¿Cuándo comenzó la ciberseguridad?

Es posible que haya visto algunas sugerencias de que la seguridad cibernética comenzó con el primer antivirus y una fecha dada de 1987 como el primer año del antivirus comercial.

Lamento decir que está mal (al menos yo lo encuentro mal). Si volvemos a intentarlo, podríamos decir que fue en 1971 cuando se lanzó el primer gusano (Creeper), junto con posiblemente el primer antivirus en Reaper de propósito único en 1972. Si bien Reaper fue diseñado para eliminar copias de Creeper, se movió y se replicó a través de ARPANET, por lo que podría decirse que era otro gusano.

Si bien puedo ver el argumento de Creeper y Reaper como una fecha de inicio, no me atrevo a estar de acuerdo. O señalamos eventos arbitrarios para describir cuándo comenzó la seguridad cibernética, lo que podría llevarnos a 1966 (el mainframe de tiempo compartido CTSS sufrió una violación de contraseña cuando el mensaje de bienvenida se cambió con el archivo de contraseña maestra), 1971 (el lanzamiento del ARPANET), o incluso 2003 cuando el gobierno de los EE. UU. estableció la División Nacional de Seguridad Cibernética.

El comienzo de la ciberseguridad

La ciberseguridad comenzó entre 1970 y 1972 con la publicación de los informes Ware y Anderson. Explicaré a continuación cómo llegué a esta conclusión y los puntos históricos importantes que debe tener en cuenta para que esta respuesta tenga sentido.

Para comenzar, debemos decidir qué significa realmente la seguridad cibernética. Voy con la definición de que es la disciplina de la seguridad aplicada al dominio cibernético.

El dominio cibernético es "un dominio global dentro del entorno de la información que consta de redes interdependientes de información, infraestructuras tecnológicas y datos residentes, incluidos Internet, redes de telecomunicaciones, sistemas informáticos y procesadores y controladores integrados". ( NIST )

La seguridad, por otro lado, es la protección de los activos contra las amenazas. Los activos pueden ser cualquier cosa, incluidas personas, información o sistemas físicos. Las amenazas (cuando se trata de seguridad) en última instancia, siempre se pueden rastrear hasta una persona.

Si la seguridad cibernética no comenzó en 1987, ¿entonces cuándo?

Tiendo a ceñirme a algunas fechas diferentes. 1969 fue cuando los primeros dos nodos de ARPANET entraron en línea, incluso si no se declaró operativo hasta 1971. Sin embargo, el hecho de que algo exista no significa que exista una disciplina de seguridad formal a su alrededor. Realmente necesitamos ver cuándo las personas comenzaron a considerar formalmente los enfoques de seguridad en el dominio cibernético.

Eso nos deja con un par de informes que fueron los primeros en considerar formalmente los aspectos de seguridad.

El informe de mercancías

El primero de ellos es el llamado creativamente ' Controles de seguridad para sistemas informáticos: informe del grupo de trabajo sobre seguridad informática de la Junta de Ciencias de la Defensa ' por Willis H. Ware (y otros), publicado en 1970. Publicado aquí es una palabra generosa, ya que originalmente el informe se clasificó como Confidencial hasta que DARPA lo desclasificó en 1975. El informe Ware estableció una serie de controles diferentes que serían reconocido como fundamental por cualquier profesional de la seguridad cibernética en la actualidad. Incluso cuando parte de la terminología ha cambiado con el tiempo, los conceptos son familiares para cualquiera que haya estudiado o practicado la seguridad cibernética.

El informe Ware recogía una serie de lo que denomina vulnerabilidades, aunque hoy en día nos referiríamos a ellas como amenazas, ya que son externas e incontroladas y no debilidades dentro de un sistema.

1. Divulgación accidental : lo que ahora podríamos llamar una amenaza de negligencia, el resultado de la falla de algún componente o control, ya sea hardware, software o configuración por parte de un operador.
2. Penetración deliberada : una amenaza maliciosa, aunque el informe luego hace una distinción entre un enfoque pasivo (como las escuchas telefónicas, cubierto bajo Subversión pasiva) y un enfoque activo denominado Infiltración activa que incluye el compromiso o la elevación de privilegios por parte de un usuario legítimo.
3. Ataque físico : mencionado en el informe, pero señalado específicamente como fuera del alcance

Lo fascinante del informe Ware, y de los próximos de los que hablaremos, es lo modernos que son muchos de los enfoques que se adoptan en ellos. Como ejemplo, modelado de amenazas (o modelado) a menudo se considera que comenzó en 2004 cuando Frank Swiderski y Window Snyder escribieron el ** primer libro ** sobre él. Hay algunas referencias anteriores, pero la mayoría considera que comenzó como muy temprano en los años 90. Dado que el (buen) modelado de amenazas ahora se considera esencial para diseñar sistemas seguros (aunque con demasiada frecuencia se pasa por alto, dejándonos en el mundo inseguro en el que vivimos), esperaríamos verlo aparecer bastante temprano en la línea de tiempo.

Imagen tomada del Informe Ware, que muestra algo que cualquier persona consciente del modelado de amenazas debería encontrar muy familiar.

El diagrama anterior debería ser reconocible para cualquiera como al menos un modelo de amenaza básico, que muestra diferentes ataques y vulnerabilidades de un sistema. Más adelante en el informe tenemos recomendaciones para los controles, lo que ahora podríamos reconocer como principios arquitectónicos para el desarrollo de sistemas seguros, la consideración de la gestión de riesgos y los costos, y mucho más. Parte de la terminología ha cambiado a lo largo de los años, y el informe en sí considera los sistemas de usos múltiples (es decir, lo que ahora consideraríamos mainframes y terminales) en lugar de las verdaderas redes de igual a igual que surgirían en breve, pero incluso una breve lectura muestra la pensamiento fundamental que subyace incluso en los enfoques de seguridad cibernética más modernos.

El Informe Anderson

Así que tenemos un argumento para 1970 como la fecha en que comenzó la seguridad cibernética. El único problema es que, si bien se mencionan las redes, en 1970 ARPANET no estaba realmente en estado operativo, por lo que la definición de red se refería más a un mainframe multiusuario con terminales remotas. Avancemos un poco más hacia el futuro-pasado, con la publicación del igualmente creativo 'Estudio de planificación de tecnología de seguridad informática' Volumen I y Volumen II .

James P. Anderson también trabajó en el informe Ware anteriormente, y su seguimiento de dos volúmenes se basó en gran medida en él y lo amplió. Francamente, muchas de las recomendaciones que hizo para diseñar e implementar sistemas seguros han sido ignoradas durante décadas en detrimento del ecosistema de seguridad cibernética, y algunas están siendo redescubiertas y renombradas.

Para tomar un ejemplo, si ha oído hablar de la arquitectura de red de confianza cero, puede encontrar los conceptos básicos que conducen al enfoque en el volumen 2 del informe. Más importante aún para aquellos de nosotros que tratamos de definir una fecha de concepción para la seguridad cibernética, el Informe Anderson habla mucho más sobre el "movimiento hacia el establecimiento de grandes redes dispersas de sistemas informáticos relacionados". Esto nos da una perspectiva más moderna de que las redes son clave para la seguridad cibernética.

Entonces, ¿cuándo comenzó la seguridad cibernética?

Tenemos nuestra respuesta. Es cierto que podría cubrir un rango, pero hay un argumento más fuerte para eso que para decir que comenzó con la primera herramienta de software de un tipo en particular. La seguridad cibernética se trata de un enfoque metódico y considerado de la seguridad dentro del dominio cibernético. Dado que el dominio cibernético no existía (de ninguna manera práctica) antes de la década de 1970, no necesitaremos mirar más atrás, pero los pioneros del campo estuvieron muy activos y pensaron en los problemas con los que todavía luchamos hoy. atrás en ese tiempo.

Mi respuesta: ciber comenzó en los años entre 1970 y 1972 con las publicaciones de los informes Ware y Anderson. Y si lees esos informes detenidamente, ha cambiado sorprendentemente poco desde entonces.