Security Automation: The end of the InfoSec Professionals?

Fear, one of the most powerful drivers of all time. Movies, novels, companies, even I had the unfortunate chance to hear the following phrase directed to a coworker: " I can replace you with a script and I will save money".
Automation is the new catchy word in the industrial environment, we see it everywhere: in car factories, coal mines, banks, even in the airports where tasks related to security are being transferred to automatic tellers. But is this suitable for all commercial environments?, the answer is partially.
Humans are valuable (not costly as some executives like to view them) by their decision making capabilities and a new evolution process has been taking place all over the world, thinking people are getting hired, and mechanical people are getting displaced. It is not a matter of justice nor survival, it is a matter of cost vs profit.

Is automation in security viable?

Yes it is but in a partial way, everyday hackers all over the world bypass security controls designed and maintained by fellow humans, automated systems are predictable (which is a terrible word in the business), we can automate tools and monitors but security intelligence? that's not automatable.
No matter how complex is the algorithm (computer process), the fact that all possible routes are programmed means there will be a thousand ways to bypass it, human ingenuity and logic is paramount to stop cybercriminals.

Don't take me wrong, every company should invest in security means and tools to aid the process and some automation is necessary to analyze the tens of thousands of transactions the average enterprise performs daily, but every machine, every analyzer in the market will depend on search patterns and every search pattern will cause a situation known to security professionals: false positives and negatives.

A false positive is an event which triggers an alarm but is not a situation worthy on it, like a common employee performing a click on a file he is not authorized to and not getting access.

A false negative is a situation where the alarm should be triggered but it is not like the employee in question getting access to the file he has not been authorized to read/change/delete.

These factors are part of the everyday work of a cybersec engineer and a great deal of our training, human instincts become the differentiator to detect the anomalous behavior.

Then what can automation do?

 To detect these factors which allows us to identify the possible intrusions, we would have to manually check  all servers under our watch. which would severely raise the amount of people involved, instead the security orchestration tools allow us to see the activity in various fronts even in a graphical way enabling a major coverage on our duties.
In words of Eran Barak, CEO and Co-Founder, Hexadite: "All of these security automation technologies free up overtaxed security resources, allowing security teams to be less focused on mundane – but essential – tasks, and more focused on strategic initiatives that will make their organization more secure. " [1]
Automation needs to be seen as a tool and as any tool it is only good for the person trained to use it, we cannot expect to take in someone trained to be a network technician and takeover cybersec whithout so much than a manual.

Resources

https://www.securityweek.com/five-steps-security-automation
https://www.dflabs.com/blog/security-automation-vs-security-orchestration-whats-the-difference/
https://www.darkreading.com/operations/the-best-and-worst-tasks-for-security-automation/d/d-id/1332074
https://www.helpnetsecurity.com/2019/04/16/it-security-automation-skills/
https://www.information-age.com/staff-skill-shortages-security-study-123473231/

[1]. Explaining security automation and its evolving definitions, Network World September 2016

https://www.networkworld.com/article/3121275/explaining-security-automation-and-its-evolving-definitions.html

Information Security, Why is it so necesary?

Uso del Change Manager para Auditoría de Bases de Datos

La auditoría de Bases de Datos es una etapa importantísima del control interno y básica para mantener la seguridad de la información en la empresa.

A continuación voy a explicar parte del proceso más popular de hacerlo y el porqué del mismo.

En la mayoría de las empresas tenemos por lo menos 2 ambientes de base de datos: Desarrollo y Producción (en algunos casos se mantiene un tercer ambiente llamado pruebas).

El ambiente de producción es el ambiente estable y comprobado en el que se basa nuestro sistema y en el que dependemos para nuestras operaciones día a día.

El ambiente de desarrollo es el ambiente donde haremos los cambios que evolucionaran nuestro ambiente de producción.

Cada vez que se decide hacer una serie de cambios al ambiente de producción debido ya sea a nuevos procesos o evolución de funciones, éste debe de hacerse y probarse en el ambiente de desarrollo; una vez probado y refinado se puede considerar la implementación al ambiente de producción.

En los ambientes de bases de datos, tanto como en el ambiente de desarrollo de aplicaciones, no existe una estructura inmaculada y la base de datos puede cambiar varias veces por lo que una cultura de versionamiento es altamente recomendada.

Este proceso hace que la tarea de transformar exactamente la versión del ambiente de desarrollo a producción sea invaluable.

Esta explicación modela la primera circunstancia en la que el Change Manager de Embarcadero demuestra su utilidad para la empresa y para el ahorro de tiempo de los DBA.

El Change Manager compone 5 tareas básicas:

1.       El versionamiento de la configuración del motor de base de datos: ésta tarea nos permitirá guardar un documento con los valores del motor, tamaño de buffer, variables de sistema y demás.

2.       El versionamiento de los esquemas de la base de datos: ésta tarea nos permite respaldar la estructura de las tablas que le permitamos, así como el sql para reconstruirla desde cero.

3.       La comparación de la configuración del motor ya sea entre dos servidores en vivo o con un respaldo hecho con el change manager, lo cual nos permite ver las diferencias asi como el DDL necesario para transformar la versión destino a una copia perfecta de la versión fuente.

4.       La comparación entre esquemas de bases de datos ya sea en vivo o contra un archivo de versión hecho en Change Manager, éste proceso crea un informe de todas las diferencias y la codificación sql para implementar las diferencias e igualar los esquemas.

5.       La comparación de datos entre tablas idénticas en servidores en vivo diferentes, ahora ésta funcionalidad no solo permite la comparación, sino que también permite la sobreescritura de los datos y su enmascaramiento.

El enmascaramiento de los datos es una herramienta moderna para problemas modernos, en una sociedad empresarial con cada vez más costos, el uso de terceros para el desarrollo de nuevos procesos es imperativo, asimismo la protección de los datos, así que aunque nuestros desarrolladores requieren de una carga de datos similar a la de producción no necesariamente significa que le demos los datos exactos de nuestra BD, asi que podemos ocultar los datos que sean críticos de negocio y ofuscar los otros en los que su análisis pueda ser contraproducente, dando así una base de datos de desarrollo la cual sólo representa la cantidad de datos sin mostrar una imagen exacta de los movimientos en producción.

La ingenuidad y utilidad de una herramienta que hace bien su trabajo son las ventajas competitivas que ofrece el Change Manager de Embarcadero y recomiendo efectivamente su prueba para éste tipo de tareas en su empresa.

Ideas para la auditoría de Sistemas

La auditoría de sistemas es un tema que puede llegar a ser complejo en la empresa, como todo tópico tiende a ser abordado desde distintos puntos de vista y no deja de ser válido el aspecto técnico contra el aspecto administrativo.

Desde el aspecto administrativo se esperan tener números que demuestren la efectividad de las reglas tomadas y de los ahorros conseguidos.

El aspecto técnico implica la rapidez de las tareas y los ahorros de tiempo para permitir el hacer otras tareas.

Los gerentes esperan de sus jefes técnicos la generación de simulaciones con lo que costaría en tiempo vs dinero invertido vs posible impacto para asegurar la necesidad de fondos para sus actividades, es parte de su set de conocimientos y necesidades.

Para los Jefes Técnicos es implícita esa necesidad y es difícil el concepto de generar aún mas trabajo para las actividades críticas del negocio.

Los dos lados de la moneda son difíciles de conciliar pero no imposible, varias instituciones han diseñado modelos de gobernabilidad de TI basados en las diferencias de conceptualización, convirtiendo tareas criticas en métricas medibles.

Para una persona técnica a veces es complicado el convertir las posibilidades de desastre en algo cuantificable, tan sólo la pérdida o corrupcion de datos parcial implica una investigación costosa y una posible pérdida monetaria y de confianza.

La comparación de cambios, el seguimiento, la responsabilidad documentada  y una adecuada política de proceso ayuda a reducir la posibilidad de factores impredecibles, por otro lado permite una rápida recuperación ante accidentes.

Es importante para todos los responsables en una empresa  el involucrarse y tratar tanto de comprender a sus colegas como el facilitar la comprensión de sus responsabilidades para mejorar la eficacia de los procesos en la empresa.

Actualidad 101 o como nuestros datos se interconectaron

Actualidad 101 o como nuestros datos se interconectaron

Hace tan solo 20 años la mayoría de nuestros datos (por lo menos en América Latina) eran compilados en papel y almacenados en archivos (cajas físicas) de metal, los procesos para tener acceso a esa información estaba diseñado como todo en esa época en acceso físico, asimismo las personas que entraron en esa época a trabajar fueron entrenados con esa mentalidad.

Poco a poco, conforme las computadoras fueron convirtiéndose en las herramientas que son hoy en día,  la información fue transfiriéndose a archivos digitales, pero no se conectaban a las computadoras entre sí, de manera que mantenían un estatus similar al archivo físico en cuanto a que se necesitaba acceso a la máquina específica que contenía los datos y generalmente se imprimían ya que no había otro proceso diseñado para utilizarlos más que en su forma física.

Ahora las computadoras y oficinas están interconectadas, y además de entre ellas, la mayoría está también conectada a la autopista de la información: Internet.

Lamentablemente un hecho olvidado por el personal entrenado en la época donde no existía ésta interconexión es el hecho de que internet es una autopista de dos vías.

Ventajas de la interconexión

La interconexión con internet presenta una forma barata y comparativamente eficiente de enviar archivos y mensajes a colegas en otras partes del mundo.

Acelera el intercambio de información permitiéndonos ser más eficientes y tomar decisiones informadas en un lapso de tiempo menor.

Nos permite consultar más fuentes de contenido y hacer investigaciones más profundas en menor tiempo.

Desventajas de la interconexión

Es más difícil mantener la privacidad de los datos que utilizamos día a día, existen cientos de personas en el mundo que hacen de su trabajo el investigar sobre personas y empresas buscando la manera de acceder a los datos privados, la seguridad ya no se limita a poner un guarda o colocar cámaras, éstas conexiones son invisibles y necesitan aparatos de análisis de conexión y cortafuegos (firewalls) para detener a éstas personas y proteger los datos.

Como se conectan éstas personas a mis datos, la computadora del trabajo y/o al servidor de almacenamiento?

La respuesta es simple y concisa, de la misma manera en que usted lo hace!

Las personas que intentan éste tipo de operaciones tienden a ser gente con gran conocimiento técnico y acceso parcial o total al ambiente de alguna manera, sea física o digital.

Se empieza por analizar a la empresa ya sea de manera remota: utilizando programas de análisis de vulnerabilidades o colocando programas de análisis de tráfico. O de manera física: haciendo ingeniería social, colocando aparatos de bitácora de teclas (keylogers), analizando el contenido de los cubículos (claves escritas en papel, fotografías y demás).

La meta es lograr algún nivel de acceso a los archivos de la compañía y determinar si tienen algún tipo de valor monetario para alguien y ofrecerlo al mejor postor.

Es responsabilidad de cada persona de seguir los comportamientos de seguridad recomendados para evitar el robo de información en la empresa o en su hogar.

Conceptos administrativos de la gestión de seguridad en la empresa

Desde el punto de vista de seguridad de la información hay muchos conceptos que pueden sonar conflictivos y confusos al compararse con sus contrapartes y que dependen del contexto de la arquitectura de servicios implementada.

Una infraestructura bien definida es dividida en capas para controlar el acceso tanto interno a información privilegiada como externo a la red entrante y saliente, esto se hace para delimitar la cantidad de puntos críticos que permitan el acceso. La idea es simple, hay que mantener el servicio sin abrir demasiados nodos, muchas empresas utilizan clusters como gateways de salida para que aunque son reconocidos como un solo servidor en caso de que falle cuenta con un respaldo que tiene su misma configuración.

¿Qué tiene esto que ver con la gestión de la seguridad?

Uno de los aspectos más importantes de la gestión es el llamado “Inventario de activos”, el cual identifica la configuración, nivel de parches, software instalado, función, nombre del nodo y demás detalles relevantes. Este documento es la guía para todo lo que hay que actualizar en la infraestructura tecnológica y es compuesto por varios procesos:

Inventario Físico: es la toma física de recursos, ejemplo: el registro de servidores, monitores y demás activos físicos de la empresa asimismo comprende la configuración de cableado utilizado.

Inventario lógico: es el registro de las funciones de cada nodo y la configuración recomendada así como el nivel de parche recomendado.

Auditoría de vulnerabilidad: se utilizan herramientas de ataque de penetración para comprobar vulnerabilidades conocidas y sus arreglos

¿Por qué agrego la auditoría de vulnerabilidad entre los procesos que componen el Inventario de Activos?

Todos los días se descubren nuevas vulnerabilidades a los sistemas más utilizados comúnmente denominadas como “0-day”, estas vulnerabilidades son publicadas y no se limitan a los sistemas operativos, pueden afectar a gestores de contenido como Joomla y Wordpress, incluso el firmware de ciertos firewalls.

La auditoría de vulnerabilidad es un proceso que debe hacerse periódicamente para evitar que una de estas vulnerabilidades descubiertas sea utilizada por algún operador malicioso y cerrar cualquier agujero.

De identificarse una situación donde un ataque constante o focalizado es importante implementar un protocolo de auditoría de vulnerabilidades enfocándose en las vulnerabilidades atacadas, es importante garantizar la impermeabilidad en contra de éstos ataques y la seguridad de la información de la empresa.

Es extremadamente importante mantenerse al día con la protección que le damos a nuestra empresa y una infraestructura adecuada es la mejor manera de hacerlo de manera eficiente.

Ley de protección de datos personales en Costa Rica

La ley de protección de la información de Costa Rica es una ley bastante completa que se nota fue desarrollada a partir de los principios de seguridad de la información.

Aunque la ley demuestra bastante madurez, las personas siguen incumpliendo sus estatutos, siguen dándose casos de robo de información, publicación indebida de información privada sea ésta en forma de información escrita o imágenes.

Básicamente muchos de éstos casos se dan por la ilusión de anonimidad que dan los medios digitales, el principio de que se puede hacer lo que se quiera siempre y cuando no sea descubierto haciéndolo, está muy arraigado y podría decirse que hasta está institucionalizado.

Vemos éste comportamiento a todo nivel debido principalmente al alto costo que implica un proceso judicial                 contra la compensación real obtenible, la necesidad de utilizar un abogado y pagar por el desde que empieza el proceso, la duración del mismo y los métodos de pago utilizados son elementos que no incentivan la búsqueda de justicia utilizando los métodos convencionales.

Asimismo existe una desconfianza en los métodos de investigación de casos de robo de información debido al alto nivel de sofisticación de los mismos y a que muchas veces dependen de que el responsable confiese públicamente su participación ya sea a propósito o inadvertidamente, la demostración del responsable del acto criminal es difícil y costosa tanto en tiempo como financieramente.

La poca preocupación de las personas por la seguridad de su información hace de la determinación del responsable del robo una tarea poco menos que imposible, el uso de tarjetas de memoria sin encriptar y el descuido con aparatos facilitan la tarea de los delincuentes tanto profesionales como ocasionales.

 La internet es una sub-sociedad basada en demostraciones gráficas de osadía y atrevimiento, los actos que desafían las leyes y la seguridad propia y ajena tanto física como la de su reputación, no es secreto que hay un grupo de personas que se ganan la vida tomando fotografías de las personas y violando su intimidad.

Es imperativo crear una cultura basada en la seguridad, que inste al ciudadano común en las costumbres que harían más difícil el robo de información y por ende les daría una mejor posición en contra de éstos delincuentes.

La cultura a crear debe tomar por ejemplo comportamientos como los siguientes:

·         El uso de programas de encripción en nuestros sistemas de almacenamiento de datos

·         Usar claves de acceso para el uso normal de nuestros aparatos, asimismo el registro de los mismos e inutilización en caso de robo

·         El uso de certificados de seguridad en nuestras comunicaciones para evitar la lectura no autorizada.

El depender de la ley para evitar nuestra responsabilidad solo aumenta el problema, nuestras leyes presentan el mismo fenómeno que nuestra sociedad, somos excelentes en el planteo de la solución pero tenemos problemas de ejecución que debemos enfrentar.

La seguridad de nuestra información es nuestra responsabilidad y no podemos dejársela a un tercero.