Por qué los firewalls no son suficientes para la contención del ransomware
No hace mucho, los administradores de redes y los profesionales de seguridad dependían exclusivamente de firewalls físicos o virtuales para contener las brechas de seguridad. Pero con la proliferación de redes, el auge de la nube y una explosión de ransomware y otros ataques, las organizaciones necesitan un nuevo enfoque.
Lo que las empresas necesitan hoy en día es una manera rentable y fácil de administrar para hacer cumplir microsegmentación. En otras palabras, necesitan un método para aislar las máquinas, redes y aplicaciones comprometidas para que no puedan propagar ransomware en todo el entorno de TI de la organización.
La segmentación basada en host señala el camino a seguir gracias a la posible facilidad de uso, escalabilidad y asequibilidad. He aquí por qué.
Tres opciones para la segmentación
La segmentación se divide en tres grandes categorías:
- Segmentación a través de la red
- Segmentación mediante firewalls
- Segmentación basada en host
Los administradores de red solían depender de la arquitectura de redes para ayudar a proteger los datos. Aislaron aplicaciones y cargas de trabajo dentro de las redes para evitar que compartan datos. De esta manera, cualquier máquina comprometida no podría interferir con máquinas o cargas de trabajo en redes separadas. Las redes virtuales y las LAN virtuales sirvieron para esta función, así como las redes físicas.
Por ejemplo, los administradores podrían colocar los sistemas financieros en una red virtual y los sistemas de recursos humanos en una red diferente, impidiéndoles hablar entre ellos.
Puede pensar en este enfoque como similar a las vías del tren; los datos solo pueden ir adonde va la red. Y es eficaz, pero no brinda mucha flexibilidad a su entorno, ya que dificulta que las cargas de trabajo compartan datos.
La conexión de redes virtuales es donde entra el firewall. Aquí, las complicaciones surgen rápidamente ya que los administradores deben averiguar qué puertos necesitan permanecer abiertos, qué información debe pasar a qué otros activos y qué reglas deben cambiar en respuesta a las nuevas amenazas.
Aún así, el enfoque de segmentación de firewall persiste como el principal método de segmentación para las grandes organizaciones. Para usarlos, los administradores crean grupos y definen reglas de lista tanto “permitir” como “denegar” para controlar la comunicación entre esos grupos. Las reglas se pueden aplicar a través de firewalls de hipervisor físicos, virtuales o distribuidos.
El firewall actúa como el control de pasaportes. Después de identificar usuarios, máquinas y redes, los deja pasar o los bloquea dependiendo de lo que ellos o la organización quieran hacer.
El enfoque de firewall sigue siendo común porque las organizaciones generalmente han construido inversiones significativas en firewall a lo largo del tiempo que desean aprovechar en respuesta a nuevos ataques. Sus equipos también saben cómo administrarlos y no quieren agregar más productos y costos a sus carteras de TI.
Sin embargo, la naturaleza de los entornos de TI y el panorama de amenazas actuales se ha adelantado a las capacidades de segmentación de los firewalls tradicionales. Es por eso que las empresas ahora necesitan la escala, la velocidad y el performance de la segmentación basada en host.
Con la segmentación basada en host, los administradores crean etiquetas simples para cada carga de trabajo y desarrollan reglas para la comunicación entre combinaciones de etiquetas. Este enfoque puede ser más rentable y proporcionar una mejor seguridad que los firewalls por sí solos. Eso se debe a que los firewalls vienen con muchas limitaciones.
El problema con los firewalls
Cortafuegos enfrentan varias limitaciones críticas:
- Falta de visibilidad
- Velocidad más lenta
- Incapacidad para implementar el cercado de anillo de aplicaciones
- Complejidad
- Falta de granularidad
- Costo
- Vulnerabilidad al ransomware
El lento tiempo de implementación de un firewall es crítico en una era de cargas de trabajo en expansión y amenazas correspondientes.
Un firewall grande puede depender de una lista de 1,000 o más reglas. Si desea cambiar uno de esos, debe asegurarse de que el cambio no afecte ninguna de las reglas más abajo en la lista. Y no puedes probar esa regla cambiada; simplemente tienes que implementarla y esperar que algo no se rompa. Todo lo cual lleva tiempo. Tiempo durante el cual las vulnerabilidades pueden proliferar y propagarse el ransomware.
Dada la complejidad y el tiempo que implica, no es de extrañar que uno estimación sitúa el número de brechas de firewall debidas a errores de configuración del firewall en 99%.
En contraste, la segmentación basada en host puede tomar mucho menos tiempo y elimina la complejidad del proceso de reescritura de reglas. Se basa en la visibilidad.
Cómo funciona la segmentación basada en host
En lugar de tener que reescribir listas de reglas durante un ataque de ransomware, la segmentación basada en la carga de trabajo proporciona funciones proactivas y reactivas para ayudar a los equipos a mantenerse al tanto de las amenazas.
La segmentación basada en host permite que los equipos de seguridad y TI vean todos los flujos de comunicación e identifiquen el riesgo.
Illumio proporciona un mapa de dependencia de aplicaciones de conexiones entre redes, máquinas y cargas de trabajo. Los usuarios pueden simplemente hacer clic en un enlace en el mapa para probar y luego aplicar una regla inmediatamente en todo el entorno.
A partir de ahí, las organizaciones pueden bloquear rápida y fácilmente rutas de acceso innecesarias y puertos de alto riesgo o tomar otras medidas proactivas para segmentar el tráfico con el fin de limitar el movimiento lateral de malware o atacantes.
Cuando todo lo demás falla, la segmentación funciona como un gran botón rojo de emergencia. Golpearlo puede bloquear instantáneamente la propagación del ransomware a través de cargas de trabajo vulnerables.
Microsegmentación con Illumio
La nube presenta desafíos adicionales a los firewalls tradicionales. Mover servicios a la nube también mueve su puerta de enlace de Internet a la nube, por lo que ya no es dueño de ella. Y ese firewall que estaba haciendo su segmentación va con él, requiriendo que de todos modos se le presente una solución diferente para esa función. Illumio puede ser esa solución.
Illumio trabaja con firewalls basados en host existentes para proporcionar visibilidad y protección en tiempo real para todo su entorno de TI, ya sea en la nube, en las instalaciones o en configuraciones híbridas. También proporciona escalabilidad; funciona de la misma manera si tiene dos servidores o 200,000.
Por supuesto, los entornos complejos pueden volverse difíciles de visualizar rápidamente; es difícil ver lo que está pasando en algo que parece un gran cuenco de espagueti. Es por eso que Illumio divide la visualización en mapas fáciles de entender. Por ejemplo, puede mostrar activos por geografía o servicio en la nube.
¿Quiere ver qué sucede con sus datos en los EE. UU.? ¿Qué está pasando en Europa? ¿O en AWS, Azure o Google? ¿Qué tal esa comunicación sospechosa entre un servidor en Australia y un termostato de pecera en Alemania?
Illumio facilita la visualización de todo porque recupera esa información del proceso real en la carga de trabajo. A partir de ahí, le permite usar la carga de trabajo misma para realizar segmentación, en lugar de un firewall externo, lo que le brinda la velocidad, flexibilidad y capacidad de respuesta que necesita para enfrentar las amenazas actuales, dondequiera que aparezcan.
Cálculo de costos para firewalls frente a segmentación basada en host
El costo de los firewalls se suma rápidamente. El precio del firewall depende del tamaño, que depende de factores como los siguientes.
- Rendimiento: es decir, la suma de interfaces Ethernet que se van a abordar.
- Se requieren núcleos de procesador para ejecutar firewalls virtuales, que por lo general consumen alrededor del 25% de los recursos de un servidor.
- Número de sockets: determina cuántas cargas de trabajo puede soportar el servidor.
Cuanto mayor sea el rendimiento, más núcleos necesitará, lo que significa que necesita más sockets y un servidor más costoso. Esos costos pueden sumarse rápidamente.
Estos cálculos del costo total de propiedad incluyen el costo de los productos, el número de cambios que normalmente se necesitan en una semana, el costo de las personas que implementan los cambios y otros factores.
El futuro de la segmentación
Illumio abstrae capas de complejidad, haciendo que sea lo más sencillo posible para los administradores segmentar activos de manera proactiva o en respuesta directa a las amenazas, sin preocuparse por cómo configurar sus redes.
Es lo que requieren los entornos de TI actuales. Al igual que segmentación de red por sí sola dio paso a los firewalls, la segmentación basada en la carga de trabajo es el siguiente paso tecnológico necesario para construir sobre lo que ha pasado antes.
En la era de las cargas de trabajo en la nube y las amenazas en expansión, lo que se necesita ahora es visibilidad y segmentación basada en cargas de trabajo. Todo es para proporcionar el Cero Confianza enfoque de seguridad que es vital para las empresas de hoy.
La microsegmentación basada en cargas de trabajo también libera a los profesionales de TI tareas más productivas que reescribir laboriosamente las reglas de firewall. Y eso puede dar a las empresas una ventaja competitiva crucial en un mercado laboral apretado donde deben someterse a la transformación digital a una velocidad vertiginosa para mantenerse al día.
Obtenga más información sobre el beneficios de la microsegmentación o conversar con nuestros expertos acerca de cómo puede ayudar a proteger a su organización contra ransomware y otros ataques cibernéticos.