¿Qué es la investigación e ingeniería en seguridad?

¿Qué es la investigación e ingeniería en seguridad?
October 05, 2021

En este artículo, quisiera repasar la mayoría de las principales categorías de trabajo de seguridad informática y describir las diferencias entre ellas. A medida que avancemos, también me aseguraré de señalar dónde encajan tanto el CAD, como Ola Bini, en estas descripciones.

Usaré la palabra “hackear” para referirme al acto de irrumpir en un sistema informático, ya que esta es la comprensión popular de la palabra. Del mismo modo, en este artículo utilizaré la palabra “hacker” para referirme a alguien que participa de “hackear”. Vale la pena saber que estas palabras tienen una larga historia con significados variados, y el significado peyorativo actual es algo que muchos expertos en computación de antaño encuentran muy frustrante. En el fondo, yo mismo me siento así, pero para ayudar a comprender, dejaré esta batalla para otro artículo.

Ofensiva vs defensa

Lo primero que hay que tener en cuenta es que la mayor parte del trabajo de seguridad se puede dividir en aspectos que se pueden considerar ofensivos y otros que se pueden considerar defensivos. El trabajo ofensivo puede reducirse al mero acto de irrumpir en un sistema, pero también puede serlo la creación de herramientas o técnicas que se pueden utilizar con fines perjudiciales. Esto incluye hacer cosas como crear virus y otro malware. Asimismo puede implicar descubrir formas de eludir los firewalls y otras tecnologías de detección para utilizarlos realmente.

De la misma manera, el trabajo de seguridad defensiva en su forma más simple puede verse como la configuración de sistemas para detener las intrusiones en una computadora o servicio. Este tipo de trabajo implica el diseño de la estrategia defensiva general, la configuración de los sistemas informáticos, el seguimiento continuo de los eventos y actividades relacionadas. Pero desde una perspectiva más amplia, el trabajo de seguridad defensiva implica la creación de herramientas y técnicas que se centran principalmente en la defensa de los sistemas. Esto puede implicar la creación de nuevo software, el descubrimiento de mecanismos de detección para detener ataques, el análisis de software o sistemas en busca de agujeros y parcharlos, etc.

Finalmente, hay una enorme zona gris en medio de estos dos extremos. Por ejemplo, identificar vulnerabilidades en el software no es ofensivo ni defensivo. Pero si se vuelve peligrosa una vulnerabilidad para atacar un sistema, esto se torna en una acción ofensiva. De la misma manera, si trabajas para informar al proveedor sobre la vulnerabilidad, para cerrarla, o si crea reglas para los sistemas de detección de intrusos que pueden revelar a un atacante que intenta utilizar la vulnerabilidad, esto es claramente defensivo. Al final del día, la misma acción puede ser defensiva u ofensiva dependiendo del contexto en toda su amplitud y la motivación detrás de ella.

La industria de la seguridad informática a veces toma prestados conceptos, ideas y terminología del ejército. Esto es natural, ya que hay mucha superposición en el pensamiento y la seguridad es, asimismo, una parte central de las operaciones militares. Una de estas ideas es el concepto de EQUIPO ROJO y EQUIPO AZUL. Dentro de la profesión de seguridad, un equipo rojo es básicamente un equipo ofensivo, un grupo de personas que intenta atacar un sistema, persona u organización.

Cuando hablamos de equipos rojos, estos no son equipos que vienen de afuera, sino un grupo de personas que trabajan para usted o que son contratados para atacar sus sistemas. Un equipo rojo puede ser un equipo persistente o puede formar parte de un ejercicio temporal. Pero el objetivo principal de un ejercicio de equipo rojo es generar información que se pueda utilizar para mejorar la seguridad de un sistema. Los diferentes ejercicios del equipo rojo se pueden restringir de diversas maneras. A veces, únicamente los ataques a la seguridad informática son válidos, pero otras veces, un equipo rojo actuará como lo haría cualquier enemigo real y tratará de utilizar cualquier método para atacar y extraer información, incluida la ingeniería social, la penetración física, etc.

Como ya habrán adivinado, el objetivo de un equipo azul es exactamente lo contrario: el equipo azul defiende cuando el equipo rojo ataca. Y al igual que con los ejercicios del equipo rojo, el equipo azul puede ser persistente o temporal. El objetivo principal es generar conocimiento que se pueda utilizar con el fin mejorar la seguridad.

Una cosa que casi siempre sucederá con las personas que trabajan con computadoras es que siempre se les ocurrirán más categorías. En lo que respecta al ataque y la defensa, la dicotomía del equipo rojo y azul está bastante bien establecida. Pero en base a estas categorías, también han surgido otras nuevas. Es muy posible que veas EQUIPO PÚRPURA como un concepto. Y recientemente, NARANJA, AMARILLO y VERDE también se han vuelto más utilizados. La mejor descripción general de estos conceptos que he visto se encuentra en este artículo - que describe el triángulo BAD, donde BAD significa Build-Attack-Defend (Construir-Atacar-Defender). Cada punto del triángulo representa un concepto, donde el punto de Ataque está representado por el EQUIPO ROJO. El punto Defender está representado por el EQUIPO AZUL. Ahora, el límite entre Atacar y Defender está representado por el EQUIPO PÚRPURA. El concepto central de este equipo es utilizar el conocimiento del atacante para mejorar la postura defensiva. Se puede pensar en esto como un equipo en sí o como un intercambio constante de capacidades entre los dos equipos.

Por otro lado, están las diferentes perspectivas de la construcción. Volveremos sobre estos aspectos del trabajo de seguridad más adelante. Pero por ahora, la idea básica del triángulo es que el EQUIPO AMARILLO es el equipo Constructor. Este equipo se superpone con el EQUIPO NARANJA, que adquiere conocimientos y construye en función del conocimiento del atacante y el EQUIPO VERDE, que hace lo mismo basándose en la superposición con el EQUIPO AZUL, con información sobre la defensa.

Cuando se habla de seguridad ofensiva y defensiva, se puede hablar de ella desde una perspectiva más genérica o más específica. La mayoría de las veces, es útil mirarla desde una perspectiva más específica, especialmente en el caso de las capacidades ofensivas. Desde esta perspectiva, el hackeo siempre pertenecerá a la categoría ofensiva. En algunos casos, se puede considerar a los miembros de un equipo rojo como hackers. Pero la mayoría de las veces tratamos de evitar esta terminología cuando hablamos de equipos rojos. La idea fundamental de los equipos rojos y azules es que están trabajando para la empresa u organización en cuestión, con el fin de fortalecer la seguridad. La mayoría de las veces, un hacker se entenderá como alguien que ataca desde el exterior. Así que pasemos a la cuestión de la conducta ética frente a la no ética, y cómo eso se relaciona con las acciones legales e ilegales y el hackeo en general.

Cuando se habla de seguridad informática, el público en general todavía tiene la idea de que una persona irrumpe en un sistema desde el exterior. Esto proviene de generaciones de películas que retratan este tipo de acciones. Pero incluso en esta subcategoría del trabajo en seguridad, existen muchas perspectivas, razones y restricciones diferentes. Mucho de esto se remonta a las razones por las cuales alguien irrumpiría en un sistema informático. En general, se lo puede dividir en varios propósitos diferentes. Primero, tenemos a las personas que ingresan a sistemas para exponer los problemas de seguridad. Lo hacen para ver si es posible y, una vez que lo logran, generalmente informan del problema. Este tipo de atacante generalmente tendrá mucho cuidado de no romper nada en el proceso, dejar los registros como están y no modificar ni mirar datos que no deberían mirar. El objetivo principal es realmente mejorar la seguridad del sistema en el irrumpen. Este tipo de hacker a menudo se denomina hacker ético o hacker de sombrero blanco. (La terminología del sombrero proviene de las viejas películas del oeste, donde los buenos siempre tenían sombreros blancos y los malos, negros).

Al otro lado de la cerca tenemos a los hackers de sombrero negro. Estas personas generalmente tendrán como objetivo robar información o destruir un sistema de alguna manera. A veces, este tipo de atacante no tiene un objetivo específico, pero tampoco están interesados en comportarse de manera ética, lo que significa que, aunque no roben o destruyan activamente, no tendrán cuidado y podrán causar todo tipo de daño. A veces, esta categoría de personas trabajarán como contratistas para organizaciones criminales, y otras veces podrían trabajar por su cuenta.

Sin embargo, aquí nos encontramos con un problema de distinción un poco complicado. Hay algunos atacantes que pueden ser un poco más difíciles de distinguir. A menudo, los llamados hacktivistas deben incluirse en esta categoría. El problema aquí es que sus métodos a menudo los harán parecer sombreros negros, incluido el robo de información o la destrucción de los sistemas a los que ingresan. Pero al mismo tiempo, las motivaciones para sus acciones generalmente se basarán en razones éticas. Por ejemplo, imaginen a una persona irrumpiendo en un sistema informático de una empresa problemática, robando información que muestra un comportamiento ilegal de la empresa y sus empleados. El atacante destruye los sistemas informáticos después de robar la información. Luego, el atacante envía la información a un periodista, que la publica, lo que lleva a que la empresa sea investigada legalmente y potencialmente acusada. Ahora, obviamente, el ataque en sí sigue los patrones de un sombrero negro, pero el razonamiento proviene de una perspectiva ética. Por esta razón, el hacktivismo es a menudo difícil de categorizar, ya que sus acciones tendrán que ser juzgadas subjetivamente. A veces, una persona que ataca de esta manera puede ser llamada un hacker de sombrero gris, ya que viola los límites éticos, pero sin intenciones maliciosas. Sin embargo, otro tipo de hacker de sombrero gris son los que se infiltran en los sistemas y miran a su alrededor, pero no destruyen nada. Sin embargo, tampoco informan a nadie sobre los problemas de seguridad, simplemente se quedan con la vulnerabilidad para sí mismos. En esta situación, la persona tampoco está actuando de forma maliciosa, pero sus acciones tampoco cumplen con el propósito de mejorar la seguridad. Debido a esto, se encuentran entre las dos categorías.

¿Cómo se superponen estas categorías con las acciones legales e ilegales? Esto es un poco complicado, ya que diferentes países tienen diferentes leyes. En general, el hackeo de sombrero gris y el hackeo de sombrero negro casi siempre serán ilegales. Sin embargo, en el caso del hackeo de sombrero blanco existen dos posibilidades diferentes. Una es cuando el atacante decide atacar por su propia voluntad y luego informa los resultados. En este caso, existe una gran posibilidad de que la conducta se considere ilegal, pero en algunas jurisdicciones esto también puede variar según el motivo. Por otro lado, están los hackers de sombrero blanco que firman contratos con organizaciones antes de intentar irrumpir en un sistema, y bajo estas circunstancias, las acciones generalmente se considerarán legales. A menudo, estas personas se considerarán parte de un EQUIPO ROJO, al menos durante la duración del contrato. Es posible que también se use el término prueba de penetración para estas actividades.

Entonces, como podrán ver, las cuestiones de legalidad y ética en realidad no están muy bien definidas cuando se trata de este tipo de actividades. Y tampoco todas las acciones ilegales antiéticas. Pero es importante recordar que este tipo de acciones son en realidad una parte muy pequeña de lo que implica el trabajo de la seguridad informática, y si tuvieran que ver la suma total del trabajo de quienes trabajan en seguridad, irrumpir en los sistemas informáticos sería una fracción muy pequeña de ese trabajo y algo que la mayoría de la gente que trabaja en esta área nunca hará.

Investigación, análisis e ingeniería

Cuando miramos por fuera del hackeo, ¿qué otro trabajo en seguridad existe? Ya hemos abordado los conceptos de defensa y construcción. Estas dos categorías también se pueden dividir en otras más. Algunas de las más destacadas serían investigación, análisis, ingeniería y entrenamiento. Cada una de estas categorías también se puede subdividir en muchas más disciplinas específicas, pero no profundizaremos demasiado en estas cosas. Sin embargo, echemos un vistazo a cada una de ellas con un poco más de atención.

El campo de la investigación es exactamente lo que parece. La gente aquí trabaja para descubrir mejores formas de defensa, mejores ataques, nuevas formas de encontrar vulnerabilidades, nuevas técnicas para crear mejor software, etc. Parte de este trabajo también implica evaluar las soluciones existentes, tanto desde una perspectiva técnica como desde una perspectiva de usabilidad; después de todo, la seguridad sólo funciona si es utilizable. Buena parte de la investigación de seguridad ocurre dentro de la academia, pero ese no es el único lugar. Muchas empresas privadas y organizaciones sin fines de lucro también investigan mucho. Como ocurre con todo lo demás en la sociedad, muchos de los pasos importantes hacia adelante en el trabajo de seguridad provienen de las personas que realizan investigaciones.

Un campo específico de investigación que se debe mencionar es el de la criptografía. Aquí, una vez más, tenemos que dividir el trabajo en diferentes partes. Cuando se trata de criptografía, la mayor división que existe se da entre crear nuevos algoritmos y protocolos; y romper esos mismos sistemas. Una vez más, gran parte de esta investigación ocurre en el sector académico, pero también existen organizaciones privadas que participan de ello.

Después de la investigación tenemos el análisis. Vale la pena mencionar que las profesiones de las que hablamos aquí no están completamente separadas de las discusiones anteriores. Un EQUIPO ROJO a menudo también realizará investigaciones y análisis de seguridad como parte de sus objetivos generales. También lo harán los otros tipos de equipos. El trabajo de análisis también se basa fundamentalmente en la división entre defensa y ataque. Se analizan las debilidades de un sistema existente y se diseñan formas de reforzarlas. O bien, se comienza analizando las posibles amenazas, qué tan probables son, y luego se averigua la cantidad adecuada de defensa que se debe aplicar para mitigar cada una de las amenazas más importantes. Yo diría que el análisis de seguridad es probablemente el núcleo de la mayoría del trabajo de seguridad, incluso si no es la actividad principal, para muchas personas que trabajan en ello, es una actividad de apoyo absolutamente necesaria para hacer bien el resto del trabajo.

Una gran parte del trabajo de seguridad también es el aspecto de la ingeniería como tal. Esto implica la construcción de herramientas y técnicas, ya sea para el ataque o para la defensa. Puede implicar diseñar protocolos o implementarlos. Aquí es donde el trabajo de investigación y análisis se convierten en algo que realmente puede proteger un sistema en el mundo real o atacarlo.

El entrenamiento en seguridad es un tipo de trabajo ligeramente diferente, pero también extremadamente importante para el campo de la seguridad. Fundamentalmente, nunca se puede construir un sistema que sea completamente seguro sin involucrar también a seres humanos en el sistema. Queremos que la seguridad sea intuitiva y no intrusiva, pero hay cosas que los usuarios también deben saber cuando forman parte de un sistema de defensa más amplio. El entrenamiento en este sentido se preocupa por ayudar a las personas a tomar las mejores decisiones de seguridad para ellos y su organización, pero también para hacerlo de una manera que reduzca la carga sobre ellos tanto como sea posible. Este tipo de capacitación en seguridad es, o debería ser, parte de cualquier organización del mundo real con cualquier tipo de amenaza.

Pero el entrenamiento en seguridad también puede tener un significado ligeramente diferente, cuando el objetivo no es capacitar a las personas para que respalden las necesidades de seguridad de una estructura más grande, sino que comprendan y protejan sus propias necesidades de seguridad. A menudo hablo de esto como entrenamiento en opsec (seguridad operacional). Debido a que el objetivo es tan diferente, un componente central de este tipo de capacitación es enseñar suficientes habilidades de análisis para que las personas puedan tomar buenas decisiones de seguridad por sí mismas. La diferencia es que a menudo, el entrenamiento en seguridad dentro de una organización tendrá una situación en la que alguien más ya hizo el análisis y tomó las decisiones. Pero en un escenario de entrenamiento opsec, la mayoría de las veces la persona necesita hacer estas evaluaciones por sí misma. Los destinatarios de este tipo de formación pueden ser cualquier tipo de persona, pero a menudo serán personas que trabajen con un riesgo más severo, como periodistas, abogados, trabajadores sanitarios, etc.

Conclusiones

Ahora que tenemos una mejor comprensión de lo que realmente implica el trabajo en seguridad, podemos situar el trabajo de los especialistas en seguridad dentro de un mejor marco. Como se mencionó anteriormente, la mayoría de los expertos en seguridad no ingresan a los sistemas. En su lugar, los analizan, investigan y protegen de diversas formas. Y esto no funciona como lo hace en una película, donde la protección es simplemente contra los hackers que siempre intentan atacar. Hay muchos riesgos que los especialistas deben considerar. Cualquiera que tenga un incentivo puede convertirse en una amenaza, y la seguridad consiste, precisamente, en protegerse contra todos estos tipos de riesgos, ya sea un hacker externo, un visitante que por error encuentra información confidencial o un infiltrado que roba datos.

El trabajo que CAD, y yo (Ola Bini), hacemos, se centra en gran medida en la ingeniería de seguridad. Creamos cosas que mejorarán la seguridad para una amplia gama de personas diferentes en el mundo. A veces también hacemos entrenamiento opsec. A veces también estamos involucrados en la investigación en temas de seguridad, especialmente en el campo de la criptografía defensiva. Y dado que el análisis de seguridad es la base del trabajo de ingeniería que hacemos, ese también es un componente importante. Pero nosotros, como organización, y yo como individuo, nunca hemos hecho un trabajo ofensivo. Nunca hemos jugado el papel de un EQUIPO ROJO. No somos ningún tipo de hackers. Lo que hacemos es diferente: construimos sistemas de defensa. Protegemos los derechos digitales.

En artículos futuros, podríamos analizar más de cerca los diferentes tipos de trabajo en seguridad, centrándonos en lo que hacemos en CAD. Es importante aclarar de qué se trata realmente el trabajo de los especialistas en seguridad y descartar los muchos mitos y conceptos erróneos sobre esta que todavía existen en la población en general. Espero que este artículo les ayude a comprender mejor el trabajo en seguridad.