En seguridad informática una contramedida es una acción, dispositivo , procedimiento o técnica que reduce una amenaza , vulnerabilidad o ataque , eliminándolo o previniéndolo minimizando el daño que puede causar. También puede incluir descubrir e informar vulnerabilidades para poder tomar medidas correctivas.
La definición figura en IETF RFC 2828 [1] y en la Instrucción CNSS nº 4009 de 26 de abril de 2010 del Comité de Sistemas de Seguridad Nacional . [2]
Según el Glosario [3] de InfosecToday, el significado de contramedida es:
Un sinónimo es control de seguridad . [2] [4] En telecomunicaciones, las contramedidas de comunicación se definen como servicios de seguridad como parte del modelo de referencia OSI de la Recomendación UIT-T X.800. X.800 e ISO ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo de referencia básico – Parte 2: Arquitectura de seguridad están técnicamente alineados.
La siguiente imagen explica las relaciones entre estos conceptos y términos:
+ - - - - - - - - - - - - + + - - - - + + - - - - - - - - - -+ | Un ataque: | |Contra- | | Un recurso del sistema: | | es decir, una acción de amenaza | | medida | | Objetivo del ataque | | +----------+ | | | | +-----------------+ | | | Atacante |<===================||<========= | | | | es decir, | Pasivo | | | | | Vulnerabilidad | | | | Una amenaza |<=================>||<========> | | | | Agente | o Activo | | | | +-------|||-------+ | | +----------+ Ataque | | | | VVV | | | | | | Consecuencias de la amenaza | + - - - - - - - - - - - - + + - - - - + + - - - - - - - - - -+
Un recurso (tanto físico como lógico) puede tener una o más vulnerabilidades que pueden ser explotadas por un agente de amenaza en una acción de amenaza. El resultado puede potencialmente comprometer las propiedades de confidencialidad , integridad o disponibilidad de estos recursos (potencialmente diferentes al vulnerable) de la organización y otras partes involucradas (clientes, proveedores).
La llamada tríada de la CIA es la base de la seguridad de la información .
El ataque puede estar activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento: por lo que compromete la integridad o la disponibilidad. Un "ataque pasivo" intenta aprender o hacer uso de información del sistema pero no afecta los recursos del sistema, comprometiendo la confidencialidad.
Una amenaza es una potencial violación de la seguridad, que existe cuando hay una circunstancia, capacidad, acción o evento que podría violar la seguridad y causar daño. Es decir, una amenaza es un posible peligro que permite la explotación de una vulnerabilidad. Una amenaza puede ser "intencional" (es decir, inteligente; por ejemplo, un cracker individual o una organización criminal) o "accidental" (por ejemplo, la posibilidad de que una computadora funcione mal, o la posibilidad de un "acto fortuito", como un terremoto, incendio o tornado). [1]
Se ha desarrollado un conjunto de políticas relacionadas con la gestión de la seguridad de la información, los sistemas de gestión de seguridad de la información (SGSI), para gestionar, de acuerdo con los principios de gestión de riesgos , las contramedidas para cumplir con una estrategia de seguridad establecida siguiendo las reglas y regulaciones aplicables en un país. [4]
Si un posible actor malicioso tiene acceso físico a un sistema informático, tiene mayores posibilidades de causarle daño.
Se pueden usar dispositivos como USB Killer para dañar o inutilizar completamente cualquier cosa que tenga una conexión a la placa base de una computadora, como un puerto USB, un puerto de video, un puerto Ethernet o un puerto serie. [5] Sin la protección adecuada, estos dispositivos pueden provocar la destrucción de puertos, tarjetas adaptadoras , dispositivos de almacenamiento, RAM , placas base, CPU o cualquier cosa conectada físicamente al dispositivo atacado, como monitores, unidades flash o interruptores cableados . Este tipo de dispositivos también pueden usarse para dañar teléfonos inteligentes y automóviles. [6]
Esta amenaza se puede mitigar no instalando o restringiendo el acceso físico a puertos de fácil acceso en situaciones en las que no sean necesarios. Un bloqueo de cierre de puerto que inhabilita permanentemente el acceso a un puerto que no sea el puerto real que se está desmontando. [7] Cuando es necesario que un puerto sea accesible, un optoacoplador puede permitir que un puerto envíe y reciba datos a una computadora o dispositivo sin una conexión eléctrica directa, evitando que la computadora o dispositivo reciba cualquier voltaje peligroso de un externo. dispositivo. [8]
En un escenario no seguro, un actor malintencionado puede robar o destruir dispositivos de almacenamiento como discos duros o SSD, lo que resulta en la destrucción o el robo de datos valiosos.
Si los datos de un dispositivo de almacenamiento ya no son necesarios, la mejor manera de prevenir el robo de datos es destruir o triturar físicamente el dispositivo de almacenamiento. [9]
Si los datos de un dispositivo de almacenamiento están en uso y deben protegerse, se puede utilizar el cifrado para cifrar el contenido de un dispositivo de almacenamiento, o incluso cifrar todo el dispositivo de almacenamiento, excepto el registro de inicio maestro. Luego, el dispositivo se puede desbloquear con una contraseña, autenticación biométrica , un dongle físico , un intercambio de red, una contraseña de un solo uso o cualquier combinación de las mismas. Sin embargo, si este dispositivo es una unidad de arranque , se debe descifrar en un entorno previo al arranque para poder acceder al sistema operativo. Fraccionar o dividir los datos en fragmentos almacenados en múltiples unidades que deben ensamblarse para poder acceder a los datos es una posible solución al robo de unidades físicas, siempre que las unidades se almacenen en múltiples ubicaciones seguras individualmente y sean suficientes en número para No se puede utilizar ningún disco para reunir información significativa.
No se debe descuidar el proceso de agregar barreras físicas a los propios dispositivos de almacenamiento. Los estuches cerrados con llave o las unidades físicamente ocultas, con un número limitado de personal con conocimiento y acceso a las llaves o ubicaciones, pueden resultar una buena primera línea contra el robo físico.