Utilizar controles de segmentación y compensación para proteger la red
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Identificar el momento de usar la segmentación de red.
- Describir el momento de usar los controles de compensación.
Usar la segmentación de red
Imagine la seguridad de un banco local. Si bien el banco conserva una pequeña cantidad de dinero detrás de la ventanilla a la que el cajero accede para realizar transacciones menores, las grandes sumas de dinero y otros objetos de valor (como reliquias familiares o certificados de nacimiento) se guardan dentro de una caja de seguridad, en una bóveda, detrás de puertas con llave, en un edificio patrullado por un guardia y protegidos por una reja y una alarma.
Tal como no guardaríamos los objetos de valor en un banco si este mantiene grandes sumas de dinero por ahí al descubierto, es importante proteger las redes con más de una línea de defensa. Los ingenieros de seguridad de red utilizan la segmentación de red como una pieza importante de esta estrategia de defensa profunda.
La segmentación de red implica usar controles físicos y lógicos para crear particiones de la red de modo que los activos de valor y riesgos similares se almacenen y se protejan juntos. Los activos de alto valor con un alto riesgo de ser vulnerados se rodean con mayores protecciones y se mantienen separados de los activos de bajo valor a los que muchos usuarios de la red pueden acceder.
En los últimos años, la tendencia de segmentar las redes se extendió y se desarrollaron conjuntos de herramientas avanzadas para facilitar este proceso. En el pasado, los métodos tradicionales para proteger las redes se enfocaban en el concepto de zonas de confianza y de no confianza. Se pensaba que la red era una zona de confianza en la que los usuarios y activos podían acceder a la mayoría de los recursos, y se utilizaban muy pocas protecciones y barreras entre los sistemas y los datos.
La principal forma de proteger las redes era reforzar el perímetro, básicamente mediante el uso de cortafuegos. Esto equivale a la idea de un banco con una cerradura invulnerable en la puerta delantera y un guardia de seguridad para controlar lo que entra y sale, pero pocas protecciones una vez que alguien accede al interior.
En general, los hackers buscan la entrada más sencilla a la red y, luego, intentan realizar cambios para elevar sus privilegios y filtrar (extraer de la red) los datos más confidenciales. Por consiguiente, las organizaciones de seguridad más avanzadas de hoy protegen más que solo el perímetro. Cuanta más protección se coloca alrededor de los activos de alto valor, hasta resguardar los datos en sí, mejor. De este modo, aunque un hacker trasgreda la red, las probabilidades de que pueda vulnerar los datos más confidenciales de la compañía serán limitadas. Este concepto, llamado confianza cero, se puede implementar mediante la segmentación de red. Google desarrolló un documento técnico sobre su implementación de la confianza cero para proteger su entorno de TI interno. El documento explica la forma en que otras organizaciones podrían usar este concepto para proteger sus datos más allá del perímetro de la red.
Algunos ejemplos de la vida real son un buen recordatorio de la importancia de la segmentación de red. En 2013, un gigante de la venta minorista sufrió una vulneración de datos masiva. Una de las razones por las que los hackers pudieron acceder a tantos datos confidenciales fue que los ingenieros de la compañía no habían separado apropiadamente del resto de la red los sistemas encargados de los datos confidenciales de las tarjetas de pago.
Primero, los hackers ingresaron a la red de la compañía con credenciales robadas de un proveedor de terceros y, luego, aprovecharon ese acceso para moverse sin ser detectados por la red de la compañía e instalar malware en los sistemas de punto de venta. Así, los hackers pudieron robar la información de pago de los clientes.
Este ejemplo ilustra la importancia de segmentar la red para dificultar el acceso no autorizado a los sistemas confidenciales a través de otro punto de entrada vulnerado. También señala la importancia de monitorear la seguridad de los proveedores de terceros y utilizar una autenticación sólida para el acceso remoto a la red. La incapacidad de segmentar correctamente y proteger la red costó millones de dólares a la compañía, afectó a millones de clientes y dañó la reputación de la empresa.
Usar los controles de compensación
En un mundo perfecto, los profesionales de seguridad implementarían todas las protecciones admisibles para mantener los activos de la compañía tan protegidos de los atacantes como sea posible. Sin embargo, como todo en la vida, los profesionales de seguridad enfrentan limitaciones y concesiones. Es posible que no haya dinero suficiente para adquirir la última tecnología o actualizar un sistema antiguo. Es posible que la compañía no disponga de personal suficiente para monitorear la red las 24 horas, los 7 días de la semana. Es posible que el director general de información (CIO) no tenga influencia suficiente en la empresa para convencer al director financiero (CFO) sobre la importancia de implementar protecciones de vanguardia, ya sea una red de confianza cero o una autenticación sólida para acceder a una aplicación.
Cuando no se puede establecer la protección de seguridad ideal, los profesionales de seguridad deben elegir, implementar y documentar controles de compensación. Esto no es solo una mejor práctica, sino también un requisito normativo en muchos casos.
Cuando no se puede implementar un control principal, los ingenieros de seguridad de red establecen controles de compensación para brindar un nivel similar de defensa y gestionar los riesgos. Estos no se diseñaron como una solución permanente. El uso de controles de compensación debe documentarse y revisarse de forma periódica hasta que se pueda establecer una solución de tecnología ideal. Por ejemplo, un sistema confidencial puede tener una vulnerabilidad crítica. Es posible que el ingeniero de seguridad de red no pueda aplicar parches para la vulnerabilidad debido a que el proveedor ya no proporciona parches. Este es el caso de los sistemas que se ejecutan en servidores Microsoft 2003, los cuales Microsoft dejó de admitir en 2015. Lo ideal es que el equipo de seguridad trabaje con la empresa para actualizar el servidor a un nuevo tipo que el proveedor todavía admita. Si esto no es viable, el equipo de seguridad puede desconectar el sistema y segmentarlo en una parte altamente protegida de la red. Esto minimiza la posibilidad de que la vulnerabilidad pueda ser explotada desde el Internet público mientras se establecen controles de compensación para gestionar el riesgo residual. El equipo de seguridad debe trabajar con el equipo de negocios a fin de establecer un plan, recursos y un plazo para eventualmente migrar el sistema a un servidor más reciente con parches que admita el proveedor.
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre una palabra del banco de palabras en la parte inferior hacia el lugar apropiado en el párrafo. Cuando termine de colocar todas las palabras, haga clic en Enviar para comprobar su palabra. Si desea empezar desde el principio, haga clic en Restablecer.
¡Excelente trabajo! Examinó la forma de usar la segmentación de red y los controles de compensación para proteger los sistemas confidenciales. ¿Cómo puede un ingeniero de seguridad de red detectar una intrusión en la red cuando un hacker explota un punto débil? ¡Lo veremos en la próxima sección!
Recursos
- Sitio externo: Estándar de seguridad de datos en la industria de tarjetas de pago
- Sitio externo: Marco de trabajo NIST para mejorar la ciberseguridad de la infraestructura crítica