En seguridad informática, una contramedida es una acción, dispositivo , procedimiento o técnica que reduce una amenaza , vulnerabilidad o ataque , eliminándolo o previniéndolo al minimizar el daño que puede causar. También puede incluir el descubrimiento y la notificación de vulnerabilidades para que se puedan tomar medidas correctivas.
La definición se da en IETF RFC 2828 [1] y en la Instrucción CNSS No. 4009 del 26 de abril de 2010 del Comité de Sistemas de Seguridad Nacional . [2]
Según el Glosario [3] de InfosecToday, el significado de contramedida es:
Un sinónimo es control de seguridad . [2] [4] En telecomunicaciones, las contramedidas de comunicación se definen como servicios de seguridad como parte del modelo de referencia OSI por la Recomendación ITU-T X.800. X.800 e ISO ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo de referencia básico – Parte 2: Arquitectura de seguridad) están técnicamente alineados.
La siguiente imagen explica las relaciones entre estos conceptos y términos:
+ - - - - - - - - - - - - + + - - - - + + - - - - - - - - - -+ | Un ataque: | | Contraataque | | Un recurso del sistema: | | es decir, Una Acción de Amenaza | | medida | | Objetivo del Ataque | | +----------+ | | | | +-----------------+ | | | Atacante |<===================||<========= | | | | es decir, | Pasivo | | | | | Vulnerabilidad | | | | Una amenaza |<==================>||<========> | | | | Agente | o Activo | | | | +-------|||-------+ | | +----------+ Ataque | | | | VVV | | | | | | Consecuencias de la amenaza | + - - - - - - - - - - - - + + - - - - + + - - - - - - - - - -+
Un recurso (tanto físico como lógico) puede tener una o más vulnerabilidades que pueden ser explotadas por un agente amenazante en una acción amenazante. El resultado puede comprometer potencialmente las propiedades de confidencialidad , integridad o disponibilidad de estos recursos (potencialmente diferentes al vulnerable) de la organización y otras partes involucradas (clientes, proveedores).
La llamada tríada CIA es la base de la seguridad de la información .
El ataque puede ser activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento, por lo que compromete la integridad o la disponibilidad. Un "ataque pasivo" intenta obtener o hacer uso de información del sistema, pero no afecta los recursos del sistema, comprometiendo la confidencialidad.
Una amenaza es una posibilidad de violación de la seguridad, que existe cuando existe una circunstancia, capacidad, acción o evento que podría vulnerar la seguridad y causar daño. Es decir, una amenaza es un posible peligro que permite la explotación de una vulnerabilidad. Una amenaza puede ser "intencionada" (es decir, inteligente; por ejemplo, un pirata informático individual o una organización criminal) o "accidental" (por ejemplo, la posibilidad de que un equipo funcione mal o la posibilidad de un "acto de Dios", como un terremoto, un incendio o un tornado). [1]
Se ha desarrollado un conjunto de políticas relacionadas con la gestión de la seguridad de la información, los sistemas de gestión de la seguridad de la información (SGSI), para gestionar, según los principios de gestión de riesgos , las contramedidas con el fin de cumplir con una estrategia de seguridad establecida siguiendo las normas y regulaciones aplicables en un país. [4]
Si un actor malintencionado potencial tiene acceso físico a un sistema informático, tendrá mayores posibilidades de causarle daños.
Dispositivos como USB Killer pueden usarse para dañar o dejar completamente inutilizable cualquier cosa que esté conectada a la placa base de una computadora, como un puerto USB, un puerto de video, un puerto Ethernet o un puerto serial. [5] Sin la protección adecuada, estos dispositivos pueden provocar la destrucción de puertos, tarjetas adaptadoras , dispositivos de almacenamiento, RAM , placas base, CPU o cualquier cosa conectada físicamente al dispositivo atacado, como monitores, unidades flash o interruptores cableados . Este tipo de dispositivos incluso pueden usarse para dañar teléfonos inteligentes y automóviles. [6]
Esta amenaza se puede mitigar no instalando o restringiendo el acceso físico a puertos de fácil acceso en situaciones en las que no son necesarios. Un bloqueo de cierre de puerto que deshabilita permanentemente el acceso a un puerto antes de desmontar el puerto en sí. [7] Cuando es necesario que un puerto sea accesible, un optoacoplador puede permitir que un puerto envíe y reciba datos a una computadora o dispositivo sin una conexión eléctrica directa, lo que evita que la computadora o el dispositivo reciba voltaje peligroso de un dispositivo externo. [8]
En un escenario no seguro, un actor malintencionado puede robar o destruir dispositivos de almacenamiento, como discos duros o SSD, lo que da como resultado la destrucción o el robo de datos valiosos.
Si los datos de un dispositivo de almacenamiento ya no son necesarios, la mejor manera de prevenir el robo de datos es destruir o destruir físicamente el dispositivo de almacenamiento. [9]
Si los datos de un dispositivo de almacenamiento están en uso y deben protegerse, se puede utilizar el cifrado para cifrar el contenido de un dispositivo de almacenamiento, o incluso cifrar todo el dispositivo de almacenamiento salvo el registro de arranque maestro. El dispositivo se puede desbloquear con una contraseña, autenticación biométrica , un dispositivo físico , un intercambio de red, una contraseña de un solo uso o cualquier combinación de estos. Sin embargo, si este dispositivo es una unidad de arranque , debe desencriptarse en un entorno previo al arranque para que se pueda acceder al sistema operativo. La fragmentación , o división de los datos en fragmentos almacenados en varias unidades que se deben ensamblar para poder acceder a los datos, es una posible solución al robo de unidades físicas, siempre que las unidades se almacenen en varias ubicaciones protegidas individualmente y sean suficientes en número para que ninguna unidad pueda usarse para juntar información significativa.
No se debe descuidar el proceso de agregar barreras físicas a los propios dispositivos de almacenamiento. Las cajas cerradas o las unidades ocultas físicamente, con un número limitado de personal con conocimiento y acceso a las claves o ubicaciones, pueden resultar una buena primera línea contra el robo físico.