Seguridad perimetral

Los centros de datos son el principal objetivo de los ciberataques. Apenas pasa un día sin que se descubra algún tipo de pirateo. La propiedad intelectual es robada, el efectivo estafado de los sistemas bancarios, los sitios web caídos y millones de identidades robadas.

A algunos les puede parecer que las personas de TI en las que confiaron durante décadas para cuidar sus datos ya no están a la altura. Pero esa no es una evaluación justa.

Lo que sucede es que el tamaño y el volumen de los ataques han explotado, así como la cantidad de posibles vectores de ataque. Es un poco como una ciudad fortificada que está siendo atacada por los insurgentes que ya están dentro, y mientras tanto, los funcionarios no les permitirán cerrar las puertas debido a un auge continuo del comercio.

Así es como se ve desde la perspectiva del centro de datos. Los gerentes de línea de negocios exigen aplicaciones en la nube. No están dispuestos a esperar un año para que se desarrolle internamente, o incluso un mes o dos para que esa aplicación sea aprobada por TI.

Eso significa que un firewall con una lista exhaustiva de aplicaciones bloqueadas nunca tiene la oportunidad de actuar cuando el uso de la aplicación es remoto o móvil. Del mismo modo, el software antivirus está luchando para hacer frente a las amenazas actuales.

Todo esto es lo que se denomina seguridad perimetral de la red. Aquí analizaremos en qué consiste y su importancia.

¿Qué es la seguridad perimetral?

Un perímetro de red es el límite seguro entre el lado privado y administrado localmente de una red, a menudo la intranet de una empresa, y el lado público de una red, a menudo Internet.

Un perímetro de red incluye:

  • Enrutadores fronterizos: los enrutadores sirven como señales de tráfico de las redes. Dirigen el tráfico hacia, desde y a través de las redes. El enrutador de borde es el enrutador final bajo el control de una organización antes de que el tráfico aparezca en una red no confiable, como Internet.
  • Cortafuegos: un cortafuegos es un dispositivo que tiene un conjunto de reglas que especifican qué tráfico permitirá o denegará pasar a través de él. Un cortafuegos generalmente se retiene donde el enrutador de borde deja y hace un paso mucho más completo al filtrar el tráfico.
  • Sistema de detección de intrusos (IDS): se trata de un sistema de alarma para la red usado para localizar y avisar de actividades sospechosas. Este sistema se puede construir desde un solo dispositivo o una colección de sensores ubicados en puntos estratégicos de una red.
  • Sistema de prevención de intrusiones (IPS): en comparación con un IDS tradicional que simplemente notifica a los administradores de posibles amenazas, un IPS puede intentar defender automáticamente el objetivo sin la intervención directa del administrador.
  • Zonas desmilitarizadas / subredes protegidas: DMZ y subred filtrada se refieren a pequeñas redes que contienen servicios públicos conectados directamente y que ofrecen protección por el firewall u otro dispositivo de filtrado.

La seguridad perimetral consiste, por tanto, en la protección de ese perímetro de red para evitar cualquier ataque o intrusión que pueda afectar a la red de una empresa.

Requisitos del perímetro de red

Para la mayoría de las empresas modernas, no existe un límite único defendible entre los activos internos de una empresa y el mundo exterior.

  • Los usuarios internos no se están conectando simplemente desde dentro del edificio, la red o el círculo interno de una organización. Se conectan desde redes externas y utilizan dispositivos móviles para acceder a recursos internos.
  • Las aplicaciones y los datos ya no se almacenan en servidores de las empresas, protegidos por ellas. Los almacenes de datos, la computación en la nube y el software como servicio presentan un acceso inmediato y desafíos de seguridad tanto para usuarios internos como externos.
  • Los servicios web han abierto una amplia puerta a las interacciones fuera de los límites normales de confianza. Para servir a múltiples clientes, o simplemente para comunicarse con otros servicios, ocurren interacciones inseguras tanto internas como externas en plataformas externas todo el tiempo.

Además, proteger individualmente cada aplicación de software, servicio o activo puede ser bastante desafiante. Si bien el concepto de «perímetro de red» tiene significado para ciertas configuraciones de red, en el entorno actual debe tratarse de manera abstracta, en lugar de como una configuración específica.

Pautas de seguridad perimetral de red

Hay algunas pautas que pueden ayudar a entregar un entorno de red seguro y modular:

  • Autenticación fuerte para permitir el acceso controlado a los activos de información. La autenticación de dos factores actúa como una capa adicional de seguridad para los inicios de sesión, asegurando que las intrusiones intentadas se detengan antes de que se produzca cualquier daño.
  • Endurecimiento de dispositivos móviles e IoT que se conectan a la red. Las políticas de control de acceso definen requisitos de alto nivel que determinan quién puede acceder a la información y bajo qué circunstancias se puede acceder a esa información.
  • Servicios de seguridad integrados dentro de dispositivos y aplicaciones. Las soluciones de seguridad integradas pueden ayudar a proteger dispositivos que van desde cajeros automáticos hasta sistemas de fabricación automatizados. Las características que incluyen la lista blanca de aplicaciones, la protección antivirus y el cifrado pueden integrarse para ayudar a proteger los dispositivos IoT expuestos.
  • Recopilando inteligencia de seguridad directamente de las aplicaciones y sus hosts. Tener una comunicación abierta con proveedores de servicios en la nube nos permitirá incrementar considerablemente las protecciones de seguridad. Los gerentes de aplicaciones y servicios entienden cómo integrar la seguridad compartida con sus sistemas mejor que nadie.

La defensa perimetral ha tratado tradicionalmente de controlar el tráfico que entra y sale de la red de un centro de datos.

Las mejores prácticas incluyen la implementación de un conjunto de defensas complementarias en capas. Más allá de un enrutador, que conecta las redes internas y externas, la tecnología principal que sustenta la protección perimetral es un firewall, que filtra el tráfico potencialmente peligroso o desconocido que puede constituir una amenaza basada en un conjunto de reglas sobre los tipos de tráfico y la fuente permitida.

La mayoría de las organizaciones también implementan sistemas de detección de intrusiones o de prevención de intrusiones, que buscan tráfico sospechoso una vez que ha pasado a través del firewall.

Importancia de la seguridad perimetral

La creciente dependencia de un ecosistema interconectado de dispositivos en línea en el entorno empresarial actual ha aumentado en gran medida nuestra dependencia de la seguridad de la red para evitar ataques cibernéticos.

Los datos se recopilan e interpretan a gran escala, y su seguridad depende de las protecciones que los rodean. El concepto y la evolución de un perímetro de red permite a las organizaciones pensar de manera efectiva sobre cómo proteger su información interna de actores no confiables o maliciosos.

Aunque los firewall, los dispositivos de perímetro de red y antivirus hayan dejado de ser tan importantes, eso no supone que deban dejar de utilizarse. Todavía tienen un papel que desempeñar para prevenir un intento directo de ataque.

Por ejemplo, un ataque de phishing realizado contra una compañía en EEUU tuvo al personal del centro de datos combatiéndolo durante días. Todo comenzó con alguien abriendo un enlace ingeniosamente diseñado en un correo electrónico. Eso permitió que los ciberdelincuentes entraran en las libretas de direcciones de la compañía. Poco después, los empleados recibían correos electrónicos de fuentes internas confiables pidiéndoles que abrieran un fax adjunto. Muchos lo hicieron. La infección se propagó rápidamente y derribó varios sistemas.

Tales incidentes dejan en claro que la capacitación del personal es un elemento vital del arsenal de seguridad del centro de datos. Las empresas que capacitan a los empleados gastan un 76 por ciento menos en incidentes de seguridad en comparación con las que no lo hacen.

El perímetro de la red debe protegerse en todas las puertas de entrada modernas. Esto se extiende desde el borde de la red y el firewall corporativo hacia las aplicaciones móviles y la nube, y hacia adentro para cada empleado y cada dispositivo.

Pero esa es una tarea desalentadora para cualquiera. Pocos centros de datos pueden permitirse ese nivel de protección.

Amenazas más inteligentes

Del mismo modo que es posible contener los costes concentrándose en las «joyas de la corona» del centro de datos, los centros de datos pueden facilitar el trabajo al incorporar técnicas de análisis e inteligencia.

Las herramientas de vanguardia, como el análisis forense y el análisis de redes, pueden ayudar a los equipos de gestión de incidentes y respuesta a obtener la información que necesitan cuando el tiempo es esencial.

Se está produciendo una evolución del enfoque de big data para la analítica. La idea es utilizar software para hacer el trabajo pesado para combatir las amenazas cibernéticas.

Si una máquina está haciendo algo un poco diferente, se alerta al administrador del centro de datos. Estos pueden determinar si existe una amenaza real. Este enfoque de seguridad se está expandiendo. El análisis avanzado en tiempo real y de alta velocidad será la mejor solución para la resiliencia de alto nivel.

Actualmente tiene una gran importancia el intercambio de datos sobre intentos de incursiones entre empresas o industrias como un medio para nivelar el campo de juego. Después de todo, los malos se han organizado mucho. Pueden comprar código para ataques de denegación de servicio distribuido (DDoS) en línea. En Europa del Este y quizás en áreas de Asia, parece haber una convergencia de intereses gubernamentales y crimen organizado.

La conclusión es que las empresas ya no pueden actuar de forma aislada. Deberían agrupar recursos activamente y proporcionar más frente unido contra los hackers.

Gestión y respuesta

Muchas empresas están muy enfocadas en responder rápidamente a las amenazas inmediatas. Si bien esto es ciertamente importante, no es un enfoque ganador a largo plazo. Los gerentes de centros de datos necesitan comprender la diferencia entre la gestión de incidentes de seguridad y la respuesta a incidentes. Si bien están estrechamente relacionados, la gestión de incidentes es más una función comercial, mientras que la respuesta a incidentes es más técnica.

Las mejores prácticas en la respuesta a incidentes requieren seguir un proceso documentado. Hacerlo requiere perforación y pruebas. Puede ser sencillo acordarse de todos los pasos necesarios para responder a un ataque, pero, en caso de producirse el mismo los niveles de estrés se incrementan sustancialmente. Una respuesta es la creación de listas de verificación para garantizar que todas las tareas se realicen en el orden previsto.

Otro aspecto crucial para organizarse mejor es instalar un programa de Gestión de Información y Eventos de Seguridad (SIEM) para recopilar, correlacionar, automatizar y analizar registros. Si bien un SIEM puede ser una inversión costosa, existen productos SIEM de código abierto que se pueden implementar.

Es necesario fortalecer la infraestructura para que los servidores físicos y virtuales solo estén autorizados para comunicarse a través de puertos, protocolos y direcciones IP específicos.

En segundo lugar, utiliza la lista blanca de aplicaciones para permitir que solo se ejecuten aplicaciones específicas aprobadas y denegar todas las demás. Además, utiliza la integridad de los archivos y la supervisión de la configuración para identificar cambios intentados e incluso acciones sospechosas del administrador en tiempo real.

Desaparición del perímetro de red

El concepto de una red completamente encerrada dentro de un edificio u organización virtual, y por lo tanto más fácil de defender, desapareció. El concepto de un perímetro defendible e impermeable está muerto. Esto no es una novedad para nadie que esté en posición de proteger a una organización de ataques cibernéticos, y entendemos los desafíos que enfrentan los equipos de seguridad en estas circunstancias.

¿Cuáles son las consecuencias de los ataques que evitan las defensas perimetrales y contra los que deben defenderse los equipos de seguridad, y cuáles son las técnicas necesarias para tener éxito?

La desaparición del perímetro de red se produce por el crecimiento de la red de una empresa incluyendo muchos más dispositivos y ubicaciones, muchos de los cuales están fuera de lo que solía considerarse el perímetro, y muchos de los cuales están fuera del control del equipo de seguridad.

  • Se espera que la cantidad de dispositivos IoT, que son notoriamente pobres en términos de seguridad y vulnerabilidades, casi se triplique en los próximos 6 años.
  • Para 2021, el 27 por ciento del tráfico de datos corporativos evitará la seguridad del perímetro y fluirá directamente desde los dispositivos móviles y portátiles a la nube.
  • Los dispositivos personales corren el riesgo de verse comprometidos fuera del sitio y luego llevados al sitio donde las infecciones pueden propagarse. El móvil ha superado al escritorio como la principal forma de acceder a Internet.
  • El 83 por ciento de las cargas de trabajo de la empresa estarán en la nube para 2020. La nube requiere nuevas tácticas de seguridad para abordar la naturaleza inherentemente diferente de la nube como entorno; seguridad que no proporcionan los proveedores de la nube ni las herramientas de seguridad locales.

Mejores prácticas para asegurar una red sin perímetro

Existen varias técnicas y tecnologías que permitirán a los equipos de seguridad asegurar su red de manera efectiva una vez que acepten el hecho de que el perímetro se omite fácilmente.

Existe una relación entre todos ellos al centrarse en localizar movimientos maliciosos dentro de una red, el principal objetivo para las organizaciones actualmente. Los cortafuegos, la protección del punto final y otras defensas perimetrales siguen siendo importantes, pero son insuficientes.

Comunicación segura

Cada nodo es cualquier ordenador, dispositivo o sistema conectado a la nube o la red, como un ordenador portátil, un teléfono inteligente y una impresora compartida.

Monitoriza y analiza la comunicación entre estos dispositivos para detectar cualquier cosa inusual o maliciosa. Si un delincuente puede piratear un iPad, puede saltar de allí a otros dispositivos en su entorno, otros nodos de la red. Debido a que cada vez es mayor el volumen de actividad entre todos los dispositivos de una red, es un reto para los equipos de seguridad estar al día con todas las amenazas.

Una opción es simplemente contratar más analistas, pero con la escasez de habilidades, esto también puede resultar desafiante. Algunas herramientas de análisis de red permiten a los usuarios establecer el umbral de lo que generará una alerta.

Elevar el umbral disminuirá la cantidad de alertas, pero posiblemente con el riesgo de que se filtre un ataque. Otra opción es emplear inteligencia artificial (IA).

Una solución de seguridad basada en inteligencia artificial puede crear modelos de lo que es actividad normal y resaltar automáticamente lo que es inusual o anómalo que podría ser indicativo de actividad maliciosa.

Inspeccionar lo que se intercambia

Saber que existe comunicación entre dos dispositivos o nodos no es suficiente. También debe analizarse la naturaleza de la comunicación. Tal vez se inicia un escaneo desde un dispositivo comprometido a computadoras vecinas, lo que sugiere un movimiento lateral malicioso. Puede ser que se esté enviando un documento confidencial a otro dispositivo, que puede filtrar esos datos.

Quizás algo se está descargando a un ordenador portátil que generalmente no se conecta al exterior y de repente está transfiriendo 3GB de datos financieros a una dirección IP en China.

Saber si la naturaleza de la comunicación y los datos que se mueven es normal para el dispositivo desde el que se envía te ayudará a interceptar actividades maliciosas.

Anomalías con comportamiento malicioso

Es práctico conocer la anomalía o rareza de algunos movimientos laterales en comparación con las líneas de base fijadas. Este es el primer paso para detectar amenazas que operan dentro de tu red. Pero hay un fallo al usar solo la detección de anomalías: no todas las anomalías son maliciosas. De hecho, la mayoría no lo son.

La inclusión de datos sobre comportamientos maliciosos conocidos en el análisis impulsado por IA mencionado anteriormente puede separar las anomalías maliciosas de las benignas, casi eliminando los falsos positivos y enfocando los esfuerzos de los equipos de seguridad en el movimiento lateral que presenta el mayor riesgo potencial.

En resumen, es importante administrar tu estrategia de seguridad bajo el supuesto de que el perímetro está desapareciendo. Asegurar una red ahora requiere monitorizar y analizar el movimiento lateral dentro de la red expandida.

Y esto se logra de manera óptima con el uso de IA que puede agilizar el análisis inicial de la actividad de la red, filtrar lo que es normal y, con la ayuda de comportamientos maliciosos, enfocar los esfuerzos de investigación y solución de amenazas de alto riesgo antes de un coste elevado y perjudicial.