Protegiendo los datos de investigación de alto valor

De los atacantes de estado-nación

0
22

Los avisos conjuntos del NCSC-DHS-CISA y una advertencia del FBI han resaltado recientemente las actividades de grupos respaldados por estados-nación dirigidas a organizaciones centradas en la investigación del COVID-19. El objetivo es obtener información para sus esfuerzos de investigación de COVID-19 a nivel nacional.

Los líderes de seguridad de las organizaciones de investigación deben comprender mejor las motivaciones y los métodos de estos atacantes. Eso les permitirá informar mejor a las partes interesadas sobre los riesgos, identificar los datos que puedan ser objeto de ataques y ajustar sus defensas de manera adecuada.

La protección de los datos de investigación es una necesidad
Los datos de investigación originales atraen a actores de amenazas afiliados al estado. «Nuestras joyas de la corona en términos de datos son propiedad intelectual de alto valor”, señala David Deighton, CISO de la Universidad de Birmingham, mientras hablaba en Cloud Security Expo en Londres a principios de este año. «Las universidades del Reino Unido están siendo atacadas, particularmente durante el último año o 18 meses, por grupos patrocinados por el estado que han estado tratando de penetrar en nuestro entorno para obtener acceso a esos datos”.

A pesar de esa amenaza, las instituciones educativas en el Reino Unido no han sido sólidas en materia de seguridad en los últimos años. Un reciente estudio de pruebas de penetración llevado a cabo por Higher Education Policy Institute (HEPI) y Jisc demostró que sus investigadores pudieron obtener acceso a datos de alto valor en dos horas en cada una de las redes de educación superior que probaron. «Hace mucho tiempo que no invertimos lo suficiente en TI y seguridad de la información en este país”, comenta Deighton.

Mick Jenkins, CISO de la Universidad de Brunel y ex oficial de contrainteligencia militar, le cuenta a CSO que ha visto una mejora en los últimos dos o tres años, impulsada en parte por la estrategia del gobierno y el hecho de que los institutos y universidades dedicadas a la investigación se consideran parte de la infraestructura nacional crítica debido a la propiedad intelectual que generan.

También hay una fuerte necesidad empresarial. Las dudas en torno a la seguridad pueden hacer que los investigadores se vean excluidos de la financiación si los clientes no creen que la institución pueda mantener esa propiedad intelectual segura. «Los objetivos estratégicos de la universidad son impulsar una mayor investigación, y los socios no nos brindarán los datos a menos que construyamos una base muy sólida para cuidar esa información”, explica Jenkins. «Esto se puede convertir no solo en una actividad empresarial, sino también en una inversión ganadora”.

Los grupos de APT quieren propiedad intelectual de alto valor y datos vendibles
China es conocida desde hace mucho tiempo por robar investigación y propiedad intelectual de alto valor para alcanzar objetivos económicos locales. Se acusa a grupos vinculados a la Guardia Revolucionaria Islámica de Irán de realizar lo que el Departamento de Justicia de los Estados Unidos ha denominado un «ciberataque masivo y descarado contra los sistemas informáticos de cientos de universidades”, en el que terabytes de información fueron robados de las universidades de todo el mundo. «Desde una perspectiva nacional, perderemos varios millones de libras si no protegemos esa propiedad intelectual”, indica Jenkins.

Los actores patrocinados por el Estado a menudo reciben carta blanca por parte de sus «clientes” para beneficiarse de las víctimas. APT41, un grupo afiliado a China, es conocido por llevar a cabo actividades de espionaje patrocinadas por el Estado «en paralelo” con operaciones motivadas por razones financieras. «Los APT se autofinancian por estados-nación, diciendo: ‘Ahí está su objetivo; puede dirigirse hacia datos personales para autofinanciarse”, indica Jenkins.

Deighton de Birmingham ha visto de primera mano cómo los grupos de APT persiguen datos de investigación, pero roban datos para ganar dinero. «Tuvimos un incidente en julio del año pasado en el que fuimos penetrados por un equipo de hackers rusos que aparentemente estaban buscando algo de propiedad intelectual que no llegaron a descubrir, hasta donde sabemos”, dijo durante su charla.

Los atacantes habían creado scripts de shell para buscar datos de investigación, que no pudieron encontrar. Sin embargo, aprovecharon los datos a los que pudieron acceder. «Se las arreglaron para ingresar a Active Directory hasta cierto punto. Descubrimos que tomaron nuestros nombres de usuario y contraseñas y los pusieron a la venta en la web oscura”.

La estrategia de defensa de APT es clave
Puede ser «muy difícil” detener a un sofisticado actor respaldado por el Estado, dice Jenkins. Primero, los CISOs deben tener una estrategia de defensa holística y bien pensada que esté guiada por la inteligencia. «Uno tiene que pensar y formular una estrategia desde el principio”, indica. «¿A dónde quiere ir? ¿Cómo es su modelo objetivo final? ¿Cómo quiere verse dentro de cinco años?”

«Lo he visto una y otra vez: comienzan un proyecto y no han pensado correctamente el modelo objetivo en función de la forma en que las amenazas y las tendencias de los estados-nación están cambiando”, añade Jenkins. «Tienen que detenerse y retroceder porque se equivocaron al principio”.

En busca de lo que Jenkins llama una plataforma de ciberseguridad unificada, Brunel trabaja con un puñado de socios -Exabeam (SIEM), Cisco (instrumentación) y Khipu (libros de tácticas y pruebas de penetración)- para desarrollar esa estrategia inicial, e implementar las tecnologías principales para respaldarla. Jenkins también está trabajando hacia un modelo de confianza cero en torno a su investigación y datos confidenciales, y busca agregar capacidades de prevención de pérdida de datos y monitoreo en la nube.

«No se puede hacer esto solo”, asegura Jenkins. «Traiga socios estratégicos para ayudar a dar forma a una visión. Usted conoce su negocio y su visión, y ellos aportan mucho valor al liderazgo intelectual”.

Amenazas internas y datos de investigación
Los estados-nación también envían personas a las instituciones educativas para obtener datos y regresar a sus hogares. El FBI ha dicho que China representa una amenaza para la academia, ya que el gobierno usará algunos estudiantes y profesores «para operar como recolectores no tradicionales de propiedad intelectual” y pasarán años apuntando a un individuo y desarrollando una relación que lleve al estudiante, profesor o investigador -ya sea de forma consciente o inconsciente- a proporcionar información.

El Plan de los Mil Talentos de China, por ejemplo, se creó para reclutar expertos internacionales líderes en investigación científica para promover su competitividad en campos clave. El Senado de los Estados Unidos ha calificado el plan como una «amenaza” a la investigación de los EE.UU. Ha habido varios arrestos este año de investigadores acusados de usar sus posiciones para ayudar a China, así como incidentes similares en grandes empresas.

Durante su charla, Deighton de Birmingham contó que tiene algunos estudiantes que «obviamente no están allí solo por sus estudios. Es una situación un poco difícil de manejar, y debemos ser cuidadosos con quiénes son asignados a los proyectos de investigación”.

Jenkins dice que los CISOs deben ponerse en contacto con líderes empresariales y recursos humanos para garantizar que las medidas de seguridad y los procesos estén en su lugar para la investigación o el reclutamiento. También es necesario que haya procesos de inducción e información para las personas que trabajan en propiedad intelectual de gama alta. «Se trata de hacer que las personas sean conscientes de que también pueden convertirse en objetivos y de dar a conocer las formas en que las personas operarán para obtener información privilegiada, sobornar, infiltrarse a través del ciberespacio, y utilizarán diferentes métodos para generar daños y perjuicios”.

Las personas que viajan al extranjero, por ejemplo, deben contemplar la posibilidad de ser vigilados, señala Jenkins. «Me veo como un oficial de contrainteligencia y alguien que es responsable de hacer su mayor esfuerzo para salvaguardar la universidad y el negocio de una variedad de diferentes métodos de ataque”.

Los CISOs necesitan información de red sólida
Recurrir a socios para obtener inteligencia puede ser útil, especialmente para organizaciones que tienen recursos limitados. El NCSC del Reino Unido, por ejemplo, ha publicado guías que describen amenazas clave hacia universidades y los tipos de información que los actores de amenazas pueden atacar. También tiene información sobre cómo proteger mejor los datos de investigación. «Las alertas, las advertencias y la orientación son fundamentales para que yo pueda transmitir el mensaje en las juntas ejecutivas de modo que tengan una idea continua de cuáles son las amenazas y los riesgos para la propia universidad y los datos”, explica Jenkins.

Estar al tanto de lo que sucede en el mundo también puede ayudar a detectar si existe la posibilidad de que su organización esté en riesgo. «Nunca lo había visto tan mal en los últimos tres años, no importa lo que viene”, señala Jenkins. «Las tensiones geopolíticas solo van a exacerbar la necesidad de preparar su negocio para el futuro. Hay que escanear un poco el horizonte y ver las escalas geopolíticas porque se pueden convertir rápidamente en un mecanismo de ataque”.

Jenkins dice que los CISOs necesitan construir un panorama global para que sus analistas obtengan una variedad de inteligencia de diferentes fuentes. «Eso les permite construir la imagen de amenaza común y una imagen operativa común en la que pueden tomar medidas muy rápidamente en función de lo que sabemos sobre los TTPs adversos y los métodos de ingreso”.

Brunel ejecuta ejercicios de simulación de ataques para probar las defensas y ver cómo los atacantes pueden comprometer una red y filtrar datos. La universidad cuenta con un framework de información propio donde se enfatiza la necesidad de que los propios directores transmitan en cascada la información de seguridad y privacidad a sus unidades de negocios. Los ejercicios de simulación de combates hacen que los propietarios de la información comprendan y aprecien la importancia de una buena ciberseguridad en torno a los datos y sistemas críticos.

«No hay mejor manera de que los profesionales y los propietarios de los datos observen cómo se produce un ataque simulado y cómo ingresan a la red, obtienen los derechos de acceso privilegiado, se introducen en los datos -estén cifrados o no- y los aprovechan, tanto para datos personales como para propiedad intelectual. Una vez que se les muestra a los investigadores y ejecutivos cómo operan los delincuentes, comienzan a entenderlo”.

9 prácticas óptimas para proteger los datos de investigación
Los CISOs deben comprender los datos que poseen y cómo los actores de amenazas atacan a las instituciones de investigación y extraen la información. «Las instituciones de investigación son minas de oro para los actores de amenazas”, asegura Richard Cassidy, director senior de estrategia de seguridad de Exabeam. «Los factores que conducen a una violación de datos comienzan mucho antes y siempre están relacionados con la falta de comprensión sobre cómo alinear efectivamente el proceso, la tecnología y las personas”.

Cassidy, Jenkins y Deighton recomiendan las siguientes prácticas óptimas para proteger los datos de investigación:

  • Asuma que su investigación es un objetivo para los atacantes y comprenda qué grupos están detrás de sus datos, por qué y sus TTP y metodologías. Reevalúe y actualice continuamente esta información, y úsela para informar a sus defensas.
  • Mapee sus activos, determine el valor de los datos, clasifíquelos y disponga las medidas de control apropiadas respecto al valor de los datos y el apetito de riesgo en su contra.
  • Asegúrese de que los propietarios de la información entiendan los riesgos de los datos y su papel en la protección de estos.
  • Implemente la autenticación de múltiples factores con procesamiento automatizado para personas que llegan, salen, y se mueven entre trabajos o proyectos.
  • Segmente los datos de investigación tanto como sea posible. Disponga vigilancia alrededor de esos conjuntos de datos.
  • Cuente con un proceso de investigación y verificación bien establecido para aquellos que van a estar involucrados con datos valiosos o en riesgo.
  • Identifique a las personas de alto riesgo y coloque medidas de seguridad y monitoreo adicionales alrededor de sus cuentas. Edúquelas sobre los riesgos que corren ellos mismos y los datos de investigación.
  • Tenga planes de respuesta a incidentes y recuperación de desastres que cubran los métodos y técnicas comunes que los actores de amenazas usan para robar datos de investigación. Use ejercicios de búsqueda de amenazas y simulaciones teóricas para informar y actualizar los libros de tácticas.
  • Adopte la automatización donde sea posible para reducir la carga de trabajo de los equipos de seguridad y permitir tiempos de respuesta más rápidos.

Dan Swinhoe, CSOonline.com