Algunos de los términos de seguridad más comúnmente empleados son malinterpretados o utilizados como si fueran sinónimos. Algunos de estos términos de seguridad se relacionan tan estrechamente que vale la pena examinarlos juntos. Hoy, observaremos varios términos relacionados - amenaza, vulnerabilidad y explotación - y conoceremos cómo los profesionales de seguridad los emplean para evaluar o determinar el riesgo.
Recuerde el objetivo: proteger los activos
El motivo por el cual implementamos medidas de seguridad es proteger los activos. Los activos son todos los elementos que consideramos que tienen valor. El valor de un activo puede ser tangible; por ejemplo, oro y joyas son activos tangibles, al igual que las personas. En una red corporativa, una base de datos, el servidor que aloja dicha base de datos y la red que proporciona conexiones al servidor son también activos tangibles. Otros activos – la reputación o información sensible de las personas o compañías - tienen valor intangible pero no son menos importantes.
Amenazas y actores de amenazas
La seguridad considera varios tipos de amenazas. Una amenaza puede ser un intento expresado o demostrado de dañar un activo o hacer que se vuelva no disponible. Los actos hostiles dirigidos a un activo, independientemente del motivo, son considerados amenazas. Actos de la naturaleza, negligencia o errores humanos también son considerados amenazas. Estas dos clases de amenazas pueden ocasionar interrupciones en el servicio web o correo electrónico, pérdida o divulgación accidental de información sensible y, en la emergente Internet de las cosas, las dos clases pueden ser establecidas para presentar amenazas de daño humano. La identificación de amenazas es un aspecto importante pero extremadamente complicado de la administración de la seguridad.
Alguien o algo debe expresar o plantear una amenaza. Estos son los actores de amenazas. Algunos actores de amenazas son atacantes individuales o actores estatales. Empleados disgustados, con pocas habilidades o con trabajo excesivo también pueden plantear amenazas a los activos de una organización y la administración de la seguridad debe considerar todo esto.
Vulnerabilidades
Una vulnerabilidad es una falla en las medidas que se toman para proteger un activo. Esta es una interpretación más amplia de la definición tradicional, lo cual considera solo las fallas o las debilidades en los sistemas o las redes (Véase RFC 2828). Las vulnerabilidades exponen los activos de su organización a daños. Existen en los sistemas operativos, aplicaciones o hardware que usted utiliza. Por ejemplo, si no ejecuta un software antivirus y antimalware, su equipo portátil o dispositivo móvil es vulnerable a infecciones. De manera similar, si no actualiza periódicamente sus sistemas operativos o software de aplicaciones, éstos seguirán siendo vulnerables a problemas de software ("errores") que se han identificado y revisado. (Estos esfuerzos en relación con la seguridad se denominan mitigación de vulnerabilidades o reducción de vulnerabilidades)
La forma en que configura los elementos de software, hardware e incluso las cuentas de correo electrónico o redes sociales también puede crear vulnerabilidades. La forma en que administra las opciones de configuración de privacidad, por ejemplo, puede afectar si información previa al lanzamiento sobre un producto que pretendía compartir solo con sus colegas sea en cambio compartida públicamente.
Los comportamientos de los usuarios crean oportunidades para los atacantes y son, por ende, también vulnerabilidades. Un administrador de sistemas que navega la Web desde una cuenta de administrador en una estación de trabajo corporativa puede convertirse en una víctima de una infección "pasajera" de software malicioso. Este comportamiento crea una vulnerabilidad que no es considerada en la definición de RFC 2827 pero no es un problema menor en la Internet de hoy en día que los errores en software.
Por último, como analizamos en nuestro primer blog sobre concientización de la seguridad, las personas son vulnerables a la ingeniería social. Esta vulnerabilidad está demostrando ser una de las más formidables de mitigar. El aumento de la concientización de la seguridad está finalmente logrando que se reconozca como un componente importante de mitigación de vulnerabilidades.
Explotaciones
El término explotación se utiliza comúnmente para describir un programa de software que ha sido desarrollado para atacar un activo al aprovecharse de una vulnerabilidad. El objetivo de muchas explotaciones es obtener el control sobre un activo. Por ejemplo, una explotación exitosa de una vulnerabilidad de una base de datos puede brindar a un atacante los medios para recopilar o exfiltrar todos los registros de la base de datos. El uso exitoso de explotaciones de este tipo se denomina filtración de datos. Las explotaciones también se desarrollan para atacar a un sistema operativo o la vulnerabilidad de una aplicación para obtener privilegios administrativos o de "ejecución" remotos en un equipo portátil o servidor. (Éste es un objetivo común de malware, que analizaremos en una publicación futura)
No todas las explotaciones implican software y no es correcto clasificar todos los ataques basados en explotaciones como hackeo. Las estafas informáticas - ingeniería social que induce a una persona o un empleado a divulgar información personal o confidencial - son un tipo de explotación de larga data que no requiere habilidades de hackeo.
Riesgo
Encontrará muchas definiciones al buscar el término riesgo. Una que considero la más simple de comprender es "Potencial de pérdida, daño o destrucción de un activo como resultado de una amenaza que explota una vulnerabilidad" [ETIQUETA]. Esto se vincula con la terminología que hemos analizado - activo, amenaza, vulnerabilidad, explotación - muy nítidamente. En la práctica, para todos los activos, usted identifica el conjunto de amenazas que pueden ocasionar daños al activo. Luego, identifica las vulnerabilidades que los actores de amenazas pueden explotar para dañar a ese activo. Notablemente, ésta es la parte sencilla. La parte difícil aparece cuando observa la mitigación. La eliminación de todas las amenazas - y, por ende, la inexistencia de riesgos - es inalcanzable, ya que siempre existirá un nivel de riesgo. La creencia prevaleciente es determinar el costo de mitigar las amenazas frente a los beneficios. En teoría, este esfuerzo define la cantidad de riesgo que se debe tolerar según lo que esté dispuesto a gastar. En la práctica, se está demostrando mucho más desafiante en la era de Internet que antes.