Cuando se habla de automatización, se suele asociar con productividad y eficiencia. Sin embargo hay otra área en la que también puede resultar ventajosa: la ciberseguridad. "La automatización es la única forma de reducir el tiempo de respuesta casi a cero y reducir el error humano", afirma Hernán Conosciuto, arquitecto especialista en seguridad de Red Hat para América del Sur.
"Desde un comienzo siempre nos estamos enfocando en la prevención, lo cual es bárbaro. Pero, ¿por qué existen los simulacros de terremoto? Porque no se pueden evitar. Con el ciberataque pasa lo mismo, uno puede prevenir, prevenir, pero en algún momento tiene que pensar qué sucede si me atacan", dice. Red Hat cuenta con la plataforma de automatización Ansible, que permite integrar diferentes dispositivos y sistemas y automatizar procesos.
- ¿Cómo ayuda la automatización en caso de un ciberataque?
- Lo que pasa hoy en día a nivel global es que están todos enfocados en cómo prevenir pero cuando son atacados no saben cómo actuar, o en el mejor de los casos actúan de manera manual. Yo suelo poner una gráfica que es un sensor de humo que suena. Cuando empieza a sonar, salgo a buscar el matafuego. En ese tiempo en que voy y trato de extinguir el fuego, posiblemente ya se me quemaron varios servidores. Con un ciberataque pasa lo mismo, ese tiempo que yo demoro en actuar, en recibir como equipo de seguridad una alerta y tomar una acción, puedo haber perdido varios servidores con ransomware.
Lo que planteamos desde RedHat es tener un sensor, pero también tener una automatización de la acción. Tengo algo que detecta, disparo un evento que es automatizado - siguiendo la analogía del incendio, el sensor que detecta pero que a la vez tiene un caño de agua que se abre. La variable del tiempo es lo más complicado, porque es muy rápido todo, sobre todo con ransomware, y se está dando con la pandemia que los ataques se multiplicaron, crecieron de manera exponencial.
- ¿Cuál es la respuesta automática que debería ocurrir? ¿Apagar máquinas?
- En general lo que uno hace es detectar anomalías. Hay sistemas que hacen análisis de comportamiento sobre las máquinas, que detectan un floodeo, un envío de paquetes excesivo, o inclusive una salida de paquetes a servidores fuera de la región. Bueno, para esas conductas que se analizan, lo que se puede hacer con automatización es aislar la máquina. Tal vez no apagar el servidor, sino aislar la fuente de esa anomalía. Es probable que tenga un falso positivo, pero prefiero pedir perdón que pagar un rescate. La aíslo, la pongo en una blacklist para que no se conecte a mi red, y después analizo. Si es un falso positivo, disculpa, fue un error. Si no lo era, mientras más rápido aislo la fuente del problema, menos chance de que me ataquen hacia adentro voy a tener.
- El monitoreo es una parte clave del proceso.
El monitoreo no lo hace la automatización, pero podemos integrarlo. Podemos tener un sistema que está haciendo monitoreo y cuando detecta algo en vez de generar solo una alerta, genera una acción. Por ejemplo, un servidor de producción que tiene levantado un servicio de FTP, o un compilador, que no debería tener por políticas de la empresa. Genero el descubrimiento, pero también desinstalo el compilador, deshabilito el servicio de FTP, tomo una acción.
- La automatización también se utiliza para la recuperación de sistemas, ¿ha aumentado el uso en disaster recovery?
- Totalmente, se está usando mucho por el simple hecho que quita una variable que es tiempo. También elimina el error humano. Es infraestructura como código, si yo tengo una caída de un servidor, o me lo encriptan, tengo que volver a un backup. Pensemos que es una base de datos y tengo que recuperar los archivos hasta 1 hora antes de que fuera encriptado. Si lo hago a mano, lo hago nervioso, ni hablar si lo estoy haciendo en pandemia, en mi casa, con los nenes corriendo y la presión del celular que suena cada 20 segundos, y mi jefe, es probable que termine peor, rompiendo otro servidor por equivocarme de pantalla. Si lo tengo automatizado, a lo sumo tengo que decirle qué servidor, desde qué backup y cuánto quiero recuperar. Son 3 datos que puedo revisar, y todo el tipeo de alguna manera automatizado lo va a terminar haciendo este sistema.
- ¿Qué amenazas han aparecido con más fuerza por la pandemia?
- Ahora empezaron a meter paquetes maliciosos en Open Source, eso antes no pasaba. Un error de tipeo, hago un copy paste de una página donde está mal escrito a propósito el módulo, y termino instalando un módulo que hace lo que yo quiero y un poco más. Son modalidades bastante nuevas.
Otra cosa que ha cambiado, uno estaba acostumbrado a hacer un checklist y revisar, cumple, cumple, me quedo tranquilo, aprobó todo. Ahora lo que estaba bien, en 10 minutos o 1 hora puede cambiar. Entonces la automatización ayuda ahí al chequeo constante.
Las3Claves para usar la automatización para mejorar la seguridad:
- Comenzar a pensar qué pasa si soy atacado, tener un plan. Prevenir es importantísimo, pero es tan importante como reaccionar en caso de ataque. Así que el primer punto sería armar un procedimiento que sea automatizado para actuar en consecuencia. Aislar, disaster recovery, etc.
- El chequeo constante. No nos podemos quedar tranquilos con que un servidor que se puso en producción hace un mes cumplía con todas las listas de chequeo, porque hoy eso puede haber cambiado.
- La clave es integrarlo con lo que el cliente ya tiene. No poner productos que compiten con otros donde yo vengo a desplazar a la competencia. Con Red Hat Ansible Automation Platform eso no ocurre, es un integrador. El cliente dice "ya tengo armado scripts automatizados, ¿los tengo que destruir?" No, no es un big bang, llámalos de manera centralizada, auditada, con trazabilidad, y en una segunda fase lo vas mejorando con código Ansible.