Cómo mitigar el riesgo en una red plana: el paraíso de un atacante

Este artículo fue publicado originalmente en Forbes.com.

Las redes planas se han vuelto tan frecuentes porque suelen ser simples de diseñar, baratas de construir y fáciles de operar y mantener. Sin embargo, resulta que a los actores maliciosos también les encantan las redes planas. Esto se debe a que una vez que un solo host en una red plana se ha visto comprometido, la integridad del resto de la red comienza a parecerse a un caserón de naipes. Una vez que se penetra en una empresa, la red plana proporciona a los huéspedes no invitados y no bienvenidos acceso a la red sin trabas para escanear, identificar y apuntar a activos de alto valor. Desafortunadamente, muchas organizaciones no logran mitigar o incluso reconocer completamente estos riesgos.

Los riesgos de seguridad de una red plana

Las organizaciones tienden a centrarse principalmente en asegurar las defensas perimetrales de su red. No obstante, las inversiones en seguridad perimetral sólo pueden hacer tanto. De acuerdo con el Informe 2018 de violación de datos de Verizon, hubo 2,216 infracciones confirmadas el año pasado. El informe encuentra que 73% de esas brechas fueron perpetradas por actores externos. El hackeo y el malware siguen siendo frecuentes.

Estas estadísticas subrayan que a pesar de nuestros mejores esfuerzos para asegurar el perímetro con “muros” cada vez más fuertes y más altos, esas medidas no mantienen fuera a los malos actores que son tenaces y tienen la capacidad y los recursos completos para ingresar a una red. Se requiere una nueva mentalidad. Tienes que”asumir una violación”, lo que requiere liderazgo asumiendo que las defensas de su red se verán comprometidas. Además, si tiene una red plana, los actores malintencionados pueden usar un único sistema o dispositivo comprometido, la cabeza de playa, como plataforma de lanzamiento para moverse lateralmente a través de su red en ruta hacia sus activos más valiosos.

En una red plana, su política predeterminada es permitir que todos los dispositivos y aplicaciones se comuniquen entre sí, lo que dificulta que la seguridad determine qué conexiones y flujos de datos son legítimos. Por ejemplo, una computadora portátil emitida por la oficina puede conectarse y “hablar” con los servidores de impresión de la compañía para que pueda imprimir rápida y fácilmente un documento; ese tipo de conexión es plana. Su teléfono IP de escritorio puede estar en la misma red plana, pero ¿tiene sentido que ese teléfono IP se comunique con esos servidores de impresión? Los sistemas de seguridad luchan por detectar si dicho tráfico y conexiones son anómalos y podrían ser indicadores de una brecha.

Las redes planas también hacen que sea más fácil permanecer oculto a medida que los atacantes intentan atravesar silenciosamente la red. Este período de tiempo, conocido como tiempo de permanencia, promedia 101 días globalmente. Y no tenemos que mirar hacia atrás demasiado para encontrar ataques de alto perfil en los que los hackers no fueron detectados durante mucho más tiempo — hasta varios años.

Las amenazas también pueden venir del interior

Las redes planas también actúan como un campo de juego potencial para (posibles) personas con información privilegiada maliciosa. Lo primero que una persona privilegiada intentaría hacer es reunir más credenciales o usar sus permisos elevados existentes para acceder a sistemas que están fuera del ámbito de sus funciones. La autenticación de dos factores (2FA) o la autenticación multifactor (MFA) son respuestas sólidas para abordar las credenciales robadas en manos de los usuarios.

Sin embargo, los dispositivos móviles y de máquina a máquina (M2M) son dos razones principales por las que el tráfico de datos es en ascenso dentro de su red y de cualquier otra red. Más sistemas de negocios necesitan interactuar entre sí, y este tipo de tráfico requiere autenticación, que no se puede resolver simplemente con 2FA o MFA. Este problema existe en una variedad de dispositivos conectados y pone en riesgo activos críticos como repositorios de datos de clientes y sistemas de pago.

Cómo mitigar el riesgo en una red plana

Como mencioné anteriormente, es necesario comenzar con una mentalidad de “asumir incumplimiento”. Tarde o temprano, hasta las mejores defensas perimetrales serán violadas. Esta mentalidad le permite pensar como un atacante y le permite al CISO hacer preguntas pertinentes, tales como:

• ¿Cuáles son nuestros activos de alto valor a los que un atacante va a tratar de navegar una vez que se afiance en nuestra red?
• ¿Qué tenemos para evitar la libre circulación y persistencia de un atacante dentro de nuestra red plana?

Si la respuesta es “nada” o, tal vez igual de malo, “un puñado de firewalls y VLAN”, entonces el CISO sabe que necesitan impulsar acciones para reducir ese riesgo.

1. Identifique sus activos más importantes: Si bien puede parecer obvio, la clasificación de sus activos de alto valor puede ser diferente dependiendo de a quién le pregunte. Por eso es importante reunir a las partes interesadas clave (es decir, su CISO más equipos legales y financieros, etc.) para mapear el riesgo de los activos y aplicaciones dentro de la infraestructura de la empresa. Una buena manera de hacerlo es aprovechar el Marco de Ciberseguridad del NIST (CSF).
2. Determinar la mejor protección o control: Existen muchas capas para proteger una aplicación de la joya de la corona, que incluyen administración de identidad y acceso (IAM), administración de vulnerabilidades y segmentación. La segmentación es un control que encaja en el NIST CSF: asegura que solo se pueda acceder a las aplicaciones desde dispositivos autorizados y que esos dispositivos solo tengan acceso a procesos específicos del negocio en las aplicaciones críticas.
3. Identificar posibles soluciones: La determinación de un conjunto de soluciones comienza por identificar a las partes interesadas clave (por ejemplo, ingeniería de seguridad, ingeniería de redes y equipos de aplicaciones, etc.) para analizar las soluciones que están disponibles en el mercado. Recomiendo encarecidamente que analicen diferentes enfoques de segmentación de diferentes proveedores y tengan en cuenta que La segmentación es un mercado emergente.

La net-net es que la popularidad de las redes planas está aumentando, y desafortunadamente, también lo están los apetitos de los atacantes maliciosos. Esto hace que sea una mezcla peligrosa. Reconocer los riesgos de las redes planas es el primer paso. Cambiar a una mentalidad de “asumir una violación” inicia el proceso de mitigar ese riesgo. Por último, pero no menos importante, implementar una estrategia de confianza cero, basada en la suposición de que ya te han violado pero aún no lo sabes, ayuda a garantizar que las organizaciones con redes planas no terminen convirtiéndose en parques infantiles de los atacantes.