Los ciberataques se dirigen principalmente a los centros de datos. Difícilmente pasa un día sin que se informe de un nuevo hackeo. Millones de identidades son robadas, sitios web caídos, dinero robado de los sistemas bancarios y propiedad intelectual.
Algunos pueden sentir que los profesionales de TI en los que confiaron durante décadas para proteger sus datos ya no están a la altura de la tarea. Pero ese no es un juicio exacto.
El volumen, el tamaño y los posibles vectores de ataque han aumentado drásticamente en los últimos años. Es similar a una ciudad fortificada atacada por insurgentes que ya están dentro, pero los funcionarios no les permiten cerrar las puertas porque el comercio aún está en auge.
Desde la perspectiva de un centro de datos, así es como se ve. Los directivos de líneas de negocio demandan aplicaciones en la nube. No quieren esperar un año para que se desarrolle internamente o incluso unos meses para que TI apruebe la aplicación.
Entonces, cuando una aplicación se usa de forma remota o a través de un dispositivo móvil, un firewall con una larga lista de aplicaciones bloqueadas no puede realizar ninguna acción. Las amenazas actuales también son difíciles de manejar para el software antivirus.
Todo esto se conoce como seguridad perimetral de red. Aquí examinaremos tanto sus componentes como su importancia.
▶ ¿Qué es un RPS y cómo ayuda a las empresas?
¿Qué es la seguridad perimetral?
Un perímetro de red es la parte privada y administrada localmente de una red, que frecuentemente es la intranet de una organización, y la parte abierta y de acceso público de una red, que frecuentemente es Internet.
Un perímetro de red incluye:
– Enrutadores fronterizos: Los enrutadores actúan como semáforos para las redes. Guían el tráfico a través, hacia y entre redes.
El enrutador fronterizo es el último enrutador bajo el control de una organización antes de que el tráfico se envíe a través de una red no confiable, como Internet.
– Firewall: Un firewall es un equipo con un conjunto de reglas que definen los tipos de tráfico que permitirá o prohibirá el paso.
Cuando un enrutador de borde deja de filtrar el tráfico, un firewall generalmente toma el relevo y realiza un paso mucho más exhaustivo en el proceso.
– El Sistema de Detección de Intrusiones (IDS): Es un sistema de alarma de red que se utiliza para encontrar e informar actividad no autorizada.
Para crear este sistema se puede utilizar un solo dispositivo o un grupo de sensores ubicados en nodos clave de una red.
– Sistema de prevención de intrusiones (IPS): A diferencia de un IDS convencional, que simplemente alerta a los administradores sobre amenazas potenciales, un IPS puede hacer un esfuerzo automático para defender el objetivo sin la participación directa del administrador.
– Zonas desmilitarizadas/subredes protegidas: Los términos «DMZ» y «Subred filtrada» se utilizan para describir redes pequeñas que tienen servicios públicos conectados directamente y brindan seguridad a través de un firewall u otro dispositivo de filtrado.
Para detener cualquier ataque o intrusión que pueda dañar la red de una empresa, la seguridad perimetral implica proteger el perímetro de la red.
Requisitos para el perímetro de la red
Para la mayoría de las empresas modernas, no existe una única línea defendible que separe los activos internos de una empresa del mundo exterior.
– Los usuarios internos no sólo se conectan desde dentro de los muros de una empresa, en su red interna o entre sus amigos más cercanos. Utilizan dispositivos móviles para acceder a recursos internos mientras están conectados a través de redes externas.
– Ya no está protegido por los servidores de la empresa, donde alguna vez se guardaban las aplicaciones y los datos. Tanto para los usuarios internos como externos, los almacenes de datos, la computación en la nube y el software como servicio presentan desafíos de seguridad y acceso inmediato.
– Los servicios web han hecho posible interactuar de maneras que van más allá de lo que normalmente se considera un entorno confiable. Las interacciones inseguras internas y externas tienen lugar con frecuencia en plataformas externas para atender a múltiples clientes o simplemente para comunicarse con otros servicios.
También puede resultar difícil proteger individualmente cada programa, servicio o activo de software. Aunque el término «perímetro de red» tiene importancia para configuraciones de red específicas, en el entorno moderno debe verse como un concepto abstracto y no como una configuración particular.
Recomendaciones para la seguridad perimetral de la red
Se puede lograr un entorno de red seguro y flexible siguiendo algunas pautas:
– Autenticación sólida para permitir el acceso regulado a los activos de información. Al agregar una capa adicional de protección a los inicios de sesión, la autenticación de dos factores ayuda a evitar que los intentos de intrusión pasen desapercibidos.
– Fortalecer los dispositivos móviles y de IoT conectados a la red. Los requisitos de alto nivel se describen en las políticas de control de acceso que especifican quién puede acceder a la información y cuándo se puede acceder a ella.
– Dispositivos y aplicaciones con servicios de seguridad integrados. Desde sistemas de fabricación automatizados hasta cajeros automáticos, las soluciones de seguridad integradas pueden ayudar a proteger diversos tipos de equipos. Es posible integrar funciones como listas blancas de aplicaciones, defensa antivirus y cifrado para ayudar a proteger los dispositivos IoT expuestos.
– Obtener directamente inteligencia de seguridad de las aplicaciones y los hosts que las ejecutan. Las líneas abiertas de comunicación con los proveedores de servicios en la nube nos permitirán mejorar en gran medida las salvaguardas de seguridad. Nadie tiene más conocimiento que los administradores de aplicaciones y servicios sobre cómo integrar la seguridad compartida con sus sistemas.
Históricamente, la defensa perimetral de la red de un centro de datos ha intentado regular el tráfico entrante y saliente.
Una de las mejores prácticas es la superposición de defensas complementarias. Un firewall, que filtra el tráfico potencialmente peligroso o desconocido que puede constituir una amenaza basándose en un conjunto de reglas sobre los tipos de tráfico, es la principal tecnología que respalda la protección perimetral fuera de un enrutador, que conecta redes internas y externas. la fuente permitida, y más.
La mayoría de las empresas también utilizan sistemas de detección o prevención de intrusiones, que analizan el tráfico después de haber atravesado un firewall en busca de datos sospechosos. actividad.
La importancia de la seguridad perimetral
Nuestra dependencia de la seguridad de la red para defendernos de los ataques cibernéticos ha aumentado significativamente como resultado de la creciente dependencia de un ecosistema interconectado de dispositivos en línea en el entorno empresarial actual.
Se recopilan y analizan grandes cantidades de datos, y la seguridad de esos datos depende de las medidas de seguridad implementadas. Las organizaciones pueden pensar estratégicamente en cómo salvaguardar sus datos internos de actores deshonestos o maliciosos gracias al concepto y la evolución de un perímetro de red.
Aunque los firewalls, los dispositivos perimetrales de red y los antivirus ya no son tan cruciales, eso no significa que deban dejar de usarse. Todavía tienen un papel que desempeñar para frustrar un intento de ataque directo.
El personal de un centro de datos en Estados Unidos, por ejemplo, pasó días defendiéndose de un ataque de phishing contra una empresa. Alguien hizo clic en un enlace de correo electrónico que había sido creado hábilmente y todo comenzó. Esto hizo posible que los piratas informáticos accedieran a las libretas de direcciones de la empresa. Poco después, se pidió a los miembros del personal que abrieran un fax adjunto en correos electrónicos de fuentes internas confiables. Mucha gente lo hizo. Múltiples sistemas quedaron fuera de servicio debido a la rápida propagación de la infección.
Estos incidentes demuestran lo importante que es que la formación del personal forme parte de las medidas de seguridad del centro de datos. Las empresas que invierten en formación de empleados gastan un 76% menos en incidentes relacionados con la seguridad que aquellas que no lo hacen.
En todas las puertas de entrada modernas se debe asegurar el perímetro de la red. Esto incluye a todos los empleados y dispositivos, y se extiende desde el firewall corporativo y el borde de la red hasta las aplicaciones móviles y la nube.
Pero a cualquiera le parecería una tarea difícil. Un pequeño número de centros de datos pueden permitirse ese nivel de seguridad.
Amenazas más sofisticadas
Los centros de datos pueden reducir costos concentrándose en sus «joyas de la corona», del mismo modo que pueden optimizar las operaciones implementando técnicas de análisis e inteligencia.
Cuando el tiempo es esencial, los delincuentes y los equipos de respuesta y gestión de incidentes pueden obtener la información que necesitan con la ayuda de herramientas de vanguardia como la ciencia forense y el análisis de redes.
La metodología de análisis de big data está evolucionando. Para combatir las amenazas cibernéticas, el plan es utilizar software para manejar las tareas que requieren mucha mano de obra.
Se informa al administrador del centro de datos si una máquina actúa de manera ligeramente diferente. Estos son capaces de establecer la validez de cualquier amenaza. Esta estrategia de seguridad se está desarrollando. El mejor enfoque para lograr altos niveles de resiliencia será el análisis avanzado de alta velocidad y en tiempo real.
Para nivelar el campo de juego, en este momento es crucial compartir información sobre intentos de incursión entre empresas o industrias. Después de todo, los malos han estado muy bien organizados. Las tiendas online venden software para ataques distribuidos de denegación de servicio (DDoS). Parece que los objetivos gubernamentales y el crimen organizado convergen en Oriente Europa y posiblemente en algunas regiones de Asia.
La conclusión es que las empresas ya no pueden operar de forma independiente. Para luchar más eficazmente contra los piratas informáticos, deberían aunar activamente recursos y presentar un frente unificado.
Respuesta y gestión
Muchas empresas se esfuerzan mucho en responder a las amenazas de inmediato. El largo plazo no favorece esta estrategia, a pesar de que es indudablemente importante. Los administradores de centros de datos deben conocer la distinción entre gestión de incidentes de seguridad y respuesta a incidentes. Si bien está estrechamente relacionada, la gestión de incidentes es más una función comercial, mientras que la respuesta a incidentes es más una función técnica.
Es necesario seguir un proceso establecido para obtener las mejores prácticas de respuesta a incidentes. Se necesitan perforaciones y pruebas para lograr esto. Aunque puede resultar sencillo recordar todos los pasos necesarios para defenderse de un ataque, cuando uno realmente ocurre, los niveles de estrés se disparan. Hacer listas de verificación es una forma de garantizar que todas las tareas se realicen en el orden correcto.
Instalar un programa de gestión de eventos e información de seguridad (SIEM) para compilar, correlacionar, automatizar y analizar registros es otro paso crucial para mejorar la organización. Aunque un SIEM puede ser una inversión costosa, se pueden utilizar productos SIEM de código abierto.
Es necesario fortalecer la infraestructura para que solo se puedan utilizar puertos, protocolos y direcciones IP autorizados para la comunicación entre servidores físicos y virtuales.
En segundo lugar, emplea la lista blanca de aplicaciones para permitir que solo se ejecute un grupo selecto de aplicaciones autorizadas mientras bloquea todas las demás. Además, emplea integridad de archivos y monitoreo de configuración para detectar cambios no autorizados e incluso acciones sospechosas del administrador en tiempo real.
El perímetro de la red desaparece
La idea de que una red esté completamente encerrada dentro de una estructura u organización virtual y, por lo tanto, sea más sencilla de defender ya no es válida. La idea de un perímetro seguro e impenetrable está obsoleta. Cualquiera que esté en condiciones de defender una organización contra los ciberataques lo sabe y somos conscientes de las dificultades que enfrentan los equipos de seguridad en este tipo de situaciones.
¿Cuáles son los efectos de los ataques que previenen las defensas perimetrales y contra los que los equipos de seguridad deben defenderse, y cuáles son las estrategias necesarias para tener éxito?
La expansión de la red de una empresa para incluir más dispositivos y ubicaciones (muchos de los cuales están fuera de lo que alguna vez fue el perímetro y muchos de los cuales no están bajo el control del equipo de la red) ha llevado a la desaparición del perímetro de la red. seguridad.
– En los próximos seis años, se prevé que el número de dispositivos de Internet de las cosas (IoT), que están plagados de fallos y vulnerabilidades de seguridad, casi se triplicará.
– Para 2021, el 27% del tráfico de datos empresariales se saltará la seguridad perimetral y irá directamente desde portátiles y dispositivos móviles a la nube.
– El riesgo de que los dispositivos personales se vean comprometidos fuera del sitio antes de ser existe un virus traído al sitio, donde las infecciones pueden propagarse. La mayor parte del acceso a Internet se produce ahora a través de dispositivos móviles, que han superado a los ordenadores de sobremesa.
– Para 2020, el 83% de las cargas de trabajo empresariales estarán alojadas en la nube. Debido a que la nube es fundamentalmente diferente de las herramientas de seguridad locales o de los proveedores de la nube, se necesitan nuevas estrategias de seguridad para abordar esto.
Métodos aconsejables para proteger una red sin fronteras
Una vez que los equipos de seguridad reconocen que el perímetro se puede eludir fácilmente, existen una serie de técnicas y tecnologías que pueden utilizar para proteger su red de manera efectiva.
Al concentrarse en localizar movimientos maliciosos dentro de una red, objetivo principal de las organizaciones hoy en día, existe una relación entre todos ellos. Aunque siguen siendo cruciales, las defensas perimetrales como los firewalls y la seguridad de los terminales son insuficientes.
Comunicación que sea segura
Cualquier computadora, sistema o dispositivo que esté vinculado a la nube o a una red se denomina nodo, incluidos una computadora portátil, un teléfono inteligente y una impresora compartida.
Analiza y vigila la comunicación entre estos dispositivos para buscar cualquier cosa sospechosa o maliciosa. Si un delincuente puede comprometer un iPad, puede acceder a otros dispositivos de su entorno u otros nodos de red. Es difícil para los equipos de seguridad mantenerse al día con todas las amenazas a medida que aumenta el volumen de actividad entre todos los dispositivos de una red.
La contratación de analistas adicionales es una opción, pero debido a la falta de trabajadores calificados, esto puede resultar difícil. Los usuarios pueden establecer el umbral de alerta para algunas herramientas de análisis de red.
Elevar el umbral puede aumentar el riesgo de que un ataque no sea detectado y al mismo tiempo reducir la cantidad de alertas. La inteligencia artificial (IA) es una opción diferente.
Una solución de seguridad basada en IA puede crear modelos de lo que constituye un comportamiento normal y señalar automáticamente cualquier cosa inusual o anómala que pueda ser un signo de actividad maliciosa.
- Entrevista a Darío Ferreira, Líder de Ventas para la región Sur de Thermo King
- Pruebas de Penetración y Análisis de Vulnerabilidades: Fortalece la seguridad de tu empresa
- Activo Digital: Guía completa para comprender su significado, tipos y ejemplos
- Que es un DRP: El Plan de Recuperación ante Desastres (DRP)
- Ejemplos de Business Intelligence: Cómo tomar decisiones estratégicas con datos
Verifique los artículos intercambiados
No basta con saber que dos dispositivos o nodos se comunican entre sí. También es necesario un análisis de la naturaleza de la comunicación. Iniciar un escaneo a computadoras cercanas desde un dispositivo comprometido puede indicar un movimiento lateral malicioso. Es posible que se esté enviando un documento privado a otro dispositivo y que ese dispositivo pueda filtrar esa información.
Quizás una computadora portátil que normalmente no se conecta a Internet esté descargando algo y de repente envíe 3 GB de información financiera a una dirección IP en China.
Le resultará más fácil detener la actividad maliciosa si sabe si el formato de la comunicación y los datos que se transfieren son apropiados para el dispositivo que los envía.
Anomalías que se comportan maliciosamente
Es útil saber cuándo algunos movimientos laterales son anormales o raros en comparación con las líneas de base fijas. Para identificar las amenazas presentes en su red, primero debe hacer esto. Sin embargo, existe un inconveniente al confiar únicamente en la detección de anomalías: no todas las anomalías son maliciosas. En realidad, la mayoría no lo es.
El análisis impulsado por IA antes mencionado puede distinguir entre anomalías maliciosas y benignas, eliminando virtualmente los falsos positivos y concentrando los esfuerzos de los equipos de seguridad en el movimiento lateral que plantea el mayor riesgo potencial. Esto se logra incluyendo datos sobre comportamientos maliciosos conocidos.
En resumen, es fundamental gestionar su estrategia de seguridad basándose en la noción de que el perímetro está desapareciendo. Ahora que la red se ha ampliado, la seguridad de la red requiere rastrear y examinar el movimiento lateral.
Y la IA es la mejor herramienta para esto porque puede acelerar el análisis inicial de la actividad de la red, eliminar lo que es normal y concentrar los esfuerzos de reparación e investigación en amenazas de alto riesgo al centrarse en el comportamiento malicioso. Anteponer el riesgo a un gasto costoso y perjudicial.
