post

La psicología detrás del usuario bajo el contexto de Infosec

Esta nota no es más que mi percepción del tema, no me considero ningún experto en psicología.

Ya es casi rutinario el que año con año veamos que el número de brechas y robo de datos a las empresas se incremente. De manera recurrente vemos que el usuario/el humano es el punto más débil eso ya no se discute. Aún así vemos grandes compañías gastar su presupuesto en soluciones que prometen ser la medicina para sus infosec headaches.

Leyendo el Human Factor Report 2016 de Proofpoint me llamó la atención ver que en sus resultados con respecto a los datos del 2015 concluyen que, los “bad guys” han cambiado la dirección que le dedican a su esfuerzo. Resulta que los hackers saben que en lugar de consumir su tiempo tratando de explotar vulnerabilidades técnicas que les pueden llevar mucho tiempo sin mencionar que tienen más probabilidad de ser detectados, pueden ser más efectivos si van sobre las vulnerabilidades humanas.

Claro tiene todo sentido, todos los que llevamos unos cuantos (pocos o muchos) años trabajando en estos temas sabemos que puede ser mucho más sencillo y sin mencionar menos riesgoso realizar un ataque de Ingeniería Social remoto a gastar el tiempo tratando de explotar una falla técnica.

Ya ha pasado de la hora de que los responsables de invertir e implementar seguridad dentro de las empresas se den cuenta de que no basta con caer en las “verdades” de un vendedor de cajas que dice que un appliance va a ser la solución para todos sus problemas. Es hora de que se enfoquen también en sus empleados/usuarios.

Educar a la gente va más allá de solo dar una plática o enviar algunos correos de cuando en cuando.  Desde mi perspectiva es importante conocer y estudiar un poco el comportamiento humano, entender por qué reaccionamos de una manera u otra.

Los del lado oscuro ya se han dado cuenta de que días de la semana somos más susceptibles de caer en estafas vía correo electrónico, incluso conocen en que horarios somos más propensos a abrir un link o un anexo sin poner tanta atención al mensaje.

En las últimas semanas me he encargado de impartir pláticas a empleados de diferentes niveles educativos y de diferentes roles organizacionales y me doy cuenta que, si queremos que el mensaje correcto llegue y haga sentido tenemos que darlo en un lenguaje que cada tipo de usuario pueda entender. El uso de ejemplos reales, situaciones que sabemos que se les puede presentar o que incluso al primo de un amigo le haya sucedido, pueden ser de gran ayuda.

Tenemos que hacer entender a la gente la importancia y las consecuencias que sus acciones tienen. Es la única manera de que hagan las cosas con un poco más de atención y puedan empezar a convertirse en lo que se denomina como Human Firewall.

En estos momento me encuentro leyendo el libro Phishing Dark Waters de Christopher Hadnagy (@humanhacker) y Michele Fincher (@socengineerinc) y me gustó mucho la manera como presentan las razones psicológicas por las cuales los seres humanos tienden a caer en los ataques phishing.  Los autores presentan su explicación por medio de un círculo vicioso al que denominan Emotional Decisión-making Cycle.

En resumidas cuentas no importa si el ataque busca explotar el miedo, la curiosidad, el deseo, la simpatía u cualquier otro sentimiento en la víctima. Todo gira entorno a generar respuestas cerebrales que hagan que las emociones (sin importar cuales) se interpongan a la lógica y conlleven a que se tomen malas o impulsivas decisiones.

Entender ese tipo de cuestiones nos lleva a ideas un poco más claras sobre qué hacer romper ese círculo vicioso, cosas tan sencillas como tomarse un par de minutos antes de responder a algún mensaje sospechoso. Tomarse ese tiempo nos abre oportunidad para:

  1. Analizar si tenemos toda la información necesaria que justifique la toma de una decisión específica.
  2. Identificar si estamos bajo alguna influencia ajena a la situación que pueda perjudicar la decisión.
  3. Buscar alternativas para solucionar el problema tomando en cuenta las posibles consecuencias
  4. Tomar la decisión
  5. Evaluar los resultados de la decisión tomada.

Todas las acciones mencionadas pueden llevarse a cabo a algunos minutos, no se trata de tomar horas para darle respuesta a un requerimiento/correo. Con tan solo seguir el punto 1 podemos darnos cuenta si ese correo que supuestamente es del CEO proveniente de la cuenta ceo@empresa.com es en realidad falso ya que la cuenta del CEO en realidad es sunombre.apellido@empresa.com .

En fin ese es apenas uno de muchos aspectos que podemos descubrir si con vistas a la seguridad de la información estudiáramos un poco más a las personas para tratar de complementar la efectividad de los controles técnicos en los que invertimos grandes sumas de dinero.

Ya saben sus comentarios son siempre bienvenidos.

 

post

¿Educar a los usuarios para prevenir ataques? Pero hay que empezar de lo más básico.

Ha llegado aquel momento del año en el que FireEye publica su M-Trends report y poco ha cambiado con respecto al año anterior.  Como consuelo el reporte menciona que las empresas ahora tardan “solo” 205 días en promedio en detectar una brecha y no más 229 como en el 2013 ¬¬’. Bueno no hay que ser tan extremista y si hay que tener en cuenta que el número ha estado disminuyendo ya que en el 2012 el promedio era de 243.

¡Vaya consuelo! ¿No creen? laptoplock

Dentro de los escenarios observados le dan especial énfasis al de correos falsos de departamentos de TI en las empresas los cuales tiene un éxito del 78%. ¿Dónde está el problema en esto? Al menos a mi parecer este tipo de ataques tienen cierto grado de sofisticación, lo que me alarma es que aún hay gente que cree en el ¡Príncipe de Nigeria!

No voy a empezar a hablar del eslabón más débil y blá blá blá porque es algo que a mí ya me cansa, me preocupa más el ver que no hay evolución en ideas para remediar la situación.

Precisamente la semana pasada en el trabajo nos llegó un caso relacionado a un grupo de máquinas de un cliente infectadas por un ransomware, ok esto es algo común y que en este año nos ha llegado muchas veces. Aquí lo que me mató de la risa fue ver cómo el ransomware llegó a los equipos.

Básicamente este llego por medio de un correo en un idioma que puedo asegurar no era Inglés, Portugués o Español y que aun así 16 ”inocentes” animalitos de la creación tuvieron la brillante idea de descargar el zip anexado al correo y abrirlo por mera CURIOSIDAD.

Sinceramente cuando me entero de situaciones como estas me pongo a pensar si este tipo de cosas se podrían mitigar por medio del famoso Security Awareness; Situaciones como esta me suenan más a falta de lógica y sentido común de las personas.

¿Cómo quieren disminuir el número de personas engañadas por correos falsos altamente trabajados cuando no pueden evitar que abran anexos de correos enviados en idiomas que los empleados o potenciales víctimas siquiera conocen?

No sé qué opinen ustedes pero la educación en términos de seguridad de la información debería ser desarrollada de manera similar a la educación convencional donde tenemos diferentes niveles empezando por un “kínder” o incluso un “pre-kinder” para casos muy extremos. De tal forma nos veríamos súper orgullosos de prevenir correos de Spearphishing al mismo tiempo que vemos a nuestros “alumnos” caer víctimas de ataques que llevan más de 10 años circulando por el internet.

Se trata de no inventar el hilo negro y buscar trabajar las cuestiones más básicas antes de enfocarnos a cosas de mayor complejidad, de esta manera construimos una base sólida de conocimiento sobre la cual podremos trabajar más adelante.

Sí tiene el tiempo y el interés pueden revisar el reporte de FireEye (https://www2.fireeye.com/WEB-2015-MNDT-RPT-M-Trends-2015_LP.html) .