Retail, el blanco de los hackers, y qué puede hacer para protegerse

2303

Por Alejandro González Tello, Domain Expert Fraud & Security Intelligence de SAS México.

En el mundo existen dos tipos de compañías: las que han sufrido un ataque informático, y aquellas que aún no lo saben. Sin importar el sector en el que se mueva una organización, si alberga en sus sistemas datos confidenciales o de negocio como clientes, socios, proveedores y contratistas, se convierte instantáneamente en el blanco preferido de los hackers.

De acuerdo con Privacy Rights Clearinghouse, hasta el 9 de mayo de 2017, alrededor de 912 millones de registros habían sido robados en 5,426 incidentes documentados desde 2005. Cabe señalar que esa cantidad se calcula a partir de los casos que se han hecho públicos y que se han documentado; y, sin duda, la cifra real es mucho más alta.

En particular, el sector minorista (retail) ha sido uno de los más afectados por los ataques más publicitados. Los ejemplos abundan, pero veamos algunos:

  • En diciembre de 2013, la cadena de almacenes Target perdió 110 millones de registros de clientes, así como números de tarjetas de débito y de crédito como resultado de una incursión de hackers a sus sistemas de punto de venta, quienes se valieron de malware sofisticado.
  • Los criminales cibernéticos comprometieron la información de las tarjetas de crédito de 56 millones de clientes de Home Depot.
  • Los sistemas de seguridad de la tienda departamental de lujo Neiman Marcus activaron las alertas 60 mil veces cuando detectaron la presencia de hackers en su red. Éstos hurgaron en las computadoras de la firma durante más de ocho meses instalando software para robar información de tarjetas de crédito.
  • La infraestructura de Adobe Systems fue hackeada, lo que llevó a la pérdida de 152 millones de nombres, identificaciones de clientes, contraseñas e información cifrada de tarjetas de crédito, así como de código fuente.

En la mayoría de los casos, los atacantes estuvieron vigilando muy de cerca a éstas y otras compañías, y fueron deliberadamente tras sus datos más sensibles. Es evidente que las estrategias de seguridad que se han usado tradicionalmente son cada vez menos efectivas contra los nuevos tipos de ataques.

A lo largo de las dos últimas décadas, muchas de las herramientas y procesos de seguridad se han enfocado más en la prevención que en la detección y respuesta, por lo que los atacantes se han aprovechado de que las organizaciones, muchas veces, no tienen la capacidad de ver los indicadores de compromiso en sus entornos con la rapidez necesaria, ni pueden responder a estos incidentes ni eliminarlos del mismo modo.

Por su parte, la mayoría de los equipos de seguridad tiende a almacenar grandes cantidades de datos sobre los eventos que ocurren en su red con la finalidad de analizarlos a posteriori, sólo que nunca encuentran el tiempo o se desconoce la forma para hacerlo. Asimismo, utilizan procesos manuales con el fin de investigar los incidentes para luego proceder a su contención y eliminación, lo cual puede ser tardado y permitir que los atacantes se desplacen lateralmente por las redes antes de que los investigadores puedan detectar, responder y remediar las intrusiones e incluso quedarse dentro del sistema aun y cuando se piensa que han sido eliminados.

De ahí la necesidad de contar con la capacidad de predecir las tendencias en tiempo real así como futuras a partir del comportamiento actual y pasado, y donde la analítica de seguridad (security analytics) puede ser de gran utilidad.

Análisis a fondo

Específicamente, la analítica de seguridad puede procesar grandes series de datos con tecnologías que permiten el análisis rápido y preciso, la correlación y el reporteo para identificar eventos y patrones de interés que pudieran indicar la presencia de un comportamiento malicioso en el entorno. Al tener más datos con los que trabajar, los equipos de seguridad pueden analizar dicho entorno tomando en cuenta factores como la cronología de eventos, la secuencia de los hechos, las diferencias de los datos provenientes de diversas fuentes y el análisis estadístico real.

Los sistemas analíticos necesitan realizar un estudio riguroso de muchos tipos de datos dispares, y proveer al mismo tiempo las herramientas estadísticas y de correlación robustas para que los especialistas en seguridad las usen para establecer las referencias de un comportamiento normal. En las grandes redes, pocas herramientas pueden digerir petabytes de tráfico, miles de millones de flujos y otras numerosas alertas y tipos de datos que pueden alinearse con la información de la red para determinar si están ocurriendo actividades inusuales.

Además de las capacidades de detección y respuesta, las soluciones analíticas permiten a los investigadores realizar un análisis profundo de las causas de raíz de los incidentes y desarrollar modelos predictivos del comportamiento futuro a partir del conocimiento de los patrones identificados en el centro de datos.

Hace poco, a esta ecuación se ha sumado machine learning con el objetivo de mejorar las capacidades de detección y de respuesta. Machine learning es un método de análisis de datos que automatiza la creación de modelos analíticos. Mediante el uso de algoritmos que aprenden constantemente de los datos, las computadoras pueden encontrar insights ocultos sin necesidad de que se les programe para buscar en todos los puntos posibles.

Y es lo que los responsables de la seguridad en la industria del retail y otras están anhelando: reunir grandes series de datos internas y dispersas, peinar esos datos buscando patrones y crear correlaciones, así como proporcionar una guía sobre las anomalías y las amenazas potenciales que enfrentan.

De igual forma, han estado integrando la inteligencia de amenazas en sus series de datos para tener una perspectiva de lo que otros están viendo. La analítica debe proporcionar las capacidades de reacción, contención y prevencion más allá de lo que tradicionalmente se ha tenido con la gestión de eventos de hoy, para poder establecer las referencias de desarrollo que permitan detectar patrones nuevos e inusuales para los ataques conocidos y desconocidos.

Hoy existen al menos cuatro casos de uso importantes de la analítica de seguridad:

  1. Ayudar a los equipos de seguridad a reducir el tiempo promedio para detectar un ataque dentro de la organización y así acelerar la respuesta a los incidentes (IR, por sus siglas en inglés). Por ejemplo, la analítica podría ayudar a detectar la llegada de malware a través de la web, la instalación y el control asociados con un ataque de phishing.
  2. La analítica ayudaría a los equipos de seguridad a entender el impacto en los activos individuales de la empresa. Usando esta información, los analistas podrían dar prioridad al monitoreo de la seguridad según su relevancia.
  3. La analítica puede usarse para la gestión de las configuraciones, permitiendo que TI optimice los dispositivos de la red. También ayudaría a proveer información sobre la relación entre los sistemas para producir una mejor documentación de la red.
  4. La analítica de seguridad beneficia a la administración de una empresa al brindar una evaluación basada en datos para guiar a los ejecutivos de alto nivel (directores, miembros del consejo) en su toma de decisiones.

Cuestión de confianza

Lo cierto es que, al menos en Estados Unidos, los consumidores que cuentan con tarjetas de crédito dicen que evitan a toda costa comprar en las tiendas que han sido hackeadas, a decir de una encuesta realizada por CreditCards.com. ¿Qué pueden hacer los retailers para fortalecer su seguridad informática y recuperar la confianza de los consumidores, además de echar mano de la analítica? La recomendación es comenzar con estos cinco pasos:

  • Asegurarse de que puedan examinar en tiempo real cantidades masivas de datos que fluyen al interior de la organización para detener a las amenazas antes de que provoquen daños.
  • Utilizar analítica avanzada para reducir las falsas alarmas y detectar los problemas reales.
  • Integrar la seguridad en los requerimientos principales de la organización.
  • Entender el origen y el comportamiento de los criminales cibernéticos y otros atacantes, y después incorporarlo en los modelos que busquen las anomalías.
  • Elevar el esfuerzo para reclutar al personal adecuado y capacitarlo para enfrentar a las amenazas para la organización, y seleccionar la tecnología de seguridad más efectiva, así como a los proveedores confiables.
Publicidad