Las nuevas fronteras de la ciberseguridad

(Para Alexandra Javarone)
07/08/20

¿Podrían las empresas, las instituciones públicas e incluso los ciudadanos pagar caro la revolución de las tecnologías de la información que nos espera? ¿Cómo contrarrestar los peligros resultantes?

Hablamos de ello con Germano Matteuzzi de División de seguridad cibernética por Leonardo Spa.

La ciberseguridad podría parecer una preocupación remota para los usuarios de PC, teléfonos, detectores de GPS, correos electrónicos, redes sociales y redes. Sin embargo, nuestra vida diaria, nuestra renovada socialidad computarizada, fácil y rápida, nos expone a vulnerabilidades nuevas y más complejas. ¿Cuáles son los principales riesgos de la sociedad hiperconectada?

Desafortunadamente, la seguridad cibernética de nuestros datos no es remota, sino un problema muy actual. Esta es precisamente la conciencia que falta para abordar el problema de raíz, obviamente partiendo de las instituciones. La difusión instantánea de información en la red hace que los peligros también sean instantáneos y esto provoca una falta de preparación sistémica de los usuarios de la propia red que no pueden defenderse. Al igual que cuando se conduce una motocicleta cuando se es joven, la conducción es imprudente al principio, entonces la conciencia de los riesgos nos obliga a cambiar de actitud.

Muchas de las empresas modernas basan su negocio en la información y el conocimiento. Estos les permiten crear productos y servicios, competir en el mercado y estar tecnológicamente avanzados para mantener su presencia en el mercado global. La principal diferencia es que desde que estamos viviendo la ola de transformación digital, esta información, ya sean patentes, proyectos, propiedad intelectual u otra, no tiene claro dónde se almacena. O más bien se almacenan y están disponibles en más lugares y para más personas. Y, por tanto, están menos protegidos. Muchas empresas en el sector de la digitalización llegan a cambiar sin estar preparadas (porque el ritmo es muy ajustado) y, a menudo, cometen errores que comprometen irreversiblemente su capacidad para competir.
Basta pensar en cuántas empresas, por ejemplo, han migrado sus infraestructuras a la nube pensando en ahorrar dinero y luego han perdido su base de conocimientos, debido a simples errores técnicos.

Para las instituciones públicas pasa lo mismo, salvo que esta información nos concierne principalmente a los ciudadanos, por lo que los errores estratégicos y tácticos en la digitalización de las instituciones nos afectan principalmente a nosotros, que ya tenemos nuestros problemas para manejar nuestra información privada.

Parece trivial, pero la protección más eficaz es comprender el verdadero valor que tiene la información para sus propietarios y simular lo que podría suceder en caso de pérdida, divulgación o compromiso. Entonces, la primera regla es entender qué sucede si la información está en riesgo y si este riesgo se materializa, considerando el cumplimiento normativo entre los riesgos. Es por esto que el mercado de la seguridad se divide principalmente en dos grandes áreas de actividad, una técnica / legal y otra principalmente operativa.

En referencia a fraudes, robo de datos, ataques de ransomware, pero también ciberespionaje y ataques a infraestructuras críticas, ¿cuáles son los indicadores que debemos observar para entender si estamos bajo ataque? ¿Tiene el país la capacidad de analizar, responder y gestionar ciberataques? ¿Qué papel juegan las pruebas de penetración?

Es realmente difícil entender si nuestra información está siendo atacada y cómo, especialmente cuando el atacante tiene un interés personal en no hacérnoslo saber. Se detectaron los casos más importantes de ciberespionaje, no tanto por las capacidades de defensa de las víctimas como por errores en el manejo de ciber armas y por la pérdida de su control por parte de los atacantes, ver un ejemplo para todos los stuxnet. Los ataques de ransomware se manifiestan inmediatamente en su capacidad destructiva, pero son los menos peligrosos en un escenario de espionaje. Los actores del juego determinan el propósito del ataque, por lo que un ataque destructivo es rápido y no muestra signos evidentes. Los ataques de espionaje perduran en el tiempo y tienden a ser silenciosos. Es cierto que tarde o temprano los datos deben ser exfiltrados en un escenario de espionaje y mantener bajo control las comunicaciones con entidades externas puede dar las indicaciones correctas, así como detectar anomalías débiles en los datos de rendimiento de las máquinas, en el tráfico de red u otros. Todos los objetivos están en riesgo, principalmente las infraestructuras críticas que, en general, también tienen otros problemas relacionados con la obsolescencia de sus sistemas TIC, lo que amplifica los riesgos en un escenario hiperconectado.

En los últimos 5 años, gracias también al impulso de las instituciones europeas, el país ha dado muchos pasos hacia la conciencia de los riesgos cibernéticos y el contraste y respuesta a los ataques. Solo piense en el Marco Nacional, la organización gubernamental para la protección cibernética, el CSIRT Italia, la implementación de la directiva NIS, el GDPR, el perímetro cibernético nacional, las medidas mínimas de seguridad Agid y mucho más. Vamos por buen camino pero hay que apurarnos, porque en el ciberespacio el factor tiempo es fundamental y las escalas de tiempo se acortan drásticamente.

En todo esto, sin embargo, es importante ser conscientes de que nuestras infraestructuras son vulnerables y, por tanto, en riesgo, pero también comprometibles, porque nos pone ante la evidencia de saber con certeza que un posible ataque tendría éxito. Esta es la razón principal por la que el mercado de los probadores de penetración sigue prosperando, ya que proporcionan evidencia de vulnerabilidades que de otra manera permanecerían sustancialmente en el informe. Y, lo que es más importante, nos permiten resaltar todo un conjunto de vulnerabilidades que a menudo ni siquiera terminan en relaciones, a saber, las humanas y sociales.

Catalogar amenazas, actores malévolos y motivos de cualquier tipo. ¿Cómo utilizar la inteligencia artificial? ¿Es la inteligencia artificial capaz de agregar estos datos según las necesidades del analista?

La aplicación de modelos matemáticos que permitan el aprendizaje de fenómenos y comportamientos y de todos los modelos de IA derivan de la aplicación de la inteligencia humana. Sin querer molestar a Asimov y la robótica, lo que también se hace muy a menudo cuando hablamos de ciber, el nombre en sí deriva del uso del término en las novelas cyberpunk, una cosa es la IA aplicada a una gran cantidad de datos y que se basa en modelos matemáticos para la investigación predictiva de fenómenos y patrones, otra es la autoconciencia de las máquinas tal como la vemos en las películas y la encontramos en las novelas, la búsqueda de la humanidad en todos los sentidos.

Para el primero ya estamos trabajando en ello y seguramente las matemáticas nos ayudarán a poder visualizar, agregar y presentar los análisis de datos para que entre ellos aparezcan las relaciones que a primera vista no podemos ver, para el segundo, aunque sea en el campo. de ciberseguridad ya existen modelos de comportamiento reactivo y artificial, probablemente tendremos que esperar mucho tiempo.

En este primer escenario, la IA en sus aplicaciones de Machine Learning y Deep Learning utilizando algoritmos basados ​​en redes neuronales es capaz de analizar esta gran cantidad de datos y presentarlos en formato legible a un analista que luego puede tomar decisiones trabajando en un conjunto reducido de información. y analizable para una mente humana. La IA también puede sugerir a los humanos acciones derivadas de su base de conocimiento vinculada a sus algoritmos de aprendizaje y datos disponibles, acciones que deben ser analizadas antes de evaluar su aplicabilidad. Y la bondad o aplicabilidad de estas acciones está siempre ligada a la calidad y cantidad de los datos que proporcionamos. No me gustaría dar una visión demasiado antropocéntrica del tema, pero por ahora la IA sigue siendo un apoyo para la inteligencia humana.

Junto a la diplomacia y la inteligencia, la necesidad de desarrollar capacidades de ciberdefensa y ataque se ha vuelto decisiva. Varios actores internacionales llevan a cabo ciberataques reales para obtener información y evitar represalias también gracias a las conocidas dificultades de atribución. A veces, la evidencia de tales ataques parece apuntar a un solo país, pero ¿es posible que las pistas se dejen con la intención de culpar a un país enemigo?

La atribución de responsabilidad por los ataques en el ciberespacio es de hecho muy complicada, si no casi siempre imposible. Todo sucede en muy poco tiempo, no existen barreras naturales que inhiban determinadas acciones, no existen defensas efectivas para los activos digitales, a menudo no hay señales de advertencia.

Precisamente por eso el ciberespacio es la nueva frontera de la guerra, donde se enfrentan a diario diferentes tipos de actores, actores que van desde gobiernos nacionales u organizaciones progubernamentales hasta ciberdelincuentes que actúan con fines de lucro, o desestabilizadores; Los escenarios de ataque cambian radicalmente su rostro en comparación con los tradicionales, y las operaciones cibernéticas pueden realizarse y activarse de manera abrupta y con muy pocas señales de advertencia. No hay más ejércitos reunidos, evidencias de operaciones o movilizaciones en las fronteras de los estados, trayectorias de misiles por identificar, aviones despegando o naves partiendo, todas las actividades de preparación y reconocimiento se realizan a la sombra y anonimato de la ciberespacio, y el ataque es imposible de detectar.

Hay guerras cibernéticas en este teatro de operaciones que han estado sucediendo durante años; por ejemplo, India y Pakistán se han enfrentado en el ciberespacio durante más de 20 años, Rusia y Ucrania también se han enfrentado en ese frente y Estados Unidos, Israel y Arabia están usando armas cibernéticas contra Irán (y viceversa), recientemente hemos Operaciones chinas contra otros países, Rusia Australia, etc.

En las listas de los países mejor preparados para hacer frente a los ciberataques siempre encontramos a Estados Unidos, Israel pero también países de la zona del Pacífico, además de Rusia y China.

Asignar las responsabilidades de un ciberataque es un proceso complejo que va más allá de la mera identificación de los sistemas fuente del ataque, también porque estos sistemas, quizás pertenecientes a un país, pueden haber sido a su vez objeto de ataque y compromiso por parte de otro país y por tanto. Calle. Las herramientas y técnicas de ataque se analizan principalmente, lo que a menudo puede conducir a unos pocos o a un solo agente de amenaza y, por lo tanto, aunque sea aleatorio, una atribución de operaciones puede ser al menos arriesgada. Y obviamente sí, dado que se conocen estas técnicas y herramientas, es posible que algunos ataques se realicen simulando que son realizados por agentes de amenazas vinculados a otros países con el único fin de responsabilizar al mismo del ataque. en un escenario de ciberdiplomacia que se suma al tradicional.

El Centro de Estudios del Ejército lanzó hace mucho tiempo un estudio sobre las capacidades cibernéticas del ejército italiano y ha involucrado a instituciones y empresas en su trabajo. Leonardo es parte integral del grupo. ¿Qué papel podría jugar Leonardo en el modelo global de detección y respuesta deseado por el CSE?

Leonardo es un socio histórico de defensa en todos los sectores, no menos en Cyber ​​Security. Recuerdo los primeros programas Cibernéticos, el CERT del Ejército y las Capacidades de Defensa Cibernética basados ​​en el marco de la OTAN del entonces C4D que datan de 2010, ahora estamos hablando de hace 10 años, con los cuales se implementaron las primeras capacidades de detección y respuesta, con todas las evoluciones posteriores hasta la realización de una capacidad operativa completa y la implementación de capacidades dentro del CIOC para planificar y realizar operaciones en el nuevo dominio cibernético. La división de Ciberseguridad también ha colaborado con las Fuerzas Armadas en la creación de importantes capacidades cibernéticas, especialmente el Ejército y la Armada. Leonardo también ha alcanzado la capacidad operativa total de la OTAN al implementar el NCIRC, el Centro de respuesta a incidentes informáticos para todas las oficinas y países de la OTAN.

Sin embargo, Leonardo está presente de manera importante en el mercado italiano de ciberseguridad también en el sector civil, principalmente en el sector gubernamental donde se le adjudica el CONSIP SPC Cloud Lot 2 - Security framework Agreement, a través del cual se prestan servicios de seguridad gestionados y servicios profesionales Administraciones públicas centrales y locales que lo soliciten. También está presente en el sector privado de Infraestructuras Críticas y Grandes Empresas, donde Leonardo presta servicios a grandes empresas de los sectores Oil & Gas, Energía, Utilities y Transporte.

En los últimos años, Leonardo ha invertido mucho en desarrollos relacionados con la inteligencia de amenazas en el campo cibernético, dotándose de sus propias herramientas tecnológicas desarrolladas internamente para la investigación y el análisis en la web utilizando el paradigma OSInt (Open Source Intelligence). Además, el Leonardo Security Operation Center, activo desde 2007, uno de los primeros proveedores italianos de servicios de seguridad gestionada en el mercado, proporciona servicios de inteligencia a través de esta plataforma en total sinergia con los más tradicionales de Cyber ​​Security. En el campo de la seguridad de las comunicaciones, Leonardo tiene una presencia histórica habiendo trabajado y proporcionado productos y servicios tanto en los dominios de cifrado para información clasificada como en el campo de las comunicaciones profesionales seguras utilizadas por los servicios policiales y de emergencia. Por último, pero no menos importante, Leonardo es una empresa totalmente italiana propiedad del Estado, lo que la coloca en una posición especialmente privilegiada para ser el actor de referencia de la ciberseguridad italiana en los mercados militar y civil.

Si para las operaciones dentro del dominio cibernético el papel predominante debe ser desempeñado por el COR recientemente establecido, también es cierto que cada fuerza armada, siguiendo el concepto de Capacidad habilitada por la red (NEC), debe ampliar sus capacidades utilizando herramientas cibernéticas para apoyar las operaciones tradicionales. . Por lo tanto, no se trata únicamente de operaciones cibernéticas, sino de tecnologías cibernéticas para respaldar operaciones en dominios tradicionales.

Por lo tanto, Leonardo puede poner a disposición del Ejército, pero también de las otras fuerzas armadas, todas las capacidades y conocimientos relacionados con la seguridad adquiridos en los últimos años en los campos militar y civil, y apoyarlo en la adquisición de esas capacidades cibernéticas que aún no se han implementado plenamente.