Mineros y compinches: las brechas de datos no son lo único que cuestan dinero

Claro, una filtración de datos puede costar más (al menos en este momento) y ciertamente pone su fracaso en el centro de atención (tiene que notificar), pero la seguridad no puede tratarse solo de la exposición de datos.

Hoy en día, solo se oye hablar de una filtración si ha habido un componente de exposición de datos. Según la forma en que algunas personas hablan (y escriben), las violaciones solo importan si hay exposición de datos. Un informe reciente de Netwrix sobre seguridad y riesgos de TI señaló, de hecho, que “las organizaciones planean centrar sus inversiones en proteger datos confidenciales, ya que no pueden prever todas las amenazas posibles” ( Informe de Riesgos de TI de 2017 ).

Teniendo en cuenta que el coste promedio de una filtración de datos supera los 3 millones de dólares según una investigación de Ponemon (patrocinada por IBM), sin duda parece una estrategia acertada. Proteger los datos. Después de todo, no sólo cuesta en términos de dólares, sino que también empaña la marca y la reputación corporativa y, a menudo, le cuesta a la gente su puesto de trabajo.

El problema con una estrategia de seguridad tan miope es que ignora por completo que existen muchos otros costos asociados con otras infracciones. Porque nadie ataca tus defensas con la intención de alejarse una vez que lo hace. Los atacantes no buscan la satisfacción de obtener acceso a su red o sistemas. Ya hemos superado la fase de la simple “desfiguración como rito de iniciación” en la comunidad hacker. Hoy en día, la mayoría de las veces, los atacantes lo hacen por dinero.

Y si bien sabemos que las credenciales y los datos personales valen mucho dinero en la red oscura, los datos no son la única forma de ganar dinero en estos días. El altamente lucrativo mercado de la criptominería lo ha demostrado últimamente. Un blog muy detallado y extenso (y que vale la pena leer) de Talos calcula que una sola campaña de cryptojacking podría generar entre $182,500 por año y la friolera de $100 millones anuales:

“Para poner las ganancias financieras en perspectiva, un sistema promedio probablemente generaría alrededor de $0,25 de Monero por día, lo que significa que un adversario que haya reclutado a 2.000 víctimas (no es una hazaña difícil), podría generar $500 por día o $182.500 por año. Talos ha observado botnets que consisten en millones de sistemas infectados, lo que, utilizando nuestra lógica anterior, significa que estos sistemas podrían aprovecharse para generar más de $100 millones por año en teoría. 

Teóricamente, por supuesto.

Estas cifras son alarmantes, pero no son las ganancias generadas para los mineros lo que necesariamente importa en la publicación de hoy. Esa es precisamente la razón principal de los ataques. Después de todo, un par de cientos de miles de dólares es una buena razón para buscar recursos gratuitos. Y debido a que es tan lucrativo, debería ser más consciente de los costos asociados con las infracciones que dejan a los mineros y minions abandonados en su infraestructura.

El costo del consumo ilícito de recursos

Los costos de una violación de datos están bien documentados y varían desde los costos de limpieza hasta los gastos de notificación y compensación.  Los costos de otras infracciones no están tan bien documentados, pero aun así existen en forma de gastos operativos innecesarios y costos de oportunidad perdidos. Ya sea que hablemos de mineros o minions, de procesos tradicionales basados en Linux o de código en contenedores, la realidad es que una vez depositados, estos bots extraños e indeseables consumen ilícitamente recursos que cuestan dinero real al final del mes (o del trimestre, según la frecuencia con la que pague su factura de la nube).

Algunos podrían pensar que estos bots pueden estar consumiendo recursos por los que usted habría pagado de todas formas. Quiero decir, parece que eso podría ser cierto: solo usas el 20 % de esa instancia/servidor en promedio, pero estás pagando el 100 %, pase lo que pase. Entonces, ¿realmente los bots te están costando ingresos reales?

¡Tienes toda la razón!

Recordemos por un momento la premisa del escalamiento automático, una de las razones por las que muchas organizaciones adoptan la nube pública. Cuando la carga o el rendimiento superan un umbral, queremos que se lance una nueva instancia para satisfacer la demanda. Si tenemos una instancia que solo utiliza el 20% para atender a clientes legítimos y de repente un bot consume el otro 80%. Vamos a pagar una segunda instancia, y luego una tercera, y una cuarta, y finalmente una quinta para cubrir la demanda que hubiera podido cubrirse con una sola instancia si no se estuviera utilizando ilícitamente.

Así que ahí está ese costo. 

Para quienes se apasionan por el medio ambiente, también existe el aumento de las emisiones de carbono debido al mayor uso de electricidad. Es un hecho fascinante: cuando el equipo está inactivo, consume menos vatios que cuando está trabajando a pleno rendimiento (en particular, cuando realiza cálculos criptográficos muy complejos). Entonces, si un minero o minion está trabajando duro, le está costando en kilovatios por hora (si está en las instalaciones) y en horas de instancia (si está en la nube pública), todo lo cual aumenta su huella de carbono.

Consumir más energía significa más calor, que debe compensarse con refrigeración adicional. Así que se consume aún más electricidad. Y están los sistemas que monitorean la temperatura e informan sobre la temperatura... bueno, ya entiendes la idea. Se utiliza una gran cantidad de potencia informática auxiliar para operar un centro de datos (en la nube o en las instalaciones locales) que implica cada vez más gastos operativos debido al consumo ilícito de recursos.

Como se señala en el blog mencionado anteriormente de Talos, algunos de estos scripts de criptominería son inteligentes. Son evasivos y pueden evitar que sus máquinas entren en modo de espera, se reinicien, se cierren sesión o realicen cualquier otra actividad que pueda interrumpir su funcionamiento. Mantienen sus máquinas funcionando las 24 horas, los 7 días de la semana y eliminan hasta el último bit digital que pueden antes de que llame al exterminador.

Estos son los costos tangibles: los que se pueden ver en las crecientes facturas de servicios públicos y de la nube. ¿Qué pasa con los costos intangibles? ¿Te gusta la pérdida de un cliente (o un cliente potencial) debido a un mal desempeño?

Bueno, recordemos el axioma operacional #2: a medida que aumenta la carga, el rendimiento disminuye.

Si un minero o minion consume recursos, aumenta la carga general de un servidor, lo que disminuirá el rendimiento de la aplicación. Como la gravedad, es una ley. El impacto de un desempeño deficiente está bien documentado. Por ejemplo, sabemos por la investigación de AppDynamics que 8 de cada 10 usuarios han eliminado una aplicación porque tenía un bajo rendimiento. Sabemos que Amazon, Google y Walmart han documentado el impacto que tienen incluso los microsegundos en los ingresos, las conversiones y las compras. Dependiendo de la industria, esa aplicación perdida o esa ligera degradación del rendimiento pueden traducirse en pérdidas mensurables con bastante rapidez.

Incluso si no quieres hacer los cálculos reales (y yo ciertamente no lo hago), la idea general habla por sí sola: los mineros y los minions cuestan a las organizaciones dólares reales de diversas maneras. Si bien es cierto que la exposición de datos es un riesgo comercial y de seguridad grave contra el cual es fundamental defenderse, no ignoremos que cualquier violación puede tener consecuencias graves. 

Un sorprendente 25% de las organizaciones, según RedLock Cloud Security Trends de mayo de 2018 , actualmente sufren actividad de cryptojacking en sus entornos. Tripwire señaló de manera similar que 15 millones de personas fueron afectadas por una sola operación de minería de Monero . eWeek informó sobre una empresa de servicios públicos cuyos recursos computacionales estaban siendo drenados dramáticamente por operaciones ilícitas de criptominería.

Estos informes son cada vez más frecuentes, probablemente con la esperanza de sacar a la luz la gravedad de estas actividades. Lo importante a tener en cuenta sobre los mineros (y los secuaces que sirven en ejércitos de botnets) es que son evidencia de una brecha en sus defensas, ninguna de las cuales está necesariamente relacionada con datos confidenciales.

Centrarse demasiado en la protección de datos es una buena manera de añadir su nombre a la creciente lista de empresas que han pagado para hacer del cryptojacking un negocio tan lucrativo. La incertidumbre de qué explotarán los atacantes a continuación no es una buena razón para desviar nuestro enfoque de una estrategia de seguridad integral y poner todos nuestros esfuerzos en proteger los datos. Protejamos el negocio, incluidos los rubros operativos que pueden socavar los resultados financieros de la empresa.