Proteger activos y usuarios de red
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir la forma de proteger los activos en la red.
- Explicar la forma de proteger el acceso de los usuarios a la red.
Proteger los activos en la red
A la hora de proteger los activos en la red, es clave permanecer atento a las amenazas, y resguardar los datos en tránsito y en reposo. Con estas directrices, es posible mantener los dispositivos y los datos seguros, así como alejar a los adversarios.
-
Identifique los activos. Como se analizó anteriormente, es necesario identificar los datos más importantes en la red para determinar las protecciones asociadas y priorizar las acciones. Los ingenieros de seguridad de red identifican las ubicaciones de almacenamiento de datos, conocen los flujos de transferencia de datos, y gestionan qué dispositivos deben y no deben tener permitido acceder a los datos de red.
-
Conozca las amenazas. Comprender quién puede pretender ver la información confidencial de una compañía, realizar cambios no autorizados en el entorno de red o incluso robar datos confidenciales es una defensa contra los ataques cibernéticos.
-
Minimice los puntos débiles. Una vez identificados los activos que es necesario proteger y las amenazas que estos enfrentan, es esencial identificar también las vulnerabilidades asociadas. Se deben evaluar las vulnerabilidades y el malware de los dispositivos antes de permitir su conexión a la red. Además, se deben aplicar parches lo antes posible a las vulnerabilidades en los sistemas, especialmente en los orientados al público. Los ingenieros de seguridad de red trabajan con los equipos de análisis de vulnerabilidad y gestión de parches para minimizar los puntos débiles de la red.
-
Proteja proactivamente la configuración de los dispositivos. Los ingenieros de seguridad de red verifican que cada dispositivo de red, como un enrutador o conmutador, cumpla con una configuración acordada para reforzar el dispositivo contra los ataques.
-
Proteja las conexiones a los dispositivos de red. Es necesario gestionar el acceso de los usuarios a los dispositivos de red mediante una autenticación sólida (por ejemplo, requerir algo que el usuario tiene y algo que el usuario sabe, como un dispositivo móvil y un PIN), en lugar de simplemente permitir el acceso con nombres de usuario y contraseñas. Esas protecciones dificultan el acceso no autorizado a los dispositivos. Además, el acceso a estos dispositivos debe ser cifrado de modo que un atacante en la red no pueda interceptar las comunicaciones. El cifrado transforma los datos en código para que las personas que no posean la clave no puedan descifrar el código ni acceder a los datos.
-
Proteja los datos en tránsito y en reposo. Además de cifrar las conexiones a los dispositivos de red, es importante cifrar los datos en reposo y en tránsito para protegerlos del acceso no autorizado. Un método para proteger los datos en tránsito, especialmente cuando la fuerza laboral es remota, implica usar una red privada virtual (VPN). Una VPN crea una conexión segura y cifrada en una red menos segura, como el Internet público.
Controlar las conexiones entrantes y salientes
Piense en el flujo de datos que entra y sale de la red como una gran autopista de información. Los controles de tráfico en una autopista física incluyen cabinas de peaje, policías de tránsito, y hasta cámaras de velocidad y helicópteros para monitoreo. Incluso puede haber controles fronterizos si la autopista atraviesa una frontera internacional.
De la misma manera, se debe monitorear y controlar el tráfico que fluye por la red. Las herramientas como los cortafuegos controlan el tráfico de red entrante y saliente en función de reglas de seguridad predeterminadas. Los cortafuegos de última generación incluso pueden filtrar tipos de datos específicos, como información de identificación personal (PII) y números de seguro social en los Estados Unidos, para evitar que se filtren de forma indebida. Es posible configurar los dispositivos para bloquear el acceso a Internet innecesario y minimizar el riesgo de que un usuario descargue malware de un sitio web malicioso o exporte datos confidenciales y los publique en línea. Se deben monitorear los entornos informáticos para detectar los puntos de acceso Wi-Fi fraudulentos que los hackers pueden usar para poner en peligro los datos confidenciales de un usuario. Para esto, es posible restringir los dispositivos de los usuarios de modo que solo se conecten a puntos de acceso autorizados. También se puede bloquear el acceso a periféricos inalámbricos que pueden ser inseguros, como los auriculares Bluetooth. Además, según los controles de Center for Internet Security, solo se deben habilitar los puertos y protocolos necesarios en cada sistema para evitar el acceso no autorizado a los dispositivos y la red. Son muchos los puntos de entrada posibles a una red. Los ingenieros de seguridad de red monitorean y protegen todos y cada uno de ellos, junto con el resto del equipo de seguridad de la organización.
Proteger el acceso de los usuarios a la red
La protección de los activos es solo una pieza del rompecabezas de seguridad. Los ingenieros de seguridad de red también protegen el acceso de los usuarios a la red y los recursos asociados. Algunos de los mecanismos de protección que un ingeniero de seguridad de red debe conocer son los siguientes.
Bloquear los intentos no autorizados mediante sistemas de control de acceso
En la seguridad física, los sistemas de control de acceso son las llaves y los seguros utilizados para evitar el ingreso no autorizado a los edificios. Los controles de acceso lógicos son los sistemas que limitan las conexiones a las redes de computadoras, los archivos del sistema, etc. Estos identifican a los usuarios (preguntan quién es el usuario), los autentican (verifican que el usuario sea quien dice ser) y autorizan (permiten que el usuario vea/modifique) el acceso a los recursos. Cuando un usuario inicia sesión en su computadora portátil de trabajo e ingresa su nombre de usuario y contraseña, se autentica y se le permite el acceso a los recursos autorizados.
Utilizar una autenticación sólida siempre que sea posible
La autenticación sólida implica verificar si alguien debe tener acceso a la red con un método reforzado, en lugar de usar solo un nombre de usuario y una contraseña. Los atacantes pueden aprovechar las contraseñas predeterminadas no cambiadas, las contraseñas débiles como 12345 o las contraseñas que se pueden adivinar a partir de la información personal disponible por la presencia en línea de un usuario (como su cumpleaños). Por lo general, la autenticación sólida utiliza algo que el usuario sabe (como un PIN) y algo que el usuario tiene (como una tarjeta o un teléfono) para verificar su identidad. Seguramente, vio esto al iniciar sesión en su banco y recibió a través de un mensaje de texto enviado a su teléfono el código necesario para iniciar sesión. Para comprometer este método de autenticación, el atacante debe tener acceso al teléfono y el código enviado a este, además de conocer el nombre de usuario y la contraseña. Por tanto, este método brinda un nivel de protección más sólido que el solo uso de nombres de usuario y contraseñas.
Prestar especial atención a las cuentas privilegiadas
Con una cuenta privilegiada, el usuario puede ejecutar funciones administrativas que un usuario sin privilegios no necesita realizar, como cambiar las configuraciones de los dispositivos de red, administrar una base de datos o instalar software. Como estas cuentas tienen un acceso elevado, si un atacante trasgrede una cuenta privilegiada, puede causar más daño. Gartner proporciona información sobre diversas herramientas de hardware y software disponibles para ayudar a los profesionales de seguridad a administrar y proteger las cuentas privilegiadas. Al usar una de estas herramientas, el administrador puede iniciar sesión en una plataforma de software aparte con un nombre de usuario, una contraseña y un token de autenticación que se envía a su teléfono celular. A continuación, puede obtener una contraseña administrativa para ejecutar funciones como la exportación de datos de una base de datos confidencial. El administrador puede usar la contraseña administrativa una sola vez, en una sesión por tiempo limitado, que se monitorea de principio a fin. Esto eleva el nivel de seguridad más allá de los nombres de usuario y las contraseñas tradicionales.
Revisar los privilegios de los usuarios de forma periódica
Los ingenieros de seguridad de red también controlan el acceso a los recursos de acuerdo con lo que el usuario necesita saber y revisan esos privilegios en intervalos regulares. Esto permite limitar la superficie de ataque, es decir, restringir los elementos a los que tiene acceso el usuario en la red si este pudo trasgredir una cuenta. Si un atacante vulnera la cuenta de un empleado de Recursos Humanos, no debería poder usarla para acceder a los registros financieros de los clientes. Asimismo, la revisión periódica de los privilegios garantiza que los usuarios no tengan acceso a los recursos que ya no necesitan para hacer su trabajo, bien sea porque el proyecto finalizó, el usuario cambió de función o este abandonó la compañía. Estos pasos son tan importantes como el aprovisionamiento de acceso y se los suele descuidar.
Usar una solución de gestión de acceso dinámico centralizado
Las soluciones de gestión de acceso son herramientas que ayudan a controlar y supervisar el acceso de los usuarios. Utilizan políticas centralizadas para permitir que los administradores de red revisen quién tiene acceso a recursos y archivos individuales. También permiten que los administradores auditen quién obtuvo acceso a diferentes recursos. Por ejemplo, si un hacker vulnera una cuenta, el ingeniero de seguridad de red puede identificar fácilmente qué vio, modificó, robó o destruyó el hacker, y evaluar la repercusión de la infracción. En otro caso, si una persona maliciosa con información privilegiada, como un empleado recientemente despedido, descarga varios documentos confidenciales de la compañía en una unidad USB personal, el ingeniero de seguridad de red puede monitorear la cuenta del empleado con una solución de gestión de acceso. Por lo tanto, la compañía puede identificar rápidamente los elementos a los que el atacante accedió y trabajar para contener la repercusión.
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la función en la columna izquierda a la categoría coincidente a la derecha. Cuando termine de hacer coincidir todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.
¡Buen trabajo! En conjunto, estas actividades y controles ayudan a proteger la red. Para un ingeniero de seguridad de red de una organización grande, muchas de estas actividades pueden pertenecer al ámbito de otro equipo, como el que se ocupa de la administración de identidades y acceso. Sin embargo, el ingeniero tiene un papel que cumplir y debe saber cómo los usuarios acceden a los dispositivos y los recursos de red. Si el ingeniero trabaja en una compañía pequeña, muchas de estas tareas pueden ser parte de sus responsabilidades diarias.
Recursos
- Sitio externo: Control de CIS 6: Gestión de control de acceso
- Sitio externo: CIS Control 15: Gestión del proveedor de servicios