Tradicionalmente, los ciberataques a las redes corporativas proceden de fuera de la organización. Sin embargo, con el creciente uso de dispositivos móviles personales y la expansión del Internet de las Cosas (IoT), el peligro ahora también está dentro.
El mundo se mueve rápido, pero en el de la ciberseguridad es de vértigo. Hace apenas un par de años, implementar seguridad en la empresa consistía básicamente en proteger la organización de los intrusos externos. Actualmente, la batalla es otra.
Los esfuerzos en educación por parte de la industria han dado como resultado un mayor nivel de concienciación respecto a la seguridad TI en el mundo empresarial, y numerosas compañías han implementado medidas básicas de seguridad que frustran de forma eficaz los ataques directos.
Este desarrollo está obligando a los ciberdelincuentes a descubrir formas alternativas de atacar los activos más valiosos de las empresas. Una nueva estrategia, cada vez más extendida, consiste en atacar los puntos más débiles de la red corporativa. Dichos puntos pueden incluir el teléfono móvil no seguro de un empleado, o una estación de trabajo con acceso limitado a los datos corporativos. Estos puntos débiles residen normalmente en los segmentos de bajo valor de la red corporativa. Una vez el hacker consigue entrar, normalmente se desplaza a otras partes más valiosas de la red – que tienden a estar mucho más protegidas contra los atacantes externos – con bastante facilidad.
Este modus operandi de «movimiento lateral» resulta efectivo porque muchas organizaciones no aíslan los diferentes segmentos de la red entre sí. El paso de un segmento a otro es por lo general bastante sencillo cuando los hackers entran en la red.
Algunas tendencias harán que este tipo de ataques desde dentro de la organización, sean más comunes en los próximos años:
- La creciente adopción de dispositivos móviles propiedad de los empleados en entornos empresariales. A menudo están escasamente protegidos y proporcionan a los piratas informáticos un punto de entrada débil en la organización.
- El crecimiento exponencial de dispositivos del Internet de las Cosas. Las primeras versiones – e incluso las actuales – de estos dispositivos no están diseñadas pensando en la seguridad, y resulta bastante complicado, incluso imposible, protegerlos adecuadamente.
- El avance en técnicas de hacking.
La necesidad del Firewall de segmentación interno
Tradicionalmente, las organizaciones implementan cortafuegos en el perímetro de la red, para protegerla. Los cortafuegos perimetrales etiquetan todo el tráfico externo (como el tráfico de Internet) como no confiable, mientras que todo el tráfico interno se considera como tráfico de confianza, por lo que se manejan de dos maneras distintas. No hay áreas grises; ninguna ambigüedad.
Por desgracia, el mundo no es sólo en blanco y negro.
Con el aumento de los ataques procedentes de los segmentos débiles de la red, la línea de división del tráfico confiable y el no confiable se ha desdibujado. Simplemente desplegar firewalls en el perímetro de la red ya no es adecuado, las organizaciones necesitan rediseñar la arquitectura de su red de tal forma que un firewall interno pueda restringir el flujo de malware entre los diferentes segmentos de la organización.
Según la firma de investigación Forrester, las empresas han construido perímetros fuertes, pero los ciberdelincuentes han reclutado a expertos para desarrollar nuevos métodos de ataque que eluden fácilmente las protecciones de seguridad actuales. Los profesionales de la seguridad de hoy en día deben crear una seguridad omnipresente en toda la red, no sólo en el perímetro.
Forrester defiende el modelo de seguridad de confianza cero, donde la red está segmentada de forma segura, y todo el tráfico se inspeccione y se registren logs. Gracias a este modelo, el flujo de información, por ejemplo, entre un ingeniero y su compañero de marketing sentados uno junto al otro ya no se hará sin control. Dado que estos dos empleados estarán asignados a un segmento de red diferente y existirá un firewall de segmentación interna (ISFW), donde se aplicarán las políticas adecuadas y se generarán registros (logs) para el tráfico que fluye entre los dos departamentos.
El ISFW (Firewall de segmentación interno) comprende dos tipos de tecnologías: segmentación basada en políticas que identifican los parámetros de un usuario, y de forma dinámica y coherente la aplicación de una política de seguridad para controlar el acceso del usuario a los recursos de la empresa y segmentación firewall, que divide la red interna para permitir un completo análisis del tráfico, el registro y el control de seguridad.
El ISFW no sustituye al firewall perimetral. En cambio, sí ofrece la posibilidad de crear nuevos segmentos dentro de la red existente, al tiempo que mejora la visibilidad al permitir al administrador gestionar todas las capas de la red desde un único panel de control.
Dependiendo del nivel de seguridad necesario entre cada segmento de la red, los tipos de protección pueden variar. Una vez que el firewall se despliega en cada segmento de red corporativa, su política, los registros y varias funciones de detección, pueden ayudar a identificar – y a poner en cuarentena – a los usuarios que han sido comprometidos. Además, los firewalls hacen más difícil a los hackers reconocer y descubrir activos de su interés, incluso aunque ya se encuentren dentro de la red de la empresa.
Los ISFW deben incorporar inteligencia ante amenazas y deben ser complementados con soluciones para la detección de amenazas persistentes avanzadas (APT), como soluciones sandboxing y seguridad para el endpoint, de manera que se puedan establecer acciones que permitan identificar sistemas comprometidos y ponerlos en cuarentena tan pronto como se descubra.
Eliminando las barreras de rendimiento y de coste
Las objeciones que tradicionalmente ponen las empresas a desplegar un cortafuegos delante de cada segmento de la red son, principalmente, el rendimiento y el precio. No hay muchos firewalls con capacidad para gestionar una gran carga de trabajo sin latencia significativa, sobre todo debido a que el volumen de tráfico dentro de la red puede ser muchas veces la del volumen de tráfico de Internet. Aquellos que sí lo permiten, cuando se despliegan en un gran número para cubrir cada segmento de red corporativa, puede hacer que el coste sea prohibitivo para muchas organizaciones.
Hoy, sin embargo, existen soluciones asequibles. Los firewalls actuales que aprovechan la tecnología de los chips ASIC pueden ser lo suficientemente rápidos para proteger estos segmentos de red y, a la vez, ser rentables.
Hace unos años, la seguridad por puerto parecía la gran solución, hasta que los problemas de implementación pusieron fin a esta promesa. La tecnología ISFW es un paso hacia la consecución de esta promesa. A medida que las tecnologías de conmutación y de seguridad de acceso al puerto evolucionan y mejoran el rendimiento, podremos combinarlos con ISFW para alcanzar esta meta.
El concepto de firewall de segmentación interno ha situado a la industria de la seguridad en la cresta, a la vanguardia de esta nueva era. Las empresas que quieran que sus operaciones – y su negocio – vayan un paso por delante de la competencia deberán aprovecharse de ello.
Michael Xie, Fundador, Presidente y CTO de Fortinet