Llegamos a ustedes gracias a:



Reportajes y análisis

Aproveche al máximo su firewall de siguiente generación

[07/05/2018] ¿Está aprovechando al máximo su firewall de siguiente generación? Probablemente no, considerando las investigaciones recientes de SafeBreach.

SafeBreach, una relativamente nueva integrante en el ámbito de seguridad -fue fundada en el 2014- vende paquetes de premisas y servicios que ejecutan continuamente simulaciones de violaciones de la red que ayudan a los clientes a localizar y remediar los problemas de seguridad.

Específicamente, la empresa implementa sondas de software distribuidas por las redes de los clientes, e intenta establecer conexiones entre dispositivos y segmentos de red de la misma forma que un hacker atacaría sus datos. Estos intentos de violación están definidos por el Hacker's Playbook de SafeBreach, una biblioteca de métodos de ataque conocidos que descubren las debilidades de seguridad de la red y cómo estas vulnerabilidades pueden ser explotadas.

La compañía discutió recientemente algunos de los principales problemas que ha encontrado en los resultados de pruebas de clientes, que muestran que muchos usuarios de los denominados firewalls de siguiente generación (NGFW, por sus siglas en inglés) quizás no obtengan el máximo beneficio de esos paquetes debido a malas configuraciones, métodos de seguridad previos y otros factores.

Normalmente, los NGFW cuentan con una multitud de tecnologías de seguridad, desde la detección de intrusiones y la inspección profunda de paquetes, hasta las capacidades de examen SSL, HTTP o TLS. Una amplia variedad de proveedores ofrece estos poderosos, y a veces complejos, paquetes de NGFW, como son Cisco, Palo Alto Networks, Fortinet, Check Point, Huawei, Sophos, Juniper Networks, Barracuda Networks, WatchGuard, Sangfor, Hillstone y SonicWall.

Según SafeBreach, el poder de los NGFW proviene de la capacidad del producto para implementar políticas enriquecidas en seguridad, basadas en aplicaciones y usuarios, en lugar de puertos y protocolos.

"Estas políticas deberían ser más fáciles de definir que los firewalls previos. Sin embargo, pueden ocurrir errores debido a una falla humana. Además, pueden producirse errores cuando los equipos de seguridad usan herramientas de migración automática proporcionadas por los proveedores para migrar sus políticas de firewall existentes. La simulación de violación y ataque permite a los equipos de seguridad optimizar las políticas para minimizar la exposición a la seguridad y verificar que los cambios sean efectivos y no introduzcan consecuencias imprevistas, afirma la compañía.

Chris Webber, un estratega de seguridad de SafeBreach, afirma que los errores de configuración son uno de los problemas más frecuentes con los NGFW.

"Muchos usuarios enfrentan problemas si solo confían en los valores predeterminados suministrados por el proveedor, señala Webber. "Un firewall de siguiente generación puede ser como tener una navaja suiza en su red, pero muchas veces sus características no están activadas, lo que permite que los atacantes obtengan acceso.

Webber también afirmó que la mayoría de los proveedores proporcionan herramientas de migración automática para ayudar a los nuevos clientes a migrar de sus firewalls legados a los NGFW, pero que pueden ocurrir errores durante este proceso, ya que las características y la arquitectura del proveedor pueden variar.

SafeBreach afirmó que ha descubierto escenarios de incumplimiento debido a estas brechas de política y errores resultantes de las suposiciones acerca de las nuevas políticas predeterminadas del proveedor de NGFW y los desafíos de la migración automática.

Otro problema es que muchos usuarios no descifran el tráfico cifrado como SSL, TLS y SSH, lo que puede convertirse en un punto ciego importante para los clientes, afirma Webber. Es una táctica de ataque común esconder malware, etc. en este tráfico. Los NGFW pueden terminar e inspeccionar el tráfico cifrado para detener estas amenazas, pero lamentablemente esta capacidad no se utiliza con la frecuencia que debería, asegura.

De hecho, Cisco definió el problema en su Cybersecurity Report del 2018, y afirmó que el 50% del tráfico web global se cifró a partir de octubre del 2017.

"Eso es un aumento de 12 puntos en el volumen a partir de noviembre del 2016. Un factor que impulsa ese aumento es la disponibilidad de certificados SSL de bajo costo o gratuitos. Otra es la práctica acelerada de Google Chrome de marcar páginas web sin cifrado que manejan información confidencial, como la información de tarjetas de crédito de los clientes, como 'no segura'», sostuvo el informe.

"Las empresas están motivadas para cumplir con el requisito de cifrado HTTPS de Google, a menos que quieran arriesgarse a una caída potencialmente significativa en su ranking de búsquedas en la página de Google. A medida que crece el volumen del tráfico web global cifrado, los adversarios parecen estar ampliando su adopción del cifrado como una herramienta para ocultar su actividad [de comando y control]. Los investigadores de amenazas de Cisco observaron un aumento de más del triple en la comunicación de red cifrada utilizada por muestras de malware inspeccionadas durante un período de 12 meses. Nuestro análisis de más de 400 mil binarios maliciosos descubrió que aproximadamente el 70% había usado al menos algo de cifrado a partir de octubre del 2017, señala Cisco.

Webber anota que otro problema con los NGFW es la cobertura incompleta de la segmentación de la red, que se encuentra disponible para aumentar la protección de los activos de la empresa.

Los firewalls de siguiente generación se implementan en redes internas de segmento. "Es importante validar continuamente que la segmentación funciona, ya que la segmentación es una gran práctica de seguridad para romper la cadena de muertes y evitar que los atacantes se muevan más dentro de la red. SafeBreach descubrió que los servidores internos (supuestamente segmentados adecuadamente) se estaban comunicando realmente a los servidores de comando y control, afirma la compañía.

"Los clientes ya no pueden centrar la seguridad en el borde -estos días nos han dejado atrás. Los ataques pueden venir de cualquier parte, indica Webber.

Otro tema clave es manejar el tráfico de la Internet de las cosas (IoT). "Los NGFW son una excelente forma de acorralar el tráfico IoT, pero los clientes necesitan establecer nuevas políticas y validar otras para que realmente funcionen de manera efectiva, afirma Webber.

La investigación de Cisco llevó más lejos el problema de la IoT y afirmó que "los adversarios ya están aprovechando las debilidades de seguridad de los dispositivos IoT para obtener acceso a los sistemas, incluidos los sistemas de control industrial que brindan soporte a infraestructura crítica. Las botnets IoT también están creciendo tanto en tamaño como en potencia y son cada vez más capaces de desencadenar ataques poderosos que podrían afectar gravemente a Internet.

"El cambio de los atacantes hacia una mayor explotación de la capa de aplicación indica que este es su objetivo. Pero muchos profesionales de la seguridad no son conscientes, o descartan, la amenaza que representan las botnets IoT. Las organizaciones siguen agregando dispositivos IoT a sus entornos de TI con poca o ninguna consideración sobre la seguridad o, lo que es peor, no se toman el tiempo de evaluar cuántos dispositivos IoT están tocando sus redes. De esta forma, facilitan a los adversarios tomar el mando de la IoT.