Estrategia de defensa (informática)

En informática, la estrategia de defensa es un concepto y una práctica utilizados por diseñadores de computadoras, usuarios y personal de TI para reducir los riesgos de seguridad informática . ^[1]

Estrategias comunes

Protección de límites

La protección de límites emplea medidas y dispositivos de seguridad para impedir el acceso no autorizado a los sistemas informáticos (lo que se conoce como control de los límites del sistema). El enfoque se basa en el supuesto de que el atacante no penetró en el sistema. Algunos ejemplos de esta estrategia incluyen el uso de puertas de enlace , enrutadores , cortafuegos y comprobaciones de contraseñas , la eliminación de mensajes o correos electrónicos sospechosos y la limitación del acceso físico.

La protección de límites suele ser la principal estrategia de los sistemas informáticos; si este tipo de defensa tiene éxito, no se requieren otras estrategias. Se trata de una estrategia que consume recursos y cuyo alcance es conocido. La supervisión de los sistemas de información externos forma parte de la protección de límites. ^[2]

Monitoreo de sistemas de información

El monitoreo de sistemas de información emplea medidas de seguridad para encontrar intrusos o el daño que estos han causado. Esta estrategia se utiliza cuando se ha penetrado en el sistema, pero el intruso no ha obtenido el control total. Algunos ejemplos de esta estrategia incluyen el software antivirus , la aplicación de un parche y la detección de anomalías en el comportamiento de la red .

El éxito de esta estrategia se basa en la competencia entre ataque y defensa. Se trata de una estrategia que consume tiempo y recursos, lo que afecta al rendimiento. Su alcance es variable en el tiempo. No puede tener pleno éxito si no está respaldada por otras estrategias.

Acciones inevitables

Las acciones inevitables emplean medidas de seguridad que no se pueden prevenir ni neutralizar. Esta estrategia se basa en el supuesto de que se ha penetrado en el sistema, pero un intruso no puede evitar que se emplee el mecanismo de defensa. Algunos ejemplos de esta estrategia incluyen el reinicio , el uso de funciones físicas no clonables y el uso de un interruptor de seguridad .

Enclave seguro

Un enclave seguro es una estrategia que emplea medidas de seguridad que impiden el acceso a algunas partes del sistema. Esta estrategia se utiliza cuando se ha penetrado en el sistema, pero un intruso no puede acceder a sus partes especiales. Algunos ejemplos de esta estrategia incluyen el uso del nivel de acceso , el uso de un módulo de plataforma segura , el uso de un microkernel , el uso de un diodo (dispositivo de red unidireccional) y el uso de espacios de aire .

Se trata de una estrategia de apoyo a la protección de fronteras, al control de los sistemas de información y a las estrategias de acción inevitables. Se trata de una estrategia que requiere tiempo y recursos y cuyo alcance es conocido. Incluso si esta estrategia tiene un éxito total, no garantiza el éxito general de la estrategia de defensa más amplia.

Objetivo falso

El objetivo falso es una estrategia que utiliza objetivos no reales para un intruso. Se utiliza cuando se ha penetrado en el sistema, pero el intruso no conoce la arquitectura del mismo. Algunos ejemplos de esta estrategia son los honeypots , los ordenadores virtuales , los conmutadores de seguridad virtuales , los archivos falsos y las copias de direcciones y contraseñas.

Se trata de una estrategia de apoyo para el seguimiento de los sistemas de información. Es una estrategia que requiere mucho tiempo y cuyo alcance lo determina el diseñador. No puede tener pleno éxito si no está respaldada por otras estrategias.

Objetivo en movimiento

El objetivo móvil es una estrategia de seguridad basada en cambios frecuentes de datos y procesos. Esta estrategia se basa en el supuesto de que el sistema ha sido penetrado, pero el intruso no conoce la arquitectura del sistema y sus procesos. Ejemplos de esta estrategia son los cambios periódicos de contraseñas o claves (criptografía) , el uso de una plataforma dinámica, etc.

Se trata de una estrategia de apoyo para la supervisión de los sistemas de información. Es una estrategia que requiere mucho tiempo y cuyo alcance lo determina el diseñador. No puede tener pleno éxito si no está respaldada por otras estrategias. Las acciones se activan de forma programada o como respuesta a una amenaza detectada.

Información inútil

La información inútil comprende medidas de seguridad para convertir la información importante en datos inútiles para un intruso. La estrategia se basa en el supuesto de que se ha penetrado en el sistema, pero el intruso no puede descifrar la información o no tiene tiempo suficiente para hacerlo. Por ejemplo, cifrar el sistema de archivos o utilizar software de cifrado puede hacer que los datos sean inútiles incluso si un atacante obtiene acceso al sistema de archivos, o utilizar el enmascaramiento de datos , donde los datos confidenciales se ocultan en datos no confidenciales con contenido modificado.

Esta es una estrategia de apoyo para la supervisión de sistemas de información. Es una estrategia que consume tiempo y recursos, y que afecta al rendimiento. El alcance es conocido. No puede tener éxito si no está respaldada por otras estrategias. Los teoremas de Claude Shannon muestran que si la clave de cifrado es más pequeña que la información protegida, no se puede lograr la seguridad teórica de la información . Solo existe un sistema criptográfico irrompible conocido: el block de un solo uso . Esta estrategia no suele poder utilizarse debido a las dificultades que implica intercambiar block de un solo uso sin el riesgo de verse comprometido. Otros sistemas criptográficos solo están ganando tiempo o se pueden romper (consulte Función hash criptográfica#Grado_de_dificultad ). Esta estrategia debe estar respaldada por las estrategias de objetivo móvil o de eliminación.

Supresión

La eliminación es una estrategia que utiliza medidas de seguridad para evitar a toda costa que un intruso obtenga información confidencial. La estrategia se basa en el supuesto de que el daño causado por la divulgación de información sería mayor que el daño causado por eliminar la información o deshabilitar el sistema necesario para obtener acceso a la información. La estrategia es parte del enfoque de seguridad centrado en los datos . Algunos ejemplos de esta estrategia incluyen la eliminación de información como respuesta a una violación de seguridad (como intentos de acceso no autorizado) y el restablecimiento de contraseñas .

Se trata de una estrategia de apoyo para la supervisión de sistemas de información. Es una estrategia que consume muchos recursos y cuyo alcance lo determina el diseñador. No puede ser completamente exitosa por sí sola, ya que la intrusión detectada no se pone en cuarentena.

Redundancia de información

La redundancia de información es una estrategia que consiste en implementar medidas de seguridad para mantener la redundancia de la información y utilizarla en caso de daño. La estrategia se basa en el supuesto de que encontrar y reparar el daño es más complicado que restaurar el sistema. Algunos ejemplos de esta estrategia son la restauración del sistema, la conservación de archivos de respaldo y el uso de una computadora de respaldo.

Se trata de una estrategia de apoyo al seguimiento de los sistemas de información. Esta estrategia consume recursos considerables y su alcance es conocido. Puede tener un éxito total en su parte.

Limitación de acciones realizadas por un robot

La limitación de las acciones de un robot es una estrategia que consiste en aplicar medidas de seguridad para limitar las acciones de un robot (un bot de software). La estrategia se basa en el supuesto de que un robot puede realizar más acciones o crear daños que un humano no puede crear. Algunos ejemplos de esta estrategia son el uso de técnicas antispam , el uso de CAPTCHA y otras técnicas de detección de presencia humana , y el uso de defensas basadas en DOS (protección contra ataques de denegación de servicio ).

Se trata de una estrategia de apoyo para la protección de límites y el control del sistema de información. Es una estrategia que consume tiempo y recursos, y cuyo alcance lo determina el diseñador. Esta estrategia no puede ser completamente exitosa por sí sola.

Defensa activa

La defensa activa es una estrategia que ejecuta medidas de seguridad para atacar a los posibles intrusos. La estrategia se basa en el supuesto de que un posible intruso que está siendo atacado tiene menos habilidades. Algunos ejemplos de esta estrategia incluyen la creación y el uso de listas de redes, dispositivos y aplicaciones de confianza, el bloqueo de direcciones no confiables y la gestión de proveedores.

Acciones inevitables

Esta estrategia puede respaldar cualquier otra estrategia. ^[3]^[4]^[5]^[6]^{[ aclaración necesaria ]} Esta es una estrategia que consume recursos y el alcance lo determina el diseñador. Una implementación puede tener un amplio impacto en los dispositivos. ^[7] Esta estrategia puede ser completamente exitosa, pero en la mayoría de los casos, existe una compensación entre la funcionalidad completa del sistema y la seguridad. Esta estrategia se puede utilizar de forma proactiva o reactiva. Las acciones realizadas en respuesta a un problema ya detectado pueden ser demasiado tardías. ^[8] Cualquier implementación debe estar respaldada por la estrategia de enclave seguro para evitar acciones neutralizadoras por acceso no autorizado al mecanismo de protección.

Las acciones pueden ser de los siguientes tipos:

Acciones preventivas: bloqueo de determinadas funciones, señales, dispositivos periféricos, partes de la memoria y/o transferencias de datos. Por ejemplo: bloqueo de grabaciones de audio o vídeo, envío de mensajes largos o acceso a memoria secreta.
Acciones creativas: activación de determinadas funciones, envío de señales, mensajes y/o datos. Por ejemplo: enviar una señal o mensaje de alarma, o activar la copia o transferencia de datos.
Acciones de modificación: modificación del funcionamiento de un dispositivo periférico o modificación de los datos, señales o procesos del sistema protegido. Por ejemplo, cifrado/descifrado de hardware independiente, cambio de la precisión del acelerómetro, filtrado de mensajes o palabras o cambio del diagrama de estado o algoritmo mediante hardware independiente.

Véase también

Criptografía fuerte

Referencias

^ Martiny, Karsten; Motzek, Alexander; Möller, Ralf (2015). Formalización de las creencias de los agentes para la planificación de estrategias de defensa de la ciberseguridad (PDF) . Avances en sistemas inteligentes y computación. Vol. 369. págs. 15-25. doi :10.1007/978-3-319-19713-5_2. ISBN 978-3-319-19712-8.S2CID 18198176 .
^ División de Seguridad Informática, Laboratorio de Tecnología de la Información (30 de noviembre de 2016). "Búsqueda de versiones - Marco de gestión de riesgos del NIST | CSRC | CSRC". CSRC | NIST .
^ "¿Qué es la autenticación de dos factores y qué soluciones 2FA son las mejores?". PCWorld . 5 de junio de 2019.
^ "Cifrado basado en PUF". www.researchgate.net .
^ "Diseño e implementación de una arquitectura de seguridad asistida por hardware para el monitoreo de la integridad del software". hal.archives-ouvertes.fr .
^ "La técnica Captcha en tiempo real mejora la autenticación biométrica". ScienceDaily .
^ "Agregar interruptores de seguridad para proteger tu privacidad no es tan simple como podrías pensar". amosbbatto.wordpress.com . 15 de agosto de 2019.
^ Gitlin, Jonathan M. (18 de octubre de 2019). "¿Todos los automóviles conectados deberían tener un interruptor de seguridad de red físico?". Ars Technica .