Construcción de una nueva arquitectura puntera de seguridad

En este articulo, conoceremos cuales son las dificultades a la hora de elegir una arquitectura de seguridad y te informaremos sobre una nueva arquitectura puntera para tratar las amenazas modernas, incluido el ransomware. (ver nuestro articulo Que es un ransomware?)

Los límites de los diseños de seguridad actuales 

Antiguamente, muchas empresas pensaban que debían elegir entre: 

• Utilizar productos punteros que fueran eficaces frente a tipos concretos de amenazas emergentes pero que no se integran totalmente en una arquitectura que incluye defensas. 
• Adoptar un enfoque de sistemas que incluyera productos de seguridad independientes (o de punto) que fueran lo ‘suficientemente buenos’ en una arquitectura de sistemas inteligente. 
  

Hoy en día, muchas organizaciones han implementado una arquitectura de red jerárquica formada por un acceso, distribución y capa central con varios productos de seguridad independientes, instalados en una zona de servicios local o DMZ, como un firewall o servidor proxy. 

Desafortunadamente, esto no es lo mismo que una ‘defensa a fondo’ 

Entre los limites que presentan los métodos actuales se encuentran los siguientes:  

• No existe integración ni correlación. Si hay demasiados productos de seguridad independientes, los recursos de seguridad limitados se inundan con demasiados detalles y con información no coordinada que se analiza con dificultad y deja a los equipos de seguridad ‘buscando una aguja en un pajar’. 
• La seguridad basada en perímetros es solo una parte de una arquitectura efectiva. Los firewalls, las puertas de enlace a la web seguras y la tecnología de espacios seguros que se han implementado en el perímetro de la red solo ven el tráfico de norte a sur que atraviesa internet. El tráfico de este a oeste del centro de datos –tráfico entre aplicaciones y usuarios finales que nunca cruza el internet– puede ser el responsable del 80 % de todo el tráfico de la red, así que es necesaria una visibilidad completa de toda la red. 
• Los empleados han salido del edificio. No solo son los criminales cibernéticos quienes han cambiado su forma de operar (sus tácticas y técnicas), la forma de trabajar y de interactuar digitalmente de nuestros usuarios también ha cambiado. Cada vez hay mas usuarios remotos y en itinerancia que trabajan directamente en la nube con varios dispositivos, por lo que las tecnologías que se basan en perímetros y las redes privadas virtuales (VPN) ya no pueden proteger los dispositivos y los datos de la empresa en su totalidad.
  
• Existe falta de visibilidad. Los firewalls tradicionales basados en puertos no detectan muchas amenazas que utilizan técnicas evasivas, como puertos no estándar, saltos de puertos, y cifrado. 

• No hay segmentación suficiente, y la tradicional puede plantear dificultades. Las redes se segmentan normalmente en zonas ‘de confianza’ y ‘de no confianza’ con LAN virtuales (VLAN) estáticas definidas en conmutadores, que pueden ser difíciles de configurar y mantener. Esta estructura arbitraria no trata la nueva cotidianidad de los centros de datos modernos: máquinas virtuales (VM) que se mueven dinámicamente a lo largo y ancho de los centros de datos y en la nube. 
  
• Las actualizaciones estáticas son solo un punto de partida. La descarga e instalacion de archivos de firma contra el malware es solo un punto de partida para luchar eficazmente contra las amenazas de dia cero actuales que tan rápidamente evolucionan. Los archivos de firma estáticos deben reforzarse con inteligencia de amenazas en la nube y en tiempo real. 

Definición de la nueva arquitectura de seguridad 

Para proteger a las empresas contra el ransomware y otras amenazas modernas, la nueva arquitectura de seguridad puntera adopta un enfoque integrado que es simple, abierto y automatizado, al contrario que los productos de punto tradicionales. Esta nueva arquitectura: 

• Comparte automáticamente la inteligencia de amenazas y ofrece un contexto agregado y correlacionado con otros productos y servicios de seguridad, tanto a nivel local como en la nube. 
• Reduce la complejidad y ofrece visibilidad completa en todo el entorno. 
• Facilita la integracion con inversiones de seguridad nuevas y existentes al hacer uso de una tecnolog a y est ndares abiertos y ampliables. 
• Utiliza la integración para ofrecer una respuesta de seguridad automática, de forma que la seguridad es más eficaz y reduce la carga de otros equipos de TI. 
  

Esta nueva arquitectura de seguridad está formada por los siguientes componentes:

• Firewalls de próxima generación (NGFW) y sistemas de prevención de intrusiones de próxima generación (NGIPS) con visibilidad de quien está accediendo a la red y que esta haciendo, aplicacion de politicas, analitica de flujos, y analisis de la trayectoria de archivos y dispositivos. 
• Inteligencia de amenazas basada en la nube. 
• Seguridad de la capa del sistema de nombres de dominio (DNS) para ampliar la protección más allá del firewall de la organización. Leer mas sobre seguridad DNS
  
• Segmentación de red sumamente granular y definida por software con aplicación de políticas con base en roles independientemente de la ubicación, dispositivo o dirección IP. 
• Seguridad web y de correo electrónico. 
• Protección avanzada contra el malware de red y basado en host con capacidades de espacios seguros. 

Fuente:  Investigación interna basada en documentos, artículos y experiencia profesional.