Seguridad en profundidad

En los últimos 25 años, la metodología de seguridad de la red ha cambiado casi más allá del reconocimiento. Con el ritmo agresivo en el que los datos han crecido y la necesidad de un acceso constante en tiempo real se ha convertido en la norma, prestar más atención a proteger las redes y los datos se ha vuelto crítico. A medida que los datos se vuelven cada vez más disponibles en línea y las organizaciones están obligadas a ofrecer acceso a su información a través de un medio desconfiado públicamente, el potencial y la realidad del compromiso de datos se han vuelto muy reales. Las organizaciones pierden miles de millones de dólares cada año por este mismo fenómeno.

Las infracciones de seguridad parecen ser una ocurrencia diaria, una de las más recientes es la violación de Equifax, en la que se robaron decenas de millones de registros. Aunque, en el momento de redactar este informe, el costo real de esta violación sigue siendo desconocido, podría acercarse fácilmente a la marca de miles de millones de dólares. Con este nivel de pérdida convirtiéndose en un riesgo real, las empresas están comprometiendo una mayor cantidad de recursos para reforzar su seguridad de datos. Tales esfuerzos han visto el movimiento a un modelo de defensa en capas convirtiéndose en la norma. Los expertos en el campo están diseñando medidas de seguridad para que la información que ingresa y sale de una organización debe pasar por varias capas, en un esfuerzo por llenar los vacíos que quedan mediante el uso de un único dispositivo de seguridad. Algunos de estos métodos se discutirán en detalle en este artículo.

La seguridad en capas es parte de una estrategia más amplia conocida como “defensa en profundidad”. Aunque estos términos a veces se usan indistintamente, no son lo mismo. La defensa en profundidad, desarrollada por el ejército de EE. UU. como política y método de defensa, se describe mejor como: “Un enfoque defensivo en profundidad de la seguridad amplía el alcance de su atención a la seguridad y alienta una política flexible que responda bien a las nuevas condiciones, lo que ayuda a garantizar que no te sorprendan las amenazas inesperadas”.¹

Defensa de Malware

La prevención del malware es un factor importante al diseñar la seguridad de la red. ¿Cómo se puede evitar que el malware se infiltre en la red? Este software pernicioso se puede introducir de muchas maneras. Como ejemplo, se puede recibir un correo electrónico con un enlace que solicita a un usuario descargar malware; un usuario puede escribir mal una dirección web y aterrizar en un sitio web fraudulento diseñado para entregar malware; o un usuario puede inserte un palo de bus serie universal (USB) infectado con malware en su computadora. Una vez introducido, el malware, como los virus de gusano, se puede propagar de forma extremadamente rápida a otras computadoras desprotegidas y vulnerables, servidores en la red.

Con tantas formas en que el malware puede ingresar a una red, una sola capa de protección ya no es suficiente. Un método popular de defensa contra el malware es garantizar que todos los datos se escaneen al menos dos veces al ingresar y salir de la red.

Para agregar otra capa de protección, los dispositivos de escaneo deben obtenerse de múltiples proveedores cuando sea posible. La protección contra malware normalmente funciona en firmas; el uso de diferentes proveedores, con diferentes bases de datos de firmas, llenará las brechas entre los tiempos de actualización de firmas para ayudar a proteger contra los brotes de malware de día cero. Los diseñadores de seguridad generalmente logran este objetivo mediante el uso de soluciones de punto final de protección contra malware para el escaneo de punto final y superponiéndolos con soluciones de escaneo de correo electrónico y escaneo profundo de paquetes de malware con un dispositivo de borde como un cortafuegos. Esto produce un escenario de escaneo de múltiples capas. Si alguien envía un correo electrónico a un usuario, el escáner de correo electrónico escanea el correo en busca de malware, luego lo escanea nuevamente en el nivel del cortafuegos y luego lo escanea por tercera vez el software de seguridad del punto final (figura 1). Según la Comisión Federal de Comunicaciones de los EE. UU., “La idea de poner capas de seguridad es simple: no se puede ni se debe confiar en un solo mecanismo de seguridad para proteger algo sensible. Si ese mecanismo de seguridad falla, no tienes nada para protegerte”.²

Protección de la frontera

El perímetro de seguridad de la red es la primera capa de defensa en cualquier diseño de seguridad de red.³ El tráfico de red entra y sale de la red de una organización en base a segundo por segundo. Los datos pasan de ser una red no confiable a una confiable y viceversa, lo cual es una gran preocupación para los diseñadores de seguridad. ¿Cómo se puede proteger este “límite” entre las dos áreas para garantizar que la red confiable permanezca segura?

Alguna vez se sostuvo que la implementación de un cortafuego en la frontera y la red sería suficiente. Esa metodología ya no es suficiente en el entorno actual, donde la red no confiable (Internet) es un patio de recreo para los piratas informáticos que está abierto las 24 horas, los 7 días de la semana. Restringir la seguridad a la implementación de un firewall solo es como cerrar las puertas de una casa sin sistema de alarma.

Las organizaciones necesitan defensas en capas en sus fronteras, y la forma más efectiva de obtener eso es a través del uso de un cortafuegos y un sistema de detección y prevención de intrusiones (IDPS), preferentemente de diferentes proveedores para cubrir cualquier vulnerabilidad en la protección generada por confiar en un solo proveedor; cualquier actividad sospechosa puede ser reportada (figura 2).

Los cortafuegos pueden ser extremadamente efectivos, pero no se puede confiar en ellos como el único medio de asegurar un perímetro de red. De hecho, el Instituto SANS ha determinado que este es uno de los siete errores más comunes cometidos por la gerencia que ponen en riesgo la seguridad de la red.⁴ Proteger la frontera, aunque es una alta prioridad, no es suficiente. La seguridad debe evolucionar de proteger el borde de la red del acceso no autorizado y el malware en un enfoque de seguridad en capas.

Diseño de red

Una de las formas más efectivas de lograr el objetivo de la defensa en capas es a través del diseño de la red. Una red plana es la más vulnerable de todas; las redes con un único segmento son vulnerables porque se debe acceder a los recursos de acceso público directamente dentro de la red a través de la red que no es de confianza (Internet). Por ejemplo, si un servidor de correo electrónico se coloca dentro de la red y se accede directamente desde Internet y proporciona solo un conjunto de reglas de cortafuego, la seguridad carece de capas y, por lo tanto, es débil.

¿Cómo se aplica el modelo de seguridad en capas para compensar esta debilidad? En resumen, los diseñadores de seguridad implementan un segmento separado entre las dos redes denominadas zona desmilitarizada (DMZ). Esto requiere que el tráfico proveniente de Internet, y con destino al servidor de correo electrónico, pase primero por el área de DMZ. Luego, una vez autorizado, la solicitud de acceso al correo electrónico pasa de la DMZ a otra serie de reglas de cortafuego más restrictivas para la base de datos de correo electrónico real. Esto permite que el administrador de seguridad sea mucho más restrictivo en términos de acceso. Sin DMZ, todo el tráfico de red vinculado al servidor de correo electrónico pasa. Por el contrario, con la DMZ en su lugar, el administrador restringe el tráfico solo desde el servidor web a la base de datos de correo electrónico en la red de confianza, logrando así el objetivo de la seguridad en capas a través del diseño de red. Un IDPS también escaneará el tráfico de la red y creará otra capa de seguridad.

Además de agregar un segmento DMZ en el punto de entrada de la red, se pueden tomar medidas adicionales para separar activos de alta prioridad en la red. Por ejemplo, en la industria bancaria, típicamente se usa al menos un segmento que posee el más alto nivel de seguridad en la red interna. En industrias con activos de alto riesgo, proteger los datos desde el exterior es extremadamente importante, al igual que protegerlos desde adentro. Cuando los clientes van a un banco, no solo ven el efectivo sentado en el piso; más bien, está asegurado dentro de una bóveda, lo que crea otra capa física de seguridad.

Los activos de alto riesgo generalmente ocupan su propio segmento, protegidos por otro conjunto de dispositivos de seguridad perimetral internos. Los mecanismos de seguridad pueden ser cortafuegos o servidores de salto. Los diseñadores crearán zonas rojas (para baja seguridad) y negras (para alta seguridad). Para pasar de una zona roja a una zona negra, en la que residen las bases de datos de alta prioridad, el usuario debe pasar por un servidor de salto. Este último primero requiere una sesión de Protocolo de escritorio remoto (RDP) antes de acceder a la base de datos.⁵ Esto crea otra capa de seguridad en la red.

Proxy

Una capa adicional y valiosa de protección que debe incluirse en un enfoque integral de estratificación de la seguridad es el uso de un proxy de red o proxy de cortafuegos. Un filtro de contenido a nivel de red es crítico para la estrategia general.⁶ Los proxies pueden filtrar los archivos .exe o .bat, que pueden mejorar enormemente el paquete de seguridad general. Los filtros avanzados también pueden filtrar según el tipo de aplicación y la reputación. Estas bases de datos de filtrado suelen estar basadas en la nube y pueden responder rápidamente a los brotes de malware de día cero. También pueden ser muy eficaces para tratar con el ransomware.

Un proxy de aplicación actúa como una puerta de enlace entre el sistema del usuario final e Internet, esencialmente ocultando y protegiendo el punto final.⁷ El sistema de usuario entra en contacto con el proxy de la aplicación, mientras que el proxy se comunica, en nombre del usuario, con el servidor externo. Este último nunca tiene acceso a la red interna.⁸ Aunque los sistemas de proxy por sí solos no son una solución para la seguridad, agregan un complemento placentero a la protección de virus y varias otras capas de defensas de la red.

Redes de terceros

Dado que los diseñadores de seguridad están tan preocupados por prevenir las infracciones y los brotes de virus en sus redes internas, la industria de la seguridad ha respondido ofreciendo soluciones que evitan que el malware potencial ingrese al entorno del usuario final. Para complementar la implementación del software de seguridad de punto final y el escaneo de paquetes profundos a nivel de cortafuegos, muchos diseñadores también utilizan redes de terceros para detectar amenazas antes de que el tráfico entre en la red del usuario final.

Un excelente ejemplo de esto es el escaneo de correo electrónico en la nube usando una red de proveedores. Varios proveedores ofrecen este servicio, incluidos Barracuda y Appriver. El diseño requiere que el correo electrónico enviado al usuario final se desvíe a la red de terceros, donde se escanea en busca de virus, phishing, correo no deseado u otras muchas combinaciones de filtros. Cualquier amenaza potencial se elimina antes de que se envíe el correo electrónico limpio a los servidores internos del usuario final. Estas soluciones de seguridad son extremadamente granulares y muy rápidas para responder a los brotes.

Un beneficio adicional de este servicio es que el tráfico vinculado al servidor de correo electrónico interno se reduce significativamente. Según las estadísticas, más del 69 por ciento de los correos electrónicos enviados en 2013 fueron spam o virus.⁹ El número de campañas de correos electrónicos de phishing aumentó un 91 por ciento en 2013 respecto al año anterior, lo que indica que los atacantes se habían vuelto más sofisticados en sus ataques. Están aprendiendo sobre los usuarios finales y apuntando a individuos específicos que se consideran objetivos de alto valor.¹⁰ Con ese tipo de estadística, la capa adicional de pasar el tráfico de Internet a través de una red de terceros donde el tráfico puede escanearse en busca de amenazas es de gran valor en un enfoque de seguridad en capas (figura 3).

Seguridad física

Aunque la necesidad de seguridad física puede parecer obvia, puede pasarse por alto fácilmente. No tiene sentido tener un enfoque en capas para la seguridad de la red y descuidar el aspecto físico.¹¹ La seguridad física no es simplemente una capa de seguridad de red; necesita estar en capas por derecho propio. Por ejemplo, una clave que permite el acceso a la sala del servidor, o una cámara que registra la entrada al edificio, no es suficiente. El acceso al edificio debe ser restringido y monitoreado, al igual que la infraestructura de red. Si alguien compromete la red desde el exterior, los mecanismos de la organización deberían alertar a los empleados y permitirles establecer qué información se vio comprometida y por cuánto tiempo.

La seguridad física debe cumplir el mismo propósito: si alguien pone en peligro la seguridad física, deben existir recursos para decir quién violo las defensas, cuándo y dónde. Esto se hace desplegando guardias de seguridad donde sea posible y teniendo acceso codificado y registrado al edificio, incluyendo el acceso separado a áreas sensibles como el centro de datos. El acceso al edificio debe registrarse a través de un sistema de cámara, mientras que un sistema separado debe monitorear el acceso a las áreas sensibles.

Estos componentes, al igual que el registro de red, deben revisarse regularmente. No es ventajoso tener cámaras en su lugar si nadie las está revisando, ni tener acceso a la tarjeta electrónica si los registros no se evalúan. Las alertas también deben configurarse para alertar al personal de seguridad con respecto a cualquier intento fallido de acceder al edificio o áreas sensibles. En resumen, la seguridad física es un componente clave de una implementación de seguridad en capas.

Autenticación

Autenticación es el proceso de probar que las personas son quienes dicen ser. Este procedimiento es el núcleo de todos los sistemas de seguridad en uso hoy en día. Como se discutió en este artículo, estos sistemas tienen capas de protección para mantener a las personas que no están destinadas a estar allí, o para tener acceso, fuera de la red y lejos de los datos. Estos procesos cubren las puertas traseras y evitan la infiltración de malware. Autenticación es el proceso de permitir el acceso permitido a través de la puerta de entrada de una red. Esta operación también debe tener capas, al igual que otras secciones de la red. ¿Cómo se logra esto? Mediante el uso de autenticación multifactor (MFA). “El objetivo de MFA es crear una defensa en capas y hacer que sea más difícil para una persona no autorizada acceder a un sistema o red de computadoras”.¹² Todos los sistemas de autenticación pueden verse comprometidos y no deberían, especialmente aquellos con activos de alto valor (por ejemplo, bancos, plantas de energía), confiar en una única forma de autenticación.

Los diseñadores pueden usar varias opciones para lograr MFA. Estos se pueden dividir en tres categorías: algo que uno conoce (una contraseña), algo que uno tiene (un número simbólico o código enviado por correo electrónico o texto), o algo que uno es (biométrico). Los diseñadores de seguridad combinan dos o más de las tres categorías para crear MFA. El procedimiento es efectivo solo cuando se requieren dos o más contraseñas. Por ejemplo, a una persona que accede a una base de datos financieros se le puede solicitar que ingrese una contraseña (algo que conoce), luego ingrese el código de una tarjeta inteligente (algo que tiene) y aún puede requerirse para escanear una huella dactilar o iris para el acceso. Seguir este proceso permite la seguridad en capas durante autenticación.

Educación del usuario

Con el aumento en la ingeniería social y los ataques de día cero, la educación del usuario juega un papel importante en un enfoque de seguridad en capas. El usuario final puede ser la línea de defensa final o la primera (dependiendo de dónde se origina el ataque). Ignorar al usuario sería un gran error. Con script kiddies cada vez más frecuente, estos aficionados pueden eludir fácilmente los cortafuegos enviando correos masivos en un intento de convencer a los usuarios de que hagan clic en los enlaces cargados; el usuario debe ser consciente del riesgo. De acuerdo con un experto:

Una arquitectura de seguridad sólida será menos efectiva si no se cuenta con un proceso para garantizar que los empleados conozcan sus derechos y responsabilidades. Con demasiada frecuencia, los profesionales de seguridad implementan el programa de seguridad “perfecto” y luego se olvidan de incluir al cliente en la fórmula.¹³

Pruebas

El último paso en cualquier diseño de seguridad solida es la fase de prueba. Las pruebas de rutina deben ser una cuestión de política escrita y seguidas al pie de la letra; los oficiales de seguridad de la red deben verse a sí mismos como personal militar y estar constantemente preparados para un ataque. Construir defensas, configurar alarmas y monitorear no es suficiente; es necesario probar constantemente las defensas. Dichas pruebas deben ser realizadas interna y externamente por personal interno y por expertos de seguridad externos. “Las pruebas de penetración son como tener un tiroteo simulado en una base militar”.¹⁴ El hackeo de sombrero blanco, las pruebas de penetración y las pruebas de vulnerabilidad son cruciales en un enfoque de seguridad en capas para la defensa de redes.

Conclusión

Con el aumento de las violaciones de datos y el costo resultante para las organizaciones, la protección de las redes y los datos es primordial. Las empresas no pueden permitirse ignorar la seguridad de la red. Las organizaciones están aumentando sus gastos de seguridad y, en muchos casos, estos recursos adicionales van a agregar capas de mecanismos de defensa.¹⁵

Los diseñadores de seguridad están utilizando varios enfoques para acoplar defensas para frustrar los piratas informáticos y evitar la pérdida de datos. Están implementando capas para evitar infecciones de malware y ahuyentar a los piratas informáticos en la frontera, y aumentar la complejidad del diseño de la red para agregar pases adicionales a través de puntos de control para el acceso a los datos. Los diseñadores también enrutan el tráfico a través de redes de seguridad de terceros antes de ingresar a la red de confianza para eliminar amenazas antes de que ingresen a la red.

Los encargados de la seguridad física, mientras tanto, están implementando seguridad estratificada en su diseño y complementando la seguridad en capas basada en la red. El proceso de MFA se está convirtiendo rápidamente de rigor en el movimiento para estandarizar el proceso de una defensa en capas. Los oficiales de seguridad están educando a su base de usuarios y utilizando mecanismos para evaluar la efectividad de sus programas.

El diseño e implementación de políticas son cruciales en el diseño e implantación de seguridad en capas. La política de seguridad de las redes modernas exige varias capas de escaneo de datos antes de la entrada y/o salida de la red. Aunque estas metodologías no evitarán toda pérdida de datos, con el concepto de seguridad en capas convirtiéndose en la norma, jugarán un papel importante en la protección de las redes de hoy y de mañana.

Notas finales

¹ Perrin, C.; “Understanding Layered Security and Defense in Depth,” TechRepublic, 18 December 2008, https://www.techrepublic.com/blog/it-security/understanding-layered-security-and-defense-in-depth/
² Federal Communications Commission, “Cyber Security Planning Guide,” USA, p. 3, https://transition.fcc.gov/cyber/cyberplanner.pdf
³ Choi, Y. B.; C. Sershon; J. Briggs; C. Clukey; “Survey of Layered Defense, Defense in Depth and Testing of Network Security,” International Journal of Computer and Information Technology, vol 3, issue 5, September 2014, https://www.ijcit.com/archives/volume3/issue5/Paper030518.pdf
⁴ McGuiness, T.; “Defense In Depth,” SANS Institute, 2001, https://www.sans.org/reading-room/whitepapers/basics/defense-in-depth-525
⁵ Williams, J.; “Practical Threat Management and Incident Response for the Small- to Medium-Sized Enterprises,” SANS Institute, June 2014, https://www.sans.org/reading-room/whitepapers/analyst/practical-threat-management-incident-response-small-medium-sized-enterprises-35257
⁶ Musa, S.; “Five Steps to Take on Ransomware Using a Defense-in-Layers Approach,” Government Technology, 14 April 2016, www.govtech.com/security/5-Steps-Ransomware-Defense-in-Layers-Approach.html
⁷ Roesler, J.; “Defense in Depth Layer Six: Application Security,” Topics on Information Security, 6 February 2013, http://infosectopicsbyjen.blogspot.com/2013/02/defense-in-depth-layer-6-application.html
⁸ Dominguez, J. A.; “An Overview of Defense in Depth at Each Layer of the TCP/IP Model,” SANS Institute, 2002, https://www.giac.org/paper/gsec/2233/overview-defense-in-depth-layer-tcp-ip-model/103817
⁹ Symantec, Internet Security Threat Report 2014
¹⁰ Ibid.
¹¹ Banathy, A.; G. Panozzo; A. Gordy; J. Senese; “A Layered Approach to Network Security,” Industrial IP Advantage, July 2013, www.industrial-ip.org/en/knowledge-center/solutions/security-and-compliance/a-layered-approach-to-network-security
¹² Mohamed, T. S.; “Security of Multifactor Authentication Model to Improve Authentication Systems,” Information and Knowledge Management, vol 4, issue 6, 2014, www.iiste.org/Journals/index.php/IKM/article/viewFile/13871/13939
¹³ Peltier, T.; H. F. Tipton; M. Krause; Information Security Handbook, Fourth Edition, Auerbach Publications, USA, 2002
¹⁴ Op cit Choi et al
¹⁵ Filkins, B.; “IT Security Spending Trends,” SANS Institute, 2016, https://www.sans.org/reading-room/whitepapers/analyst/security-spending-trends-36697