Los tipos de seguridad de redes que implemente deberían estar basados en el panorama de amenazas. Esto incluye vulnerabilidades, actores y vendors maliciosos actuales. Basado en esto, se deben de agregar controles a su ambiente de red para reducir la probabilidad y el impacto de un ataque exitoso.
La seguridad que se agrega a un ambiente de red debería de basarse en el panorama de amenazas que existe actualmente y que se predice existirá en el futuro. Esto aplica a las redes domésticas, empresariales o del proveedor de servicios.
La seguridad efectiva de redes toma en cuenta las vulnerabilidades conocidas, hackers u otros actores maliciosos y tendencias actuales de ataques. Para poder agregar correctamente seguridad a una red, debe entender cuáles son todos los activos expuestos de su negocio y cómo podrían verse comprometidos.
El panorama o ambiente de amenazas incluye muchos elementos que son importantes de identificar y comprender. Esto le da el conocimiento necesario para tomar las acciones apropiadas.
Comencemos con los actores maliciosos. Ellos son quienes están lanzando los ataques y entrando en los sistemas. Los actores maliciosos son personas o entidades y tienen una variedad de metas distintas dependiendo del tipo de actor que son.
El vector de amenazas es el camino que toma el ataque. Podría ser tan simple como el atacante pidiéndole a alguien que físicamente abra una puerta hacia el edificio, lo cual es ingeniería social básica. También podría ser mucho más complicado y requerir de una gran capacidad para lograrse.
Por ejemplo, es común que un ataque comience con una técnica de ingeniería social conocida como phishing. Un usuario cae en el correo de phishing. Instala software en el sistema y el software abre un back door al sistema. El hacker explota el back door para acceder al sistema y navegar, o moverse lateralmente, a lo largo de la red.
Las vulnerabilidades son debilidades o fallas que existen en una tecnología. Esto incluye protocolos de seguridad como firewalls, anti-virus, y anti-malware. También incluye dispositivos normales y endpoints como servidores, estaciones de trabajo, laptops, cámaras, termostatos y refrigeradores. Además incluye a los dispositivos como los routers y switches. Las vulnerabilidades caen en tres categorías:
Sitios como Mitre registran los primeros dos tipos, y a estos se les conoce como Common Vulnerabilities and Exposures (CVE). El National Institute of Standards and Technology (NIST) mantiene otro sitio que lista vulnerabilidades conocidas llamado National Vulnerability Database (NVD).
Encontrará las vulnerabilidades al correr escaneos de vulnerabilidades en su red. Las buenas herramientas, como Nessus de Tenable, vinculan automáticamente el software descubierto a las bases de datos de vulnerabilidades conocidas. Los escaneos de vulnerabilidades reportan las vulnerabilidades sospechadas pero no confirman si pueden ser explotadas o no. El siguiente paso es confirmar que sí se puedan explotar en una red y tomar acción para proteger los sistemas.
Por ejemplo, si Microsoft Windows Server 2019 está en su red, el escáner de vulnerabilidades debería de descubrir Zerologon, un problema que podría afectar a este servidor. El escáner primero descubre que hay un Windows Server 2019 y entonces busca la base de datos para detectar vulnerabilidades conocidas.
Este escaneo debería descubrir un CVE en NIST llamado Zerologon que permite privilegios no autorizados. Este CVE tiene una Common Vulnerability Severity Score (CVSS) de 10 de 10, lo cual significa que es de lo peor que podría existir y que debe abordarse de forma inmediata. La página de CVE tiene links a alertas, soluciones y herramientas. También dirige hacia la página de Common Weakness Enumeration (CWE), la cual brinda aún más información acerca de un ataque.
Hay muchas herramientas y metodologías diferentes que puede usar un negocio para probar las vulnerabilidades de seguridad de una red. Un método es simular un ataque al negocio, el cual también es conocido como una prueba de penetración o “pen test”. Los negocios emplean a hackers éticos para este propósito.
Cuando un hacker ético ataca una red, encuentran vulnerabilidades específicas a esa red. Lo que hace “éticos” a estos hackers es que tienen permiso de atacar un sistema. Podrían probar que las vulnerabilidades listadas en CVEs existen en la red, o podrían descubrir temas de configuración o vulnerabilidades desconocidas.
Una forma de ejecutar un pen test es con equipos rojos y equipos azules. El equipo rojo usa herramientas reales de hacking e intentan romper las defensas existentes de la red. El equipo azul es un equipo de respuesta a incidentes que usa los planes, o playbooks, de respuesta a incidentes para responder al ataque activo.
Cuando estos dos equipos trabajan juntos en una prueba de penetración, los beneficios son mucho mayores que con una pen test regular. El equipo rojo descubre las vulnerabilidades y el equipo azul obtiene práctica para responder. Las redes serán atacadas por hackers reales en algún momento, por lo que es importante que el equipo de respuesta a incidentes esté listo. La práctica es crítica para ese propósito.
La meta de la seguridad de redes es, en primer lugar, prevenir ataques. Cuando llega a suceder el ataque, el primer paso es detectarlo. Una vez que se conoce el ataque, es importante responder. Identificar y evaluar el daño, comprender el alcance y parchar las vulnerabilidades o el camino utilizado para ejecutar el ataque. Este proceso es conocido comúnmente como Prevención, Detección y Respuesta (PDR).
La prevención involucra el fortalecimiento de los sistemas y su defensa con controles de seguridad. Fortalecer un sistema incluye lo siguiente:
La detección se hace principalmente por medio de logs Los sistemas como los IDS (intrusion detection systems) observan el tráfico que pasa y registran las actividades sospechosas. El sistema registra la actividad y la manda a un servidor syslog. Un SIEM (security information event manager) correlaciona y revisa los logs que alertan al personal de seguridad sobre indicadores de compromiso (IoC). El departamento de seguridad o el equipo de respuesta a incidentes entonces toma acciones para determinar si el compromiso es real y corrige el ambiente para evitar que suceda de nuevo.
La respuesta puede ser tan simple como descargar un parche para el sistema, pero también podría tomar una gran cantidad de trabajo. Podría ser necesario analizar configuraciones existentes dentro de los firewalls, intrusion prevention systems (IPS), routers y todos los demás dispositivos y software de seguridad de la red para determinar qué es lo que no está configurado correctamente.
Una respuesta también puede ser agregar a la red herramientas de seguridad nuevas o diferentes. Eso puede ser un proceso intensivo que incluya la creación de un plan de negocio.
Artículos Relacionados
Investigaciones Relacionadas