La seguridad sin perímetro
Por Stuart Burns
La seguridad sin perímetro ofrece una forma de proteger cada punto de conectividad y cada dispositivo, en lugar de depender de la protección del perímetro.
Es bien sabido que la mayoría de las redes informáticas tienen un exterior duro, pero en realidad son débiles por dentro. Los cortafuegos y los dispositivos anti-intrusión constituyen una capa dura, pero la seguridad no es tan rigurosa como tal vez debería ser. Los administradores a menudo piensan – incorrectamente – que la infraestructura interna es más confiable.
En realidad, una vez que un atacante supera el duro exterior de la red, ya sea a través de un ataque de phishing o explotando una vulnerabilidad conocida en la infraestructura externa, la capacidad de robar datos se vuelve mucho más fácil. Esto se debe a que la mayoría de las empresas suelen asignar hasta el 80% de su presupuesto de seguridad de TI a la seguridad de entrada y salida del perímetro (conocida como red norte-sur) en lugar de hacerlo lateralmente (este-oeste) a través de la red interna.
Las empresas y los administradores a menudo confían en un perímetro muy endurecido para reducir la carga de trabajo que supone tener que parchear los servidores internos: la aplicación de parches en el servidor consume ciclos de trabajo, y algunos administradores de TI piensan que la aportación de la aplicación de parches aporta poco en relación al considerable tiempo que requiere.
Entorno cambiante
El riesgo se ve agravado por el hecho de que la administración centralizada, que tan bien ha funcionado en el pasado, tiene una capacidad limitada para adaptarse al mundo hiper móvil de hoy y a los retos que esto conlleva. El cambio en las prácticas comerciales y la explosión de contratistas externos e independientes a corto plazo, que utilizan sus propios dispositivos, como tabletas, computadoras portátiles y teléfonos inteligentes, todos con diferentes sistemas operativos y masas de configuraciones diferentes, plantean un desafío administrativo.
Sólo se necesita una debilidad en un cliente para que todo el sistema se abra de par en par en una infraestructura de gestión centralizada.
Aunque es posible que un dispositivo en particular no esté totalmente parcheado, no siempre es posible instalar un cliente de red privada virtual (VPN) y bloquear las configuraciones en los dispositivos personales de los usuarios. Además de la seguridad en torno a los dispositivos, una parte sustancial de la infraestructura se basa ahora en el apoyo a las aplicaciones en la nube.
También hay mucho que decir sobre la infraestructura de la nube, que ha cambiado la forma en que los usuarios consumen los datos, especialmente cuando se añaden proveedores de múltiples nubes a la mezcla. Pero la antigua forma de utilizar una VPN para acceder a una red corporativa y luego saltar a un servicio en la nube en Internet, hace lenta la experiencia del usuario, además de aumentar el uso de ancho de banda y el costo. Tiene más sentido que el usuario vaya directamente al servicio de nube de destino en lugar de hacerlo a través de una VPN o red corporativa.
Seguridad sin perímetro
Una respuesta a este enigma es la seguridad sin perímetro, que tiene como objetivo abordar las deficiencias de las VPN al tiempo que permite la movilidad y el acceso a los servicios en la nube. Se trata de garantizar la integridad y la seguridad, a la vez que se permite a la empresa hacer negocios. En pocas palabras, se trata de un paradigma totalmente nuevo que gira en torno a la seguridad en cada punto de conectividad y en cada dispositivo, en lugar de basarse en el perímetro. Google ha sido líder en este campo, asumiendo los riesgos y recompensas asociados.
La seguridad sin perímetro se refiere al usuario y a su identidad, no a la tecnología. Poner al usuario en el centro del establecimiento de la seguridad es la piedra angular de la seguridad sin perímetro. Ser capaz de identificar y autenticar verdaderamente a un usuario bajo demanda es el primer paso en el viaje sin perímetro, y esto requiere un replanteamiento con respecto a las contraseñas.
Los métodos de autenticación heredados, como el inicio de sesión con una única contraseña en la red corporativa, están sujetos a robo por phishing o por incidentes de infracción. Con frecuencia, los usuarios vuelven a utilizar las mismas contraseñas, lo que va en contra de las medidas de seguridad que la TI establece. Esto significa que se necesitan más medidas de seguridad para asegurarse de que el usuario que inicia sesión es realmente quien dice ser.
La adopción de la autenticación de dos factores (2FA) es un primer paso para retirar el concepto de contraseña única y el incumplimiento de responsabilidades. También es el primer paso en el camino de la seguridad de la red sin perímetro.
Google informó recientemente que una vez que introdujo un dispositivo 2FA para complementar su proceso de inicio de sesión, el éxito de los ataques de phishing cayó a cero. Si lo ponemos en contexto, esto es algo inaudito en las grandes empresas, donde son frecuentes los ataques sostenidos.
Los tokens de hardware como los de Yubikey y otros fabricantes de tokens de hardware 2FA proporcionan la capacidad para que el usuario pueda probar sin lugar a dudas quiénes son. Muchos de los principales proveedores de plataformas como servicio (PaaS), como Workforce, Microsoft Office 365 y Google for Business, ofrecen compatibilidad nativa con los equipos tokens de identidad.
Más allá de la autenticación de dos factores, también es una buena práctica registrarlo todo. Los registros son la clave para poder entender lo que está sucediendo en la red en cualquier momento.
Políticas de hardware
También es importante diferenciar entre los dispositivos propiedad de la empresa y los dispositivos que traen consigo las personas (BYOD), ya que deben ser tratados adecuadamente, dependiendo de la categoría a la que pertenezcan. Las políticas de administración y control aplicadas a los dispositivos suministrados por la empresa y a los dispositivos personales deben ser diferentes.
La verificación del usuario es un primer paso importante, pero igualmente importante es la integridad del dispositivo local. Los perfiles de gestión permiten garantizar la limpieza del dispositivo. La aplicación de modernos escáneres de virus, anti-malware y niveles mínimos de software ayudan a asegurar que el dispositivo tenga menos probabilidades de verse comprometido.
Estas políticas de administración también deben garantizar que el cifrado completo del disco esté habilitado en el dispositivo y que sólo se instalen las aplicaciones aprobadas. Los dispositivos desconocidos y no autorizados presentan un riesgo grave en cualquier entorno, y la infraestructura debe tener la capacidad de reconocer estos problemas y reaccionar ante ellos. Junto con los sistemas inteligentes, una configuración de seguridad de red sin perímetro puede reaccionar mucho más rápido que los administradores tradicionales y ayudar a bloquear la pérdida de datos y los dispositivos cuestionables en la infraestructura.
Infraestructura de administración inteligente
En su relativa infancia, la detección de anomalías es lo que hace posible todo el escenario de seguridad sin perímetro. Por ejemplo, un usuario basado en Manchester que de repente comienza a iniciar sesión desde Nebraska podría ser marcado en un sistema como «comportamiento anómalo» y sería calificado como poco fiable.
Con el tiempo, estos sistemas pueden establecer un «patrón de vida» asociado con el dispositivo y el usuario. Cuantos más datos tenga un sistema de gestión de este tipo, mejor será la toma de decisiones. Estos sistemas aprenden un comportamiento normal, por lo que cualquier variación de lo que se considera normal puede activar las señales de advertencia. El sistema de detección de anomalías prueba varios criterios para determinar la fiabilidad del dispositivo y del usuario. Esta puntuación de confiabilidad se utiliza para conceder o denegar el acceso a un recurso de red en particular.
Esta columna vertebral es lo que la mayoría de la gente reconocería como seguridad sin perímetro, y el comportamiento basado en derechos y en dispositivos puede afectarla. Las decisiones de seguridad se basan en varias variables, como la fiabilidad, la ubicación, la reputación y el historial de la red de origen. Un ejemplo simple de esto es que mientras que el acceso a la infraestructura de bajo nivel puede ser confiado desde una red semipública, el acceso a la infraestructura interna sensible que contiene información personal identificable o datos sensibles, no sería permitido.
Otros ejemplos de cómo la seguridad sin perímetro puede afectar a la seguridad de forma positiva son la reputación de las redes externas, por lo que la actividad de la red para realizar inicios de sesión desde una granja de servidores en una instalación de colocación, por ejemplo, debería hacer sonar las alarmas ya que un usuario común normalmente no se conectaría desde un centro de datos.
Se trata de los pequeños detalles que conforman el panorama general.
Planificación y ejecución
En resumen, la seguridad sin perímetro puede funcionar bien, pero necesita ser planificada y ejecutada de manera controlada y específica. No se trata de una reducción de costos, sino de una modernización de la postura que las empresas y los usuarios han adoptado como predeterminada en el pasado.
La confianza lo es todo, y confiar en una sola prueba no es realmente una solución efectiva, especialmente con cuentas de privilegio como una cuenta de administrador. En el antiguo estilo de red, una contraseña perdida, usada en un terminal interno, podría poner toda la infraestructura completamente abierta. Esto es menos probable en el caso de las empresas conscientes de la seguridad, pero sigue siendo un gran riesgo en aquellas en las que la TI todavía no ha alcanzado la realidad de la seguridad de la infraestructura en un mundo conectado a Internet.
Pero las tecnologías que soportan la seguridad sin perímetro no son gratuitas y requieren una cantidad significativa de formación y configuración con antelación para su correcta implementación. También requerirá un nivel significativo de aceptación por parte de la dirección en términos de apoyo y compromiso financiero. Sin embargo, una vez implantada, la gestión de la seguridad de TI debería resultar mucho más fácil.
Hay muchos proveedores en esta área en rápida expansión, pero todos mantienen como tema central a los principales inquilinos de la seguridad sin perímetro. Investigue, haga preguntas, pero recuerde que la seguridad física es sólo una pieza del rompecabezas: la seguridad de la red sin perímetro no exime a nadie de los fundamentos de una buena higiene de los datos y la seguridad.
En Latix Network Solutions le ayudaremos a tomar conciencia de su nivel de ciberseguridad y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitorización que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
Fuente: Computer Weekly