He trobat un article interessant sobre seguretat en la web del Bruce Schneier que he resumit. Tracta com gestionar respostes davant de incidències en seguretat.

Comenta que la seguretat és una combinació de protecció, detecció i resposta. Ha portat molt temps a la indústria del software arribar a aquest punt. Els anys 90 eren l'època on tot era protecció, hi havia un munt de productes que es dedicaven a protegir els equips i la xarxa. Al 2000 ja es va assumir que calia normalitzar la detecció, i van aparèixer un munt de productes de detecció.

Actualment estem en la dècada de la resposta, estan apareixent productes per gestionar respostes davant incidents de seguretat. Els equips de seguretat els estan incorporant al seu arsenal per que és la moda. Cal tenir en compte que s'ha perdut el control de l'entorn. Cada cop més de les nostres dades estan en el "cloud" gestionades per tercers, la xarxa també està subcontractada i tenim menys visibilitat sobre ella.

També cal tenir en compte que els atacs cada cop són més sofisticats. Ja sigui per companyies rivals o per països que per raons geopolítiques els interessa la nostra informació.

I com sempre les empreses segueixen invertint poc en seguretat, tant en protecció com en detecció cosa que fa que la gestió de la resposta sigui la que reculli les conseqüències.

En Bruce ja en els 1990 ja deia que la seguretat és un procés no un producte, un cop compres algo i ho poses a protegir no ho pots abandonar ja que l'entorn va canviant.

Hi ha la creença que si es treu el factor humà dels elements on es vol aplicar la seguretat aquesta serà millor però s'ha de pensar que cada xarxa és diferent, cada atac és diferent, cada entorn és diferent, les lleis són diferents, i per això no es pot automatitzar la gestió de la resposta. La gestió de la resposta necessita gent, per que per una bona resposta davant d'un incident cal pensar una bona solució.

I això és nou per la indústria de la seguretat, a més a més en aquest món hi ha problemes causats per que no es poden distingir productes de bona qualitat dels de mala qualitat i l'únic que es té en compte és el preu. Aleshores productes mediocres desplacen a bons productes fora del mercat a base de forçar preus baixos, no hi ha una bona forma de testejar la qualitat d'un producte de seguretat. Això es pot aplicar a antivirus, tallafocs... Però com la gestió de la incidència s'hauria de basar en gent això no s'hauria d'aplicar aquí, i equips o empreses que ofereixin aquest servei es podrà determinar que uns són millors que els altres.

Per una bona gestió de la incidència cal seguir cicles de OODA, on OODA vol dir: "observa, orienta, decideix, actua." La gent d'un equip de gestió ha d'estar tota l'estona seguint un cicle d'aquests. I es necessiten eines per facilitar aquests passos.

• Observar vol dir saber que està passant en la xarxa en temps real amb dades de logs, rendiment, seguretat física. Quanta més d'aquests dades tingui un equip millor, per que podran entendre millor l'atac. Això vol dir que aquest equip ha de poder operar transversalment en tota l'organització.
• Orientar vol dir entendre que està passant en el context de la organització i a Internet. No és suficient conèixer l'atac, s'ha de saber que vol dir. És un malware? Està l'empresa instal·lant un nou paquet de software? Planeja acomiadaments? Hi ha atacs previs des d'aquestes IPs?...
• Decidir. Un cop ja es sap que passa cal veure quina acció és la més adient com a resposta. A vegades aquestes accions no les pot decidir l'equip de gestió si no que cal escalar en la jerarquia empresarial fins trobar un responsable que pregui la decisió un cop presentats els fets i les possibles solucions. Cal tenir en compte que és possible que apart del tema tècnic hi hagi implicats altres aspectes com relacions públiques, relacions amb clients o temes legals.
• Actuar. Ja està la decisió presa cal implementar-la. Com a priori no es pot saber que pot necessitar un equip, cal oferir-lis l'accés més ampli possible. També si es possible, durant el temps on l'equip està inactiu cal fer simulacres, per tal de verificar que disposen d'accés i saben com fer-lo servir.

Ajuntant tota aquesta informació d'una forma unificada farà que la gestió de la resposta davant d'una incidència sigui efectiva. Per fer que això funcioni cal coordinar gent, processos i tecnologia junts, i això encara no es fa de forma habitual en organitzacions grans. És quelcom necessari si ens hem de defensar davant d'amenaces actuals.

This essay originally appeared in IEEE Security & Privacy.