Los tipos de seguridad de red que implemente deberían basarse en el entorno de las amenazas. Esto incluye las vulnerabilidades, vectores y agentes de amenazas actuales. Por lo tanto, los controles deben añadirse al entorno de su red para reducir la probabilidad y el impacto de un posible ataque.
La seguridad añadida a un entorno de red debería basarse en el panorama de amenazas que existe hoy en día y que se espera que siga existiendo el día de mañana. Esto se aplica al hogar, las empresas o las redes proveedoras de servicios.
Una seguridad de la red efectiva tiene en cuenta las vulnerabilidades, los hackers y los demás agentes de amenazas conocidos y las tendencias de ataque actuales. Para añadir seguridad a una red de la manera adecuada, debe entender todos los activos expuestos de su empresa y cómo pueden verse comprometidos.
El entorno o panorama de amenazas incluye muchos elementos que son importantes identificar y entender. Esto le proporciona el conocimiento necesario para tomar las medidas apropiadas.
Vamos a comenzar con los agentes de amenazas. Estos son los que lanzan ataques y entran en los sistemas. Los agentes maliciosos son personas o entidades y tienen una variedad de diferentes objetivos dependiendo del tipo de agente que sean.
Un vector de amenaza es el camino que sigue el ataque. Podría ser tan sencillo como que el atacante le pidiese físicamente a alguien que le abriese la puerta de un edificio, lo cual es básicamente ingeniería social. Podría ser mucho más complicado y requiere que se consigan un gran número de habilidades.
Por ejemplo, es normal que un ataque comience con un ataque de ingeniería social que se conoce como phishing. Un usuario cae en un email de phishing. Este instala un software en el sistema y el software abre una puerta trasera en el sistema. El hacker realiza un exploit de la puerta trasera para acceder al sistema y navegar o moverse de forma lateral por toda la red.
Las vulnerabilidades son debilidades o imperfecciones que existen en la tecnología. Esto incluye productos de seguridad como firewalls, antivirus y anti-malware. También hace se refiere a dispositivos normales de endpoint como servidores, estaciones de trabajo, equipos portátiles, cámaras, termostatos y refrigeradores. Además, incluye dispositivos de red como enrutadores y conmutadores. Las vulnerabilidades se clasifican en tres categorías:
Los sitios como Mitre registran los dos primeros tipos y se conocen como la lista de Vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés). El National Institute of Standards and Technology (NIST) tiene otro sitio en el que compila una lista de vulnerabilidades conocidas llamada la Base de datos nacional de vulnerabilidades (NVD, por sus siglas en inglés).
Encuentra las vulnerabilidades mediante la ejecución de análisis de vulnerabilidad en su red. Buenas herramientas como Nessus de Tenable enlazan de forma automática el software descubierto con las bases de datos de vulnerabilidades conocidas. Los análisis de vulnerabilidades informan sobre posibles vulnerabilidades, pero no confirman si se pueden aprovechar. El siguiente paso es confirmar si se pueden aprovechar en una red y actuar para proteger los sistemas.
Por ejemplo, si hay un Windows Server 2019 de Microsoft en su red, el análisis de vulnerabilidad debería detectar a Zerologon, un problema que podría afectar a este servidor. El análisis primero descubre que hay un Windows Server 2019 y después busca en la base de datos vulnerabilidades conocidas.
Este análisis debería descubrir un CVE del NIST llamado Zerologon que le proporciona privilegios inapropiados. Este CVE tiene un Sistema de puntuación de vulnerabilidad común (CVSS, por sus siglas en inglés) de 10 de 10, lo que quiere decir que es el peor escenario y que debe solucionarse de inmediato. La página de CVE tiene enlaces a avisos, soluciones y herramientas. También cita la página de la Common Weakness Enumeration (CWE), la cual proporciona más información sobre un ataque.
Hay muchas herramientas y metodologías diferentes que una empresa puede utilizar para evaluar una red en cuanto a sus vulnerabilidades de red. Un método es simular un ataque a la empresa, lo cual también se conoce como una prueba de penetración o pentest. En estas ocasiones, las empresas utilizan a hackers éticos.
Cuando los hackers éticos atacan una red, encuentran vulnerabilidades específicas de esa red. Lo que convierte a estos hackers en éticos es que tienen permiso para atacar un sistema. Podrían demostrar que las vulnerabilidades de la lista de la CVE existen en esa red o podrían descubrir una configuración errónea o vulnerabilidades desconocidas.
Una forma de ejecutar una pentest es con equipos rojos y azules. El equipo rojo utiliza herramientas reales de hackers e intentan romper las defensas que existen en la red. El equipo azul es un equipo de respuesta ante incidentes que utiliza manuales o planes de respuesta ante incidentes existentes para responder a los ataques activos.
Cuando estos dos equipos trabajan juntos en una pentest, los beneficios son mejores que con una pentest estándar. El equipo rojo descubre las vulnerabilidades y el equipo azul puede practicar la respuesta. Serán hackers de verdad los que ataquen las redes, así que es importante que el equipo de respuesta ante incidentes esté preparado. La práctica es vital en ese punto.
El objetivo de la seguridad de una red es, primero y, ante todo, prevenir ataques. Cuando ocurre un ataque, el primer paso es detectarlo. Cuando se conoce el ataque, es importante responder. Ejecutar un protocolo de intervención y evaluar el daño, comprender del alcance y aplicar parches en las vulnerabilidades o en el camino utilizado para ejecutar el ataque. Este proceso se llama prevenir, detectar y responder (PDR).
La prevención supone un fortalecimiento de los sistemas y una defensa de estos mediante controles de seguridad. Fortalecer un sistema incluye lo siguiente:
La detección se realiza principalmente mediante registros. Los sistemas como los Sistemas de detección de intrusiones (IDS, por sus siglas en inglés) observan el tráfico y registran la actividad sospechosa. El sistema registra la actividad y la envía a un servidor syslog. Un sistema de Gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) relaciona y analiza los registros que alertan al personal de seguridad sobre Indicadores de compromiso (IoC, por sus siglas en inglés). El departamento de seguridad o el equipo de respuesta ante incidentes toman acciones para comprobar si es un compromiso real y corrige el entorno para que no vuelva a suceder.
La respuesta puede ser tan simple como descargar un parche a un sistema, pero también podría suponer bastante trabajo. Podría ser necesario analizar las configuraciones existentes en los firewalls, los sistemas de prevención de intrusiones (IPS), enrutadores y todos los dispositivos y softwares de seguridad y redes para averiguar qué es lo que está mal configurado.
Una respuesta también puede consistir en añadir herramientas de seguridad nuevas o diferentes a la red. Este puede ser un proceso extenso que incluya la creación de un plan comercial.
Artículos relacionados
Investigaciones relacionadas