No existe estancamiento en la seguridad de la información. Un incidente nacional mayor a menudo nos lleva a requerimientos de reportería más robustos, papeleo y tareas adicionales. En 2013, las acciones de Edward Snowden se convirtieron en un catalizador del cambio para la rendición de cuentas, programas de amenazas internas y la auditoría de usuarios con altos privilegiados.
Pese a que las buenas prácticas resultantes destacan lo que se requiere hacer para adaptarse a las nuevas amenazas impuestas por aquellos con acceso privilegiado, la estrategia para lograr esta misión puede estar obsoleta.
¿Cómo puede un oficial de seguridad de sistemas de información (OSSI) o un gerente de seguridad de sistemas de información (GSSI) identificar comportamiento sospechoso entre la amplitud y profundidades de la información que sale en grandes cantidades de los sistemas de información? Un sistema puede tener 10 o 100 usuarios, cada uno inyectando ocho horas de actividad diaria, en forma adicional a una serie de parloteos continuos de fondo mezclados con varias cuentas de grupos de servicio y de trabajo. La mayoría de los auditores son responsables de múltiples sistemas y están probablemente actualizando planes y líneas bases, realizando chequeos de cumplimiento, entregando clases de formación y charlas en seguridad, atendiendo a reuniones mandatorias, aprobando o rechazando solicitudes de cuentas, y abordando otra gran cantidad de actividades. Dependiendo del tamaño de un sistema y los registros de auditoría a revisar por el auditor, el sistema puede producir una semana de datos en un solo día. Se espera del auditor no solo que realice la debida tarea de asegurar que el registro de auditoría existe y no ha sido corrompido, pero también revisar los registros de auditoría en busca de anormalidades y comportamiento malicioso.
La cantidad de datos revisados ha cambiado el espectro de un profesional de seguridad de la información desde un auditor a un experto en analítica y minería de datos. Dicho cambio demanda una serie de nuevas habilidades.
Auditoría de sistemas
Una auditoría de sistemas es una contramedida utilizada para revisar y analizar las acciones de los usuarios en un sistema. En una era donde la segregación de funciones es una buena práctica, la auditoría de sistemas es típicamente ejecutada por un profesional de seguridad designado en contraposición a un administrador de sistemas. Una auditoría es una revisión superficial de eventos de sistemas que finaliza de manera rápida, en contraposición con un profundo discurso que perdura por semanas y meses. La minería de datos puede parecer contra-intuitiva para un auditor. Después de todo uno de los roles primarios de un OSSI o GSSI es asegurar la integridad de la información. Defenderse contra la manipulación de datos por personas autorizadas o no autorizadas es un principio fundamental de la seguridad de la información. Sin embargo, la analítica y la minería de datos están enraizadas en la manipulación de datos.
Para auditar macrodatos, la palabra “auditoría” debe ser dejada atrás. Es un término insuficiente para describir la revisión de seguridad de un sistema. Aun cuando los objetivos, metas y misión no deben ser utilizados de manera intercambiable pero, por el contrario, apuntar a un tiempo de duración (corto plazo, mediano plazo y largo plazo, respectivamente), del mismo modo es la auditoría una técnica usada para cantidades más pequeñas de datos. Un sistema independiente puede ser auditado. Un sistema puerto a puerto puede ser auditado. Un sistema en red que existe sobre una red de área amplia (WAN) o una red de área local (LAN) que produce volúmenes enciclopédicos de datos semanalmente no puede ser auditado. A estas redes más complejas debe aplicárseles minería de datos.
Recursos preexistentes
Afortunadamente, el software popular, tal como MATLAB, ha abordado de manera inadvertida las necesidades de los profesionales de la seguridad al ser herramientas altamente confiables en campos que utilizan las matemáticas y el modelado científico para analizar datos. Estas mismas herramientas que apoyan en las metodologías de otras comunidades profesionales deben ser acogidas y adoptadas para un ambiente de seguridad post-Edward Snowden.
En el nivel base, los OSSIs deben hablar el lenguaje de la computación, no solo cumplimiento. Ya sea C++, Visual Basic o Python, para minar efectivamente registros de auditoría orientados a eventos, el OSSI necesita familiarizarse con un lenguaje de programación. El OSSI debe entender, en una base conceptual, diccionarios, listas, arreglos, (por ejemplo, arreglos de dos dimensiones, arreglos de tres dimensiones), booleanos, definición de funciones, declaraciones condicionales y bucles, por nombrar unos pocos. El OSSI es a menudo la primera línea de defensa y debe tornarse más hacia una mentalidad ingenieril en la medida que la carga de atrapar y detectar actividades maliciosas aumenta. Los departamentos de seguridad necesitarán invertir en formación ingenieril pues una parte integrante de la ciencia de la manipulación de datos y analítica.
Patrones
¿Cómo encuentra uno la aguja en el pajar del proverbio? La respuesta es a través de los patrones.
Nadie tiene tiempo para clasificar montañas de datos. El uso de patrones hace la minería de datos escalable. Un sistema tiene patrones, y los patrones forman líneas base. Un sistema de información no está limitado a una línea base primaria. Las cuentas de servicio, las cuentas de altos privilegios, las cuentas de usuarios generales, primer turno, segundo turno y los tiempos de prueba pueden ser todos agrupados individualmente y en forma cohesiva por el propósito de encontrar concordancias o discrepancias. Un registro de auditoría típico de un evento de seguridad puede ser dividido en éxitos y fallas y luego comparado para revisar fallas, lo que luego llevará al éxito. Los patrones pueden ser encontrados a lo largo de la codificación, declaraciones condicionales, bucles y el parecido.
Analítica
Una vez que los patrones son reunidos y centralizados, la analítica puede ser empleada para medir la frecuencia de la concurrencia, los tamaños de bits, la cantidad de archivos ejecutados y el tiempo promedio de uso. Las matemáticas relacionadas permiten a un minero de datos graficar la gran imagen. Los individuos a menudo se sobrecogen por el gran volumen de información, pero la automatización de técnicas reconocedoras de patrones hacen bienvenidos a los macrodatos. Mientras más grande es el tamaño de la muestra, más sencillo será determinar patrones de comportamiento normal y anormal. Los pajares de redes son bombardeados por algoritmos que notifican al arqueólogo de información acerca del sondeo de una amenaza interna.
Educación
Así como ocurre con todos los nuevos desarrollos, la educación es una necesidad fundamental de la minería de datos. Los beneficios de codificar para reunir información y analítica para disecarla se pierden si un minero de datos no sabe interpretar la información. Los unos y ceros deben tener fundamento. Los promedios que hacen la curva de campana de Gauss en estadística determinan la probabilidad que un evento haya ocurrido, esté ocurriendo o pueda ocurrir.
Estas estadísticas son inútiles para el revisor sin entrenamiento. Existe una serie de organizaciones de buena reputación que ofrecen clases gratuitas para aquellos que quieran perseguir carreras como la de analista de datos. Udacity1 es una plataforma de aprendizaje en línea que ofrece variadas clases—principiante, intermedio y experto—y enseña análisis de datos usando software basado en Python con librerías de código Numpy y Pandas. EdX2 es otro sitio web gratuito que ha formado una sociedad educacional con la Universidad de Harvard (Cambridge, Massachusetts, Estados Unidos). Microsoft, Instituto Tecnológico de Massachusetts (MIT) (Cambridge, Estados Unidos) y otros. EdX ofrece una introducción al análisis de datos usando Microsoft Excel.
Lecciones aprendidas
No existe una fórmula mágica para auditar macrodatos. Las experiencias deben ser traducidas a código y ser construidas. Por ejemplo, una instrucción de código fue desarrollada para chequear los registros de auditoría diarios. Si el registro de auditoría no existiese, el OSSI será notificado de manera automatizada. Cada día la instrucción de código buscará la fecha esperada de la auditoría y, como se espera, la auditoría y la fecha estarán en la carpeta apropiadamente protegida contra escritura. Sin embargo, la instrucción de código no está revisando para asegurarse que los registros de auditoría de los días anteriores se encuentren en la misma carpeta. Cada día el archivo original era sobrescrito por el archivo nuevo. El error en la instrucción de código de auditoría puede haber sido un evento aislado, o la sobrescritura puede haber sido sistemática. Pequeñas lecciones aprendidas, como estas, ayudan a desarrollar un proceso de automatización más refinado que mide el aseguramiento de la información, y el sistema de medición puede diseminarse por la empresa para encontrar diferencias similares en otras redes.
Estructura de datos
Otra ayuda en la guerra contra las diferencias es la representación de los datos. No hay nada peor que ser un OSSI para un sistema que sólo tiene datos sin formato. Desde el antiguo visor de eventos de Windows hasta un registro de auditoría de Solaris, los archivos sin formato son muy molestos de consultar. Lo mínimo que un administrador de sistemas puede hacer es delimitar las líneas e incluir algunos encabezados de columnas. Un índice numérico descendente también podría ayudar.
El flujo de los datos debería ser organizado y, dada la funcionalidad de hoy, emplear la opción de una representación gráfica: representación lineal, gráficos de barras, gráficos de tortas, la analítica y el color pueden ayudar a hacer los datos mucho más sencillos de interpretar. Miles de líneas de código e incontables horas de desplazamiento pueden, de hecho, convertirse en un estudio de cinco minutos de un gráfico lineal que muestra en forma precisa patrones de actividad diaria, semanal o incluso mensual.
Comunicación
Aún ingrediente clave en cualquier proceso, incluyendo la minería de datos, es la comunicación. Si un GSSI no está al tanto de las anormalidades o tendencias ocurriendo a lo largo de la empresa, las definiciones e identificación de patrones pueden ser mitigadas y prevenir que esas tendencias se manifiesten. Los hábitos de computación de los usuarios de la compañía A, que está ubicada en el extremo oeste de un país, necesitan estar ubicados contiguos a la fábrica satélite de la compañía A, residente en el extremo este de ese país. Una obstrucción de la buena comunicación es la auto preservación. Existe una resistencia natural a compartir información porque podría pintar un retrato negativo de una persona o puesto de trabajo, y esta resistencia entrampa el sobre alcance del proceso de minería de datos. Si un sitio participa de la recolección transparente de datos y otro sitio no, eventualmente ambos sitios no lo harán. Sin comunicación, la minería de datos en un nivel empresarial siempre se verá entrampada.
La comunicación provee una ubicación centralizada donde la analítica puede ser reunida y evaluada para encontrar tendencias y patrones. Si los datos están acomodados, la habilidad de desarrollar contramedidas es frenada y su efectividad reducida. Como ocurre con los emprendimientos más exitosos a nivel de empresas, la comunicación efectiva se inicia desde los niveles más altos. Si hay una política establecida para fomentar la cohesión, los gerentes funcionales pueden ejecutar dicha política y diseñar procesos que la soporten y la sustenten. La comunicación débil es indicativa de una política pobremente construida, que se traduce en una visión malentendida e inevitablemente los guía a una comunicación restrictiva.
Las redes están produciendo más información que nunca. Los auditores deben estar equipados con las herramientas necesarias para alcanzar los desafíos de asegurar la confidencialidad, integridad, control de acceso y disponibilidad. Para lograr esta misión, la configuración mental de un auditor debe evolucionar desde un conjunto de habilidades de gestión de volúmenes pequeños de datos. Sin las herramientas que provienen de la minería de datos y la analítica, el auditor se sentirá sobrecogido en forma diaria y semanal. Como resultado, la calidad de las revisiones se degradará desde la debida diligencia asegurada hacia debido cuidado o quizá debida diligencia sólo para los primeros cientos de líneas de datos capturados.
Aprender a escribir instrucciones de código que hagan bucles a través de los registros de auditoría en busca de patrones específicos es crucial. Las representaciones gráficas de los datos abre la puerta a la analítica y permite al auditor ver la gran imagen e identificar tendencias. La comunicación facilitará la distribución de datos acerca del comportamiento usuario y aumentará el acopio de información para un mejor análisis estadístico. Estas son claves para una auditoría empresarial efectiva.
Cuantitativa
El éxito en un nivel empresarial requiere que un OSSI escriba instrucciones de código que provean un mayor análisis de eventos. Estos datos pueden ser el número de personas que se conectan semanalmente o el tamaño diario de un registro de auditoría. La agregación de estos datos puede ser utilizada para determinar la tasa promedio de ocurrencia, la cual, en su momento, establece una línea base normalidad para un sistema. El registro de la frecuencia con que ocurren también puede ser utilizado para anticipar eventos como las instrucciones de código en mal funcionamiento o flujos de entrada de actividad de usuario. El análisis cuantitativo aumenta la profundidad a una auditoría e introduce modelos bajo los cuales los eventos pueden ser predichos, basado en tendencias numéricas.
Conclusión
Sin la analítica, la auditoría de nivel empresarial es una disciplina disminuida, limitada en alcance y efectividad. Sin una fuerza de trabajo de auditoría entrenada, armada con un lenguaje de programación para la automatización y una filosofía y conjunto de habilidades de minería de datos, las necesidades de los líderes a nivel empresarial no se verán satisfechas. Los líderes no tendrán los datos necesarios para analizar a gran escala, ni una fuerza de trabajo que sea capaz de entregarles los datos de manera semanal o diaria.
La belleza de la analítica, desde una perspectiva de seguridad, es que ésta permite al departamento de seguridad alinearse con las funciones críticas del negocio corporativo. Puede ser utilizada para descubrir incidentes recurrentes y tendencias comunes que de otra manera no habrían sido captadas. El establecer líneas bases numéricas o datos cuantificados puede ser un suplemento para las tareas normales de un auditor y aumentar la habilidad del mismo para ver más allá de la superficie de lo que se presenta en una auditoría. La buena comunicación de los datos analizados le otorga a los tomadores de decisiones una mejor visión de sus sistemas a través de un acercamiento holístico, lo que puede contribuir con la creación de metas de nivel empresarial. La minería de datos agrega dimensión y profundidad al proceso de auditoría a nivel empresarial.
Notas finales
1 Udacity, https://www.udacity.com/
2 edX, https://www.edx.org/
Abdullah Al-Mansour, Security+
Es un profesional de seguridad de sistemas de información. Sus intereses incluyen la analítica, minería de datos y tecnología.