Fuga de información en empresas líderes en Data Loss Prevention

ElevenPaths    15 agosto, 2013
Gartner ha
publicado un estudio en el que clasifica a las empresas más importantes que
ofrecen soluciones de prevención de fuga de información (Data Loss
Prevention o DLP
)
según su posición, estrategia, eficacia y liderazgo en el
mercado. Hemos realizado un pequeño experimento para comprobar si estas mismas
compañías controlan la publicación de metadatos en sus propios servidores, como
potencial punto de fuga de información sensible.
Según el
estudio
Magic Quadrant for Content-Aware Data
Loss Prevention
realizado por
la consultora Gartner, en el año 2014 más del 50% de las empresas
utilizará alguna característica en sus políticas de seguridad a la hora de
realizar una prevención de fuga de información
(
Data Loss Prevention) en
sus datos sensibles. Sin embargo sólo el 30% de estas dispondrá de una solución
o estrategia DLP global basada en el contenido.
El
estudio realizado por Gartner determina cuáles son las empresas líderes a la
hora de realizar prevención de fuga de información, estableciendo como
factores de medición para generar el liderazgo indicadores como las soluciones
empresariales Content-Aware DLP proporcionadas, los productos DLP-Lite
ofertados o si proporcionan un canal DLP
para aclarar al usuario dudas
respecto a determinados cumplimientos regulatorios, por ejemplo.
Gráfico de las empresas líderes en Data Loss
Prevention, según Gartner
¿Evitan estas
empresas la fuga de información a través de metadatos en sus propios sistemas?
Con
MetaShield Forensics, se ha realizado un análisis al frontal web principal
de estas compañías
que aparecen en el estudio. MetaShield
se ha encargado de descargar y analizar los documentos públicos expuestos en la
web.
Los resultados se muestran de manera genética en la
siguiente tabla. Todas las empresas estudiadas cuentan con metadatos asociados
a los documentos públicos

que exponen en internet. Parece que estos documentos no están siendo sometidos
a ningún proceso de limpieza y, por 
tanto, son susceptibles de convertirse en un punto de fuga de información
confidencial
que es necesario tener en cuenta.
La
siguiente tabla muestra en datos brutos, la pérdida de información expuesta por
cada una de las empresas de seguridad.
Total de fuga de información expuesta por las
empresas que proporcionan herramientas y servicios DLP
En función de
la tabla anterior, se ha procedido a realizar un nuevo gráfico mostrando la
cantidad de fuga de información producida por las empresas DLP estudiadas. Lógicamente, las entidades analizadas que sufren más fuga de
información a través de los metadatos son las que también exponen un mayor número de
documentos públicos en sus sitios web. 
Fuga de información expuesta por las empresas que
proporcionan herramientas y servicios DLP
La información que se filtra en mayor número de ocasiones a través de los metadatos son en general los nombres o cuentas
de usuario, seguido de los directorios internos desde donde se generaron los
documentos
. También es muy habitual encontrar las versiones de software
concreto usadas para su generación. En conjunto, información valiosa para un
potencial atacante.
Veamos algunos
detalles sobre la información expuesta:
  • Usuarios y
    cuentas de correo de usuario:
    Los usuarios
    internos y sus cuentas de correo constituyen una de las fugas de información
    más llamativas. Exponer información de este tipo puede facilitar al atacante la
    elaboración de ataques más sofisticados.
  • Direcciones a
    servicios web internos:
    Tanto web como
    locales, algunos de los directorios expuestos proporcionan información valiosa sobre
    los sistemas de gestión internos utilizados por las entidades. Como ejemplo, se
    ha encontrado entre los metadatos de uno de los documentos, la URL que apunta a
    la solución OpenNMS (
    http://159.36.2.25:8980/opennms/event/…/) de la compañía Symantec. Se trata de una solución
    utilizada por administradores de red para controlar servicios críticos en
    máquinas remotas.
  • Directorios internos de usuarios: Los directorios más comunes localizados son aquellos
    que se generan asociados al perfil de usuario de los equipos de trabajo, donde
    se puede identificar al propio usuario a través de las típicas rutas
    establecidas en determinados sistemas (como la que se establece a las carpetas
    personales tipo Escritorio, Mis documentos, etc.). Como ejemplo
    C:Documents
    and Settingsholly_waggonerM 20Documents****** Webpress2004
    es detectada en
    una de las empresas DLP.
  • Impresoras de red
    asociadas a servidores de impresión:
    Es otra de las fugas de información más comunes detectadas. Impresoras de red que exponen
    información sobre su modelo y tipo, así como sobre a qué servidores se
    encuentran asociadas (ya sea mostrando su nombre o dirección IP interna).
  • Software
    utilizado por la organización:
    Otro dato que
    puede considerarse fuga de información consiste en los datos acerca de los
    elementos de software utilizados por las organizaciones. La fuga de información
    más común encontrada en la categoría de software es aquella que hace referencia
    al tipo de software utilizado a la  hora de generar los archivos PDF, al tratarse
    de uno de los formatos más utilizado para publicar en entornos web.
  •  Otros metadatos
    que proporcionan información sensible:
    Un apartado curioso al analizar los metadatos de los archivos son
    esas propiedades personalizadas que muchos ficheros exponen, y que de tanto en
    tanto, son detectadas proporcionando una fuga de información más relevante de lo
    que en un principio pudiera sospecharse. Propiedades como el asunto de un
    determinado correo donde se ha adjuntado un archivo o a quién fue enviado, pueden ofrecer pistas sobre las estrategias internas de negocio de una
    organización, como puedan ser relaciones entre empresas o profesionales.

Conclusiones
Quizás los
metadatos siguen siendo uno de los grandes olvidados a la hora de controlar el
flujo de información expuesto en las páginas corporativas o simplemente en el
momento de compartir documentos.
La fuga de
información puede producirse a diferentes niveles y a través de muchos frentes.
Si
bien la pérdida, publicación no controlada o exposición no intencionada de
documentos supone un claro ejemplo de problema que debe ser evitado, la fuga de metadatos de los documentos (aunque sean públicos) no deben ser menospreciados, especialmente en compañías que ofrecen soluciones para controlar
la fuga de información.
El proceso de
fuga de información no debe observarse como un único incidente aislado que
permite a un atacante obtener un documento, correo o información sensible. También es un proceso
al que un atacante dedicará un tiempo (determinado por su
motivación) para concluir un ataque. Durante este estudio del objetivo (y
dependiendo de las soluciones que implemente y lo protegida que se encuentre la
entidad) el atacante recopilará toda la información posible sobre la compañía
aprovechando todo tipo de fugas (por pequeñas que pudieran parecer) para
conseguir conocer en profundidad el objetivo y perpetrar un ataque dirigido.
Las empresas
que comercializan productos contra la fuga de información, deberían tenerlo en
cuenta también en sus propios sistemas. Por ejemplo, es una práctica que ya
está contemplada y que es de obligado cumplimiento para administraciones
públicas
según el Esquema Nacional de Seguridad o la LOPD.

Rubén Alonso Cebrián

Comentarios

  1. Necesito saber como es que realizan las soluciones DLP el rastreo y monitoreo al accesso a los recursos de red y si utilizan tecnicas, metodos y algoritmos. Me podrian ayudar en esto o hay algun sitio que me pueda brindar esta informacion, se los agradeceria.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *