Seguridad de la red

Por qué es importante la seguridad de la red

Los sistemas y redes computacionales tienden a ser heterogéneos en la constitución lo que significa que vienen en diferentes formas, utilizan diferentes medios de comunicación, y están disponibles de diferentes proveedores. Estos proveedores pueden especializarse en uno o más aspectos, como servicios, hardware, software, cableado o inalámbrico. En consecuencia, los sistemas informáticos y de red deben cumplir con ciertos estándares y protocolos de interoperabilidad especialmente la interoperabilidad de Internet. Un problema fundamental es que algunos de los estándares y protocolos centrales que se utilizan hoy en día se desarrollaron en un momento en que los sistemas y redes informáticas estaban en su infancia y la seguridad de las redes no era una consideración crucial.
 
Con el paso del tiempo, la adopción de la informática se generalizó y pasó del ámbito principalmente de los gobiernos y las grandes organizaciones al nivel del consumidor, rápidamente mejorado por la introducción de la computadora personal. Alrededor de la misma época las organizaciones también comenzaron a almacenar y transportar datos más sensibles utilizando sistemas y redes informáticas. Entonces quedó claro que la seguridad de la red iba a ser un elemento central en el uso y mantenimiento de las redes de computadoras.
 
Otro problema se deriva del diseño de la red. Tradicionalmente, la mayoría de las redes se diseñaban como diseños planos en términos de comunicación y así cualquier computadora podía comunicarse con cualquier otra computadora. Había muy poca segmentación efectiva y, de hecho, protocolos como el Dynamic Host Configuration Protocol (DHCP) y las redes de Windows en general funcionan más fácilmente en este tipo de diseños de red. No obstante, en términos de seguridad, esto dista mucho de ser ideal ya que un ataque o infección es capaz de propagarse fácilmente a través de la red — el problema del movimiento lateral.

Dónde comenzar con la seguridad de la red

La seguridad de la red es mucho más que la simple implementación de herramientas y tecnologías. Como punto de partida, algunas consideraciones de importancia deben ser que se pongan en marcha las estrategias, políticas y procedimientos adecuados antes de seleccionar diligentemente cualquier tecnología correspondiente para facilitar y automatizar las estrategias, políticas y procedimientos. Una buena manera de ver esto como punto de partida será la siguiente:

1. Políticas y Cumplimiento de Normas
2. Conocimiento de la Red
3. Capacitación: conocimiento técnico y del usuario
4. Herramientas y Tecnología

‍

Un bien definido política de seguridad que prescribe el uso de sistemas y recursos computacionales es un buen punto de partida. Idealmente, esta política debería estar en línea con cualquier obligación de cumplimiento que deba cumplirse. Luego, debe estar disponible una línea base precisa de la red y los sistemas de red para que se conozca lo que es normal para la red, incluidos los activos, los dispositivos, los derechos de acceso de los usuarios y el mapeo de comunicaciones.
 
Se debe llevar a cabo una capacitación adecuada y oportuna tanto para los administradores técnicos como para los usuarios finales de manera que se eliminen las vulnerabilidades de configuración y del lado del usuario final. Y finalmente, todo esto debe estar apuntalado por las herramientas y tecnologías adecuadas con capacidades de automatización y orquestación donde sea necesario. Estos conceptos se elaboran más adelante en este artículo.

Amenazas a la seguridad de la red

Hoy en día, la seguridad de la red es una parte integral de la estrategia cibernética de muchas organizaciones, especialmente para aquellas donde el cumplimiento de ciertos estándares regulatorios y de seguridad es obligatorio. Es importante porque las amenazas cibernéticas han crecido en sofisticación y eficiencia a lo largo de los años al igual que la importancia y el valor de los datos han crecido. Cualquier combinación de actores de amenazas puede representar una amenaza para la seguridad de la red:

• Hackers
• Buscadores de rescate
• Estados nacionales
• Ciberespionaje
• Crimen Organizado
• Hacktivistas
• Insiders (maliciosos y accidentales)
• Guión Kiddies

Las amenazas de seguridad de red correspondientes también pueden venir en cualquier combinación de lo siguiente:

• Ingeniería Social
• Malware (Mercación)
• Amenazas persistentes avanzadas (APT)
• Exploits
• Denegación de servicio (DOS y DDOS)
• Ataques de canal lateral
• Intrusión física
• Daño criminal

Estos desafíos de seguridad de red parecen crecer cada vez más a medida que los usuarios y las organizaciones continúan haciendo y esperando más y más del ámbito cibernético en las actividades diarias del trabajo, el juego, los servicios de entretenimiento y el comercio.

Protecciones de seguridad de red

En respuesta al problema de la seguridad de la red, ha habido una plétora de tecnologías que intentan proporcionar diversas soluciones especialmente con la actual expansión en el uso de Internet y la computación en la nube. Esto conduce entonces a una pregunta importante que continúa perdura en la mente de quienes tienen la tarea de garantizar la seguridad de la red.

¿Estamos debidamente protegidos?

Para ser respondida de manera efectiva, esta pregunta requiere una evaluación continua de la postura de seguridad de la red para ubicaciones de redes y usuarios locales, en la nube y remotos.

1. Políticas y Cumplimiento de Normas
   Las políticas y el cumplimiento de normas comprenden las estrategias y tácticas que definen cómo la organización debe lidiar con la seguridad de la red y pueden medir el cumplimiento de normas. En este caso, lo más probable es que las políticas se adapten a una organización en particular de acuerdo con varias directivas de cumplimiento, pero las directivas de cumplimiento en sí mismas tienden a ser independientes de la organización, pero es probable que sean específicas de la industria o vertical.
2. Conocimiento del Medio Ambiente
   La seguridad de la red involucra diferentes partes y componentes de una red de computadoras. Derivado de ello, el primer y más importante punto de importancia es conocer cuáles son estas partes y componentes y dónde se ubican. Un inventario actualizado del estado actual de su red será de gran ayuda para llegar a un juicio útil sobre dónde se encuentra la organización en su régimen de protección. No hace falta decir que realmente no puedes proteger lo que no sabes. La seguridad de la red se ve agravada aún más por la velocidad y la agilidad que están disponibles con la computación móvil y las nubes públicas. Estas tecnologías han ampliado aún más el perímetro de la red tradicional, por lo que la seguridad de la red ya no se concentra en el perímetro de la red tradicional. Para ello, también es muy importante la visibilidad continua. La protección efectiva debe comenzar con la capacidad de visualizar la información de dispositivos y aplicaciones y las dependencias de comunicación en tiempo real o al menos casi en tiempo real. Esto allana el camino para la base de seguridad de la red para que las anomalías se destaquen claramente de las normas establecidas y esperadas.
3. Capacitación: conocimiento técnico y del usuario
   La capacitación debe centrarse tanto en los administradores técnicos como no técnicos y en los usuarios de la red, los sistemas de red y las aplicaciones. Algunas de las siguientes preguntas deben ser respondidas adecuadamente:
   ¿Contamos con los conocimientos técnicos necesarios para configurar y mantener nuestras tecnologías de seguridad ahora así como para el futuro?
   ¿Están nuestros usuarios adecuadamente capacitados en concientización sobre ciberseguridad?
   ¿Nuestra gente tiene el conocimiento adecuado de detección y reporting para responder adecuadamente a un incidente y mantener el cumplimiento de normas?
   Capacitación técnica de TI para administradores de TI y seguridad y Conciencia de ciberseguridad Capacitación para todo el personal. Esto incluye la capacitación práctica de los administradores de TI sobre el uso de los sistemas de seguridad adquiridos.
4. Tecnología
   La pieza final es entonces asegurar que se coloquen las herramientas y tecnologías adecuadas para proteger adecuadamente contra las amenazas a la seguridad de la red, tanto conocidas como desconocidas. La tecnología debe estar implementada para prevenir incidentes de seguridad de la red y contener incidentes de seguridad de la red. A pesar de ello, es imposible garantizar una protección completa todo el tiempo por lo que también debe haber capacidades de detección y respuesta adecuadas para responder adecuadamente a un incidente en caso de que se produzca.

Herramientas y tecnología de seguridad de red

Estos cuatro principios rectores pueden servir como una útil guía de partida para la política de seguridad de la organización en general y la elección de las tecnologías adecuadas para ser específicas. Hay poca ventaja que se puede obtener al apilarse en nuevas tecnologías cuando se tiene poco conocimiento de lo que requiere protección o por qué se requiere la protección en primer lugar.

Seleccionar las herramientas y tecnologías adecuadas puede ser una tarea desalentadora, pero nuevamente esto debe abordarse estratégica y sistemáticamente utilizando las políticas y cumplimiento de la organización que requiere, el Conocimiento de la Red y las capacidades de Capacitación como guía. En algunos casos, algunos aspectos de estos pueden subcontratarse si la capacidad interna carece y es probable que presente una debilidad de seguridad, como habilidades o escasez de personal. Las herramientas y tecnologías pueden examinarse y seleccionarse utilizando lo siguiente como guía de inicio:

1. Seguridad perimetral
2. Seguridad de la comunicación: correo electrónico, mensajería, documentos
3. Endpoint y seguridad de dispositivos
4. Identidad y seguridad interna de la red
5. Automatización, Monitoreo Continuo y Contexto ‍

‍

1. Seguridad perimetral

Los servicios en la nube, los dispositivos móviles y la TI en la sombra han contribuido a mover el perímetro de la red más allá de una ubicación física fija. Los usuarios pueden utilizar varios dispositivos móviles para acceder a datos personales y corporativos desde diferentes ubicaciones y trabajo. Sin embargo, cuando se necesita proteger el perímetro de la red, como el caso de un centro de datos o un entorno de nube, se deben considerar las siguientes protecciones en sus equivalentes físicos o virtuales:

• Firewall (Stateful, Next Generation, compatible con API)
• Anti-Botnet y detección de actividad de botnet
• Anti-malware
• IPS — Sistema de prevención de intrusiones
• Descifrado de contenido cifrado (por ejemplo, inspección HTTPS)
• Seguridad Web: Control Web y de Aplicaciones
• Sandboxing y emulación

2. Seguridad de la comunicación: correo electrónico, mensajería, documentos

• Anti-Spam y Anti-malware
• Detección de enlaces maliciosos y antiphishing
• Prevención BEC (Business Email Compromiso) con capacidad de Inteligencia
• Seguridad de correo electrónico
• Seguridad de Mensajería
• Seguridad de documentos
• Seguridad de los sistemas de archivo físico

3. Endpoint y seguridad de dispositivos

En la mayoría de los casos, los sistemas de protección de punto final sirven como la última línea de defensa en la estrategia de seguridad de la red. Las medidas de seguridad implementadas en el endpoint, por lo tanto, necesitan tener contexto, inteligencia y toma de decisiones en tiempo real para hacer frente a amenazas conocidas y desconocidas por sofisticadas que sean. Algunas de las capacidades más útiles deben ser:

• Control de aplicaciones (lista predeterminada de denegar permitido)
• Detección y respuesta con IA
• Cifrado de disco
• Prevención de Exploit
• Firewall (capas de red y aplicaciones)
• Capacidad de análisis forense
• Seguridad de puertos y medios
• Heurística y Sandboxing
• Microsegmentación basada en host
• Administración de dispositivos móviles
• Seguridad Web del Host

4. Identidad y seguridad interna de la red

En muchos casos, las brechas comienzan con algunas credenciales comprometidas y/o vulnerabilidad en un sistema de destino. La verificación y autorización de la identidad del usuario y del dispositivo, independientemente de la ubicación, debe ser un componente clave donde el usuario solo esté permitido si se presenta la identidad correcta y también se verifica el dispositivo. Encima de eso, la autorización si no a toda la red sino al recurso específico solicitado. Un ejemplo es la autorización de paquete único (SPA). En el caso de vulnerabilidades, pueden ser inherentes al sistema o una configuración errónea por parte del usuario del sistema. La configuración incorrecta ocurre en situaciones en las que no se han seguido las mejores prácticas o se carece de conocimiento del administrador sobre el uso de la tecnología. Algunas de las protecciones bajo el alcance de Identidad y Seguridad Interna de la Red serán:

• Inventario de Activos y
• Administración de Identidad y Acceso
• Seguridad y cifrado de datos (datos en reposo, datos en movimiento y datos en uso)
• Sistema de mapeo de comunicación y contexto de host a host (Mapeo de dependencia de aplicaciones)
• NAC - Control de Acceso a la Red
• Caza de amenazas (proactiva y pasiva)
• Administración de vulnerabilidades y parches
• Seguridad Física (Tarjetas Deslizadas, Cerraduras Automáticas, Sistemas de Alarma, CCTV)

5. Automatización, Monitoreo Continuo y Contexto

Los problemas que enfrenta la ciberseguridad en la actualidad son tanto un problema con la falta de visualización con contexto como un problema de herramienta. La visibilidad, el monitoreo continuo y el comportamiento normal basado en la línea de base son clave si se quiere detectar fácilmente un comportamiento anómalo.

• Análisis (SIEM y análisis de seguridad)
• Automatización y orquestación
• Ciberseguridad Inteligencia de amenazas
• Visibilidad
  - Visualización del inventario de activos
  - Mapeo de dependencia de aplicaciones
  - Puntuación de riesgo
  - Mapeo de amenazas

Los ejemplos de características y tecnología detallados anteriormente no pretenden ser una lista exhaustiva, sino simplemente una guía para la selección de las herramientas y tecnologías adecuadas. Cuando sea posible y eficiente hacerlo, es recomendable consolidar las funcionalidades en una sola oferta. Por ejemplo, una solución de segmentación basada en host también debería ser capaz de proporcionar mapeo de dependencia de aplicaciones e integraciones de terceros en una solución de Administración de eventos e información de seguridad (SIEM) o Configuration Management Database (CMDB). Otro ejemplo es que un firewall perimetral también debería poder consolidar las capacidades de prevención de IPS, emulación de amenazas, antimalware y botnet.

Conclusión

La seguridad de la red debe ser parte de la cultura organizacional desde la sala de juntas hasta el taller, extendiéndose más allá del perímetro tradicional hasta el trabajador remoto. Los principios de arquitectura moderna como Zero Trust buscan llevar la seguridad de la red desde el perímetro heredado y los conceptos de confianza implícita a principios de verificación y autorización más dinámicos, automatizados y continuos. Es importante que estos principios no se consideren en un silo sino que se planifiquen y se implementen como un sistema de principios relacionados que involucren personas, procesos y tecnología.