Las nuevas fronteras de la ciberseguridad

(Para Alexandra Javarone)
07/08/20

¿Podrían las empresas, las instituciones públicas e incluso los ciudadanos pagar caro la revolución de las tecnologías de la información que nos espera? ¿Cómo contrarrestar los peligros resultantes?

Hablamos de ello con Germano Matteuzzi de División de seguridad cibernética por Leonardo Spa.

La ciberseguridad podría parecer una preocupación remota para los usuarios de PC, teléfonos, detectores de GPS, correos electrónicos, redes sociales y redes. Sin embargo, nuestra vida diaria, nuestra renovada socialidad informatizada, fácil y rápida, nos expone a vulnerabilidades nuevas y más complejas. ¿Cuáles son los principales riesgos de la sociedad hiperconectada?

Desafortunadamente, la seguridad cibernética de nuestros datos no es remota, sino un problema muy actual. Esta es precisamente la conciencia que falta para abordar el problema de raíz, evidentemente partiendo de las instituciones. La difusión instantánea de información en la red hace que los peligros también sean instantáneos y esto provoca una falta de preparación sistémica de los usuarios de la propia red que no pueden defenderse. Así como cuando se conduce una motocicleta cuando se es joven, la conducción es imprudente al principio, entonces la conciencia de los riesgos nos obliga a cambiar nuestra actitud.

Muchas de las empresas modernas basan su negocio en la información y el conocimiento. Estos les permiten crear productos y servicios, competir en el mercado y estar tecnológicamente avanzados para mantener su presencia en el mercado global. La principal diferencia es que desde que estamos viviendo la ola de transformación digital, esta información, ya sean patentes, proyectos, propiedad intelectual u otra, no tiene claro dónde se almacena. O más bien se almacenan y están disponibles en más lugares y para más personas. Y, por tanto, están menos protegidos. Muchas empresas en el sector de la digitalización llegan a cambiar sin estar preparadas (porque el ritmo es muy ajustado) y, a menudo, cometen errores que comprometen irreversiblemente su capacidad para competir.
Basta pensar en cuántas empresas, por ejemplo, han migrado sus infraestructuras a la nube pensando en ahorrar dinero y luego han perdido su base de conocimientos, debido a simples errores técnicos.

Para las instituciones públicas pasa lo mismo, salvo que esta información nos concierne principalmente a los ciudadanos, por lo que los errores estratégicos y tácticos en la digitalización de las instituciones nos afectan principalmente a nosotros, que ya tenemos nuestros problemas para manejar nuestra información privada.

Parece trivial, pero la protección más eficaz es comprender el verdadero valor que tiene la información para sus propietarios y simular lo que podría suceder en caso de pérdida, divulgación o compromiso. Entonces, la primera regla es entender qué sucede si la información está en riesgo y si este riesgo se materializa, considerando el cumplimiento normativo entre los riesgos. Es por esto que el mercado de la seguridad se divide principalmente en dos grandes áreas de actividad, una técnica / legal y otra principalmente operativa.

En referencia a fraudes, robo de datos, ataques de ransomware, pero también ciberespionaje y ataques a infraestructuras críticas, ¿cuáles son los indicadores que debemos observar para entender si estamos bajo ataque? ¿Tiene el país la capacidad de analizar, responder y gestionar ciberataques? ¿Qué papel juegan las pruebas de penetración?

Es realmente difícil entender si nuestra información está siendo atacada y cómo, especialmente cuando el atacante tiene un interés personal en no avisarnos. Se han detectado los casos más importantes de ciberespionaje, no tanto por las capacidades de defensa de las víctimas como por errores en el manejo de las ciber armas y por la pérdida de su control por parte de los atacantes, ver un ejemplo para todos stuxnet. Los ataques de ransomware se manifiestan inmediatamente en su capacidad destructiva, pero son los menos peligrosos en un escenario de espionaje. Los actores del juego determinan el propósito del ataque, por lo que un ataque destructivo es rápido y no muestra signos evidentes. Los ataques de espionaje perduran en el tiempo y tienden a ser silenciosos. Es cierto que tarde o temprano los datos deben ser exfiltrados en un escenario de espionaje y mantener bajo control las comunicaciones con entidades externas puede dar las indicaciones correctas, así como detectar anomalías débiles en los datos de rendimiento de las máquinas, en el tráfico de la red u otros. Todos los objetivos están en riesgo, fundamentalmente las infraestructuras críticas que, en general, también tienen otros problemas relacionados con la obsolescencia de sus sistemas TIC, lo que amplifica los riesgos en un escenario hiperconectado.

En los últimos 5 años, también gracias al impulso de las instituciones europeas, el país ha dado muchos pasos hacia la conciencia de los riesgos cibernéticos y el contraste y respuesta a los ataques. Solo piense en el Marco Nacional, la organización gubernamental para la protección cibernética, el CSIRT Italia, la implementación de la directiva NIS, el GDPR, el perímetro cibernético nacional, las medidas mínimas de seguridad Agid y mucho más. Estamos en el camino correcto pero debemos apurarnos, porque en el ciberespacio el factor tiempo es fundamental y las escalas de tiempo se acortan drásticamente.

En todo esto, sin embargo, ser conscientes de que nuestras infraestructuras son vulnerables, y por tanto en riesgo, pero también comprometibles, es importante, porque nos pone ante la evidencia de saber con certeza que un posible ataque tendría éxito. Esta es la razón principal por la que el mercado de los probadores de penetración sigue prosperando, ya que proporcionan evidencia de vulnerabilidades que de otra manera permanecerían sustancialmente en el informe. Y, lo que es más importante, permiten resaltar todo un conjunto de vulnerabilidades que muchas veces ni siquiera terminan en relaciones, a saber, las humanas y sociales.

Catalogar amenazas, actores malévolos y motivos de cualquier tipo. ¿Cómo utilizar la inteligencia artificial? ¿Es la inteligencia artificial capaz de agregar estos datos según las necesidades del analista?

La aplicación de modelos matemáticos que permitan el aprendizaje de fenómenos y comportamientos y de todos los modelos de IA derivan de la aplicación de la inteligencia humana. Sin querer molestar a Asimov y la robótica, que también se hace muy a menudo cuando hablamos de cibernética, el nombre en sí deriva del uso del término en las novelas cyberpunk, una cosa es la IA aplicada a una gran cantidad de datos y que se basa en modelos matemáticos para la investigación predictiva de fenómenos y patrones, otra es la autoconciencia de las máquinas tal como la vemos en las películas y la encontramos en las novelas, la búsqueda de la humanidad en todos los sentidos.

Para el primero ya estamos trabajando en ello y ciertamente las matemáticas nos ayudarán a poder visualizar, agregar y presentar los análisis de datos para que entre ellos aparezcan las relaciones que a primera vista no podemos ver, para el segundo, aunque sea en el campo. de ciberseguridad ya existen modelos de comportamiento reactivo y artificial, probablemente tendremos que esperar mucho tiempo.

En este primer escenario, la IA en sus aplicaciones de Machine Learning y Deep Learning utilizando algoritmos basados ​​en redes neuronales es capaz de analizar esta gran cantidad de datos y presentarlos en formato legible a un analista que luego puede tomar decisiones trabajando con un conjunto reducido de información. y analizable para una mente humana. La IA también puede sugerir a los humanos acciones derivadas de su base de conocimiento vinculada a sus algoritmos de aprendizaje y datos disponibles, acciones que deben ser analizadas antes de evaluar su aplicabilidad. Y la bondad o aplicabilidad de estas acciones está siempre ligada a la calidad y cantidad de los datos que proporcionamos. No me gustaría dar una visión demasiado antropocéntrica del tema, pero por ahora la IA sigue siendo un apoyo para la inteligencia humana.

Junto a la diplomacia y la inteligencia, la necesidad de desarrollar capacidades de ciberdefensa y ataque se ha vuelto decisiva. Varios actores internacionales llevan a cabo ciberataques reales para obtener información y evitar represalias también gracias a las conocidas dificultades de atribución. A veces, la evidencia de tales ataques parece apuntar a un solo país, pero ¿es posible que las pistas se dejen con la intención de culpar a un país enemigo?

La atribución de la responsabilidad de los ataques en el ciberespacio es de hecho muy complicada, si no casi siempre imposible. Todo sucede en muy poco tiempo, no existen barreras naturales que inhiban determinadas acciones, no existen defensas efectivas para los activos digitales, a menudo no hay señales de advertencia.

Precisamente por eso el ciberespacio es la nueva frontera de la guerra, donde cada día se enfrentan diferentes tipos de actores, actores que van desde gobiernos nacionales u organizaciones progubernamentales hasta ciberdelincuentes que actúan con fines de lucro, o desestabilizadores; Los escenarios de ataque cambian radicalmente el rostro de los tradicionales, y las operaciones cibernéticas se pueden realizar y activar de forma repentina y con muy pocas señales de advertencia. No hay más ejércitos reunidos, evidencias de operaciones o movilizaciones en las fronteras de los estados, trayectorias de misiles por identificar, aviones despegando o naves partiendo, todas las actividades de preparación y reconocimiento se llevan a cabo en la sombra y anonimato de la ciberespacio, y el ataque es imposible de detectar.

Hay guerras cibernéticas en este teatro de operaciones que han estado sucediendo durante años; por ejemplo, India y Pakistán se han enfrentado en el ciberespacio durante más de 20 años, Rusia y Ucrania también se han enfrentado en ese frente y Estados Unidos, Israel y Arabia están usando armas cibernéticas contra Irán (y viceversa), recientemente hemos Operaciones chinas contra otros países, Rusia Australia, etc.

En las listas de los países mejor preparados para hacer frente a los ciberataques siempre encontramos a Estados Unidos, Israel pero también países de la zona del Pacífico, además de Rusia y China.

Asignar las responsabilidades de un ciberataque es un proceso complejo que va más allá de la mera identificación de los sistemas fuente del ataque, también porque estos sistemas, quizás pertenecientes a un país, pueden haber sido a su vez objeto de ataque y compromiso por parte de otro país y por tanto. Calle. Las herramientas y técnicas de ataque se analizan principalmente, lo que a menudo puede conducir a unos pocos o a un solo agente de amenaza y, por lo tanto, aunque sea aleatorio, una atribución de operaciones puede ser al menos arriesgada. Y obviamente sí, dado que se conocen estas técnicas y herramientas, es posible que algunos ataques se realicen simulando que son realizados por agentes de amenazas vinculados a otros países con el único fin de responsabilizar al mismo del ataque. en un escenario de ciberdiplomacia que se suma al tradicional.

El Centro de Estudios del Ejército lanzó hace mucho tiempo un estudio sobre las capacidades cibernéticas del ejército italiano y ha involucrado a instituciones y empresas en su trabajo. Leonardo es parte integral del grupo. ¿Qué papel podría jugar Leonardo en el modelo global de detección y respuesta deseado por el CSE?

Leonardo es un socio histórico de defensa en todos los sectores, no menos en Cyber ​​Security. Recuerdo los primeros programas Cibernéticos, el CERT del Ejército y las Capacidades de Ciberdefensa basados ​​en el marco de la OTAN del entonces C4D que datan de 2010, ahora estamos hablando de hace casi 10 años, con los que se implementaron las primeras capacidades de detección y respuesta, con todas las evoluciones posteriores hasta la realización de una capacidad operativa completa y la implementación de capacidades dentro del CIOC para planificar y realizar operaciones en el nuevo dominio cibernético. La división de Ciberseguridad también ha colaborado con las Fuerzas Armadas en la creación de importantes capacidades cibernéticas, especialmente el Ejército y la Armada. Leonardo también ha alcanzado la capacidad operativa total de la OTAN mediante la implementación del NCIRC, el Centro de respuesta a incidentes informáticos para todas las oficinas y países de la OTAN.

Sin embargo, Leonardo está presente de manera importante en el mercado italiano de ciberseguridad también en el sector civil, principalmente en el gubernamental donde se le adjudica el CONSIP SPC Cloud Lot 2 - Security framework Agreement, a través del cual se brindan servicios de seguridad administrada y servicios profesionales a todos. Administraciones públicas centrales y locales que lo soliciten. También está presente en el sector privado de Infraestructuras Críticas y Grandes Empresas, donde Leonardo presta servicios a grandes empresas de los sectores de Oil & Gas, Energía, Utilities y Transporte.

En los últimos años, Leonardo ha invertido mucho en desarrollos relacionados con la inteligencia de amenazas en el campo cibernético, dotándose de sus propias herramientas tecnológicas desarrolladas internamente para la investigación y el análisis en la web utilizando el paradigma OSInt (Open Source Intelligence). Además, el Leonardo Security Operation Center, activo desde 2007, uno de los primeros proveedores italianos de servicios de seguridad gestionada en el mercado, proporciona servicios de inteligencia a través de esta plataforma en total sinergia con los más tradicionales de Cyber ​​Security. En el campo de la seguridad de las comunicaciones, Leonardo tiene una presencia histórica habiendo trabajado y proporcionado productos y servicios tanto en los dominios de cifrado para información clasificada como en el campo de las comunicaciones profesionales seguras utilizadas por los servicios policiales y de emergencia. Por último, pero no menos importante, Leonardo es una empresa totalmente italiana propiedad del Estado, lo que la coloca en una posición especialmente privilegiada para ser el actor de referencia de la ciberseguridad italiana en los mercados militar y civil.

Si para las operaciones dentro del dominio cibernético el papel predominante debe ser desempeñado por el COR recientemente establecido, también es cierto que cada fuerza armada, siguiendo el concepto de Capacidad habilitada por la red (NEC), debe ampliar sus capacidades utilizando herramientas cibernéticas para apoyar las operaciones tradicionales. . Por lo tanto, no se trata únicamente de operaciones cibernéticas, sino de tecnologías cibernéticas para respaldar operaciones en dominios tradicionales.

Por lo tanto, Leonardo puede poner a disposición del Ejército, pero también de las otras fuerzas armadas, todas las capacidades y conocimientos relacionados con la seguridad adquiridos en los últimos años en los campos militar y civil, y apoyarlo en la adquisición de esas capacidades cibernéticas que aún no se han implementado plenamente.