Ciberdefensa Activa: introducción a un nuevo enfoque para la ciberseguridad

En busca de una definición

Una manera actual de interpretar la dinámica de la ciberseguridad es como una serie de conflictos entre una parte defensora y otra atacante, en el que los primeros deben estar en lo cierto todo el tiempo para mantener la estabilidad esperada, mientras que los segundos solo necesitan acertar una vez para tener éxito. Por tanto, se dice que los atacantes cuentan con una ventaja asimétrica. La ciberdefensa activa (en adelante CDA) permite superar dicha asimetría, mediante el uso de técnicas similares a las de los atacantes, y un cambio en el enfoque.

La protección tradicional en ciberseguridad requiere no solo medidas técnicas, sino también de la gestión de riesgos que permite relacionar probabilidades con impactos potenciales, a través de cálculos cualitativos y cuantitativos, permitiendo priorizar las protecciones según el valor de los activos. La defensa activa se basa en actividades dirigidas por humanos, con un aspecto automatizado, que intentan frustrar ataques aumentando la diversidad, complejidad o variabilidad de los sistemas y redes, limitando la capacidad del atacante para recopilar información o bien reducir su utilidad. Este enfoque defensivo se centra en recopilar información sobre los atacantes, ya sea atrayéndolos a trampas instrumentadas o patrullando y supervisando los sistemas y las redes para ir tras sus pistas.

El mercado de la ciberseguridad aún no cuenta hasta el momento con soluciones comerciales de CDA ampliamente difundidas, y aunque existen productos de propósito general, las organizaciones deben adaptarse a lo disponible o desarrollar su propio esquema personalizado de servicios internos. La CDA como tal, en tanto implica acciones, tiene su aspecto reactivo y proactivo, aunque en este estudio nos referimos al proactivo, en el que no se espera a que ocurra un ataque, y se actúa con anticipación tanto en el dominio cibernético como cognitivo.

Cuando el concepto se comenzó a difundir, a principios de los 2000, su interpretación era distinta a la actual, y estaba más bien relacionada con el llamado "hack back" (también "hacking de represalia" o "contramedidas ofensivas"). Esta connotación implica técnicamente la violación de la ley, y solo se debate su aplicación en contextos en los que peligre la seguridad nacional, o bien en los sistemas de infraestructura crítica de un país, lo que a su vez depende de la postura de seguridad de cada nación. Como ejemplo puede citarse a Estados Unidos, que admite la posibilidad de contraataque preventivo, en tanto que en otro extremo se encuentran casos como Japón, que no utiliza este enfoque, sino una estrategia de denegación de ataques mediante métodos defensivos, alineada a la naturaleza del sistema legal japonés[1].

En general se acepta que la CDA debe emplearse sólo cuando sea ético y legal, y bajo los principios de autoridad, inmunidad de terceros, necesidad, proporcionalidad, participación humana y libertades civiles. Un riesgo del incumplimiento de lo anterior sería que un adversario simule que un ataque provenga de actores legítimos (no maliciosos) para que las contramedidas se apliquen erróneamente contra éstos.

En este post y los sucesivos, consideramos ciberdefensa como el conjunto de medidas y estrategias defensivas relativas a cualquier organización, y no en su acepción militar relacionada originalmente a la defensa nacional. A fin de proveer contexto, comenzaremos analizando las instancias de la defensa, para luego centrarnos en la CDA, y sus aproximaciones teóricas y prácticas, en futuras entregas.

Las 5 instancias de la defensa

La ciberdefensa puede analizarse como una serie de actividades y decisiones de diseño a tomar en las diferentes instancias del ciclo de vida de un sistema organizacional. Dichas actividades se pueden discretizar en los siguientes ejes: arquitectura, defensa pasiva, defensa activa, inteligencia, y defensa ofensiva[2]. Lo más conveniente estratégicamente es comenzar la inversión en ciberseguridad empezando por la primera categoría antes de asignar recursos significativos a las demás. Este enfoque fue sistematizado por Robert M. Lee en 2015, y si bien no recibió formalmente una validación académica, constituye una aproximación muy adecuada para la comprensión de las instancias en las que pueden diseñarse actividades defensivas en el contexto de la industria.

Arquitectura

La arquitectura es la primera instancia de la defensa, y se refiere a la planificación, establecimiento y mantenimiento de los sistemas, teniendo en cuenta la seguridad desde el diseño. Si bien existen diversas arquitecturas defensivas tradicionales que han probado largamente su efectividad, como el modelo de defensa en profundidad, las tecnologías modernas habilitaron el desarrollo de enfoques más avanzados, como el modelo de confianza cero (zero trust) que es actualmente el más sofisticado[3].

Defensa pasiva

La segunda instancia de la defensa la constituyen los sistemas implementados en la arquitectura definida, para proporcionar protección contra las amenazas y una visión de éstas sin interacción humana continua. Si bien el enfoque de medidas estáticas dio resultados adecuados durante décadas, sus mecanismos perdieron efectividad contra adversarios persistentes y con muchos recursos. En la misma línea, también se comprobó que solo el personal altamente entrenado puede neutralizar a adversarios altamente entrenados.

Defensa activa

Según el Departamento de Defensa de los EE. UU. la defensa activa se refiere al uso de acciones ofensivas limitadas y contraataques para denegar al adversario una posición en disputa[4], e incluye la capacidad en tiempo real y sincronizada para descubrir, detectar, analizar y mitigar amenazas y vulnerabilidades. Además, implica acciones proactivas, anticipatorias, y reaccionarias contra el adversario. Una de sus claves es la capacidad de consumir inteligencia, lo que habilita a no tener que esperar a que ocurra un ataque para ejecutarse, sino a actuar con anticipación, e incluye interceptar, interrumpir o disuadir un ataque o preparación del mismo, pudiendo realizarse de forma preventiva o en defensa propia para limitar o eliminar la capacidad operativa del adversario. A menudo, la llamada defensa de objetivos móviles (MTD) se utiliza de forma análoga al enfoque proactivo, e implica controlar el cambio a través de las múltiples dimensiones de un sistema con el fin de aumentar la incertidumbre y la complejidad aparente para los atacantes, reducir la ventana de oportunidad y acrecentar el costo de sus esfuerzos. La MTD suele considerarse como un subconjunto de la CDA centrada en la diversidad o mutación de la superficie de ataque.

Inteligencia

En este contexto, inteligencia se refiere al ciclo continuo de recogida de datos, procesamiento y explotación, análisis, y producción de información de fuentes para producir conocimiento. Las herramientas que producen inteligencia derivan en la llamada inteligencia accionable, y crearla depende de la capacidad de los analistas, más que de las herramientas. El consumo de inteligencia requiere entender el entorno, el negocio y la tecnología que pueden verse afectadas[5]. Generar inteligencia es una acción del equipo de inteligencia mientras que consumirla es tarea de la Defensa Activa.

Defensa ofensiva

La última instancia de la defensa se refiere a las contramedidas legales y acciones de contraataque hacia un adversario fuera de los sistemas propios o amigos, con el propósito de autodefensa. Estas operaciones implican la previa ejecución de todas las instancias anteriores. Las organizaciones civiles no pueden participar en este tipo de acciones, ya que los motivos basados en la venganza o las represalias son ilegales según el derecho internacional y no pueden involucrar actos de autodefensa.

Conclusiones

La ciberdefensa activa es parte de una propuesta defensiva para la ciberseguridad, que invita a un cambio de enfoque en la manera de pensarla, sin ser excluyente con respecto a las formas tradicionales de encararla. Así, cada instancia de la defensa continúa teniendo su lugar propio, y puede complementarse con aproximaciones cada vez más modernas. Paradójicamente, plantea la posibilidad de mejorar la ciberseguridad por medio de un aumento en la complejidad, lo que a priori pareciera no tener sentido conceptual. En próximos posts analizaremos algunos de los enfoques teóricos y prácticos para la ciberdefensa activa, que en el futuro se combinarán para permitir crear modelos de trabajo, que deriven en productos y servicios para la industria.