La creciente preocupación de muchas empresas con infraestructura IT crítica frente a ciberataques ha llevado a algunas de ellas a tomar medidas de seguridad como la creación de departamentos de Seguridad de la Información, llevar a cabo auditorías de seguridad y obtener certificaciones de seguridad entre otras.
El objetivo de este estudio es tratar de determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una disminución en el número de ciberataques producidos.
La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques. No existe un repositorio oficial con todos los ciberataques producidos ya que en muchos de ellos no se dan a conocer los nombres de todas las empresas afectadas u otros datos relevantes sobre los mismos, por ello nos basaremos en los ataques reportados en una única web. Además, debido al cambio de formato de los datos de origen con los años, hemos optado por generalizar los datos lo que nos permitirá hacer un análisis por país, sector o tipo de ataque. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que podrian alteran los resultados, ya que existen mayor cantidad de factores externos que este estudio no cubre.
Respecto a los datos de certificaciones ISO 27001, proceden de la fuente oficial asi que se podría decir que son totalmente fiables.
Los datos que se han recogido para este estudio son:
El análisis se realizará desde 2011 hasta 2016, teniendo en cuenta que los datos de las certificaciones realizadas en un año afectarán a los ataques del año siguiente, por lo tanto no se necesitarán datos de ciberataques en 2011 ni de certificaciones en 2016. Esto es una de las generalizaciones que antes comentabamos, ya que en realidad una certificación podría afectar a los datos de su mismo año, pero no disponemos de fechas exactas para poder cubrir esta relación.
De esta fuente se generan 3 data.frames diferentes, uno con las certificaciones por pais, otro con los web sites por pais y otro con las certificaciones por sector industrial. Aunque en este estudio solo emplearemos el primero y el último.
Para las certificaciones por país el resultado final es el siguiente:
Country | X2011 | X2012 | X2013 | X2014 | X2015 | country_short | Continent |
---|---|---|---|---|---|---|---|
Afghanistan | 5 | 0 | 0 | 0 | 5 | AF | Asia |
Albania | 3 | 2 | 7 | 8 | 22 | AL | Europe |
Algeria | 1 | 1 | 2 | 0 | 0 | DZ | Africa |
Andorra | 0 | 0 | 0 | 1 | 1 | AD | Europe |
Angola | 0 | 0 | 0 | 0 | 0 | AO | Africa |
El proceso para llegar hasta esta apariencia en ambos casos es muy parecido. En primer lugar se sustituyen NAs por ceros para evitar problemas durante la representación gráfica, luego se eliminan aquellas líneas que tengan vacio el campo Country ya que no nos serian de utilidad. A continuación se estandarizan algunos nombres de paises para poder cruzar correctamente los datos con los códigos de dos caracteres especificacos en la ISO, y obtener de paso su continente mediante el package de R countrycode.
Para las certificaciones por sector industrial el resultado final es el siguiente:
INDUSTRIAL.SECTOR | X2011 | X2012 | X2013 | X2014 | X2015 | |
---|---|---|---|---|---|---|
2 | Agriculture, fishing | 14 | 13 | 13 | 10 | 9 |
3 | Mining and quarrying | 12 | 31 | 34 | 25 | 8 |
4 | Food products, beverages and tobacco | 8 | 10 | 24 | 10 | 12 |
5 | Textiles and textile products | 2 | 12 | 10 | 4 | 10 |
6 | Leather and leather products | 5 | 1 | 2 | 0 | 1 |
El procesado es parecido, aunque no se realiza toda la parte relativa al estandarizado de los nombres de los paises, en este caso se estandarizan los diferentes sectores industriales para poder cruzarlos con los datos de los ataques y se eliminan aquellas lineas con INDUSTRIAL.SECTOR vacio.
Como comentabamos antes, aquí es donde encontramos el mayor problema, no existe un organismo que se dedique a mantener un repositorio con datos oficiales sobre ataques producidos. La fuente que escogimos proviene de la web y es administrada por _@paulsparrows_, consiste en reportes de la comunidad sobre ataques que se hayan hecho publicos, ademas con el paso de los años el formato en que se almacenaban los datos sobre dichos ataques ha evolucionado lo que nos provoca mayor complejidad a la hora de correlacionar los historicos de diferentes epocas.
El data.frame resultado tiene la siguiente apariencia:
Country | Date | Target | Country_large | Continent | Attack.standar |
---|---|---|---|---|---|
AM | 2016-04-07 | Government | Armenia | Asia | Account Hijacking |
US | 2016-04-15 | Government | United States | Americas | Account Hijacking |
US | 2016-04-13 | Education | United States | Americas | Account Hijacking |
US | 2016-04-05 | Healthcare | United States | Americas | Account Hijacking |
US | 2016-04-04 | Education | United States | Americas | Account Hijacking |
Para llegar hasta el fueron necesarios procesos algo más complejos, pero se resumen en los siguientes:
En primer lugar, para poder intuir si este estudio tiene sentido, se observará la evolución temporal en general tanto de los ciberataques reportados como de las certificaciones realizadas en busca de patrones que puedan indicar una relación entre ambas evoluciones.
Como se puede observar en las gráficas, el número de empresas que obtienen la certificación crece anualmente, mientras que el numero de ataques tiende a descender, aunque es un poco más inestable. Del año 2013 al 2014 el número de ataques se reduce drásticamente, esto puede deberse a un problema en la fuente de datos, ya que al depender directamente de un ser humano pueden existir intervalos en los que se hayan registrado menos datos (por problemas del administrador, como falta de tiempo o interes). Otra explicación plausible, si tenemos en cuenta que las certificaciones de un año afectan a los ataques del año siguiente, es que justo en el año 2013 se produjo una revisión de la certificación, produciendose la ISO 27001:2013 que sustituyó a su predecesora 27001:2005, los cambios realizados pueden consultarse en la web oficial. Por último, también podría influir la diferencia en numero de certificados expedidos, teniendo en cuenta el mismo desplazamiento que en el caso anterior, ya que los años en que mayor es la diferencia en certificaciones obtenidas (2013 y 2015) causan una bajada en el número de ataques al año siguiente, y viceversa.
No obstante, para simplificar este estudio, se tratará de analizar más las estimaciones de las gráficas y no tanto las irregularidades de las mismas. Para observar que dichas irregularidades no son tan importantes en realidad, a continuación se representa la evolución de los ataques mes a mes, aunque en el resto del análisis se empleará el año como unidad de tiempo ya que no disponemos de datos más precisos para las certificaciones.
Podemos observar al aumentar la precisión en el eje X que los picos no eran en realidad tan graves en la fuente de datos como parecian.
También podemos observar que la tendencia de los ataques realmente tiene una pendiente más o menos negativa, aunque parece que asciende un poco en los ultimos meses.
Por último, aunque se puede observar que existen aproximaciones (como la del último gráfico) que se acercan mucho más a la función real que la lineal, para este estudio se utilizará por simplicidad.
Podría darse el caso de que la certificación tenga una efectividad mayor contra ciertas técnicas de ataque, y que dicha efectividad se camufle entre el resto de técnicas, por ello se contemplará el estudio individual de los diferentes tipos de ataques definidos en la fuente de datos. Existen multitud de ellos, por lo que el estudio se tendrá que centrar en una pequeña parte, los más frecuentes. Para llevar a cabo esta elección se representan a continuación aquellos que representan al menos un 1% del total de ataques producidos.
Como se puede observar en el gráfico anterior, la mayor parte de los ataques registrados en la fuente de datos emplean las siguientes técnicas, que serán las estudiadas a continuación:
Injection: Cualquier tipo de inyección ya sea de código, SQL, etc.
Defacement: Consiste en modificar la apariencia visual de una página web.
DDoS: Trata de saturar un servicio mediante miles de conexiones para evitar que los usuarios legítimos puedan acceder con normalidad.
Account Hijacking: Cuyo objetivo es obtener datos o credenciales de cuentas ajenas.
Malware: Programas que se ejecutan en el sistema de la víctima para llevar a cabo actividades maliciosas.
DNS: Ataques basados en los servidores DNS de la víctima, como el poisoning, que consigue retornar las IPs que no debería a ciertas peticiones.
Zero Day: Son vulnerabilidades recien descubiertas para un servicio o protocolo. Pasa un tiempo hasta que se desarrollan parches o versiones que las corrijan.
Como se puede observar en la evolución temporal reflejada en el gráfico, existen ciertas técnicas que más o menos son constantes en el tiempo, y existen otras que tienen o podrían tener una tendencia con pendiente negativa clara. A continuación se representarán los ataques por separado junto con sus estimaciones lineales para observar qué tendencias tienen una pendiente negativa más clara.
Los tipos de ataque están ordenados por la pendiente de su tendencia, de menor a mayor, para reflejar cuáles están descendiendo más rápido y por lo tanto cuáles podrían reflejar mejor el aumento de certificaciones ISO27001 expedidas.
Tanto Malware como Account Hijacking tienen una tendencia con pendiente positiva, 20.2 y 10.1 respectivamente.
La tendencia con una mayor pendiente negativa es Injection (-173.5), aunque también DDoS (-49.2) y Defacement (-28.5), presentan unas tendencias con pendientes negativas.
Por otro lado tenemos DNS, cuya tendencia también tiene una pendiente negativa (-3.8), pero es muy moderada asi que podría considerarse estable y por lo tanto no conluyente para este estudio.
Este apartado estudiará la relación entre la certificación ISO 27001 y los ataques producidos, pero teniendo en cuenta la variable geográfica, ya que es posible que la certificación, aunque sea internacional, se implemente de una mejor o peor forma según la región. En primer lugar se generalizará por continente.
Se puede observar a simple vista que los continentes que reciben más ataques, por una cuestión lógica de superficie e intereses, son por orden América, Asia y Europa. En cambio los continentes que mas certificaciones ISO 27001 obtienen son por orden Asia, Europa y América. Tanto África como Oceania podemos descartarlos en este estudio ya que sus porcentajes no son relevantes. Observemos ahora cómo influye esto en el tiempo.
Se puede observar que la tendencia de las certificaciones es creciente mientras que la de los ataques es decreciente, pero procederemos a comparar cada una individualmente para poder demostrarlo numéricamente y no solo aparentemente.
La pendiente de los ataques para América es -100.8 mientras que la pendiente de las certificaciones es 275.2.
La pendiente de los ataques para Asia es -58.4 mientras que la pendiente de las certificaciones es 1008.4.
La pendiente de los ataques para Europa es -57.4 mientras que la pendiente de las certificaciones es 1209.4.
Todas las pendientes podrían representar la relación que buscamos, en la que un aumento en las certificaciones produce un descenso en los ataques.
El análisis puede aumentar en profundidad estableciendo superficies geográficas más pequeñas y asi obtener más precisión, observemos lo que ocurre a nivel de paises. Se mostrarán a continuación los paises que superan aproximadamente un 2% de los ataques/certificaciones totales ya que la lista total de paises es demasiado extensa.
Como se puede observar en la parte de certificaciones destaca de largo Japón sobre los demás, que se encuentra bastante bajo en la lista de ataques. Y al reves pasa algo parecido, en los ataques destaca Estados Unidos por mucho mientras que ese mismo pais está muy bajo en certificaciones. A continuación observaremos la evolución temporal del top 3 paises en ataques recibidos y en certificaciones obtenidas, varios de ellos coinciden, tenemos por la parte de las certificaciones a Japón, por la parte de los ataques a Estados Unidos, y común a ambas Reino Unido e India.
La pendiente de los ataques para Estados Unidos es -59.8 mientras que la pendiente de las certificaciones es 210.3.
La pendiente de los ataques para Reino Unido es -11.8 mientras que la pendiente de las certificaciones es 320.4.
La pendiente de los ataques para India es -8.7 mientras que la pendiente de las certificaciones es 268.3.
La pendiente de los ataques para Japón es -7.4 mientras que la pendiente de las certificaciones es 262.4.
Hasta ahora se han analizado por separado estas dos variables, pero la respuesta podria encontrarse en una combinacion de las mismas. Para ello se analizarán los tipos de ataque reportados en el pais en el que parece que la certificación es más efectiva, Japón, y en el que menos, Estados Unidos.
Como vimos en el apartado previo, la ISO 27001 parece especialmente efectiva contra las técnicas de Defacement, DDoS e Injection, en los gráficos previos podemos observar como para Estados Unidos tiene un menor porcentaje de este tipo de ataques con respecto a Japón. Para valorarlo mejor se representará a continuación cómo evolucionan con el tiempo.
Como se puede observar, en Estados Unidos se presenta una tendencia mayor a recibir los tipos de ataques que parecen menos afectados por la ISO 27001, mientras que en Japón parecen matenerse. Se representarán las tendecias en ambos paises.
Efectivamente, la tendencia en Estados Unidos tiene una pendiente mayor (21.2) que en Japón que es cercana al 0 (-1.11022310^{-16}) lo que, aunque la gráfica sea irregular debido a la baja cantidad de casos, implica una constancia.
De los datos mostrados se pueden hacer diferentes observaciones:
Ambas observaciones son de especial interés ya que ponen de relieve situaciones en las que de ser efectivo reformar los sistemas para cumplir la ISO 27001, debería poder apreciarse un efecto en la cantidad de ciberataques recibidos. En el caso de los USA, sólo podría explicarse mediante alguna de las siguientes hipótesis:
La primera hipótesis puede ser comprobada con los datos que disponemos. A continuación se muestra una línea temporal de ciberataques globales entre los años 2012 y 2015.
Observamos que se produjo lo contrario, bajó el número de ciberataques.
Por lo observado anteriormente, se puede concluir que:
Esto no lleva a concluir que obtener la certificación ISO 27001 no es efectiva para reducir el número de ciberataques, sino que probablemente dependa de factores externos ajenos a este estudio
Como trabajo futuro querríamos poder seguir en la línea de investigación acerca de los siguientes puntos:
Creemos que la investigación de estas cuestiones puede dar más robustez a las conclusiones expuestas en este estudio.