Retrocedamos por un momento en el tiempo y pongámonos en una situación hipotética. Digamos que eres un rey o una reina del siglo XV que busca defender su castillo de un ataque enemigo. ¿Cómo será tu estrategia? Lo más probable es que haya soldados y caballos en el perímetro de tu castillo, seguidos de una puerta difícil de penetrar, hombres con armas en las áreas elevadas de tu castillo, algunos de tus mejores hombres protegiendo las puertas para alejar a los enemigos y un plan de respaldo cuando las cosas salgan mal. Elegirás un enfoque de seguridad en capas con la esperanza de que una de estas estrategias frustre o debilite el ataque enemigo.
Bueno, lo mismo se puede extender a la lucha actual contra los ataques cibernéticos, donde un enfoque de varias capas puede evitar que los códigos maliciosos y los piratas informáticos accedan a su red y recursos. Esta estrategia se llama defensa en profundidad o DiD.
En esta publicación aprenderás qué es la defensa en profundidad, por qué es importante, cómo funciona y su arquitectura y ejemplos.
Indice
¿Qué es la defensa en profundidad (DiD)?
La defensa en profundidad es una estrategia de seguridad cibernética que utiliza una serie de medidas defensivas redundantes en capas para proteger los datos confidenciales, la información de identificación personal y los activos de tecnología de la información.
Si falla un control de seguridad, la siguiente capa de seguridad frustra el posible ataque cibernético. Este enfoque de varias capas reduce la amenaza cibernética de que una explotación de vulnerabilidad en particular tenga éxito, mejorando la seguridad del sistema en su conjunto y reduciendo en gran medida el riesgo de seguridad cibernética.
La sencillez en la seguridad es el principio opuesto a la defensa en profundidad. Opera bajo el supuesto de que múltiples medidas de seguridad aumentan la complejidad y conducen a brechas que los atacantes pueden aprovechar.
Los centros de datos, Internet de las cosas (IoT) y el trabajo remoto son excelentes ejemplos de cosas que pueden aumentar la productividad organizacional y la felicidad de los empleados que presentan riesgos de seguridad.
Las organizaciones necesitan equilibrar la productividad y las soluciones de seguridad simples con una defensa en profundidad.
La defensa en profundidad se conoce comúnmente como el «enfoque del castillo» porque refleja las defensas en capas de un castillo medieval. Antes de que puedas penetrar en un castillo, te enfrentas al foso, las murallas, el puente levadizo, las torres, las almenas, etc.
El mundo digital ha revolucionado la forma en que vivimos, trabajamos y jugamos. Sin embargo, es un mundo digital que está constantemente abierto a ataques, y debido a que hay tantos atacantes potenciales, debemos asegurarnos de contar con la seguridad adecuada para evitar que los sistemas y las redes se vean comprometidos. Desafortunadamente, no existe un método único que pueda proteger con éxito contra cada tipo de ataque. Aquí es donde entra en juego una arquitectura de defensa en profundidad.
Origen
Defensa en profundidad proviene de la Agencia de Seguridad Nacional (NSA). Fue concebido como un enfoque integral de la seguridad de la información y la seguridad cibernética. El término se inspiró en una estrategia militar con el mismo nombre.
En la práctica, la estrategia militar y la estrategia de aseguramiento de la información difieren.
La defensa en profundidad como estrategia militar gira en torno a tener una defensa perimetral más débil y ceder espacio intencionalmente para ganar tiempo para construir un contraataque.
Como estrategia de seguridad cibernética, la defensa en profundidad involucra sistemas paralelos de contramedidas físicas, técnicas y administrativas que trabajan juntas pero no ceden el control intencionalmente a un atacante. Un honeypot es similar a la versión militar de la defensa en profundidad.
¿Cómo funciona?
Lo más importante que debes comprender acerca de la defensa en profundidad es que un posible ataque debe detenerse mediante varios métodos independientes. Esto significa que las soluciones de seguridad deben abordar las vulnerabilidades de seguridad a lo largo del ciclo de vida del sistema, en lugar de en un punto en el tiempo.
La creciente sofisticación de los ataques cibernéticos significa que las organizaciones ya no pueden confiar en un solo producto de seguridad para protegerlas.
Los profesionales de la seguridad deben aplicar la defensa en profundidad en todos los sistemas de TI. Desde computadoras portátiles de empleados que necesitan protección contra ataques de intermediarios basados en Wi-Fi hasta prevención de secuestro de dominio con DNSSEC.
No existe una capa de seguridad que proteja contra todas las ciberamenazas. Los ciberdelincuentes son cada vez más sofisticados en sus ataques y las organizaciones necesitan responder mejorando su defensa en profundidad.
El control de acceso deficiente, el phishing, la suplantación de identidad por correo electrónico, el ransomware, las violaciones de datos, las fugas de datos, el error tipográfico y diferentes tipos de malware pueden usarse en combinación para atacar a tu organización. El crecimiento diario de CVE destaca cuán vulnerable es cada organización.
Un gran ejemplo de la necesidad de una defensa en profundidad fue la difusión de WannaCry. Destaca cuán pobre es la resiliencia cibernética global.
Las organizaciones necesitan múltiples capas de seguridad, incluidos cortafuegos, software antimalware y antivirus, sistemas de detección de intrusos, cifrado de datos, controles físicos y capacitación en conciencia de seguridad para reducir el rango de posibles vectores de ataque.
Arquitectura
La arquitectura de DiD se divide a grandes rasgos en tres aspectos o capas, y son:
Capa física
La capa física incluye los diferentes elementos físicos que se mantienen en su lugar para evitar intrusos. Estos incluyen guardias de seguridad, cámaras de vigilancia CCTV, puertas cerradas, sistemas de verificación biométrica, cercas, perros y más.
Capa administrativa
La capa administrativa incluye todas las políticas, procedimientos, auditorías, estándares y orientación que reducen las posibilidades de un ataque. Un buen ejemplo es la política de contraseñas de una organización que determina la longitud y la dificultad de la contraseña, la frecuencia de cambio, la autenticación multifactor, las acciones de los empleados, la capacitación regular y más.
Capa técnica
Esta capa incluye todos los recursos de hardware y software utilizados para frustrar o mitigar un ciberataque.
Algunos ejemplos de componentes de la capa técnica son:
- Software antivirus
- Herramientas de protección de contraseña
- Cifrado
- Escáneres de vulnerabilidad
- Herramientas de monitorización
- Segmentación de red
- Sistema de detección de intrusos
- Herramientas de gestión de parches
- Cajas de arena
- Herramientas de análisis de comportamiento
- Inicio sesión
- Herramientas de auditoría
- Cortafuegos
- Herramientas de inspección profunda de paquetes
- Software de detección y respuesta de endpoints
- Herramientas antimalware
- Herramientas de verificación de integridad de datos
Todas estas tres capas son esenciales para DiD. De hecho, a los piratas informáticos les resulta difícil atacar los sistemas cuando hay más capas que abarcan estas tres amplias áreas.
Dicho esto, ten en cuenta que más capas significan más costes iniciales y de mantenimiento. Por lo tanto, elige las herramientas adecuadas y decide la cantidad de capas que necesitas para equilibrar tu presupuesto y tus necesidades de seguridad.
Elementos
Con un panorama cada vez mayor de amenazas de seguridad a las que enfrentarse, las empresas de seguridad desarrollan continuamente nuevos productos de seguridad para proteger las redes y los sistemas. Estos son algunos de los elementos de seguridad más comunes que se encuentran en una estrategia de defensa en profundidad:
Controles de seguridad de la red
La primera línea de defensa al asegurar una red es el análisis del tráfico de red. Los cortafuegos impiden el acceso a y desde redes no autorizadas y permitirán o bloquearán el tráfico en función de un conjunto de reglas de seguridad. Los sistemas de protección contra intrusos a menudo funcionan en conjunto con un firewall para identificar posibles amenazas de seguridad y responder a ellas rápidamente.
Software antivirus
El software antivirus es fundamental para la protección contra virus y malware. Sin embargo, muchas variantes a menudo dependen en gran medida de la detección basada en firmas. Si bien estas soluciones ofrecen una sólida protección contra el software malicioso, los ciberdelincuentes inteligentes pueden explotar los productos basados en firmas. Por esta razón, es aconsejable utilizar una solución antivirus que incluya funciones heurísticas que busquen patrones y actividades sospechosas.
Análisis de la integridad de los datos
Cada archivo en un sistema tiene lo que se conoce como suma de verificación. Esta es una representación matemática de un archivo que muestra la frecuencia de su uso, su fuente y que se puede usar para verificar una lista conocida de virus y otros códigos maliciosos. Si un archivo entrante es completamente exclusivo del sistema, puede marcarse como sospechoso. Las soluciones de integridad de datos también pueden verificar la dirección IP de origen para asegurarse de que proviene de una fuente conocida y confiable.
Análisis de comportamiento
Los comportamientos de archivos y redes a menudo brindan información mientras se produce una infracción. Si el análisis de comportamiento está activado, significa que el firewall o las soluciones de protección contra intrusiones han fallado. El análisis de comportamiento toma el relevo y puede enviar alertas o ejecutar controles automáticos que evitan que una infracción continúe. Para que esto funcione de manera efectiva, las organizaciones deben establecer una línea de base para el comportamiento «normal».
Seguridad física
No solo involucró la protección de las puertas y la posición de guardia, sino que también logró la seguridad del espacio del servidor, la protección de la computadora portátil y de escritorio, y factores humanos.
Observación y trabajo de Eventos
El diseño de seguridad sigue incompleto mientras no se corrija el sistema de vigilancia y trabajo. Las operaciones de red y seguridad deben monitorizarse constantemente para detectar cualquier posible intrusión. Únicamente se generarán alertas y alarmas efectivas con la correcta implementación de la vigilancia de los controles de seguridad. En lugar de simplemente analizar los registros de un dispositivo a otra preparación completa del sistema de observación. Los directores deben revisar los registros importantes todos los días para observar intrusiones avanzadas o amenazas al sistema.
Seguridad del host
La seguridad del host es muy importante como rectificación de la red en el diseño de seguridad. Se deben aplicar antivirus, antimalware, detección de intrusiones en el host y mecanismo de interferencia, principalmente firewalls basados en host y refuerzo de paquetes.
Seguridad de sesión
Proporciona restricciones sobre un usuario a intervalos de una sesión singular y es importante en la seguridad de Internet. Los identificadores de sesión y clave aplicables, criptográficamente robustos, son los controles más simples que se utilizan para implementar la seguridad de la sesión.
Seguridad de la aplicación
La seguridad de los usuarios, los datos relativos a las tarjetas de crédito, la restricción de derechos, el análisis de vulnerabilidades, la validación de entradas, la copia de seguridad y la restauración, las contraseñas y las listas de gestión de acceso (ACL) son los controles que respaldan la implementación de la seguridad de la aplicación.
Seguridad de información
La codificación respaldada por negocios de interferencia de flujo de información como el estándar de codificación triple (DES) debe aplicarse para proteger la información privada de la organización y el usuario junto con los datos de la tarjeta de crédito.
Una parte pasada por alto de la defensa en profundidad
Todas las organizaciones desean proteger sus datos confidenciales y los de sus clientes frente a violaciones y fugas de datos. Sin embargo, muchas organizaciones no logran gestionar con éxito el riesgo de terceros y el riesgo de cuartas partes.
Ya no es suficiente simplemente garantizar que tu organización sea segura. Muchas violaciones de big data son causadas por proveedores externos . Si estás subcontratando funciones comerciales o almacenando información confidencial en proveedores de la nube, debes pensar detenidamente cómo estás administrando a tus proveedores.
Tu estrategia de defensa en profundidad debe mirar más allá del perímetro de tu organización e investigar adecuadamente a terceros e incluso a proveedores de terceros (los proveedores de tus proveedores) para comprender quién tiene acceso a datos confidenciales y qué tan buena es su seguridad cibernética.
La filtración de datos de Target de 2013, que comenzó en un subcontratista de aire acondicionado, es un ejemplo bien conocido, pero el peligro de riesgo de proveedores externos solo ha aumentado. Se están descubriendo más infracciones de terceros que nunca. La disciplina de gestión de riesgos de terceros (o TPRM) ha evolucionado para ayudar a gestionar este nuevo tipo de exposición al riesgo.
Importancia de la defensa en profundidad
Un enfoque de múltiples capas a menudo se adapta a niveles de seguridad totalmente diferentes. No todas las cualidades deben ser completamente seguras; en cambio, solo los activos más importantes para el negocio estarán protegidos por la configuración más restringida.
Si un sistema falla, hay diferentes sistemas funcionando en la unidad de área. No es posible garantizar la seguridad de un solo estilo de aplicación de seguridad. Hay vulnerabilidades y exploits continuamente medidos. Al maltratar múltiples sistemas para reducir las lesiones, la organización se asegurará de que, aunque uno (o varios) sistemas estén caídos, el sistema en sí mismo continuará protegido.
Existen varias soluciones de nicho y amenazas. Hoy en día, las organizaciones generalmente tienen que mantener múltiples aplicaciones de seguridad cibernética, como programas antivirus, programas antispyware y programas antimalware. La seguridad cibernética implica una gran cantidad de amenazas hoy en día que las herramientas únicas suelen ser necesarias.
Desventajas
Hasta ahora, discutimos los beneficios de DiD y cómo se implementa. ¿Tiene algún inconveniente?
Desafortunadamente, nada es perfecto, así que aquí hay cosas que debes considerar al decidir tu estrategia DiD.
Falsa sensación de seguridad
Las muchas capas de seguridad de DiD tienden a hacer que las organizaciones se sientan complacientes al darles una falsa sensación de seguridad. Como resultado, las organizaciones pueden dejar de invertir en nuevas tecnologías y, en poco tiempo, el DiD existente puede volverse obsoleto e ineficaz.
Contraproducente
Dado que hay muchas capas involucradas, será difícil identificar y depurar problemas en estas capas.
Además, pueden surgir ciertas brechas entre estas capas, especialmente cuando no se implementan bien o no se han actualizado por un tiempo. Los piratas informáticos pueden aprovechar estas brechas fácilmente.
Caro
Las implementaciones de DiD son costosas de implementar y mantener, y pueden estar fuera del alcance de muchas pequeñas y medianas empresas. Incluso para las grandes empresas, puede consumir una parte significativa de los presupuestos de TI, lo que limita otras áreas de operación.
Por lo tanto, estos son algunos de los inconvenientes destacados de DiD a considerar antes de decidir sobre su adopción.
Ejemplos
Analicemos algunos casos de uso de defensa en profundidad.
Protección de malware
Según la Guía de estudio de CISSP, una empresa que emplea a unas 12.000 personas al año recibía unos 250.000 correos electrónicos al día. La mayoría de estos correos electrónicos eran maliciosos y contenían cualquier cosa, desde spam hasta virus y troyanos. Además, los atacantes estaban utilizando diferentes técnicas para infiltrarse en la red de la empresa.
La organización implementó una estrategia de defensa en profundidad para frustrar estas amenazas. Configuró servidores de correo UNIX con antivirus y antimalware de actualización automática para filtrar los correos electrónicos entrantes y enviar los «limpios» a un servidor de correo interno de Microsoft Exchange con software antivirus avanzado. Después de este filtrado, el correo se enviaba a los escritorios de los clientes que tenían otro software antivirus.
En total, cada correo electrónico pasó por cuatro rondas de software antivirus. Aún así, algunos correos electrónicos se filtraron a través de los cuatro programas antivirus, por lo que la organización implementó sistemas de detección de intrusos y prácticas de manejo de incidentes para identificar y limpiar los correos electrónicos infectados.
Todas estas medidas juntas eliminaron la amenaza del malware.
Oficinas electorales
El Centro para la Seguridad en Internet ideó un plan elaborado para asegurar las oficinas electorales con DiD.
En consecuencia, las oficinas electorales instalaron cámaras de seguridad y candados para proteger el equipo electoral y otra infraestructura relacionada. La capa técnica incluía opciones de seguridad en la nube, criptografía, autenticación multifactor, administración de parches, protección de puntos finales, software antimalware y más.
Además de estos, las oficinas electorales siguieron un conjunto establecido de prácticas para contratar personal calificado y proporcionar la capacitación adecuada según sea necesario. Además, estas oficinas crearon un plan de recuperación ante desastres junto con una lista de posibles ataques y acciones para mitigarlos.
Como puedes ver, los dos casos de uso anteriores implementan las diferentes capas de DiD que se personalizan para satisfacer sus necesidades específicas.
Elementos importantes de un plan de ciberseguridad de defensa en profundidad
Crear una estrategia de defensa en profundidad eficaz requiere mucho tiempo y recursos. Para aprovechar al máximo tus esfuerzos, asegúrate de incluir lo siguiente:
Audita tu sistema
Para asegurar tus sistemas de manera efectiva, necesitas saber dónde están todos tus activos y los niveles de prioridad de los activos. Esto incluye archivos, aplicaciones y usuarios. También debes comprender dónde están tus vulnerabilidades y cómo los atacantes pueden aprovechar los problemas.
Implementa análisis de comportamiento
El análisis de comportamiento de usuarios y entidades (UEBA) puede ayudarte a monitorizar tu sistema y usuarios y detectar incidentes que las herramientas tradicionales no detectan. UEBA utiliza líneas base de comportamiento para identificar comportamientos anómalos. Esto te permite identificar a los atacantes que utilizan credenciales comprometidas y personas internas maliciosas.
Prioriza y aísla tus datos
Intenta limitar dónde se almacena la información de alta prioridad y quién tiene acceso a ella. Por ejemplo, la información de identificación personal debe protegerse con más fuerza que los materiales de marketing antiguos. Al restringir dónde se almacenan los datos y quién tiene acceso, reduces los puntos de entrada a los datos y puedes concentrar mejor tus esfuerzos de seguridad.
Utiliza varios cortafuegos
Hay varios tipos de cortafuegos que puedes utilizar y debes utilizar estas herramientas cuando corresponda. Por ejemplo, puedes usar cortafuegos a nivel de punto final y de aplicación para inspeccionar el tráfico entre tus dispositivos. El uso de cortafuegos tanto dentro como fuera de tu red te permite evitar ataques laterales y permite el aislamiento del sistema.
Implementa la protección de puntos finales
Debes implementar plataformas de protección de puntos finales (EPP) para proteger tus puntos finales y restringir el acceso a tus sistemas. Estas plataformas a menudo contienen tecnología de detección y respuesta de punto final (EDR) que puede ayudar a acelerar sus tiempos de respuesta y permitirte detectar incidentes en tiempo real.
Implementa un plan de respuesta a incidentes
Un plan de respuesta a incidentes (IRP) puede ayudarte a identificar vulnerabilidades en tus sistemas, planificar medidas de protección y acelerar los tiempos de respuesta a incidentes. Los IRP detallan quién es responsable de gestionar los incidentes y cómo deben responder.
Estos planes aseguran que tus respuestas estén estandarizadas y que cada incidente sea tratado adecuadamente. Con frecuencia, estos planes incluyen tecnologías de orquestación, automatización y respuesta de seguridad (SOAR) con libros de jugadas automatizados para garantizar una respuesta rápida.
¿Debes implementar DiD?
Ahora que comprendes los pros y los contras de DiD, ¿deberías implementarlo?
La respuesta simple: depende de las necesidades de tu organización.
Usa DiD cuando quieras:
- Evitar los ataques de denegación de servicio (DoS).
- Garantizar la integridad de los datos transmitidos a través de la red.
- Proteger tu entorno informático.
- Cumplir con las normas obligatorias.
- Defender los límites de tu red.
- Operar de manera eficiente en industrias sensibles como el sector financiero que son susceptibles a ataques.
Por otro lado, DiD puede no ser útil si:
- Tienes presupuestos limitados.
- Implementas tecnologías avanzadas como el cifrado como parte de tu pila de aplicaciones.
- No tienes acciones de usuario en varios niveles.
Estas listas no son exhaustivas sino solo para darte una idea de cómo puedes decidir sobre la implementación de DiD para tu organización.
Conclusión
En total, las múltiples capas de DiD sin duda protegen tus sistemas y recursos de los ataques cibernéticos, pero también tienen ciertos inconvenientes, como costes y dificultades operativas. Comprender las ventajas y desventajas de DiD en el contexto de los objetivos y operaciones de tu organización es la clave para tomar una decisión acertada.
Entonces, ¿elegirás una estrategia de defensa en profundidad para tu organización? ¿Por qué y por qué no?