. Estamos comprometidos con nuestra comunidad de clientes y partners en estos tiempos tan convulsos, de cambio de paradigma, y posiblemente, de la historia, como ha sucedido ya tantas veces en el devenir de la humanidad, tal cómo veíamos al principio de este artículo. Abramos pues los ojos, porque vienen tiempos movidos.

2022: Todo va a ir a peor en ciberseguridad. Seguro.

Es indudable que el mundo ha cambiado mucho estos dos últimos años. La hiperconectividad centrifugada por el fenómeno COVID ha sido el acelerador que ha transformado nuestro mundo. Y éste no volverá a ser el mismo, por mucho que los viejos nostálgicos lo deseen. Hay momentos estelares en la historia en los que todo cambia para siempre, y este ha sido uno de ellos. Como lo fue la caída de Constantinopla (la capital del viejo reino de Bizancio) en 1453, el fin de la edad media, de los vestigios del Imperio romano de Oriente y del comercio con las Indias y China, provocando de forma indirecta el descubrimiento de América por la búsqueda de nuevas rutas comerciales. Ese episodio lo cambio todo. Exactamente como este momento histórico que estamos viviendo.

Estamos en una encrucijada de los tiempos, y por ello muy difícil realizar predicciones y tendencias. Es una de las características de estos instantes de la historia, la impredictibilidad de lo que va a suceder... Según todos los indicios, y el propio Bill Gates así lo vaticina, parece que en 2022 dejaremos atrás la pesadilla COVID. Pero no así sus consecuencias: la vida conectada, el teletrabajo, la empresa distribuida, la nueva logística, la relocalización de la producción, etc. Continuarán con nosotros varios años, según el fundador de Microsoft. ¿Será así? Veremos...

Por otro lado, dicha hiperconectividad, acelerada también por el despliegue masivo de 5G, conduce a un escenario nefasto para la ciberseguridad: Todo va a ir a peor. Los miles de nuevos dispositivos IoT no diseñados con criterios de seguridad, con sistemas operativos y arquitecturas poco seguras, ocasionarán no pocos problemas, como ya ha anticipado nuestro “Sonicwall Cyber threat report mid-2021”, en el que se refleja este fenómeno, un 59% de incremento de ataques IoT. Nuestro informe también recoge otra tendencia que se acelerará en 2022: Menos ataques, más virulentos, más dirigidos. Todos los indicadores (en España también, según datos de la Policía Nacional) indican un incremento sustancial del cibercrimen y de las estafas a las organizaciones. Y hay que prepararse para ello.

Otra tendencia al alza en los últimos años es el Ransomware. Creciendo a un 151%, año tras año, con impactos en organizaciones muy conocidas, con los deberes aparentemente hechos en ciberseguridad. Porque el factor humano, como sabemos, siempre es el eslabón más débil. También lo fue en Constantinopla, ese fatídico año de 1453: ante sus murallas, fracasaban uno tras otro los ataques otomanos, hasta que alguien se dejo una pequeña puerta de la muralla abierta, la ya mítica Kerkaporta. Y por ahí cayó la capital del imperio bizantino. Y cambió el mundo, como decíamos antes...

También es cierto que este año dispondremos de más presupuesto, la ciberseguridad está en la mente de todos, y es previsible que las organizaciones inviertan y desplieguen más infraestructura, mas recursos y personas dedicadas, aunque se toparán con un problema que venimos arrastrando ya desde hace tiempo: la falta de talento. Y ésta será una de las tendencias, la formación y reconversión de profesionales IT en expertos de ciberseguridad, para paliar esta carencia ya crónica en nuestro sector.

La Inteligencia Artificial (IA) será necesaria para la identificación de ataques de corte desconocido, cada vez más numerosos, y todas las ciberdefensas deberán contar con ella, así como de una muy buena capacidad de análisis en tiempo real, para la detección y respuesta inmediata a dichos ataques, ante los cuáles será vital también poder aislar y poner en cuarentena la partes afectadas de nuestra infraestructura.

Dado que nuestro entorno es cada vez más híbrido, y el perímetro no es que haya desaparecido, es que se ha desdibujado para dar paso a la aparición de múltiples perímetros, deberemos desplegar una ciberseguridad multiperimetral, potenciando la capacidad de ciberdefensa en nuestras aplicaciones en la nube (SaaS), en el acceso remoto inteligente (Zero Trust), en nuestros endpoint ubicados en entornos sumamente hostiles (en casa), en las redes inalámbricas (WIFI seguro, 5G), y, sobre todo, en nuestro compañero de siempre, el corazón de nuestra defensa, nuestro firewall de nueva generación. Resumiendo, una defensa por capas, para poder atajar cualquier ataque, venga de donde venga.

Stefan Zweig, escritor e historiador austriaco, autor del relato histórico “Momentos estelares de la humanidad – La conquista de Bizancio”, escribe: “…un pequeñísimo azar, Kerkaporta, la puerta olvidada, ha decidido la historia del mundo”. Esto sucede a menudo en cualquier ataque a las organizaciones, un pequeño detalle pasado por alto, acaba por desencadenar una catástrofe que pone contra las cuerdas a toda la organización. No olvidemos que la hiperexposición nos sitúa como a ese Bizancio de la primavera de 1453. Todos los presagios indicaban su caída final el día 29 de mayo. Las campanas de las Iglesias tocaron a rebato durante todo el día anterior, la multitud rezó por última vez en la catedra de Santa Sofía, y el silencio se apoderó de la ciudad, preparándose para el desastre... Y así sucedió. La ciudad cayó, y con ella, una época...

Todo indica que la situación va a ir a peor. Los presagios también indican esto. Las campanas también tocan a rebato. Pongámonos en marcha para que 2022 sea el año de la ciberseguridad, no el de otros titulares más desastrosos. Así sea.

Maskirovka!!

El engaño en la doctrina militar rusa se conoce como Maskirovka o маскировка, traducido literalmente como “mascarada” o “disfraz”. La maskirovka incluye el ocultamiento, la imitación con señuelos y maniquíes, maniobras destinadas a engañar, la negación y la desinformación. En la Enciclopedia Militar Soviética de 1944 se refería a "medios para asegurar las operaciones de combate y las actividades diarias de las fuerzas; una complejidad de medidas, dirigidas a engañar al enemigo con respecto a la presencia y disposición de las fuerzas".

El engaño siempre fue clave en las mayores victorias soviéticas ante la Alemania nazi en la segunda guerra mundial, como la batalla de Stalingrado, la de Kursk o la operación Bagration. Esta última fue la mayor derrota de la historia del ejército alemán, y quizás la más desconocida. Y su éxito fue debido, en gran parte, a la Maskirovka.

En verano de 1944, el ejército alemán en Rusia estaba exhausto tras las derrotas de Stalingrado y Kursk, pero aún constituía una formidable maquinaria militar. Así, la Stavka (cuartel general soviético) diseñó una operación para rodear y destruir al grupo de ejército “centro” alemán, en la actual Bielorrusia, y acabar con más de 700.000 hombres con su material y suministros incluidos. Para ello, pusieron en marcha una gran operación de engaño y desinformación, en la que se movían tropas de forma ficticia, a la vez de trasladar varios ejércitos de noche a los diferentes puntos donde se produciría el ataque, camuflándolos en los grandes bosques de Bielorrusia, además de construir y ocultar las carreteras por las que atravesarían los densos pantanos de Pripyat. Todo se realizó con mucha anticipación, en un silencio escrupuloso de radio, sin encender ningún faro de los camiones por la noche, órdenes verbales (nunca por escrito), con convoyes diurnos vacíos a falsas zonas de concentración de tropas, etc. La operación Bagration fue un triunfo extraordinario, donde la Maskirovka tuvo un papel fundamental.

El engaño siempre ha formado parte de la doctrina militar rusa como podemos recordar en la reciente anexión de Crimea (2014) por parte de la Federación Rusa. En ella, hombres armados, con pasamontañas (“enmascarados”), sin ningún tipo de insignia ni bandera, llegaron en camiones militares de noche a la región y la ocuparon sin resistencia. Toda explicación gubernamental respondía que desconocían quiénes eran. Más tarde se reveló que se trataba de fuerzas especiales rusas - Spetsnaz (revista Time, 2014) en lo que expertos occidentales afirmaron como un “brillante uso del presidente Putin de la Maskirovka tradicional rusa”.

La guerra posterior reciente en la región de Donbass en Ucrania también se ha descrito como una campaña de Maskirovka. Al igual que en Crimea, el conflicto comenzó cuando fuerzas armadas “rebeldes”, sin insignias militares, tomaron la infraestructura gubernamental de la zona. Posteriormente se enviaron convoyes “humanitarios” a la región, con camiones militares pintados de blanco, que atrajeron la atención de los medios como un gran ejemplo (de nuevo) de Maskirovka.

¿Cuál es la lección para nuestra ciberseguridad de esta doctrina militar rusa usada de forma tan profusa en la reciente historia?

La primera creo que es evidente: todo ataque es más efectivo cuando se emplea la “Maskirovka”, el engaño o “deception”. Es mejor para el atacante sembrar la confusión, haciendo pensar al defensor que sus problemas están en otro lado diferente al de la brecha, o que incluso, no existen. Las mismas técnicas de ataque actuales indican una cierta Maskirovka: brecha menor, movimientos laterales sigilosos, escalado de privilegios, búsqueda del momento adecuado, la estafa mediante la suplantación del “jefe”, etc. También se puede emplear la Maskirovka (y se debería) en la defensa, tal como la usaron los rusos en la batalla de Kursk, construyendo unas poderosas defensas sin que los alemanes se percataran de ello, y ante las que se estrellaron cuando iniciaron su fallido ataque.

La segunda es que la ingeniería social funciona muy bien, y se usa de forma muy eficaz en las operaciones de inteligencia. Así, hay cuatro principios básicos comunes a todas las personas, que son: Todos queremos ayudar en general al prójimo, el primer movimiento es siempre de confianza hacia el otro, no nos gusta decir que no y a todos nos gusta que nos alaben. Usados de forma inteligente, se genera una falsa confianza para luego ejecutar el ataque de forma más eficaz. Estas ideas, las usaba también el hacker Kevin Mitnick, apodado por él mismo como el “fantasma de los cables”.

Y la tercera y última, es golpear en el punto débil con toda contundencia, pero por sorpresa. Ya comenté en un pasado artículo esta idea, la del eslabón débil y su papel en la caída de San Juan de Acre (1291). Y es que esta idea es básica en la Maskirovka: En Stalingrado, el ejército rojo golpea a las tropas más débiles: a los aliados italianos, húngaros y rumanos, para cercar a los alemanes en la ciudad. Otro ejemplo es en la operación Bagration mencionada al principio de este artículo, cuando las divisiones soviéticas atacan a través de los pantanos de Pripyat (Bielorrusia), poco o nada defendidos por los alemanes al considerarlos impenetrables.

El engaño forma parte de la historia de la humanidad y lo acompaña en muchos de sus grandes acontecimientos. No en vano, el Génesis arranca con una Maskirovka, con el engaño de la serpiente a Eva. Por algo será…

La fortaleza del Krak de los Caballeros y la ciberdefensa por capas: Algunas ideas

 

Después de la primera cruzada, tras la conquista de Jerusalén y el establecimiento de los reinos francos cristianos en tierra santa, la protección de estos nuevos enclaves y las rutas comerciales que atravesaban fue siempre una prioridad, y por ello se crearon y establecieron las órdenes militares religiosas, como los pobres caballeros de Cristo del templo de Salomón (Templarios) o la orden de los caballeros hospitalarios de San Juan de Jerusalén. Estos últimos, recibieron el enclave del "Krak" con su poderoso castillo en 1142, que procedieron a remodelar, convirtiéndolo en la fortaleza más inexpugnable de tierra santa, y que pasaría a conocerse como el "Krak de los Hospitalarios" primero, y más adelante como el "Krak de los Caballeros". En él, la orden estableció su sede durante más de un siglo y soportó asedios y ataques de todo tipo, incluso del propio sultán Saladino, sin ser jamás conquistada. Por ello, se ganó su fama de inexpugnable.

Figura 1: El Krak de los Caballeros hoy.

Este impresionante castillo situado en la actual Siria, que ocupaba una superficie de casi 9 hectáreas, se diseñó como cuartel fortificado, con murallas concéntricas de hasta 25 mts de espesor, y una guarnición de más 2.000 hombres y cientos de caballos, con provisiones como para resistir un cerco de años. Su diseño concéntrico con diferentes tipos de muros y torres, y su ubicación en altura, desde la que en días claros, podía divisarse el mar, hacía a esta fortaleza un modelo, que muchos monarcas europeos (Eduardo I de Inglaterra o Luis IX de Francia) quisieron copiar en sus países de origen, y T.E. Lawrence (de Arabia), la definió como el "castillo más admirable del mundo".

Figura 2: Plano del Krak de los Caballeros.

La historia cuenta, como decía, que jamás fue conquistada, y que solo al final de la presencia cristiana en estas tierras hacia la segunda mitad del siglos XIII, con una Orden Hospitalaria ya muy debilitada, el sultán de Egipto Baibars I, curioso personaje de procedencia eslava, decidió en 1271 sitiar el Krak con un numeroso ejército. Durante meses, la reducida guarnición resistió como pudo los embates de los mamelucos del Sultán. Baibars, al entender que iba a tardar meses y meses en conquistar el mítico castillo, ideó un engaño: envió una paloma mensajera al jefe de la guarnición que simulaba proceder del Gran Maestre de la orden (acuartelado en San Juan de Acre), con un permiso especial para rendirse. El engaño surtió efecto. Así, se entablaron negociaciones y finalmente, el Krak de los Caballeros, se rindió por primera vez en su larga historia.

¿Qué lecciones e ideas podemos obtener de este relato para nuestro dinámico y cambiante mundo de la ciberseguridad?

1.     La defensa por capas es idea muy poderosa: todas las capas protegen de los ataques, pero no al 100%. Al superponer diferentes tipos de defensas (el firewall perimetral, el correo electrónico seguro, el sandboxing en todas las capas, el antivirus de nueva generación, el rollback, etc.) nos aseguramos que si bien algún ataque puede escapar a alguna de ellas, es muy difícil que lo haga a todas.

2.    El punto débil. Toda defensa tiene un eslabón que la hace vulnerable. Al sumar diferentes tipos de defensa, de manera concéntrica, independiza cada una de ella y de sus debilidades. Cuando cae la muralla exterior (y lo detectamos), nos replegamos al siguiente anillo concéntrico.

3.    El engaño. Es el ataque más efectivo siempre. La guarnición de la fortaleza fue engañada por el clásico engaño del CEO: aprovechar un medio de comunicación aparentemente seguro para dar falsas instrucciones a los subalternos. Por ello, ante decisiones importantes, hay que tener un procedimiento de "doble comprobación" y evitar estas situaciones.

4.    La Autocomplacencia. No hay que fiarse nunca de nuestra aparente situación de invencibilidad. No hay castillo ni fortaleza que 1000 años dure. El Krak de los Caballeros resistió 12 asedios en 130 años. Parecía inexpugnable. Y al final, se rindió.

5.    La falta de información en tiempo real. Es vital disponer de sensores que te indiquen de forma instantánea que está sucediendo en la infraestructura, para poder tomar decisiones de forma rápida y poder aislar posibles zonas comprometidas por una intrusión con éxito.

Desde Sonicwall hace años que abogamos por el paradigma de la defensa en profundidad por capas, de forma inteligente, con sensores, para detectar y poder reaccionar en tiempo real a los ataques de todo tipo, de corte conocido y desconocido. Es la única manera de poder sobrevivir en este mundo online distribuido en el que nos hemos sumergido de pleno desde hace ya casi 1 año, y que va a ir a más en los tiempos venideros.

Los desaparecidos caballeros hospitalarios dejaron, en una de las galerías del Krak, junto a la gigantesca sala capitular, la siguiente inscripción esculpida en roca, que reza: "Ten riqueza, ten sabiduría, ten bondad, pero guárdate del orgullo que mancha todo lo que toca". Sabias palabras que aplican a nuestro mundo. Así sea.

El eslabón más débil: La caída de San Juan de Acre (1291) Lecciones de ciberseguridad

Año 1291. San Juan de Acre es el último bastión en tierra Santa de los reinos francos cristianos, tras casi doscientos años de presencia cristiana en la zona, originada en la primera cruzada. Acre es una ciudad-fortaleza imponente, con varios anillos concéntricos amurallados, torres de defensa imponentes, fosos, sólidas barbacanas, y sede de las órdenes militares más prestigiosas creadas para la protección de estos reinos: los templarios, los hospitalarios, los caballeros teutónicos, etc. Inexpugnable. O no.

Figura 1: El origen: La primera cruzada y la conquista de Jerusalen (1099)

Las órdenes militares están en conflicto continuo. Los egos, las envidias, los silos en la defensa, será una de las causas de la caída de Acre a manos del Sultán de Egipto. Éste, ha estudiado las defensas y sus puntos más débiles, y cree saber como tomar la ciudad-fortaleza. Durante meses, prepara el asalto, construyendo las más poderosas máquinas de asedio de la época, en secreto, y las traslada cientos de kilómetros hasta las puertas de la ciudad, para iniciar el asedio. Acre, además, tiene un punto débil a explotar, que además no está defendido por ninguna de estas aguerridas órdenes: La torre maldita.

Siempre ha sido el lugar por el que ha caído la ciudad, y a pesar de haber sido reconstruida por los cristianos desde el sitio por el que Ricardo Corazón de León tomó la ciudad hace ya unos años, no está tan bien defendida como el sector de los templarios o el de los hospitalarios, fuerzas de élite, muy temidas por los musulmanes por su ferocidad, disciplina y entrenamiento.

Figura 2: La Caida de Acre

Jalil, el sultán de Egipto con su imponente ejército, inicia el sitio, jugando al gato y al ratón con los defensores, y acaba descargando su ataque más virulento contra el eslabón más débil de todo el perímetro: La Torre Maldita. Entran en la ciudad, y a pesar de que los templarios aún resisten unos días en su cuartel general, la ciudad cae en manos de los mamelucos del Sultán y desaparece así el último bastión cristiano en Tierra Santa.

Es un momento terrible de la historia, del que podemos sacar una serie de lecciones para nuestro entorno de la ciberseguridad:

1.     Los Silos. Los templarios, los hospitalarios, los teutónicos, los venecianos, los pisanos, los franceses, los ingleses... Cada grupo miraba por lo suyo por su segmento asignado, no había un liderazgo claro de la defensa ni una visión unificada de todo. Eso lo sabía Jalil, y por eso sacó partido de la división y de la falta de unidad. Para una buena defensa, hay que tener información en tiempo real de lo que ocurre. Y poder gestionar las múltiples capas para detectar y parar cualquier ataque.

2.    La autocomplacencia. El ejército del Sultán se presentó antes las puertas de Acre el día 1 de abril de 1291. Los defensores no tomaron conciencia del peligro hasta que no tuvieron el ejército del sultán encima, e incluso en ese momento, siguieron discutiendo. Es muy importante conocer los riesgos y prepararse para ellos. En este tiempo, además, con el incremento exponencial de la superfície de exposición a la que estamos expuestos, es fundamental ser humildes y ponernos manos a la obra, construyendo y desplegando una defensa en profundidad, y listos para gestionar cualquier tipo de incidente, leve o grave.

3.    El eslabón débil. Siempre tendremos un eslabón débil, una "torre maldita". Y sabemos que es el endpoint, el usuario final. Por eso se han disparado los ataques de phishing, y por ello, debemos desplegar herramientas que incrementen sustancialmente su nivel de seguridad, que tengan en cuenta que todos podemos caer víctimas de un engaño, para salvaguardar las llaves de la torre: nuestros credenciales. Así, un antivirus de nueva generación, que analice el código en ejecución y lo bloquee si detecta intenciones poco claras, un análisis de las conexiones a la cuenta, para detectar robos de credenciales o "account takeovers", y siempre capas y más capas, segmentando aplicaciones, dispositivos, usuarios... Y en época de acceso remoto a nuestras redes, aplicaciones y datos, hay que limitar y gestionar mejor nuestra infraestructura.

Figura 3: Acre hoy.

Hay más lecciones, y espero poder añadir alguna idea más a este artículo. Al leer estas navidades el excelente libro de Roger Crowley sobre la caída de Acre "La torre Maldita", me di cuenta de que estas lecciones se podían aplicar claramente a nuestro increiblemente activo y cambiante mundo de la ciberseguridad, con lecciones que son universales e imperecederas. En SonicWall empezamos el año pasado predicando sobre estos conceptos y el de "Boundless Cybersecurity", ciberseguridad en un mundo sin perímetro. Y hace tiempo que hablamos de que la joya de la corona, el eslabón más débil, es el endpoint, y detrás de él, el usuario. Hoy los ataques se dirigen a él, porque son más efectivos, más virulentos, más lucrativos. Así, hay que centrarse en desplegar capas de seguridad, sin olvidar este factor, centrándose en toda la cadena, pero con especial foco en el endpoint, en el ser humano. Porque la ciberseguridad es un asunto de tecnología, de procesos y, sobre todo, de personas.

El Día D y la defensa automatizada

El 5 de junio de 1944, a las 21:45, la BBC de Londres transmitió, en su emisión continental, el mensaje con el que avisaba a la resistencia francesa de la invasión aliada del día siguiente, el Día D. El famoso poema de Paul Verlaine "Los largos sollozos de los violines de otoño, hieren mi corazón con monótona languidez" era la señal que esperaban.

Erwin Rommel, comandante alemán del Muro del Atlántico, sabía que debía actuar muy rápido, casi de forma automática, ante cualquier intento de invasión aliada. Su estrategia era destruir al enemigo antes incluso de que pisara la arena de la playa en la que desembarcara… Y sabemos que no tuvo éxito en sus propósitos: la defensa alemana no estaba desplegada como pretendía Rommel, y la operación aliada del Día D, triunfó.

Algo así pasa con nuestras defensas cibernéticas.  Creemos estar preparados, y subestimamos a nuestros atacantes tanto o más de lo que sobrevaloramos nuestras capacidades defensivas. Como ya sabemos, la desconfianza y la paranoia son buenos aliados del CISO, pero también un buen despliegue de nuestras defensas, tal y como pretendía Rommel. La defensa en profundidad que propugnamos en Sonicwall, preparada para prevenir, detectar amenazas de tipo desconocido, y reaccionar de forma automática, es una infraestructura hoy muy necesaria para prepararnos para este malware virulento y sofisticado en el que viviremos de ahora en adelante, probablemente sin ningún tipo de tregua ni cuartel.

Esta defensa en capas debe incluir varios elementos fundamentales para poder detectar y responder de forma adecuada a los peligros que nos acechan. El primero de ellos es una plataforma integrada Cloud, como punto único de gestión de la seguridad de la empresa. Un “single pane of glass”, algo que nos permita gestionar de forma centralizada la infraestructura de seguridad y con visibilidad de todo lo que sucede en ésta. A continuación, una inteligencia artificial central, que aprenda de las amenazas y tome las medidas correctas en cada caso. Y no sólo basada en patrones, sino también en conducta, para poder detectar, categorizar y aprender nuevo malware de carácter desconocido. Y este análisis del posible malware, no sólo debe realizarse de los ficheros, en estructuras “sandbox”, sino también de las piezas de software que se ejecutan en memoria, para descubrir y bloquear malware como Meltdown, Spectre y ForeShadow antes de su ejecución.

Otra pieza fundamental de esta arquitectura es el firewall, con su capacidad de análisis y localización de amenazas embebidas en el tráfico cifrado (ya más del 70% en internet). Sin esta funcionalidad desplegada, nuestro potente cortafuegos deja de tener sentido y se transforma en un convidado de piedra, sin poder hacer nada ante todo lo que pasa ante sus ojos.

La protección del endpoint o puesto de trabajo es otro de los elementos clave, sobre todo en estos tiempos en los que dicho endpoint se encuentra muchas veces fuera de la protección de la red interna, a merced de todo tipo de phishing y malware combinados en ataques muy efectivos (ransomware es un buen ejemplo). Los antivirus clásicos basados en modelos conocidos han perdido efectividad, más de 60 millones de virus catalogados tienen la culpa, hay que pasar a un modelo basado en comportamiento, ligero y efectivo.

Finalmente, otras piezas necesarias son también el Web Application Firewall (WAF), orientado a proteger aplicaciones de negocio críticas (y “legacy”) abiertas al exterior, y los CASB (Cloud Access Security Broker), para la protección de los usuarios y la información de la empresa residente en la nube.

Toda esta arquitectura ayuda a construir una defensa en profundidad en capas, orientada a proteger a todo tipo de organizaciones, grandes, medianas y pequeñas, proporcionando la capacidad estratégica que buscaba Erwin Rommel en ese lejano 1944 de reacción de forma inmediata y automática a cualquier amenaza, antes de que el desembarco se consolide y se constituya en un verdadero quebradero de cabeza.

Y es que ya lo aventuraba Linus Torvalds hace varios años, de forma profética: “el tiempo de las soluciones sencillas a problemas sencillos pasó, en tecnología y seguridad…”