Liderado por Prot-On, y en colaboracón con Secure&IT y Grupo Revenga, el consorcio Encrypt-It-All está desarrollando una solución, basada en tecnología IRM (Information Rights Management), orientada a facilitar la colaboración entre organizaciones que deban intercambiar de forma segura información sobre alertas e incidentes. El sistema permite que los usuarios, permisos sobre documentos y registro de actividad, se gestionen desde la nube pública o desde una privada con una gran capacidad de interoperabilidad entre el regulador, los centros de respuesta a incidentes y los distintos operadores de infraestructuras críticas. En este artículo se especifican algunos detalles del proyecto.
El intercambio de información acerca de los incidentes de seguridad se parece hoy mucho al intercambio de información que mantienen los adolescentes sobre el sexo: todos hablan de ello, pero muy pocos lo han hecho. Aunque se hagan referencias en estándares como ISO 27001, en legislaciones tanto nacionales como supranacionales y se nos exhorte a ello en seminarios, congresos, encuestas, etc., existen, en la práctica, muy pocas experiencias reales de una eficiente colaboración en este terreno.
La desconfianza para facilitar direcciones IP, datos sobre servicios afectados o clientes comprometidos en un incidente se debe al miedo a la pérdida del control sobre dicha información. “Si soy víctima de un incidente y proporciono los datos, ¿a cuántos y a cuáles CERTs y SOCs, ISPs, tanto públicos como privados, llegará esta información? ¿Quién, cuándo y para qué la va a utilizar? ¿Llegará a mis competidores también? ¿Le llegará a algún organismo sancionador? Si además el repositorio es una base de datos centralizada, todavía me preocupa más, pues puede que se convierta en un objetivo realmente atractivo para todo hacker que busque notoriedad…”.
Se han propuesto diversos sistemas como repositorio y para intercambio de información sobre incidentes, en base a diferentes arquitecturas: bases de datos centralizadas o distribuidas, sistemas de mensajería o de sindicación de fuentes, en la nube o instalación propia, cliente/servidor o red entre iguales (peer-to-peer). También existe disparidad en cuanto a los formatos de mensajes y los protocolos que se han de usar para dicho ntercambio. ENISA recomienda usar AIRT o RTIR como sistema de tratamiento de incidentes en infraestructuras TIC. Debido a que han sido especialmente diseñados para este fin, actualmente son los más usados por los equipos de respuesta. RTIR es una herramienta software de código abierto, sin coste de licencia por usuario o por servidor. En él, la entrada de información (el informe del incidente) se realiza, en su mayor parte, a través de correos electrónicos procedentes de algún CSIRT y que tienen como origen bien clientes finales, un ISP, fuerzas de seguridad o algún software de detección automático de código dañino. No obstante, el informe puede recogerse por otras vías, como una llamada telefónica, y normalmente viene acompañado de ficheros adjuntos con evidencias para ayuda al diagnóstico de la situación. Como resultado, se genera un registro siguiendo un formato preestablecido.
En esta situación, el flujo de trabajo para el tratamiento del incidente puede involucrar diversas organizaciones públicas y privadas que analizan, aportan y generan informaciones relativas al incidente, dentro y fuera del sistema RTIR. Sin embargo, RTIR carece de mecanismos nativos de cifrado de registros en la base de datos y de control de uso de la información fuera del sistema. Dispone, eso sí, de un interfaz para integrarse opcionalmente con GnuPGP y leer los correos protegidos de esta manera. Sin embargo la gestión de las claves resulta engorrosa y se deja bajo responsabilidad de cada usuario, que se convierte así en copropietario de toda aquella información que sea capaz de descifrar con su clave, sin ningún conocimiento ni control por parte del propietario original del uso que a partir de entonces se haga de dicha información.
El cifrado PGP no es suficiente si está integrado en un sistema con deficiente control de acceso y gestión de perfiles, como los que podríamos Encontrar en algunos CERTs, de origen universitario, sin ánimo de lucro. Estos equipos de respuesta suelen estar formados por personal voluntarioso, pero de alta rotación, no sujeto a ningún acuerdo de nivel de servicio con la víctima que declaró el incidente.
Consorcio Encrypt-it-All
Así pues, para que se diesen las condiciones favorables para una cooperación eficiente en la intercomunicación de alertas e incidentes, especialmente la orientada a infraestructuras críticas, sería necesaria una solución de mensajería cifrada que permitiera el intercambio de documentos en formatos estructurados y no estructurados sobre las plataformas estándar del mercado (Windows, Mac, IoS, Android, Linux, etc.).
Una funcionalidad fundamental de tal sistema debería ser el control y gestión de los derechos de uso de la información por parte de quien la intercambia. Sería también muy importante poder establecer fecha de caducidad para la información compartida, ya que puede ser relevante ahora, pero no dentro de un mes cuando el incidente ya esté contenido.Los requerimientos quedarían completos si se incluyese también un detallado log de auditoría, que permitiera al propietario de la información saber quién la ha usado y de qué manera para un posterior análisis forense en caso de fuga. Con todos estos requerimientos sobre la mesa, el Consorcio Encrypt-It-All, liderado por Prot-On, y en colaboración con Secure&IT y Grupo Revenga, ha desarrollado una nueva solución en la que la protección se basa en tecnología IRM (Information Rights Management), de modo que la información permanece cifrada en destino y su propietario de origen mantiene el control en todo momento, pudiendo gestionar y conocer quién, para qué y hasta cuándo puede acceder a dicha información.
En el cifrado se utiliza el estándar AES, aunque puede sustituirse por el algoritmo de cifrado que oportunamente señale la autoridad criptológica nacional. Los documentos tipo MS Office, AutoCAD, PDF, texto, etc., pueden ser tratados en sus aplicaciones originales a través de plugins o visores “ad hoc”, sin perder por ello la protección. Además de las plataformas habituales, el sistema se soporta en dispositivos móviles. El sistema permite que los usuarios, permisos sobre documentos y registro de actividad, se gestionen desde la nube pública o desde una privada con una gran capacidad de interoperabilidad entre regulador, centros de respuesta a incidentes y los distintos operadores de infraestructuras críticas. Esto se consigue mediante dos funcionalidades innovadoras: • Una gestión de identidades abierta. Partiendo de una dirección de email como identificador de usuario, la autenticación puede hacerse bien contra la propia aplicación o bien contra proveedores de identidad externos (directorios LDAP o AD de empresas, o proveedores de identidad con protocolos OAuth, OpenID, etc.). • Un protocolo de relaciones de confianza o federación entre servidores, de forma que ser vidores con la solución desplegados en diferentes CERT, puedan compartir información cifrada y se puedan otorgar permisos de acceso a dicha información a usuarios registrados en otro servidor.
Uno de los inconvenientes de los repositorios tradicionales con información cifrada es la dificultad para hacer búsquedas sobre dicha información. La solución Encr ypt-It-All solventa este problema mediante la integración de la tecnología de Taiger para la indexación y re-indexación de archivos protegidos. Como valor añadido, esta tecnología implementa la funcionalidad de búsqueda semántica, posibilitando así un mayor refinamiento de las búsquedas que el ofrecido por los motores de búsquedas sintácticas tradicionales. Superados ya los hitos de estudio y desarrollo de la solución, ésta se encuentra ya en su fase piloto, que permitirá validar la viabilidad técnica de las tecnologías usadas y su integración. Mientras, Prot-On y sus socios en Encrypt-It-All preparan el proceso de paquetización, licenciamiento y comercialización de la solución. La deseada y necesaria colaboración en la seguridad recibirá así un fuerte impulso hacia la realidad.