SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Fugas de información

El mundo ha cambiado. Hace un tiempo sustraer un activo de una organización implicaba llevárselo materialmente. Algunos se llevaban material de oficina (folios, grapas, etc.), otros documentos confidenciales originales o fotocopiados. En la actualidad, los datos y la información que manejan las empresas son activos muy valiosos y no es necesario esconderlos en la chaqueta cuando el jefe no mira para robarlos. La información se puede enviar por correo electrónico, mensajería instantánea, subir a una página de Internet, imprimir o copiar en un dispositivo de almacenamiento USB o de multitud de otras maneras inventadas o por inventar.

¿En qué consiste la tecnología DLP (Data Loss Prevention)?

La tecnología DLP tiene como objetivo identificar, monitorizar y proteger los datos de una organización. Los datos pueden ser tratados por usuarios en sus estaciones de trabajo (data in use), pueden transmitirse (data in motion) o pueden ser almacenados (data in rest). En estos tres escenarios se centra la DLP.

En la monitorización de datos en uso se realiza habitualmente mediante la instalación de agentes en las máquinas que se desea proteger. Estos agentes controlan especialmente el acceso a datos, su copia en soportes móviles como dispositivos USB y su impresión en papel. Por ejemplo, un software DLP podría bloquear la impresión de un documento si en él aparecen más de un número determinado de CIFs.

La monitorización de datos que se transmiten se realiza interponiendo un dispositivo o un software que inspecciona los paquetes en la red en busca de patrones y determina si la comunicación está autorizada o no. Algunos protocolos habitualmente soportados son SMTP, HTTP, HTTPS, FTP y Telnet. Por ejemplo, Si un trabajador malintencionado trata de conectarse a su correo corporativo y enviarse a una cuenta externa (Hotmail, Gmail…) documentación confidencial, de manera no autorizada, el software DLP podría bloquear la transmisión, loguearla y generar una alarma o encriptar el fichero para que no pudiera leerse fuera de la organización.

La monitorización de datos almacenados se realiza mediante un módulo que “navega” por los repositorios de datos de la organización en busca de patrones. Inicialmente esto puede ser computacionalmente costoso pero tras el primer análisis pueden realizarse análisis diferenciales para reducir el tiempo de procesado. Como ejemplo, el módulo de descubrimiento de data in rest podría navegar por los recursos compartidos de la organización, identificar si existen ficheros de nóminas fuera de la jerarquía de carpetas de recursos humanos, loguear la incidencia y mover los ficheros a su lugar correcto.

La característica fundamental de la tecnología DLP frente a otros servicios/productos de seguridad es su capacidad de entender los distintos protocolos y formatos de archivo e inspeccionar en el contenido de los datos que se usan, transmiten o almacenan, determinando si la acción que se está realizando cumple la política de seguridad de la organización.

Otros términos para DLP son: Data Loss Protection, Data Leak Prevention/Protection, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF), Information Protection and Control (IPC) , Extrusion Prevention System, Data exfiltration y data leakage protection.

Tipos de DLP

Aunque las soluciones DLP tienden a ser completas y cubrir todos los frentes podríamos hacer una subcategorización de la siguiente manera:

DLP de red

Son típicamente sistemas dedicados que monitorizan el tráfico de red en busca de movimientos de datos no autorizados (data in motion).

DLP basados en host

Estos sistemas se ejecutan en los PCs de trabajo, portátiles o servidores. Pueden monitorizar y controlar el acceso a los dispositivos y soportes móviles (como pendrives) y en algunos casos pueden acceder a los datos antes de que se encripten. La desventaja es que deben instalarse en todos los sistemas de la organización que tengan acceso a la información que queremos proteger.

Identificación de estructuras de datos

Una de las características fundamentales de la tecnología DLP es su capacidad para identificar tipos de datos determinados. Para ello, se utilizan distintas técnicas y estructuras de datos como diccionarios, palabras clave o expresiones regulares.

Un indicador de la calidad de una herramienta DLP es su precisión en la identificación de estos patrones y en la cantidad de falsos positivos y negativos que se detecten en este proceso. Para ajustar mejor la identificación, algunas soluciones DLP permiten que los patrones se enmarquen en un contexto determinado de manera que si se encuentra un tipo de datos en determinado lugar, por ejemplo durante el uso de una aplicación concreta, sea normal y no genere una alarma, pero si se descubre el mismo tipo de datos en otra aplicación, sí que active una alarma. Al mismo tiempo, el software DLP debe permitir incluir y excluir la identificación de determinados patrones en determinadas carpetas o ficheros.

Generalmente, los productos DLP en el mercado se venden con gran cantidad de patrones predefinidos que pueden ajustarse a los requerimientos de seguridad de la organización, pero también permiten añadir otros patrones necesarios.

Otra característica a tener en cuenta de un DLP es la cantidad de formatos de fichero que entiende y cuyo contenido puede analizar. Si una herramienta DLP no entiende un formato detarminado, aun es posible monitorizar el uso de determinado fichero. Por ejemplo, de igual modo que las soluciones de integridad del sistema de ficheros, podría generarse un hash de todo el fichero y comparándolo con los hashes de otros ficheros que se transmitan, usen o almacenen.

¿Cual es la relación entre DLP y la ISO 27001?

Las herramientas DLP implementan una serie de medidas de seguridad que pueden enlazarse con controles concretos de la ISO 27001. Su objetivo primordial es mejorar la seguridad en una organización y por ello su integración en el proceso de implantación de la norma siempre incrementa el valor de la ISO. El despliegue de una solución DLP y el establecimiento de unas políticas de control implica una responsabilidad interna, un mantenimiento, control y supervisión. Durante la auditoría de certificación de ISO 27001 el auditor verificará que las políticas de la empresa se cumplen por lo que una política abandonada o un DLP que no se supervisa cuando se supone que debería estar haciéndose sí que podría suponer un problema para la certificación.

La tecnología DLP está muy relacionada con la protección de los distintos niveles en que se clasifica la información de una organización ya que uno de los objetivos de la tecnología DLP es permitir forzar el cumplimiento de la política de clasificación de la información.

Algunos aspectos a valorar en la elección de una solución DLP

Monitorización vs prevención
Gestión centralizada
Requerimientos de almacenamiento
Facilidad de despliegue e integración

Monitorización vs prevención

Siguiendo las mismas pautas que los IDS (Intrusion Detection Systems) vs IPS (Intrusion Prevention Systems), las herramientas DLP pueden funcionar en modo monitorización y en modo prevención. En modo monitorización la herramienta realizará acciones principalmente de logueo y otras que en ningún caso puedan interrumpir la ejecución normal de las aplicaciones. En modo prevención, la aplicación DLP bloqueará determinadas acciones en función de la política de seguridad de la empresa.

Es recomendable, por tanto, que el software DLP que despleguemos esté ejecutándose en modo monitorización unos meses antes de de pasar a modo prevención. En este segundo modo el software se comporta de manera proactiva bloqueando comunicaciones. Esta recomendación surge de la necesidad de depurar y refinar adecuadamente los patrones de detección y las políticas de seguridad de la empresa para evitar denegaciones de ejecución de acciones legítimas.

Hay que tener en cuenta que una tecnología DLP que monitorice el software e interrumpa comunicaciones sospechosas, por ejemplo en el caso del correo, puede afectar a su disponibilidad, y en algunos negocios el mail es una vía de comunicación crítica.

Gestión centralizada

La gestión centralizada es uno de los puntos fuertes de las soluciones DLP. Debe existir una consola central desde la cual la empresa gestione la política de seguridad. Todos los módulos deben acceder a esta base de datos central para recabar las directrices de la política de seguridad de la empresa.

Algunas acciones que deberíamos poder realizar desde este panel central son:

• Creación y aplicación de políticas
• Activación de medidas técnicas de seguridad
• Generación de informes
• Aplicación de filtros

Requerimientos de almacenamiento

Muchas soluciones DLP son software aunque algunos proveedores también desarrollan y distribuyen appliances. En el caso de appliances, el espacio de almacenamiento de los posibles logs generados puede estar planificado. En el caso de soluciones puramente software, debemos contemplar las necesidades de almacenamiento que tendremos y su eficiencia.

Facilidad de despliegue e integración

Es importante que la solución DLP que escojamos nos aporte flexibilidad para la integración. En ocasiones es viable instalar agentes en determinados servidores, en otras ocasiones no. Igualmente se debe valorar la posibilidad de integración con otras herramientas de seguridad ya desplegadas. Por ejemplo, algunas soluciones DLP pueden ser detectadas como software malintencionado por algunos antivirus, lo que podría ocasionar un quebradero de cabeza a la empresa si no se detecta en preproducción.

Otras características interesantes

• Motor antivirus integrado
• Resolución automática via encriptado, puesta en cuarentena, bloqueo o notificación en el caso de correos con información confidencial no autorizada.
• Capacidad de mover un fichero que se encuentra en un lugar no autorizado a un lugar seguro.
• Uso del servidor LDAP/Active Directory para identificar a los usuarios.
• Asignación de gravedad a los incidentes detectados.
• Búsqueda de características adicionales de los usuarios en el LDAP o el AD.
• Asignación inteligente de la incidencia dependiendo del infractor.

Informes

Los informes son la ventana que nos permite acceder a la información que nos interesa. Sin informes, solo tenemos datos y logs en bruto que acabarían por no revisarse. La solución DLP que escojamos debe permitir configurar informes cuanto más completos mejor:

• Informes de conformidad
• Resúmenes ejecutivos
• Dashboard
• Indicadores

Conclusiones

Una solución DLP puede cubrir necesidades de seguridad importantes en las empresas. En los momentos que nos encontramos, la información es clave y las organizaciones no se pueden permitir el privilegio de tener fugas no controladas. De momento, las soluciones DLP existentes no son triviales de desplegar y requieren de personal especializado para su integración en la organización. Respecto a la ISO 27001 podríamos decir que la implementación correcta de una solución de este tipo nos permitiría iniciar un proyecto de implantación con muy bien pie, especialmente en cuanto a controles técnicos.