Monitorización y seguridad; más que una tecnología, una filosofía

Confidencialidad, integridad y disponibilidad son las tres leyes básicas de la seguridad. La disponibilidad es una especie de hijo díscolo que se vuelve pródigo cuando interesa, aunque sea para escribir panegíricos con él cuando se caen los sistemas, aunque lo cierto es que es el más descuidado de los tres y quizás por eso la monitorización se ha hecho su huequito siempre en un mundo más orientado a lo que puede venir que a lo que uno tiene dentro.

Sucede lo mismo, pero a la inversa, en el mundo de la monitorización, donde la disponibilidad es la reina de las atenciones de cualquier sistema, indiscutible elemento clave, dueña y señora del universo de datos de colores. Solo hay que ver una pantalla de cualquier sistema de monitorización, tan universal como el código de colores de los semáforos de cualquier país. Da igual que circules por la izquierda o la derecha. Rojos, verdes y amarillos. Gráficas que se leen de izquierda a derecha y un sinfín de conceptos que, salvando las distancias, nos unen a todos los fabricantes.

Monitorización y seguridad suelen vivir juntos en la misma casa, a veces incluso comparten habitación, pero raramente comparten objetivos. A veces incluso se combinan en artefactos imposiblemente complejos, como una torre de Babel. Las urgencias son diferentes y la monitorización en el fondo siempre está bordeando los minutos, necesita poder tener información casi en tiempo real y más ahora que todo el mundo habla de AIops. Como si en seguridad no llevaran años intentando que el Bigdata y la IA correlaran esos eventos por arte de magia. No es fácil, no es fácil porque los ataques reales sortean la lógica que se fabrica con reglas y datos, de hecho los ataques que más daño hacen siempre buscan un factor inesperado e innovador, difícil de prever e imposible de predecir con datos anteriores, porque claro, nunca antes se ha hecho de la misma manera.

El mercado de la seguridad es mucho más dinámico que el de la monitorización y mucho más emocionante. Para escribir un titular es siempre más interesante hablar de hackers que de sistemas que fallan, porque simplemente se mueren de viejos o por defectos genéticos. Por eso cuando ambos mundos se estrellan es más espectacular, como pasó esta semana con Solarwinds, uno de los productos de monitorización mundialmente más conocidos. Ha sufrido un ataque de esos difíciles de prever, tan difícil que durante más de un año ha estado dentro, en el corazón de su software, introducido en su código y distribuido a miles de clientes de forma silenciosa. Tanto impacto ha tenido que el propio gobierno de EEUU ha emitido una orden federal de tipo casi inédito para que todas las empresas públicas que utilicen Solarwinds desconecten inmediatamente sus sistemas de la red.

La mayoría de empresas públicas de EEUU y organismos educativos, estatales, federales y municipales utilizan Solarwinds, ya que tiene una estrategia de precios para gobiernos extremadamente agresiva.

El impacto en la industria de una noticia así tardará en llegar, dado que sus implicaciones son de largo alcance. Un ataque sofisticado puede paralizar cualquier organización a nivel mundial durante semanas hasta lograr volver a cierta normalidad. Implica un gran esfuerzo a contrarreloj del personal dedicado exclusivamente a apagar, revisar y reinstalar cientos de miles de equipos que actualmente están en producción. El coste de esta incidencia de seguridad es millonario. Sin olvidar el golpe que ello produce en la reputación corporativa; en los tiempos que corren medios y redes sociales se hacen eco de las noticias al instante y la caída en picado del valor de la marca es otro de los daños sumamente importantes. Este último es de los que más rápido llegan.

Muchas organizaciones empezarán a pensar seriamente en la importancia de la monitorización y a valorar el hecho de que la monitorización extiende sus tentáculos por todos los activos de una organización. Buen momento para explicar por qué inicialmente la imagen de Pandora FMS era un pulpo.

Una plataforma de monitorización debe tomarse la seguridad muy en serio teniendo en cuenta la responsabilidad tan grande que esto conlleva, puesto que está implantada a todos los niveles.

Un diseño seguro es un Must para las plataformas de monitorización serias desde sus cimientos y la arquitectura completa debe contemplarlo. Como autor de Pandora FMS soy consciente de esto, porque Pandora FMS nació de mi experiencia trabajando en uno de los bancos más grandes de España. Durante años me dí cuenta de la dificultad de implantar una monitorización que abarcara todo, debido a las correctas políticas de estanqueidad del banco, donde por diseño era imposible la comunicación entre ciertas áreas. Por ello en mi cabeza se fue formando una manera de que los elementos de esa arquitectura, aun siendo accesibles, fueran seguros por diseño.

En nuestra arquitectura de comunicación el agente es inaccesible desde el exterior, y una vez configurado correctamente se puede securizar en modo lectura, de forma que sea imposible acceder a él. Hemos tenido vulnerabilidades reportadas y seguro que no serán las últimas, es algo inevitable pero que siempre hemos gestionado de forma eficaz y sin repercusiones para nuestros clientes.

He de decir que si una organización extranjera quisiera atacar nuestros repositorios de código lo conseguiría, al fin y al cabo no somos una empresa que cotiza en bolsa y nuestros recursos comparados con los de Solarwinds son más pequeños, pero quizás por eso, y solo quizás, si alguien mete código ajeno en nuestro repositorio nos daríamos cuenta, porque levantaría la vista de mi monitor y preguntaría: “Ramón, ¿quién narices ha metido una puerta trasera en el servidor?”.

Es cierto que en la historia reciente hay más casos de puertas traseras, pero no en un software que tiene acceso privilegiado a todos los rincones de una organización por diseño.

¿Qué lección debemos aprender del caso de Solarwinds?

Que las organizaciones grandes tardan más en responder, que a veces grande no significa mejor y que la seguridad debería ser un factor muy a tener en cuenta a partir de ahora en cierto tipo de soluciones que se implantan de manera masiva en la organización.

Que la seguridad no es una tecnología, es una manera de pensar y de actuar.

A veces creemos que comprando productos vamos a estar más seguros, pero no, se trata de hacer las cosas de otra manera. Pandora FMS siempre ha sido consciente de eso, y se puede ver en nuestra guía de arquitectura de seguridad, nuestra guía de cumplimiento de GDPR -que también es válida para normativas como la PCI/DSS- y, por supuesto, porque como empresa estamos certificados en ISO 27001.

No hacemos gala de ello, pero también somos de los pocos fabricantes de software comercial con un programa público de comunicación de vulnerabilidades.

Vivimos en un mundo incierto y la monitorización debería tratar de asegurarnos de que pase lo que pase estaremos siempre informados. Por ello la seguridad para la monitorización es la base de todo.

¿Quiere estar actualizado?

Suscríbase a nuestro boletín de Pandora FMS. Le mantendremos informado sobre nuevas versiones, plugins, características e integraciones.

You're now subscribed to Pandora FMS. Thanks!

Shares

Descarga gratis el informe más completo sobre monitorización segura de IDG research