Llegamos a ustedes gracias a:



Reportajes y análisis

El nuevo perímetro

[31/07/2012] Allá, por el 2008, la vigilancia del perímetro de Motorola era mucho más simple de lo que es hoy en día, recuerda Pablo Carugati, arquitecto de seguridad de la información en la empresa. "Estaba bien abrir el puerto 480 del firewall para el tráfico de la red, porque sabíamos que todo lo que pasaba por ahí era HTTP", añade.
Pero con el rápido crecimiento de las aplicaciones Web 2.0, entornos de comercio electrónico y servicios en la nube, agrega, "en el 2010, eso ya no era tan cierto; y en el 2011, ya no servía en absoluto".
La administración continuamente cuestionaba a Carugati sobre el riesgo a la exposición relacionada con un servicio crítico o un entorno social, y la posibilidad de la infiltración de los datos de la empresa a través de los medios sociales. La tecnología de firewall de Motorola vigente en ese entonces podía rastrear las direcciones IP de los usuarios, pero no podía realizar un seguimiento de las aplicaciones y por lo tanto era incapaz de controlar cuáles habían sido expuestas.
Para abordar esta cuestión, el departamento de seguridad de Motorola añadió un servidor de seguridad de próxima generación (NGFW) a su mezcla de defensa del perímetro. Además de la seguridad tradicional de nivel 3 y 4 del firewall, la plataforma puede rastrear el tráfico saliente y entrante en el nivel de aplicación. Esto ha traído enormes beneficios en materia de visibilidad, control y ejecución, informa Carugati. Ahora, está claro "que las aplicaciones están fluyendo a través de ese medio de salida, incluyendo aplicaciones que pensamos que no tenían permitido salir y otras que no conocíamos", comenta.
Esa visibilidad permite que el equipo de seguridad haga cumplir las políticas de seguridad más granulares a nivel de aplicación, en lugar de en el protocolo de red y a niveles de puerto. Por otra parte, la administración ahora puede dibujar una imagen mucho más precisa de la presencia e interacciones de la compañía en las redes sociales, para hacer la evaluación de riesgos y el cumplimiento de regulaciones tales como PCI DSS, señala Carugati.
Los NGFW son solo una manera en que las empresas están mejorando sus defensas en respuesta a los nuevos vectores de amenazas que han surgido del uso creciente y la dependencia de las aplicaciones web, redes sociales, computación en la nube, virtualización, redes inalámbricas y dispositivos móviles. Estas tecnologías siguen cambiando la naturaleza fundamental de la informática y las comunicaciones de negocios.
Como resultado, la frontera corporativa se ha vuelto cada vez más porosa y difícil de definir -algunos incluso afirman que es inexistente- haciendo que las nociones tradicionales de "proteger el perímetro" queden obsoletas. No es que empresas como Motorola hayan desechado las defensas tradicionales existentes, tales como firewalls, prevención de intrusiones y sistemas de detección, programas antivirus y antispam, VPN, etc. Más bien, han empezado a buscar la defensa del perímetro en una forma que tenga múltiples niveles, o varias capas.
Un perímetro de defensa multi capa
Los expertos del sector aconsejan a los CSO que adopten un enfoque de defensa en profundidad que despliega múltiples capas de seguridad, de modo que las amenazas de malware y otras que se deslizan por la primera línea de defensa sean atrapadas por la segunda o tercera.
Eso significa que va mucho más allá de las defensas tradicionales del perímetro -los firewall de red- que vigilan y controlan el tráfico sobre la base de origen y destino de las direcciones IP, protocolos de red y números de puerto. Eso los deja incapaces de defenderse contra el 60% al 70% de los ataques que ahora se producen en el nivel de aplicación, de acuerdo con Jon Oltsik, analista senior principal de Enterprise Strategies Group.
Por ejemplo, un firewall de red puede aceptar el tráfico HTTPS y bloquear el tráfico HTTP de Internet a un servidor web. Sin conciencia de aplicación, sin embargo, no puede distinguir entre el tráfico HTTPS del cliente y de los hackers, afirma Oltsik.
Los CSO inteligentes están impulsando esta primera línea de defensa con tecnologías tales como NGFW y firewalls de aplicaciones Web (WAFS), que pueden llevar a cabo una inspección profunda de paquetes, e identificar las firmas de los hackers conocidos y el comportamiento anormal.
Los NGFW suelen controlar el tráfico entrante y saliente de la empresa, identificar malware que pueda estar en la parte superior de un vínculo de confianza, así como las actividades inapropiadas, riesgosas o prohibidas a nivel de aplicación de los usuarios finales. Los WAFsAT específicamente supervisan el tráfico entre clientes y servidores web.
Polk, un proveedor de datos y servicios de marketing para la industria automotriz, ha completado su servidor de seguridad tradicional con BIG-IP Application Security Manager de F5 Networks. El WAF protege los servidores web de consideraciones comunes a nivel de aplicación, tales como ataques de inyección SQL, señala Ethan Steiger, el CSO de la empresa. Esto ha hecho que la empresa ahorre los gastos de volver a desarrollar una serie de aplicaciones web con conocidas vulnerabilidades relacionadas con el código.
Los NGFW WAFS también pueden ayudar con uno de los mayores dolores de cabeza para los OSC: la amenaza de los piratas informáticos que utilizan la ingeniería social y otras técnicas de explotación de fuentes de confianza, tales como empleados, socios y clientes que tienen permiso para acceder a partes sensibles de la red corporativa.
El creciente uso de dispositivos móviles y la web social para fines comerciales ha exacerbado en gran medida este problema, según concuerdan los expertos de la industria. Una vez que el hacker gana acceso al dispositivo cliente de un empleado, "de repente tiene malware o un robot tratando de comunicarse a través de una conexión establecida, a través de su perímetro" con el centro de control del hacker, señala Andrew McCullough, director de seguridad de la información para el operador de hoteles Accor North America.
El equipo de seguridad de Accor implementó un NGFW hace cinco años, cuando los ataques a nivel de aplicación empezaron a aparecer, agrega McCullough. Si bien este tipo de ataques eran poco frecuentes en aquel entonces, su número "se ha ido por las nubes" en el último año o dos, añade.
La capacidad de un NGFW para hacer cumplir las políticas de seguridad en un nivel granular es fundamental, dada la creciente dependencia de los usuarios del negocio por la web y las redes sociales, en particular, afirma Oltsik. "Mucha gente ve a la seguridad del perímetro como un problema de entrada, el malware que llega con el tráfico entrante", añade. Tan importante como eso, sin embargo, es determinar qué sitios web visitan los usuarios y si conocen los sitios de distribución de malware o de comando y control, señala McCullough.
En lugar de negar, por ejemplo, que todo el grupo de marketing acceda a Facebook, las empresas pueden utilizar un NGFW para limitar el acceso a las aplicaciones que los usuarios de negocios consideran fundamentales para sus puestos de trabajo, afirma Oltsik. "Esa es una intersección perfecta entre apoyar y proteger los negocios".
McCullough está de acuerdo. "Nuestros equipos de marketing, compras y recursos humanos usan Facebook ahora, a menudo por razones muy válidas", señala. En lugar de tratar de bloquear las aplicaciones basadas en web con un valor probado para el negocio, "nuestro trabajo consiste en envolver los controles en torno a esas aplicaciones, para que se puedan utilizar con el menor riesgo posible".
¿Muchos huevos en una canasta?
La mayoría de los vendedores líderes de NGFW, incluyendo Check Point Software Technologies, Palo Alto Networks, Juniper Networks, Fortinet, F5 y, más recientemente, Cisco, combinan las capacidades tradicionales del firewall con una serie de otras funciones, como la vigilancia del tráfico de aplicaciones, prevención de intrusiones y de pérdida de datos.
Estos gateways multifuncionales de seguridad son considerados como un sinónimo o subconjunto de mitigación unificada de amenazas (UTM), dependiendo de a quién se le pregunte. El concepto básico es el mismo: en lugar de comprar, implementar y administrar diversos mecanismos de defensa del perímetro en aparatos separados, una empresa puede implementar una estrategia de seguridad de múltiples capas en una sola plataforma de hardware.
La principal ventaja de tomar la ruta UTM es el ahorro de costos, según concuerdan las fuentes. Los productos que están diseñados para manejar una función de seguridad tienden a ser bastante caros, señala McCullough de Accor. Los sistemas de protección de intrusiones para una organización pequeña pueden costar entre 10 mil o 20 mil dólares al año, y para una gran empresa grande, los costos anuales pueden llegar a un cuarto de millón de dólares, señala. Por el contrario, esa capacidad en una plataforma NGFW sería de unos 20 mil dólares al año, de acuerdo con McCullough.
Sin embargo, muchas CSO siguen recelosos de una solución de perímetro de un único proveedor. El reporte de Gartner Magic Quadrant for Enterprise Network Firewalls publicado en el 2011, encontró que menos del 5% de las conexiones de Internet fueron aseguradas utilizando NGFW. Ese número se elevará al 5% de la base instalada, y el 60% de las nuevas adquisiciones para el 2014, predice el informe.
Hacer que los CSO estén al margen de la caída es el costo de la cancelación de los antiguos dispositivos de seguridad perimetral. "Nuestra infraestructura es muy cara, no tiene sentido empresarial remplazarla de golpe", señala McCullough. Más bien, su equipo está tomando las cosas con calma, probando dispositivos y planificando el remplazo de su conjunto existente de servidores de seguridad por un producto más avanzado para el próximo año.
Ir por una solución única de un solo proveedor a menudo significa sacrificar la funcionalidad del ahorro de costos, agrega McCullough. "Usted no consigue lo mejor de su clase, en mi opinión", añade. Accor compra sus productos antispam y antivirus de proveedores especializados.
Por otra parte, una vez que el dispositivo empieza a buscar en el contenido real de los paquetes, " necesitará una caja más robusta", señala Eric Maiwald, vicepresidente de investigación de Gartner. "Agregue anti-malware y firmas de ataques, a continuación, DLP, y necesitará aún más potencia". Por eso los dispositivos UTM trabajan mejor en lugares donde los requerimientos de producción son más bajos, tales como pequeñas empresas y sucursales, añade.
"Cuando se habla de poner fin a una primera ubicación pesada de ancho de banda, como un centro de datos, normalmente es necesario contar con dispositivos separados para diferentes funciones", comenta Maiwald.
NGFW de Accor se ejecuta en una pesada plataforma de hardware, pero la compañía ha tenido que "tomar algunos saltos muy serios sobre la capacidad en un tiempo muy corto, con el fin de cumplir con la demanda", agrega McCullough. La cadena hotelera utiliza un tipo de dispositivo perimetral con reglas de ingreso de corte y secado para el transporte de la VPN, y una segunda en la aplicación granular de aplicaciones basadas en normas de seguridad para el tráfico que van desde y hacia el centro de datos, señala McCullough.
Es probable que Accor siga siendo una tienda de múltiples proveedores en el futuro previsible, de acuerdo con McCullough. "No queremos llegar al punto de utilizar un único dispositivo de seguridad perimetral, sino que queremos una malla de los productos". Si bien esto significa complejidad, y potencialmente más dolores de cabeza administrativos, los beneficios incluyen una mayor garantía y reducción de riesgos. "Un hacker que sobrepasa un firewall de un proveedor A es detenido por el proveedor B", añade.
¿Centros de datos virtuales, firewalls virtuales?
La virtualización del centro de datos "ha lanzado una interesante llave inglesa en las obras de seguridad perimetral", señala Maiwald de Gartner. Pueden existir diferentes niveles de confianza en el mismo servidor físico, y por el contrario, las aplicaciones virtualizadas se pueden ejecutar en diferentes máquinas virtuales que residen en servidores físicos y en diferentes zonas de seguridad.
Los vendedores de servidores virtuales como VMware, así como los principales proveedores de NGFW, ahora ofrecen "controles de seguridad virtuales" que crean un "perímetro virtual detrás del perímetro físico", señala Oltsik de Enterprise Strategy Group. Estos productos se pueden configurar para controlar el acceso a través de zonas de seguridad en un entorno virtualizado.
Sin embargo, Oltsik añade que la investigación de su empresa demuestra que el personal de seguridad y de TI todavía está aprendiendo a cómo utilizar estas herramientas. Entre los temas a los que se enfrentan está cómo segmentar los dos tipos de redes para asegurarse de que los dispositivos de seguridad físicos y virtuales están trabajando en sincronía. Otro tema es la forma de aplicar políticas de seguridad cuando las aplicaciones y máquinas virtuales se mantienen en movimiento de servidor a servidor.
Sin embargo, algunas CSO empresariales están empezando a hacer buen uso de estas herramientas. El equipo de McCullough recientemente ha mudado aplicaciones críticas al centro de datos de Accor, donde un firewall virtual ofrece "la misma protección que el perímetro, incluyendo el mismo nivel de cuidado de la aplicación, control y prevención de amenazas", añade.
Hay dos estrategias principales para la defensa del perímetro de los entornos virtualizados, cada una con ventajas y desventajas, de acuerdo con Maiwald de Gartner. La primera es comprimir todas las zonas en un entorno virtual. Esto proporciona la flexibilidad de una mayor asignación de recursos, pero elimina la zona de seguridad cruzada, lo cual no es lo ideal, desde una perspectiva de gestión de riesgos.
La alternativa es hacer que cada zona sea su propio ambiente virtual. Esto permite que las empresas mantengan los mecanismos existentes del firewall, y es la mejor opción para la gestión de riesgos, añade Maiwald. La desventaja es que la asignación flexible de recursos, que proporciona la mayor parte de los ahorros en los costos de la virtualización, se limita a los servidores dentro de una zona determinada, indica.
En Polk, por ejemplo, "tratamos de darles a nuestros hosts virtuales el mismo nivel de control que le damos a nuestros hosts físicos", señala Steiger. "Esto ha significado pasar de la prevención de intrusiones a la red virtual, por así decirlo", y limitar el movimiento entre algunos hosts virtuales.
La compañía todavía obtiene valor directo de su estrategia de virtualización, pero no tanto como sería posible sin estas garantías.
Elaboración y gestión de las reglas
Mantenerse al día con el cambiante panorama de amenazas es otra cuestión importante para las empresas que trabajan para proteger el perímetro. Mientras que las principales plataformas de NGFW vienen con herramientas de auditoría y actualización de las normas de seguridad y de los eventos de control de seguridad desde una consola central, la mayoría de las empresas actualmente tienen una mezcla de productos de seguridad del perímetro, por no hablar de dispositivos de red, que pueden hacer que la administración de estas políticas sea un gran dolor de cabeza.
La adición de la precaución de la aplicación a la mezcla hace que la tarea sea mucho más compleja y ardua, según concuerdan los expertos de la industria. "Usted desea la capacidad de tomar decisiones de acceso granular sobre una base de aplicación por aplicación", señala Oltsik. Además, las políticas deben ser actualizadas periódicamente con el fin de mantenerse al día con los nuevos servicios y aplicaciones de los principales medios sociales, que se mostrarán en una base diaria. Si el firewall ve estas nuevas entradas como tráfico genérico, no los podrá controlar, señala Oltsik.
Las empresas están cada vez mirando hacia una política de herramientas de administración de terceros de proveedores como FireMon, RedSeal y Skybox Security. El software de evaluación de riesgos y administración de la política de RedSeal explora las vulnerabilidades y monitorea las reglas y configuraciones a través de la colección de firewalls, switches de red y routers de Polk, señala Steiger. "También nos ayuda a poner en práctica políticas de forma uniforme en todo el perímetro de la red, de acuerdo con las mejores prácticas de seguridad y negocios".
"FireMon nos permite seguir los cambios en los dispositivos de diversos proveedores y vigilar el cumplimiento de un sistema unificado", agrega McCullough. Esto es especialmente clave dado que el equipo de seguridad de la empresa matriz de Accor en ocasiones ha realizado cambios en las políticas de la división de seguridad perimetral sin notificar, en primer lugar, al personal de McCullough. En una ocasión, esto dio lugar a varias horas de inactividad de la red, informa. "Ahora, cuando ocurre un cambio, FireMon inmediatamente nos alerta y nos permite seguir el rastro hasta la fuente".
FireMon también ayudó a que la cadena Accor le haga frente a la ingente tarea de re escribir toda su regla base de seguridad. "Encontramos reglas que eran de hace ocho o diez años, cuyos propietarios ya no estaban", señala McCullough. Otras reglas se invocaban solo una vez cada dos meses, pero en esos momentos eran importantes, finaliza.
Elisabeth Horwitt, OSC (EE.UU.)