La creciente confianza depositada por las organizaciones gubernamentales y empresariales en los sistemas de gran escala altamente interconectados amplía las consecuencias de los ataques ma- liciosos y los compromisos derivados. Además, la complejidad y apertura de estos sistemas al pú-
Arquitectura Concep- tual Mitigación de Riesgo Dinámicas de Amenaza Identificación de Amenaza Tácticas de Supervivencia Restricciones Operacionales Objetivos de la Misión Patrones de Ataque de Alto Nivel Arquitectura Conceptual Dinámicas de Amenaza Mitigación
blico en general incrementa su exposición y vulnerabilidad a la actividad maliciosa. El resultado es que ataques más y más sofisticados están explotando las vulnerabilidades expuestas a una velocidad alarmante. Como se ha visto en los últimos gusanos y virus aparecidos en Internet (por ejemplo, Melissa, Love Letter, Code Red, Nimda), los atacantes comparten herramientas y conocimiento para ampliar sus capacidades [CERT 02]. Cada método de ataque aprovecha el conocimiento, la experiencia y el código del método de ataque previo, lo que hace que, irónica- mente, el ataque (virus, gusano, etc.) posea más capacidad de supervivencia. Las cada vez más sofisticadas herramientas que disponen los atacantes permiten que individuos relativamente sin experiencia ejecuten ataques muy avanzados.
A esto se agrega que se han visto que los ataques escalan con la intensidad de los conflictos políticos, tales como la guerra de Kosovo, las tensiones entre EEUU y China, y el conflicto entre India y Pakistán [Vatis 01]. En tanto estos ataques generalmente se presentan en forma de desfiguraciones bochornosas de sitios Web, los atacantes están comenzando solapadamente a apuntar hacia la percepción de los usuarios, como por ejemplo los intentos de modificar el con- tenido de importantes publicaciones de noticias o novedades [Cybenko 02]. Con la actual guerra anti-terrorista, sólo cabe esperarse más ataques de esta naturaleza orientados a socavar la super- vivencia de la misión militar. Un reciente informe que analiza las posibilidades del ciber- terrorismo concluye que “un ataque semántico sobre un sitio de noticias o de una agencia gu- bernamental, que hiciera que sus servidores Web proveyesen información falsa en un coyuntura crítica de la guerra anti-terrorista, podría tener un alto impacto sobre la población de los EEUU” [Vatis 01]. En resumen, los ataques realizados por individuos más sofisticados que el hacker promedio (por ejemplo, espías industriales o ciber-terroristas internacionales) son más probables y más difíciles de contrarrestar.
Una vista amplia, aunque poco común, de las amenazas incluye el potencial daño resultante provocado por ataques maliciosos, errores del usuario, fallas tecnológicas, y desastres naturales. El tradicional análisis de fiabilidad a menudo trata con una lista estática de fallas con tasas de fracaso conocidas. El análisis en ese contexto puede conducir a una valoración precisa de la relación costo-beneficio de las estrategias preventivas tales como la replicación del almacena- miento. En cambio, la supervivencia tiene que gestionar una lista no-estática de fallas genera- das de manera maliciosa y, a menudo, muy raras. Los esfuerzos actuales están orientados a limitar el alcance de este análisis a los ataques maliciosos, debido a que las amenazas debidas a actos, fallas o accidentes no intencionales son eventos aleatorios que pueden ser analizado con las técnicas de fiabilidad y tolerancia a fallos existentes. Sin embargo, los ataques maliciosos a menudo incluyen el peor conjunto posible de acciones elucubradas desencadenadas en el mo- mento más inoportuno, que provocan la falla de la misión. A esto se suma que el ambiente de
amenazas es extremadamente dinámico; es muy probable que los ataques que ocurran en los próximos dos años empleen herramientas completamente nuevas para explotar vulnerabilidades existentes no descubiertas.
4.4.1.1 Caracterización del Atacante
La identificación de las amenazas que son relevantes a las operaciones de la organización com- prende la caracterización de los tipos de atacantes que muy probablemente amenacen la misión de la organización y los tipos de ataques que estos atacantes muy probablemente realicen. Los atacantes se pueden caracterizar de manera muy general de acuerdo a un conjunto de atributos:
• Recursos. Los recursos que se incluyen son económicos, de personal y los niveles de experticia de este personal.
• Momento. Un atacante puede tener objetivos de muy corto plazo o puede ser muy pa- ciente y esperar la oportunidad.
• Herramientas. El atacante sofisticado puede adaptar herramientas de ataque para cambiar sus rasgos identificatorios y de esta manera evitar su detección, o puede desarrollar herramientas o enviar vía correo electrónico un virus que apunte a un sistema específico. • Riesgo. Un atacante puede buscar publicidad, o un atacante que opera desde el exterior
puede no ser intimidado por acciones legales.
• Acceso. El acceso de intruso se puede describir en términos de
o Los mecanismos de acceso utilizados durante el ataque, tal como un modem di- al-up, una línea tipo DSL, o la Internet.
o El origen del ataque, tal como desde la interfase externa (outside) de un firewall conectado a una LAN, o conectado desde un sitio de confianza (trusted)
o La posición organizacional del atacante, si la tuviera, tal como un empleado, un administrador de sistema o un contratado.
• Objetivos. Los objetivos del atacante pueden incluir motivaciones políticas, financieras, criminales, militares o personales.
La caracterización de tipos específicos de atacantes escapa al alcance de este trabajo. Existe una plétora de libros que describen los atributos y las técnicas de individuos medianamente sofisti- cados, pero maliciosos, generalmente llamados hackers o crackers. La caracterización de ata- cantes más sofisticados, tales como espías industriales y ciber-terroristas internacionales, por lo general es información sensible y, algunas veces, clasificada [OPSEC 00].
4.4.1.2 Caracterización del Ataque
basados en personas, en tecnología o en contexto. Estas clases de ataques apuntan, respectiva- mente a:
• Deseos, necesidades, capacidades o percepciones de personas. Ejemplos de esta clase incluyen ingeniería social, ataques semánticos, extorsión y daño físico. Tales ataques pueden explotar la codicia, el miedo o la ingenuidad, la corrupción moral, o personal esencial no-capacitado.
• Tecnología computacional o de red. Ejemplos de esta clase incluyen
o Ataques basados en red: ataques sobre la infraestructura de comunicaciones y los servicios soportados; por ejemplo, ataques de denegación de servicio basado en red, incluido denegación de servicio distribuido.
o Ataques basados en aplicaciones: ataques sobre las aplicaciones componentes de la arquitectura tales como un servidor Web, los servicios de correo electróni- co, o la infraestructura de soporte de las aplicaciones; por ejemplo, explotacio- nes que apuntan a vulnerabilidades de un servidor Web, tales como una vulne- rabilidad de buffer- overflow, para obtener acceso de mayor nivel.
o Ataques centrados en los datos: ataques sobre el flujo de datos o el contenido presentado a través de transacciones. Este tipo de patrones de ataque pueden ex- plotar o corromper datos y servicios o interrumpir o denegar servicios esenciales; por ejemplo, están incluidos ataques que apuntan a relaciones de confianza entre diferentes equipos, o que apuntan a usuarios ingenuos (tal como archivos adjun- tos a mensajes de correo electrónico que contienen código malicioso).
• El contexto en el cual las personas realizan su trabajo. Ejemplos de esta clase incluyen ataques sobre el soporte del trabajo, la demanda de clientes, el valor de las existencias de la organización, o restricciones legales bajo las que trabajan las personas o las orga- nizaciones. Estos ataques pueden explotar o denegar recursos críticos o dañar el merca- do, la capacidad o los activos de la organización.
Los escenarios de intrusión tienen que ver con las interacciones desde el punto de vista del ad- versario, una vista negativa con respecto a la funcionalidad del sistema, más que a una vista normal de un usuario legítimo, una vista positiva. Se define un escenario de intrusión como una descripción de la interacción de personas con los sistemas de una manera maliciosa, y por con- siguiente, que causa daño a una organización.
Un escenario de intrusión se puede representar como una secuencia de ataques que conducen a un compromiso específico de la misión del sistema. Un ataque puede o no ser completamente exitoso, pero siempre cambia el estado del sistema de alguna manera. Por otro lado, una intru- sión, siempre conduce a un compromiso específico de la misión a través de la ejecución de la
secuencia de al menos ataques parcialmente exitosos. Las intrusiones relacionadas pueden estar convenientemente organizadas en la forma de árboles de ataques en los que la raíz del árbol describe el compromiso de la misión al que contribuyen las intrusiones [Moore 01a].
Sin embargo, los árboles de ataque son de uso limitado en la formulación de una metodología global de supervivencia, dado que al menos ya debe existir una arquitectura de alto nivel para desarrollar un árbol de ataque. Además, cualquier cambio que se haga en la arquitectura como resultado del análisis del árbol de ataque conduce, al menos, a una mejora incremental de la arquitectura. Tales cambios ayudan en el caso que la arquitectura es de suficiente alta calidad, pero sirven de poco en arquitecturas fuera de control. No obstante, los árboles de ataque, y los escenarios de intrusión que ellos generan, proveen una metodología incremental para la formu- lación de un diseño de bajo nivel y, a fin de cuentas, una implementación que resulta robusta contra ataques probables.
Una técnica relacionada con el uso que hace TRIAD de los escenarios de intrusión, llamada
casos de abuso (misuse cases o abuse cases) emplea el concepto de caso de uso del Unified Modeling Language (UML) para información de seguridad [McDermott 99, Sindre 00]. La visión más común es que un caso de uso es una especificación general de un conjunto relacio- nado de escenarios de utilización concretos. Los casos de abuso son a los casos de uso como los escenarios de intrusión son a los escenarios de utilización, es decir, ellos tienen la visión del adversario en lugar de la del usuario. En consecuencia, los casos de abuso pueden ser compren- didos como una manera estándar de describir un conjunto relacionado de escenarios de intru- sión. UML identifica explícitamente actores dentro de un diagrama de caso de abuso en corres- pondencia con los actores dentro de un diagrama de caso de uso. Los casos de abuso describen detalladamente a estos actores maliciosos de acuerdo a sus recursos, experticia y objetivos.