Por qué siguen ocurriendo los desastres ciberéticos y cómo solucionarlos
A la vez, la ciberseguridad tanto en el sector público como en el privado ha seguido un tema consistente: prevención y detección.
¿El problema? La prevención y la detección no son suficientes. Las brechas siguen ocurriendo.
Después de años de tratar de prevenir y detectar ataques de los adversarios, y fracasar, es hora de cambiar el enfoque hacia la contención. Ya sea que Einstein realmente lo diga o no, la verdad sigue siendo exacta: La definición de locura es hacer lo mismo una y otra vez y esperar resultados diferentes.
Los métodos tradicionales de seguridad no son suficientes para luchar contra los adversarios modernos
La mayoría de los esfuerzos de los equipos de seguridad se han centrado en tratar de evitar que las amenazas ingresen al centro de datos o a la nube.
El perímetro norte-sur, el límite entre el exterior no confiable y el interior de confianza, es donde se ha colocado la mayoría de las herramientas de seguridad. Aquí es donde firewalls de próxima generación, se implementa antivirus, proxies y otras herramientas de seguridad que quieran inspeccionar todo el tráfico entrante para garantizar que no se deslice nada malo.
Sin embargo, todas las grandes brechas de seguridad de los últimos años han tenido al menos una de estas herramientas implementadas y la mayoría ha sido en cumplimiento de los requerimientos de seguridad. Sin embargo, los adversarios han ingresado con éxito a la red.
Y una vez dentro de la red, todos los adversarios tienen una cosa en común: les gusta moverse. Se extiende lateralmente, de este al oeste, moviéndose de host a host para buscar su objetivo previsto para la exfiltración de datos.
Muchas de estas brechas se han descubierto mucho después de que ingresaron a la red, a veces meses después. Aún con el cambio de la prevención a la detección, las herramientas actuales no son rivales para los adversarios modernos que son muy buenos para evitar la detección hasta después de que se haya hecho el daño.
Una vez comprometidas, la mayoría de las redes están abiertas a la propagación este-oeste
Un enfoque tradicional de ciberseguridad define todo lo que está fuera del perímetro como no confiable y todo lo que está dentro del perímetro como confiable. El resultado es que a menudo hay muy poco para evitar que los adversarios se propaguen lateralmente una vez que está dentro del núcleo de confianza.
La difusión de host a host, de aplicación a aplicación, a través de los espacios de red significa que la mayoría de las cargas de trabajo están al alcance de los adversarios que se muden rápidamente. Y los tipos de red son muy ineficaces para evitar que se propaguen entre hosts.
Los trineos de red están diseñados para evitar problemas de red, como DDoS o suplantación de imágenes ARP. Las VLAN, las subredes IP, los puntos de interconexión de enrutamiento y las redes superpuestas SDN se crearon para controlar estos problemas y permitir la ingeniería de tráfico en la red. Pero los adversarios atraviesan fácilmente estos mercados de red, ya que generalmente se propagan entre anfitriones a través de puertos que parecen tráfico legítimo.
Los dispositivos de red miran los encabezados de paquetes y bloquearán o permiarán el tráfico en función de los puertos que se encuentran en estos encabezados. Pero descubrir adversarios requiere Profundizar en la carga útil de datos de los paquetes, y esto requiere implementar firewalls entre todos los hosts en el camino de todo el tráfico este-oeste.
Esto rápidamente se vuelve costoso y un posible cuello de botella de la red, ya que cada paquete necesita ser “abierto” e inspeccionado, confiando en firmas, “sandboxes”, IA, Machine Learning u otros métodos complejos para tratar de descubrir adversarios sin ralentizar la red.
Inclusivamente cuando se prueba este enfoque, se retira rápidamente o se reduce, y no ofrece ROI en dólares presupuestarios duramente ganados. Esto deja muy poco para evitar la propagación este-oeste y los hospedadores están abiertos de par en par.
Cuando ocurre la inevitable brecha, la gente empieza a señalar con el dedo.
Las organizaciones sin Segmentación de Confianza Cero están librando una guerra que no pueden ganar
Todos los perímetros son porosos. También un límite de seguridad perimetral efectivo del 99 por ciento será violado finalmente. Una brecha de seguridad entrará desde el interior, ya sea accidental o intencionalmente.
Quienes todavía están tratando de implementar herramientas de seguridad aún más caras en el perímetro —y que siguen confiando en que sus anfitriones no están propagando ningún tipo de amenazas este-oeste a través de su red— se encuentran en las noticias al día siguiente como la última víctima de un ataque directo.
Cualquiera que ignore la implementación de seguridad en toda su estructura este-oeste librará una batalla perdida.
La microsegmentación es una parte importante de un Arquitectura Cero Confianza en el que cada recurso es un límite de confianza, desacoplado de los límites de la red.
Illumino protege los vectores de amenaza este-oeste dentro del centro de datos y la nube a gran escala.
Cada una de las cargas de trabajo se microsegmenta de todas las demás cargas de trabajo, lo que imprime un modelo de acceso de prerrogativas mínimo entre ellas, con hosts que se encuentran en un modelo basado en metadatos y en sus direcciones de red. Esto significa que las cargas de trabajo implementadas en los hosts se conectan a través de su función y no de su ubicación, lo que permite una visualización clara del comportamiento de la red entre hosts.
Más información sobre la microsegmentación aqui.
Conquier visibilidad de cómo las aplicaciones están hablando en su red
La visibilidad del tráfico de red entre aplicaciones, desde una perspectiva que se centre en las aplicaciones, es un desafío al usar dispositivos de red, ya sea dispositivos físicos en un centro de datos o dispositivos virtuales en una nube pública.
Esto se debe a que la visualización del comportamiento de las aplicaciones y las dependencias de switches, routers, firewalls o herramientas de monitoreo generalmente requiere traducir el comportamiento de la red en comportamiento de las aplicaciones y descubrir “quién está haciendo qué a quién” entre las aplicaciones y los hosts. A menudo, esto rápidamente vuelve a ser más confuso que revelador.
Visualizar cómo las aplicaciones se conectan entre sí a través de una red requiere una solución implementada directamente en los hosts en los que reside esas aplicaciones.
La ilusión permite una muy clara y precisa mapa de dependencia entre todas las aplicaciones de su data center y la nube. Los hosts se agrupan en función de los metadatos, como la función o la propiedad, y los flujos de tráfico entre todos ellos se muestran claramente.
Esto permite que se devengas muy rápidos de violaciones de cumplimiento de normas y cómo los anfitriones se conectan entre sí sin tener que tocar la red o tocar la nube.
Illumino revela quién está haciendo qué a quién a gran escala en todo su entorno para hacer frente a cuantificar el riesgo entre los organizadores y mostrar qué puertos riesgosos están en riesgo de estar en situación de riesgo.
implementar la segmentación de confianza cero de Illumino para detener el movimiento este-oeste de los adversarios
El modelo de seguridad de prevención está desactualizado y el modelo de seguridad de detección nunca es lo suficientemente rápido como para evitar la propagación lateral.
El modelo de seguridad moderno necesita asumir que una brecha se produjo o ya ha pasado. Esta mentalidad no se conforma en tratar de preservar la salud de un anfitrión comprometido, sino que aísla rápidamente a los adversarios y evita que se propaguen, todo sin necesidad de entender exactamente quién es el adversario.
Los vectores de amenaza este-oeste se pueden aplicar y ver utilizando la solución de Illumio para la seguridad en las aplicaciones desde la perspectiva de la aplicación.
Ya sea que la violación provenga de un adversario patrocinado por el estado o de una banda criminal, esa amenaza está aislada y se evita que se propague.
La locura debe —y puede— ser detenida.
¿Quieres saber más sobre la segmentación de confianza cero de Illumio? Contáctanos hoy.