Fuga de información en empresas líderes en Data Loss Prevention

jueves, 15 de agosto de 2013

Gartner ha publicado un estudio en el que clasifica a las empresas más importantes que ofrecen soluciones de prevención de fuga de información (Data Loss Prevention o DLP) según su posición, estrategia, eficacia y liderazgo en el mercado. Hemos realizado un pequeño experimento para comprobar si estas mismas compañías controlan la publicación de metadatos en sus propios servidores, como potencial punto de fuga de información sensible.
Según el estudio Magic Quadrant for Content-Aware Data Loss Prevention realizado por la consultora Gartner, en el año 2014 más del 50% de las empresas utilizará alguna característica en sus políticas de seguridad a la hora de realizar una prevención de fuga de información (Data Loss Prevention) en sus datos sensibles. Sin embargo sólo el 30% de estas dispondrá de una solución o estrategia DLP global basada en el contenido.
El estudio realizado por Gartner determina cuáles son las empresas líderes a la hora de realizar prevención de fuga de información, estableciendo como factores de medición para generar el liderazgo indicadores como las soluciones empresariales Content-Aware DLP proporcionadas, los productos DLP-Lite ofertados o si proporcionan un canal DLP para aclarar al usuario dudas respecto a determinados cumplimientos regulatorios, por ejemplo.
Gráfico de las empresas líderes en Data Loss Prevention, según Gartner
¿Evitan estas empresas la fuga de información a través de metadatos en sus propios sistemas? Con MetaShield Forensics, se ha realizado un análisis al frontal web principal de estas compañías que aparecen en el estudio. MetaShield se ha encargado de descargar y analizar los documentos públicos expuestos en la web.
Los resultados se muestran de manera genética en la siguiente tabla. Todas las empresas estudiadas cuentan con metadatos asociados a los documentos públicos que exponen en internet. Parece que estos documentos no están siendo sometidos a ningún proceso de limpieza y, por  tanto, son susceptibles de convertirse en un punto de fuga de información confidencial que es necesario tener en cuenta.
La siguiente tabla muestra en datos brutos, la pérdida de información expuesta por cada una de las empresas de seguridad.
Total de fuga de información expuesta por las empresas que proporcionan herramientas y servicios DLP
En función de la tabla anterior, se ha procedido a realizar un nuevo gráfico mostrando la cantidad de fuga de información producida por las empresas DLP estudiadas. Lógicamente, las entidades analizadas que sufren más fuga de información a través de los metadatos son las que también exponen un mayor número de documentos públicos en sus sitios web. 
Fuga de información expuesta por las empresas que proporcionan herramientas y servicios DLP
La información que se filtra en mayor número de ocasiones a través de los metadatos son en general los nombres o cuentas de usuario, seguido de los directorios internos desde donde se generaron los documentos. También es muy habitual encontrar las versiones de software concreto usadas para su generación. En conjunto, información valiosa para un potencial atacante.
Veamos algunos detalles sobre la información expuesta:
  • Usuarios y cuentas de correo de usuario: Los usuarios internos y sus cuentas de correo constituyen una de las fugas de información más llamativas. Exponer información de este tipo puede facilitar al atacante la elaboración de ataques más sofisticados.
  • Direcciones a servicios web internos: Tanto web como locales, algunos de los directorios expuestos proporcionan información valiosa sobre los sistemas de gestión internos utilizados por las entidades. Como ejemplo, se ha encontrado entre los metadatos de uno de los documentos, la URL que apunta a la solución OpenNMS (http://159.36.2.25:8980/opennms/event/…/) de la compañía Symantec. Se trata de una solución utilizada por administradores de red para controlar servicios críticos en máquinas remotas.
  • Directorios internos de usuarios: Los directorios más comunes localizados son aquellos que se generan asociados al perfil de usuario de los equipos de trabajo, donde se puede identificar al propio usuario a través de las típicas rutas establecidas en determinados sistemas (como la que se establece a las carpetas personales tipo Escritorio, Mis documentos, etc.). Como ejemplo C:\Documents and Settings\holly_waggoner\M 20Documents\****** Web\press\2004\ es detectada en una de las empresas DLP.
  • Impresoras de red asociadas a servidores de impresión: Es otra de las fugas de información más comunes detectadas. Impresoras de red que exponen información sobre su modelo y tipo, así como sobre a qué servidores se encuentran asociadas (ya sea mostrando su nombre o dirección IP interna).
  • Software utilizado por la organización: Otro dato que puede considerarse fuga de información consiste en los datos acerca de los elementos de software utilizados por las organizaciones. La fuga de información más común encontrada en la categoría de software es aquella que hace referencia al tipo de software utilizado a la  hora de generar los archivos PDF, al tratarse de uno de los formatos más utilizado para publicar en entornos web.
  •  Otros metadatos que proporcionan información sensible: Un apartado curioso al analizar los metadatos de los archivos son esas propiedades personalizadas que muchos ficheros exponen, y que de tanto en tanto, son detectadas proporcionando una fuga de información más relevante de lo que en un principio pudiera sospecharse. Propiedades como el asunto de un determinado correo donde se ha adjuntado un archivo o a quién fue enviado, pueden ofrecer pistas sobre las estrategias internas de negocio de una organización, como puedan ser relaciones entre empresas o profesionales.

Conclusiones
Quizás los metadatos siguen siendo uno de los grandes olvidados a la hora de controlar el flujo de información expuesto en las páginas corporativas o simplemente en el momento de compartir documentos.
La fuga de información puede producirse a diferentes niveles y a través de muchos frentes. Si bien la pérdida, publicación no controlada o exposición no intencionada de documentos supone un claro ejemplo de problema que debe ser evitado, la fuga de metadatos de los documentos (aunque sean públicos) no deben ser menospreciados, especialmente en compañías que ofrecen soluciones para controlar la fuga de información.
El proceso de fuga de información no debe observarse como un único incidente aislado que permite a un atacante obtener un documento, correo o información sensible. También es un proceso al que un atacante dedicará un tiempo (determinado por su motivación) para concluir un ataque. Durante este estudio del objetivo (y dependiendo de las soluciones que implemente y lo protegida que se encuentre la entidad) el atacante recopilará toda la información posible sobre la compañía aprovechando todo tipo de fugas (por pequeñas que pudieran parecer) para conseguir conocer en profundidad el objetivo y perpetrar un ataque dirigido.
Las empresas que comercializan productos contra la fuga de información, deberían tenerlo en cuenta también en sus propios sistemas. Por ejemplo, es una práctica que ya está contemplada y que es de obligado cumplimiento para administraciones públicas según el Esquema Nacional de Seguridad o la LOPD.

Rubén Alonso Cebrián

1 comentario:

  1. Necesito saber como es que realizan las soluciones DLP el rastreo y monitoreo al accesso a los recursos de red y si utilizan tecnicas, metodos y algoritmos. Me podrian ayudar en esto o hay algun sitio que me pueda brindar esta informacion, se los agradeceria.

    ResponderEliminar