En junio de este año, la Oficina de Inspección General de la NASA publicó un informe revelando que en abril de 2018 se sucedió un ataque cibernético que resultó en datos perjudicados con relación a las misiones a Marte.
Un hacker accedió a la red del Jet Propulsion Laboratory (JPL) en Pasadena, CA, apuntando a un dispositivo Raspberry Pi que no estaba autorizado para conectarse a la red JPL. Sin ser detectado durante 10 meses, el atacante extrajo aproximadamente 500 megabytes de datos de 23 archivos, dos de los cuales contenían información del Reglamento Internacional de Tráfico de Armas relacionado con la misión del Laboratorio de Ciencias de Marte.

El JPL utiliza su Base de Datos de Seguridad de Tecnología de la Información (ITSDB) para rastrear y gestionar activos físicos y aplicaciones en su red; sin embargo, en este caso, Raspberry Pi se adjuntó a la red sin la necesaria revisión y aprobación OCIO. Parece un poco irónico que una organización que trabaja con algunas de las tecnologías más avanzadas del mundo se haya visto frustrada por el simple hardware de consumo del tamaño de una tarjeta de crédito.

La tecnología sencilla puede tener un impacto poderoso cuando se la usa de manera incorrecta.

Este evento ilustra una de las formas en que un atacante y una amenaza a la seguridad pueden pasar desapercibidos - paciencia. También enfatiza la necesidad de capturar información de conectividad y comunicación para todos y cada uno de los dispositivos, no solo de algunos. Mover 500 megabytes durante 10 meses ciertamente no resultará en un dispositivo que se muestre en un informe Top-N. Pero el hecho es que la misma tecnología que se ha utilizado durante más de dos décadas para producir informes Top-N tiene el potencial de decirle:
• Usted tiene un dispositivo no autorizado en su red
• Dónde está conectado el dispositivo
• Quién y con quién usted está comunicándose

¿Qué es esta tecnología? Datos de flujo. Así es, nuestro amigo probado y verdadero que ha existido desde que Cisco introdujo el NetFlow en 1996. Pero espere, usted podría estar diciendo que los datos de flujo se utilizan para "conteos y cantidades" para mis conversaciones y protocolos principales, no para brindar información detallada de conectividad y comunicación para cantidades insignificantes de tráfico.

viavi-grafico-1-wSi bien esto puede haber sido cierto en el pasado, como muchas tecnologías, los datos de flujo han evolucionado como una fuente de datos y ahora puede servir como base para brindar mucho más, incluyendo la información sobre amenazas y seguridad. Por ejemplo, los registros de flujo se pueden incrementar para incluir direcciones MAC e información de conectividad física.

Con las técnicas adecuadas de recopilación, almacenamiento, informes y visualización, los datos de flujo se pueden usar para mostrarle todas las conversaciones que cada dispositivo está llevando a cabo en su red, incluso si se trata de un dispositivo pequeño que genera una pequeña cantidad de tráfico.viavi-grafico-2-w

La clave es enriquecer este conjunto de datos, no eliminarlo y resumirlo hasta que se pierda todo su valor forense.
La tecnología sencilla puede tener un impacto poderoso cuando se la utiliza correctamente.
Si usted está solamente utilizando datos de flujo para los informes Top-N y esperando que esto le ayude a descubrir comportamientos sospechosos o maliciosos, este no es un enfoque sólido.

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn

Conectores Revista FTTH Electrónica industrial. Cursos de fibra Óptica, Seminarios Online, Noticias Tecnología y Ferias Tecnologicas,Cables y Conectores Industriales de Fibra Optica, Noticias Empresas, Osciloscopios y Herramientas, Centros de datos.