El término "cibernético" ahora se ha convertido en parte del vocabulario común y se asocia con otros términos como "ataque", "defensa", "operaciones", circunscribe un sector muy específico de los más extendidos. el ciberespacio.
Hoy quiero tratar con la defensa cibernética y en este sentido recurrí a Cisco, quien me presentó su solución llamada "Umbrella". En particular, los fermentadores de Cisco en este viaje de seguridad fueron Giovanni Di Venuta, el representante técnico de preventa para el mercado de defensa, Paolo Carini como experto en soluciones Cloud Security y Alessandro Monforte como jefe de relaciones comerciales para soluciones de Cloud Security.
Después de las presentaciones, comencemos desde el principio: ¿qué es Cisco Umbrella?
Cisco Umbrella es una solución en la nube que proporciona un servicio de defensa de primera línea (solo un paraguas de seguridad) para aquellos que necesitan tener cuidado con Internet.
La operación de Cisco Umbrella es relativamente simple, incluso si su efectividad se basa en soluciones tecnológicas muy complejas.
Veamos, en resumen, cómo funciona.
Para explicar cómo funciona, vale la pena mencionar que Cisco Umbrella proviene de la adquisición de OpenDNS de Cisco que históricamente ofrece un servicio de DNS confiable (confiable y de baja latencia). Cisco Umbrella combina las características típicas del DNS con la seguridad, es decir, en función del dominio del sitio web solicitado por el usuario aplica las políticas de seguridad adecuadas.
Para que quede claro, si un ordenador de la empresa a un empleado, a través de un navegador, se navega en Internet y pide acceder a una determinada página web, la solicitud de acceso se "mediada" por Cisco Paraguas (DNS) que verifica si la dirección la web aparece como peligrosa; si fuera así, se mostraría al usuario una página web informando que la página solicitada no está disponible por razones de seguridad.
El usuario puede por lo tanto continuar su actividad sin más problemas y, sobre todo, sin correr los riesgos asociados con la navegación en un sitio peligroso.
Pero, ¿cómo sabe Umbrella que el sitio es peligroso? ¿Y estamos seguros de que realmente es así? ¿Cuál es el porcentaje de "falsos positivos" o errores cometidos por Umbrella que identifican como "peligroso" un sitio que no es y como "confiable" un sitio que en cambio es "peligroso"?
El trabajo rutinario de Cisco Umbrella es recopilar información en Internet y en Internet; en Internet porque la infraestructura de Umbrella está en la nube y recibe alrededor de 125 mil millones de solicitudes de DNS por día hasta la fecha. En internet ya que recoge datos e información sobre la infraestructura de Internet, las redes que forman parte de ella, en los dominios, en sistemas autónomos, direcciones IP, acerca de quien lo posee, sobre los ataques cibernéticos, su origen y así sucesivamente.
De esta forma, Umbrella puede obtener información sobre cómo los sitios están interconectados entre sí desde un punto de vista infraestructural y, por lo tanto, tienen información sobre los "atacantes".
Los datos y la información se relacionan con el uso de algoritmos que le permiten saber qué parte de Internet es un riesgo mucho mayor y en base a esto, evitar la conexión a un área determinada, incluso en la cara de una parte de una petición específica aplicación o usuario. Una de las características de Umbrella es predecir el análisis de seguridad para un nuevo sitio web y luego bloquear nuevas amenazas antes de que aparezcan.
Cisco estima que el porcentaje de falsos positivos es muy bajo, aproximadamente 1 / 10.000, lo que significa que, estadísticamente, todos los dominios 10.000 clasificados como maliciosos no lo son.
La actualización de la información todavía está en curso por lo que en este momento puede ser un falso positivo, unos minutos más tarde lo hará probablemente correcta; esto se debe a que la recopilación de datos y el análisis predictivo son incesantes. A continuación se muestra una representación (hecha a través de OpenGraffiti, una herramienta libre de la representación 3D utiliza para analizar los datos) de la red de infraestructura de apoyo a una botnet conocida (MIRAI) de la que es posible analizar gráficamente las interacciones entre los dominios, sistemas autónoma, direcciones / correo electrónico IP utilizadas de los atacantes.
La solución Cisco Umbrella ha estado en funcionamiento durante varios años y se basa en una gran infraestructura de recopilación y análisis de datos, centros de datos 26 distribuidos en todo el mundo (v.mappa).
Cisco Umbrella nació gracias a la idea de David Ulevitch que en 2006 (a la edad de 25 años) fundó una compañía llamada OpenDNS, con sede en San Francisco. La compañía tenía la intención de proporcionar DNS (Sistema de nombres de dominio) y servicios de seguridad, y aún lo es.
OpenDNS continúa existiendo y brinda servicios gratuitos a clientes no profesionales, mientras que Umbrella brinda servicios pagados a empresas y organizaciones. Con la adquisición de Cisco, la solución de OpenDNS también hace uso de la inteligencia de seguridad de Cisco o TALOS formada por un equipo de investigadores que se ocupa de manera dedicada del análisis de inteligencia de amenazas.
El poder del sistema se basa en las estadísticas de los números grandes y en el análisis predictivo llevado a cabo de forma continua en la base de datos de gráficos que contiene toda la información infraestructural de la que hablamos anteriormente. Por esta razón, incluso los usuarios individuales son bienvenidos, incluso si no aportan beneficios directos, permiten la recopilación de datos útiles para el análisis.
Pero, ¿cómo se implementa Cisco Umbrella? La aplicación es muy simple ya que acaba de configurar Cisco como la organización paraguas para resolver las solicitudes de DNS pública (Internet) y además de resolver el dominio de usuario solicitado para la aplicación de las políticas de seguridad establecidas por el administrador de seguridad de Cisco tablero paraguas.
Es fácil entender que la gran cantidad de datos que Cisco tiene disponibles representa un gran valor agregado para cualquier persona interesada en analizar las infraestructuras a partir de las cuales es atacada o quienes simplemente tienen interacciones frecuentes con las suyas. Cisco proporciona acceso a los datos a través de la solución llamada "Investigate" que se puede utilizar a través de una consola (tablero de instrumentos) o mediante interfaces de programación (API); Esta oferta se dirige generalmente a la parte de la organización encargada del análisis de la vulnerabilidad y las investigaciones de ordenador (por ejemplo CERT y / o SOC).
Lo que quiero decir es que al usar "Investigar", es posible entender si su organización está bajo ataque cibernético o si ha estado en el pasado, si ha sido objeto de un ataque global, sectorial o dirigido. También puede obtener información sobre dominios o su nivel de seguridad y puede recuperar información sobre redes atacantes (donde un dominio malicioso ha sido registrado, por quién y así sucesivamente).
Uno podría pensar que esta información es inútil ya que está desactualizada, pero este no es siempre el caso.
Ser capaz de comprender que han sido objeto de un ataque cibernético, no se reconoce como tal, puede tener los aspectos de organización, tales como empujar a la organización a invertir más en el personal dedicado a la seguridad informática con el fin de reducir el riesgo y esta es claramente una decisión de alto nivel.
Dejemos el piso a los números de Cisco Umbrella en términos de infraestructura utilizada y administración de datos, que en este caso son verdaderamente representativos:
- Centros de datos 26 distribuidos en todo el mundo (v.mappa);
- 160 Estados de los que se recopila información;
- 15 miles de empresas usan los servicios de Umbrella;
- sobre 100 millones de usuarios activos por día;
- Se analizaron 125 mil millones de consultas DNS diarias.
Estos datos se actualizan continuamente y son visibles en siguiente enlace.
A partir de estos números, es posible comprender que Cisco (a través de Umbrella, anteriormente OpenDNS) tiene un conocimiento de Internet que probablemente no tenga otro operador de seguridad.
Pero, ¿qué importancia puede tener Cisco Umbrella para una organización militar?
Las organizaciones militares de hoy en día necesitan enormes cantidades de datos, desde los más triviales que la alineación temporal (tiempo) puede considerarse como el flujo más complejo de datos meteorológicos pronosticados, pasando por los flujos de datos relativos a las necesidades de suministro de las partes. piezas de repuesto o aquellas relacionadas con el correcto funcionamiento de los sistemas informáticos.
Estos datos no siempre se limitan a la intranet (clasificada o no) de la organización militar, sino que, de hecho, a menudo se reciben o transmiten a través de Internet.
El hecho es que los sistemas realmente "aislados" son prácticamente inexistentes.
La digitalización está empujando a los militares para introducir instrumentos cada vez más complejas y con frecuencia requieren la intervención de especialistas pertenecientes a las industrias, lo que significa que el perímetro de seguridad se vuelve cada vez más extendido y aumenta la complejidad y la necesidad de control.
Cisco paraguas, además de ser un instrumento de protección puede ser una ayuda útil a los analistas de seguridad cibernética, ya que proporciona datos e información sobre la estructura de la Internet y los riesgos relacionados con la misma red y las herramientas de análisis de inteligencia (Investigar es uno de ellos).
Naturalmente, el uso de herramientas sofisticadas requiere personal capacitado en el sector, una preparación que no puede delegarse en la buena voluntad del operador individual, pero que debe ser parte de una ruta de capacitación bien estructurada para el operador de ciberseguridad.
La posibilidad de prevenir ataques al bloquear las peticiones DNS peligrosos y capacidades de análisis predictivo también hacen que sea una herramienta útil para controlar un posible atacante y potencialmente también para ejercer una acción preventiva, si se considera necesario y autorizado por la normativa vigente.
Una estrategia adecuada de defensa cibernética requiere la evaluación de los múltiples factores de riesgo asociados con la operación de las plataformas tecnológicas. Además, la misma estructura operativa que proporciona el servicio Umbrella está sujeta a constantes y diversos intentos de violación. Por esta razón y para mantener su sistema operativo y un servicio atento (a partir de su lanzamiento en 2006, Umbrella ha colocado el 100% de las solicitudes de DNS) OpenDNS y Cisco han invertido constantemente en tecnologías y procedimientos para implementar, desarrollar y mantener una adecuada estrategia de defensa
Para obtener más información:
- https://umbrella.cisco.com/products/our-intel
- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns
- https://www.talosintelligence.com/
(foto: web / Fuerza Aérea de EE. UU.)
