Ciberataques y seguridad corporativa

HP Arcsight y HP Fortify

1776
Los ciberataques a corporaciones y entidades públicas se han modificado en los últimos años. El fraude digital, el llamado “hacktivismo” y la gran variedad de nuevas amenazas, mezclados con la velocidad de difusión que proporciona la Web 2.0 y las redes sociales, conforman un nuevo escenario al que las compañías actuales han de enfrentarse.

Internet está unida de forma intrínseca a las operaciones de todas las compañías modernas. Y todos somos conscientes de que, con el potencial de comunicaciones que ofrece la Red, también vienen una serie de peligros potenciales muy reales, capaces de afectar a las operaciones de la compañía de manera inmediata, importante y duradera. Por ello los sistemas de protección necesitan evolucionar, a fin de hacer frente a un conjunto siempre cambiante de amenazas.

Sin embargo, debido a que la diversidad de las amenazas es tan amplia, también los sistemas de seguridad han de ser múltiples y especializados. HP dispone de diversas soluciones de seguridad orientadas especialmente al entorno empresarial actual y que se ofrecen en gran parte desde el Centro de Operaciones de Seguridad Regional (SOC) situado en Las Rozas (Madrid). Este centro está integrado en la red mundial de SOC de la que dispone Hewlett Packard.

SIEM comienza a tener una relevancia cada vez mayor, combinando tecnologías de big data con la seguridad

Big Data al servicio de la seguridad

El término SIEM (security information & event management) comienza a tener una relevancia cada vez mayor, ya que combina tecnologías de big data con la seguridad, a fin de crear unos servicios que permitan incrementar la seguridad de las corporaciones, tan expuestas en la actualidad a las redes de comunicación y a los hackers.

Cuando hace solo unos años los hackers eran individuos con inquietudes tecnológicas, deseos de notoriedad o motivados por el deseo de causar daño, hoy existe todo un mercado negro en el que se venden a diario vulnerabilidades del software más variado, comercial, empresarial y móvil. Algunas de estas vulnerabilidades pueden alcanzar un valor de mercado de decenas de miles de dólares y por ello el número de hackers organizados es cada vez mayor. De hecho, algunos países asiáticos son notorios porque más del 70% de los ataques dirigidos contra empresas de todo el mundo proceden de allí.

SIEM es la forma de frenar estas amenazas y está compuesto por una serie de soluciones multidisciplinares, reactivas y proactivas, y HP Arcsight es una de ellas. A grandes rasgos, está compuesta por varios productos y servicios que cubren el espectro completo de seguridad.

Arcsight ESM, por ejemplo, analiza datos en tiempo real, desde cualquier origen, para detectar las posibles amenazas antes de que estas puedan causar algún daño. Para ello, emplea tecnologías big data,como por ejemplo Hadoop, a fin de analizar el enorme volumen de datos que hoy se genera constantemente en cualquier empresa. Esto permite detectar las actividades inusuales o no autorizadas de inmediato y activar las respuestas necesarias para solucionar la amenaza.

Por su parte, Arcsight Logger se encarga de analizar los registros de actividad unificados de todos los datos generados por servidores, appliances y similares. Sobre un conjunto de reglas definidas, Arcsight Logger genera informes que permiten la monitorización del estado de seguridad de la compañía, así como la creación de alertas en casos específicos, o el análisis forense de los eventos de seguridad que ya hayan ocurrido. Normalmente, los registros se guardan durante un año, lo que permite a Arcsight Logger descubrir patrones de comportamiento, realizar correlaciones entre los datos, etc.

Orange España

La división española de esta multinacional de comunicaciones inició hace algún tiempo un proyecto en torno a la seguridad en el que, aprovechando los servicios que ofrece el Centro de Operaciones de Seguridad de HP (SOC), y basándose en HP Arcsight, se monitorizan las alertas de seguridad. Esto permite no solo gestionar los incidentes de seguridad que aparezcan, sino también correlacionar estos eventos en función de su contexto, priorizando los de mayor importancia y dirigiendo así los esfuerzos del equipo de resolución. Este sistema de detección elimina una importante carga de las TI de Orange, aumentando la efectividad de la resolución de incidencias.

Por otro lado, el operador necesitaba realizar un seguimiento efectivo de la información publicada en Internet sobre sus principales activos. En este caso, el SOC de HP empleó un sistema de vigilancia digital de fuentes públicas en Internet, combinado con una alerta temprana. Esto permite tanto detectar fugas de información como avisar de amenazas emergentes en la Red u obtener cualquier información que se considere de interés para la seguridad de la compañía.

La información recolectada se analiza para determinar su nivel de relevancia y se buscan expresiones que indiquen si se está hablando de un fallo de seguridad en la infraestructura (ej. inyección de SQL en una aplicación web), si se habla de algún producto (ej. routers), o si se está publicando un listado de datos confidenciales (usuarios/correos/contraseñas sustraídos de la base de datos de una web). El sistema empleado se basa en un sistema que utiliza reglas léxico-semánticas y un procesamiento de lenguaje natural para analizar la información obtenida. Finalmente se aplica un sistema experto que se encarga de filtrar falsos positivos y es capaz de hacer análisis de opinión.

Otra de las potenciales amenazas de seguridad son los defectos del software y las aplicaciones desarrolladas en la compañía

HP Fortify

Otra de las potenciales amenazas de seguridad hoy en día son los defectos del software y las aplicaciones desarrolladas en la compañía. Las vulnerabilidades que se generan durante el desarrollo podrían suponer una amenaza si llegan a ser explotadas por terceros. Especialmente porque, en la actualidad, el 80% del software utilizado en una compañía suele estar conectado a Internet de una u otra forma, o proporciona directamente un servicio online al cliente (como las apps). Y al tratarse de aplicaciones empresariales, el daño potencial es muy importante.

HP Fortify es una gama de soluciones que van desde el análisis del código estático, pasando por un centro de seguridad, hasta la securización de aplicaciones móviles. El paso inicial es el SAST (automatic static application security testing), que busca problemas y vulnerabilidades potenciales en el código que se ha escrito, indicando los lugares que pueden generar fallos o suponer un punto de entrada, así como su contexto, mientras ofrece posibles soluciones.

Una vez comprobadas las aplicaciones en desarrollo, los diversos servicios de Fortify están disponibles para las aplicaciones que ya están en producción a través del SOC de Las Rozas. La ventaja de la presencia local del centro es que los datos se mantienen dentro del país, lo que facilita las cosas con respecto a los estrictos requerimientos que tiene, por ejemplo, el sector financiero.