Esquemas de Seguridad para usuarios de TacticaSoft

Si bien esta entrada está motivada por comentarios que leemos en grupos de usuarios de TacticaSoft – Tactica Software, software del cual somos usuarios y consultores, además de integradores de sistemas, aplica a cualquier Pyme que tenga datos valiosos que proteger ó emplee sistemas tipo CRM/ERP.

Hace más de un año, posteamos un artículo sobre aspectos de seguridad, abordando específicamente la oleada de “ransomwares” que impactaron en nuestras latitudes.

Pasó el tiempo. Muchos responsables de empresas comprendimos que aunque se tratase de una Pyme ignota, de un país de gravitación cuasi nula en aspectos de guerra informática, estábamos expuestos a ataques, no sólo porque la detección de vulnerabilidades mediante “bots” no distingue razas, ni credos ni posición geográfica, sino porque además, para quienes se dedican a estas actividades piratas, siempre es un negocio MARGINAL altamente redituable extorsionar a quien sea.

Para ellos aplica la teoría del “cajón de oro” de una famosa bebida cola azucarada que sabe perfectamente, que una vez que se tienen los todos los recursos en producción y una producción estable, hacer un cajón de bebida extra tiene un costo cuasi cero, sólo insumos de costos despreciables y el resto es utilidad pura.

Bajo esta óptica, el desarrollo del malware ya está amortizado, lo que ganen es negocio. Podrán extorsionarnos con U$S 6.000 para “devolvernos los datos encriptados”, pero ante una negociación pueden bajar a U$S 1.500… todo suma y van a intentar que paguen. Esto será así al menos la primera vez, sí leyó bien, la primera vez, porque habrá más y la negociación será cada vez más dura ¿confía en que el pirata le va a dar una solución y no va a quedar totalmente expuesto a un nuevo ataque?

Una Pyme en Argentina recibe más de 400 ataques promedios al año de malwares diversos, lo vemos en nuestras consolas. A pesar de esta realidad todavía cuesta comprender lo siguiente:

1) El esquema de seguridad no es un antivirus solamente, no es un firewall solamente. Hablamos de un diseño INTEGRAL, ajustado a cada empresa.

2) Los ataques buscan el eslabón más débil, llámese bug (fallas de soft), backdoor (puertas traseras dejadas por “error”), ingeniería social (trampas para que un incauto haga “click”) ó lo que sea, pero rara vez van a buscar múltiples formas de entrada y múltiples formas de propagación a través de múltiples dispositivos y de múltiples softwares. Es un tema de complejidad, esfuerzo y combinatoria matemática.

El primer punto se explica per se. El esquema de seguridad debe cubrir todos los aspectos que tienen que ver con la seguridad perimetral, la propagación y la ejecución. Debe observarse toda la infraestructura IT y cada sistema en particular.

El segundo punto surge del sesgo que se le quiera dar a un ataque y lo que manda es la ley del mínimo esfuerzo, es decir quien desarrolla un malware va a buscar que el ataque sea efectivo y redituable en forma rápida con el menor esfuerzo de diseño posible.

En nuestro caso detectamos que los ataques de ransomware se dan, en su ingreso generalmente por fuerza bruta, sobre todo cuando se disponen de accesos remotos (escritorios remotos o similares) y en menor medida malware e ingeniería social. Luego se propagan por gusanos- Para la ejecución y acción mayormente que la la selección de los archivos a encriptar parece ser ejecutada por un algoritmo con cierto grado de inteligencia ó más barato, por una persona que interviene puntualmente al efecto. Generalmente el ataque en nuestro país, tiene lugar en una banda horaria de viernes a la noche/sábado de madrugada. Sospechamos firmemente de la intervención humana en algunos ataques, donde prácticamente se pierden los rastros.

Ese es por el motivo que afirmamos y podemos demostrar que tener la misma marca de equipos, ó todos los sistemas operativos sean de una mismo desarrollador ó emplear sistemas de seguridad que tienen el hardware asociado a la protección de terminales (antivirus asociados a firewalls y hardware propio)… suele ser esquemas defectuosos que ante una vulnerabilidad nos deja totalmente expuestos.

El tema da demasiado para hablar, pero para ir cerrando la idea les comentamos algunas premisas básicas de seguridad, que proponemos y ajustamos según el perfil de cada empresa:

1) Routers preferentemente de marcas que no sean similares a los switches ni accesos wireless (manteniendo performance).

2) La seguridad se implanta desde la red y los accesos: Passwords seguras, encripción, establecer VPNs (para evitar infiltraciones) y VLANs (redes virtuales en la propia LAN para aislar), más políticas de seguridad en accesos inalámbricos… y algunos detalles similares.

3) Prevención básica, realizar traslados de ports, direcciones y todas las reglas básicas de firewalling y tablas que prevean los ataques más comunes (como el spoofing).

4) Credenciales de Acceso para usuarios y trabajar con esquemas de Dominios (Active Directory que se pueden implementar bajo sofware Libre), que limiten acciones y recursos, según función.

5) Servidores, montados sobre entornos MIXTOS de software (mezcla de sistemas), empleando Linux (donde aplique) que además redundará en el beneficio de acotar costos de Licencias.

Nota aparte, recordemos que Linux no es infalible a los efectos de seguridad, pero cumple una premisa básica de seguridad: nada en linux se autoejecuta sin que el “root” lo haga. En un entorno de esta naturaleza el malware puede llegar a transitar, pero no puede ejecutarse por sí mismo.

6) Trabajar con virtualización de servidores, dado que este esquema facilita la vuelta a la operación ante cualquier contingencia, además de los beneficios propios de asignación de recursos físicos.

7) Establecer dispositivos redundantes en red para respaldos de información (NAS) y si es posible respaldar además la información crítica en la nube.

8) Emplear software de seguridad que trabaje sobre todos los terminales y archivos y que proteja también contra ransomware, una amplia variedad de malware, posea firewall para la PC terminal y reporte los eventos a una consola centralizada. No es el antivirus clásico y además, el soft de protección debe ir con licencias ORIGINALES.

9) Mantener todo el software ACTUALIZADO, siempre recomendamos estar legales (no es necesario para ello pagar fortunas). Nuestra próxima entrada hablará sobre este tema.

10) Comunicar y capacitar a los usuarios, para que no incurran en acciones de ingeniería social. Evitar trampas y evitar navegar en sitios de confiabilidad dudosa.

Siguiendo estas premisas y sumando una protección paraguas a modo de servicio, que monitoree tráfico, ataques, estados de ejecución de backups, caídas de nodos etc. podemos afirmar que:

a) Es muy baja la probabilidad que su red sea infiltrada si cumple con todos esos lineamientos, de hecho no tenemos casos de ocurrencia de ataques extorsivos en empresas protegidas de esta forma.

b) Como todo “puede fallar” (no existe el 100% de probabilidad de éxito) como decía un conocido personaje de TV, si hubiese alguna infiltración, los datos no se perderían y el tiempo inactivo sería mínimo, manteniendo la continuidad operativa.

La buena noticia es que TODO ESTO SE PUEDE APLICAR EN UNA PYME, a costos muy razonables.

CONTACTO