Jeimy CanoGlobal Strategy Report, 39/2020
Resumen: La inestabilidad permanente que propone el contexto digital actual demanda de las organizaciones acciones concretas frente a las acciones contrarias que proponen los adversarios. En este sentido, se hace necesario actualizar las estrategias tradicionales de seguridad y control que han sido exitosas en el pasado y que han alcanzado logros y certezas importantes desde su incorporación. La defensa en profundidad es una de ellas, la cual se funda en el concepto de anillos de protección estáticos que responden a eventos conocidos bien con alertas o con alarmas según la agresión efectuada. Por tanto, frente a un entorno cambiante y de novedades permanente, este artículo desarrolla una perspectiva renovada y complementaria de esta estrategia que vincula sus prácticas vigentes con distinciones enriquecidas que le permitan aprender y anticipar los movimientos de los adversarios y actuar de forma previa para tratar de sorprenderlos en su propio territorio.
Para citar como referencia: Cano, Jeimy (2020), «Repensando la estrategia de defensa en profundidad. Incorporando capacidades claves para aprender y anticipar los movimientos del adversario digital», Global Strategy Report, No 39/2020.
Introducción
Con un escenario de mayor visibilidad y exposición en el contexto digital, las organizaciones deben entrar a revisar y repensar sus estrategias de seguridad y control basadas en el proteger y asegurar, comoquiera que éstas están diseñadas para un entorno de conectividad y relaciones conocidas, generalmente administradas en un perímetro definido y monitorizado.
Lo anterior supone actualizar la perspectiva de aseguramiento que sigue la tradicional defensa en profundidad, que busca cercar cada uno de los activos claves de la organización con anillos de protección independientes, donde la vulneración de uno de ellos, supone dejar un rastro y exponer cada vez más al posible adversario. La defensa en profundidad es una estrategia diseñada en entornos físicos que luego se incorporó en el mundo digital como una respuesta para hacerle más difícil el camino al atacante (Cresson, 1990).
Si bien la defensa en profundidad ha sido una estrategia efectiva en muchos de los escenarios agresivos y adversos para las infraestructuras tecnológicas, está diseñada con una vista de “retrospectiva” donde los analistas de seguridad sólo hacen evidente su efectividad cuando se genera una alerta o cuando se ha quebrado uno de los anillos de seguridad definidos. Esta perspectiva forense de la defensa genera una ventaja para el agresor, toda vez que la incertidumbre del evento sólo se genera para el analista que monitoriza y valida posibles acciones no autorizadas sobre sus activos (Saydjari, 2018).
En este sentido, la defensa en profundidad para un escenario ciberfísico debe traducirse en una perspectiva tanto de retrospectiva como de prospectiva, de tal forma, que su diseño le ofrezca pistas y acciones anticipativas a los analistas, y por tanto, genere mayor incierto al eventual agresor, balanceando nuevamente la ecuación de la realidad donde tanto defensa como ataque tienen conocimientos y coordenadas semejantes para entender lo que ocurre (Cano, 2020).
Por tanto, las organizaciones que avanzan rápidamente en sus procesos de transformación digital y convergencia entre lo físico, lo lógico y lo biológico, deberán saber que los modelos previos de seguridad y control no generan la variedad suficiente para un profesional de seguridad/ciberseguridad, por lo cual habrá que cambiar el paradigma vigente basado en estándares y buenas prácticas por uno nuevo que privilegie las capacidades, donde los patrones de aprendizaje sean la base de la defensa y la anticipación requeridos en una realidad digital y tecnológicamente modificada.
En consecuencia, esta breve reflexión desarrolla una actualización de la estrategia de defensa en profundidad basada alertas y acciones remediales, así como de las explicaciones forenses de aquello que pasó y cómo pasó, por una basada en información y simulaciones capaz de advertir comportamientos e identificar patrones, para intentar sorprender el modelo de riesgos del adversario, y así crear escenarios que permitan anticipar los siguientes movimientos de la empresa en medio de las propuestas adversas de los posibles atacantes.
Defensa en profundidad. Una estrategia fundada en el mundo físico
En el marco del mundo físico el concepto de anillos de protección es una estrategia que ha sido creada desde los inicios de los conflictos bélicos con el fin, no de evitar que el adversario logre su objetivo, sino demorarlo en sus propósitos y que en el camino deje los rastros como huella de sus acciones premeditadas sobre un objetivo específico (Cleghorn, 2013).
En este ejercicio las tropas defensivas estaban atentas a los movimientos de los agresores, esperando ver sus estrategias para superar las barreras, lo cual pocas veces se podía concretar por el sigilo, las tácticas encubiertas y las acciones de inteligencia ejecutadas por los enemigos, que lograban distraer o engañar a los encargados de tales actividades. En este juego de visibilidad e invisibilidad algunas victorias eran para la defensa y otras para los atacantes (Frincke & Bishop, 2004).
La defensa en profundidad como estrategia de seguridad y control demanda una capacidad de reacción ágil y eficiente para identificar y limitar los posibles daños que el agresor pueda concretar para lograr su objetivo. En este sentido, los diferentes anillos de seguridad se diseñan con el fin de evidenciar los avances del adversario en medio de sus dominios protegidos y ver la forma de detenerlo antes de que llegue a su objetivo (Groat, Tront & Marchany, 2012). Por tanto, cada barrera o anillo debería ser lo más resistente posible bien para detener o disuadir las acciones de los contrarios, y así aumentar el margen de acción de la defensa mientras desarrollan sus intenciones.
La implementación de la defensa en profundad a lo largo del tiempo ha logrado concretar importantes avances y victorias en medio de situaciones agrestes, permitiendo a los analistas detener múltiples ataques y detectar muchos otros, lo cual le ha valido un lugar privilegiado en la caja de herramientas de los ejecutivos de seguridad de las organizaciones modernas. Esta estrategia ampliamente utilizada a la fecha se ha convertido en un “commodity” y no se ha actualizado formalmente frente a los nuevos entornos de operación ahora menos centralizados y más abiertos a la interacción con terceros (Donaldson, Siegel, Williams & Aslam, 2015).
Así las cosas, se hace necesario revisar el concepto estático de defensa, asociado con murallas y fuertes sólidos, por una visión de protección dinámica y evolutiva sensible al entorno, con el fin de establecer una propuesta de aseguramiento adaptativo y anticipativo (Day & Schoemaker, 2019) que permite tanto a los analistas como a las organizaciones, advertir de forma previa patrones de comportamientos y acciones que puedan sugerir señales débiles de operaciones de los agresores, y así actuar en consecuencia para distinguir los posibles engaños y planes de estos actores no deseados.
Por tanto, las nuevas apuestas de la defensa en profundidad deberán estar asociadas con una vista combinada de regulación de aquello conocido y de adaptación a situaciones inciertas, que permita generar una dinámica de aprendizaje (Espejo & Reyes, 2016) que constantemente rete la zona cómoda de los analistas y motive reflexiones prospectivas en los ejecutivos de seguridad y control.
Defensa en profundidad en el contexto del riesgo cibernético
Considerando el contexto actual de una sociedad digital y tecnológicamente modificada, donde lo natural implica cambios y disrupciones periódicas en la manera de hacer las cosas, se hace necesario actualizar las perspectivas de seguridad y control nacidas en el mundo físico (y medianamente conocido) por otras complementarias que no sólo permitan advertir que algo no funciona de acuerdo con lo esperado, sino que permita anticipar el patrón de la acción del adversario.
Bajo esta perspectiva, la defensa en profundidad que en la actualidad está basada en eventos o riesgos conocidos y en la generación de alertas y notificaciones basadas en correlaciones de patrones definidos (Kohnke, Shoemaker & Sigler, 2016), requiere una actualización que permita combinar estas funcionalidades fundadas en la detección e integridad propias de un endpoint, con otras basadas en la analítica de comportamiento, la inteligencia de amenazas, las tecnologías de engaño y las simulaciones y los juegos de guerra como se ilustra en la figura 1.
El endpoint (o sistemas de punto final) que generalmente busca asegurar la integridad de las máquinas y sus archivos, es un lugar común donde las prácticas de seguridad de la información tienen marco de acción (Haber & Hibbert, 2018). Aquí la esencia de la acción de protección se concentra en la detección y alerta de situaciones que no encajan en los patrones o análisis heurísticos básicos con los que cuentan las herramientas disponibles a la fecha. Si bien no van contener todo tipo de acciones adversas, si van a generar alertas (antes de que ocurra la afectación) o alarmas (después de que ocurre el daño) cuando se adviertan situaciones que comprometan la integridad de la información (Kohnke, Shoemaker & Sigler, 2016).
El siguiente nivel está asociado con la analítica de comportamiento (Touma, Bertino, Rivera, Verma & Calo, 2017). Si el primer anillo de seguridad no tuvo la suficiente sensibilidad para advertir la acción agresiva del atacante, los comportamientos de sus acciones podrán ser vistos dentro de la analítica de patrones inusuales de las personas y los procesos que operan dentro de la infraestructura, lo cual permite conectar los posibles rastros del adversario (en el nivel anterior) y darle una vista extendida al analista sobre las estrategias que sigue su oponente dentro del sistema y poder contenerlo en este momento.
En la medida que el agresor tenga la capacidad de engañar los diferentes mecanismos de seguridad previos, generando patrones semejantes a los normales de la infraestructura protegida, habrá que refinar y adaptar los siguientes niveles de control previstos para hacer visible la estrategia del agresor. En este sentido, la inteligencia de amenazas (Diogenes & Ozkaya, 2019) aparece para advertir patrones emergentes de evento no deseados en contexto de la dinámica de la organización, los cuales son fruto de un análisis entre una gran cantidad de datos generados dentro de la infraestructura de la empresa y los patrones de amenazas inusuales de su entorno.
Si aún el adversario logra evadir el cerco de la estrategia anterior, entrará a un espacio donde puede quedar atrapado y confinado por las tecnologías de engaño (Heckman, Stech, Thomas, Schmoker & Tsow, 2015), donde podrá quedar desconcertado frente al conocimiento inicial que tiene de la infraestructura que quiere atacar, lo cual le dará tiempo a los analistas para estudiar y contener en un lugar confiable y controlado las acciones agresivas del atacante. De esta forma, se aumenta el nivel de incierto en la ecuación del atacante que podrá llevarlo a tomar acciones erróneas que hagan visibles sus acciones y por lo tanto, parte de su plan previsto.
Si la organización ha madurado en la implementación de las tecnologías mencionadas previamente y lo combina con ejercicios de simulaciones y juegos de guerra (Cano, 2017), podrá desarrollar una capacidad de aprendizaje y anticipación, que le permite actualizar rápidamente las configuraciones de las tecnologías de engaño, incorporar patrones emergentes de análisis para la inteligencia de amenazas, incluir nuevos movimientos de los adversario en la analítica de comportamientos, los cuales pueden terminar ajustando los patrones conocidos y las heurísticas básicas de los sistemas de punto final.
De esta forma, la defensa en profundidad pasa de una acción pasiva y de postura reactiva, a una estrategia que combina el reconocimiento de los riesgos conocidos, con la incorporación de capacidades de defensa y anticipación, fundadas en el aprendizaje/desaprendizaje sobre los retos propios del entorno en el contexto de la dinámica particular de la empresa. Luego, los anillos de protección dejan de ser sólo receptores estáticos de las posibles agresiones, para transformarse en membranas que perciben los cambios y aprenden de forma dinámica en cada nivel (y entre niveles) ilustrado en la figura 1 con el fin de aumentar su capacidad particular, esto es:
- En el sistema de punto final – Detectar
- En la analítica de comportamiento – Analizar
- En la inteligencia de amenazas – Actuar
- En la tecnología de engaño – Demorar
- En las simulaciones y juegos de guerra – Anticipar
Si bien, esta propuesta adaptativa y biológicamente concebida desde la perspectiva de las membranas, como mecanismos que son capaces de leer y aprender sobre el entorno donde operan, no es busca alcanzar el ideal de la invulnerabilidad de los sistemas de información corporativos, sino aumentar su capacidad de defensa y anticipación para mantener una postura proactiva y resiliente que prepare a la organización para atender posibles eventos adversos de forma temprana con el fin de proteger la confianza de sus clientes, así como la reputación de la empresa (Jackson, 2010).
Reflexiones finales
En la medida que la inestabilidad y el incierto se convierte en la lectura normal del entorno para las organizaciones, mayores y mejores sensores debe desarrollar para estar atento a los cambios y tomar las acciones necesarias y suficientes de forma proactiva. En consecuencia, le corresponde simular situaciones retadoras e inesperadas, para aprender de posibles nuevos patrones que pondrán a prueba sus certezas sobre lo que conocía de la realidad (Reyes & Zarama, 1998).
En esta línea, la estrategia de defensa en profundad tradicional entra en tensión con los cambios y reinvenciones permanentes de los adversarios, así como frente a las mutaciones de las amenazas existentes, creando brechas de control que configuran un entorno propicio para que la organización actúe de forma errónea. De esta manera, el atacante puede tomar posiciones privilegiadas dentro de la infraestructura tecnológica, protegido con el manto de la invisibilidad de lo cotidiano, para luego de aprender del contexto organizacional, lanzar su acción no autorizada bajo los radares de los mecanismos de seguridad y control instalados.
Repensar la defensa en profundidad como una vista de niveles anidados, entendidas como membranas que están expuestas a la dinámica de su entorno, que tienen la capacidad de no sólo de detectar, sino de adaptarse y aprender de forma colectiva, es desarrollar una nueva capacidad empresarial que permite anticipar y tratar de sorprender al adversario en etapas tempranas de sus acciones. Esto es, reconocer un entorno de convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de cambios que se desarrollan en una realidad digitalmente modificada, donde se requiere conectar y entender tanto las posibilidades como las probabilidades inherente a la inevitabilidad de la falla.
Así las cosas, la defensa en profundidad diseñada para el riesgo cibernético debe desinstalar las certezas que están fundadas para el mundo físico, para repensar sus fundamentos ahora entre tres dimensiones: una de regulación (representada por los sistemas de punto final), otra de memoria y aprendizaje (asociada con la analítica de comportamiento, la inteligencia de amenazas y las tecnología de engaño) y finalmente una de adaptación (indicada con las simulaciones y juegos de guerra) (Hoverstadt, 2008). De esta forma, los tradicionales anillos de seguridad basados en un vista centralizada y de eventos conocidos, se reinventan para un escenario distribuido e incierto, donde el reto es identificar al intruso y enfrentarlo en su propio terreno.
La propuesta detallada en este documento que actualiza la lectura de la defensa en profundidad no busca agotar las reflexiones sobre la temática, sino más bien abrir nuevas posibilidades e investigaciones, con el fin de continuar revelando las cegueras cognitivas propias de las prácticas de seguridad y control, y así darle forma a una “caja de arena” (Cano, 2020b) donde de forma permanente la organización aprende y tensiona lo que sabe sobre la dinámica de los atacantes y sus renovadas estrategias.
Referencias
Cano, J. (2017). Juegos de guerra. Un ejercicio de construcción conjunta en ciberseguridad y seguridad de la información. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 143. Abril- Junio. 60-66. https://www.researchgate.net/publication/318281007_Juegos_de_guerra_Un_ejercicio_de_construccion_conjunta_en_ciberseguridad_y_seguridad_de_la_informacion
Cano, J. (2020). Retos de seguridad/ciberseguridad en el 2030. Reflexión sobre un ejercicio prospectivo incompleto. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 154. 68-79. doi: 10.29236/sistemas.n154a7.
Cano, J. (2020b). Sandbox: Revindicate failure as the foundation of learning. Proceeding of 2020 IEEE World Conference on Engineering Education (EDUNINE). Bogotá, Colombia. 1-6. doi: 10.1109/EDUNINE48860.2020.9149512.
Cleghorn, L. (2013). Network Defense Methodology: A Comparison of Defense in Depth and Defense in Breadth. Journal of Information Security. 4(3). 144-149. doi: 10.4236/jis.2013.43017.
Cresson, C. (1990). Principles of secure information systems design. Computers & Security. 9(1). 13-24. doi: 10.1016/0167-4048(90)90150-R.
Day, G. & Schoemaker, P. (2019). See sooner act faster. How vigilant leaders thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press.
Diogenes, Y. & Ozkaya, E. (2019). Cybersecurity – Attack and Defense Strategies. Second Edition. Birmingham, UK: Packt Publishing Ltd.
Donaldson, S., Siegel, S., Williams, C. & Aslam, A. (2015). Enterprise cybersecurity. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress.
Espejo, R. & Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes – Universidad de Ibagué.
Frincke, D. A. & Bishop, M. (2004) Guarding the castle keep: teaching with the fortress metaphor. IEEE Security & Privacy. 2(3). 69-72, May-June. doi: 10.1109/MSP.2004.13.
Groat, S., Tront, J. & Marchany, R. (2012). Advancing the defense in depth model. 2012 7th International Conference on System of Systems Engineering (SoSE), Genova, Italy. 285-290. doi: 10.1109/SYSoSE.2012.6384127.
Haber, M. & Hibbert, B. (2018). Privileged Attack Vectors. Building Effective Cyber-Defense Strategies to Protect Organizations. New York, USA: Apress.
Heckman, K., Stech, F., Thomas, R., Schmoker, B. & Tsow, A. (2015). Cyber Denial, Deception and Counter Deception. A Framework for Supporting Active Cyber Defense. Switzerland: Springer International Publishing.
Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations with the viable system model. Hoboken, NJ. USA: John Wiley & Sons
Jackson, S. (2010). Architecting resilient systems. Accident Avoidance and Survival and Recovery from Disruptions. Hoboken, NJ. USA: John Wiley & Sons.
Kohnke, A., Shoemaker, D. & Sigler, K. (2016). The complete guide to cybersecurity risk and controls. Boca Ratón, FL. USA: CRC Press.
Reyes, A. & Zarama, R. (1998). The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. 5(3). 19-33.
Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill.
Touma, M., Bertino, E., Rivera, B., Verma, D. & Calo, S. (2017). Framework for behavioral analytics in anomaly identification. Proc. SPIE 10190, Ground/Air Multisensor Interoperability, Integration, and Networking for Persistent ISR VIII. May. doi: 10.1117/12.2266374.
Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937
Global Strategy
Octavio Aláez Feal
Josep Baqués