Autor: Chad Greene, director de respuesta de seguridad, Facebook.com/security
A lo largo de octubre, hemos compartido cómo protegemos a las personas en Facebook, cómo fomentamos las carreras ligadas a la seguridad y cómo las personas pueden asegurar su cuenta. Soy director de seguridad en Facebook y dirijo el equipo que se encarga de comprender, detectar y responder a las amenazas sofisticadas a la infraestructura de Facebook. Mantener la confianza de cada una de las personas que utilizan nuestros servicios requiere de una inversión profunda en asegurar la infraestructura que alberga la información que administramos. Quería compartir un poco sobre cómo respondemos a las amenazas y ataques a nuestra infraestructura.
Equipo Capacitado
En Facebook, estamos continuamente desarrollando y refinando nuestra capacidad para detectar y responder a un incidente. Nuestro ambiente de sistemas internos, estructuras organizativas y productos son complejos y evolucionan muy rápidamente, lo que exige que nuestra capacidad de respuesta a incidentes sea adaptable, flexible y esté siempre lista para actuar. Y en el núcleo de este trabajo están las personas. Somos un equipo experimentado de ingenieros de seguridad, que posee un conjunto de habilidades técnicas complementarias y que no ve problemas en el trabajo con situaciones inesperadas.
Preparados para lo inesperado
Dentro de nuestro programa de respuesta a incidentes de seguridad, hemos implementado procesos ligeros que evolucionan y se adaptan constantemente a las realidades cambiantes de las amenazas que estamos mitigando y de los sistemas de infraestructura que estamos protegiendo. Para preparar a nuestro equipo a que responda eficazmente, es importante que los miembros del equipo tengan mucha confianza en las habilidades únicas de cada uno, y que tengan alguna experiencia en roles que exijan liderazgo, además de perfeccionar continuamente las herramientas que nos permiten tener una comprensión completa de la situación para tomar decisiones eficaces. Me reservaría «La práctica hace al maestro» para circunstancias repetitivas o conocidas, pero en situaciones complejas y desconocidas sigue siendo cierto que «la práctica mejora mucho». Nos preparamos con ejercicios que llamamos «formación roja», donde una parte del equipo de ingenieros ataca nuestra infraestructura, emulando las técnicas y herramientas más avanzadas que serían utilizadas por nuestros adversarios. Mientras que el equipo rojo busca vulnerabilidades en nuestros sistemas, el principal objetivo del ataque es ayudar a mostrar y probar nuestra capacidad de respuesta. Es importante resaltar que estos ejercicios son muy parecidos a las amenazas del mundo real, y se colocan pocas limitaciones en el equipo rojo, de manera que un escenario realista sea creado.
Estamos juntos
Una pieza central de nuestro programa implica construir y mantener relaciones profundas con otros equipos de seguridad en toda la industria. Los ataques significativos raramente son exclusivos de una empresa, por lo que muchas veces tenemos mucho que aprender unas con otras, y unirse a una defensa unificada ofrece ventajas significativas en la capacidad de entender un incidente, además de proporcionar asistencia cuando sea necesario. En Facebook participamos activamente en múltiples comunidades de intercambio de información en inteligencia y mantenemos una plataforma llamada ThreatExchange que facilita este trabajo. Además de compartir experiencias para que los miembros de la comunidad entiendan mejor el contexto de un eventual incidente, mantenemos una relación cercana con socios, de manera que ayudemos unos a otros cuando un miembro de nuestra comunidad se enfrenta a un incidente.
La retrospectiva es 20/20
En los días posteriores a un incidente o simulacro, nuestros equipos tienen un nivel elevado de claridad y comprensión sobre dónde están las lagunas en nuestras capacidades y los casos límite que podemos haber pasado por alto en nuestra preparación. La nitidez de esta perspectiva se desvanece a medida que avanzamos hacia otros proyectos y esfuerzos de respuesta, por lo que es importante reunir a los miembros clave del equipo para analizar el incidente y evaluar nuestras decisiones, nuestras herramientas y nuestras capacidades a fin de analizar las lagunas y priorizar mejoras. Con el tiempo, muchas de las mejoras significativas que hemos realizado para prevenir incidentes futuros nacieron de lecciones identificadas como resultado de incidentes o simulacros. Este proceso «post mortem» es un elemento clave de muchos programas de respuesta a incidentes y ha sido una fuente de información importante para nuestros equipos a medida que nos esforzamos por adaptarnos y mejorar continuamente.
Para obtener más información sobre el trabajo que está haciendo el equipo de seguridad de Facebook, le recomiendo que esté atento a facebook.com/security