Qué es la defensa en profundidad

[18/08/2022] La defensa en profundidad es una estrategia de seguridad en la que se implementan múltiples herramientas, mecanismos y políticas de seguridad compatibilizadas, con el supuesto de que, si un elemento falla, el otro resistirá. Por ejemplo, en lugar de depender únicamente de un firewall para mantener a los hackers fuera de una red corporativa, una organización también implementaría un software de seguridad de punto final y sistemas de detección de intrusos (IDS, por sus siglas en inglés) para detectar a cualquier atacante que logre evitar ese firewall. La intención no es implementar diferentes herramientas para enfrentar diferentes amenazas específicas: más bien, una estrategia de defensa en profundidad asume que un atacante logra derrotar o eludir una herramienta, luego otras herramientas tomarán el relevo y contraatacarán de una manera diferente.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

La defensa en profundidad a veces se denomina enfoque de castillo: la imagen es la de una fortaleza medieval con muchos fosos y parapetos que los atacantes tendrían que romper. El término defensa en profundidad tiene un origen militar, y describe un contexto de guerra en el que un ejército defensor, más débil, se retira estratégicamente al interior de su patria, intercambiando espacio por tiempo. Sin embargo, no es así como funciona la ciberdefensa en profundidad: los defensores jamás le ceden intencionalmente el control de ningún sistema a un atacante (como lo harían al usar un señuelo). En su lugar, debe imaginarse a un atacante que se topa con una serie implacable de defensas, con nuevas surgiendo cada vez que una anterior fue derrotada. Y cada una de esas herramientas se construye asumiendo que será la última línea de defensa. Como lo expresaron memorablemente Michael Howard y David LeBlanc en el libro Writing Secure Code: "Si espera que un firewall lo proteja, construya el sistema como si el firewall se hubiera visto comprometido”.

¿Por qué es importante la defensa en profundidad?

La defensa en profundidad es importante porque el modelo de defensa perimetral tradicional es insostenible por sí solo. Una filosofía de defensa del perímetro arroja tantos recursos como sea posible para evitar que un atacante obtenga un punto de apoyo en la red, fortaleciendo su borde exterior con firewalls y defensas en máquinas individuales. Esta idea de lo que es la protección de la red se ha desconectado cada vez más de la realidad en la que vivimos, donde el trabajo desde cualquier lugar -sumado al uso extensivo de nubes públicas y privadas- han hecho cada vez más difícil incluso definir dónde está el perímetro que se necesita proteger.

Eso no significa que una organización que implemente una estrategia de defensa en profundidad deba abandonar los firewalls y otras defensas perimetrales. Más bien, deben reconocer que un firewall, como cualquier otra herramienta de seguridad individual, casi siempre puede ser vulnerado por un atacante lo suficientemente hábil y determinado, y los activos de la red son demasiado valiosos para dejarlos indefensos cuando eso sucede. La defensa en profundidad es importante porque vivimos en un ambiente en el que debe asumir que la seguridad puede ser afectada en cualquier momento, e incluso sus herramientas defensivas de backup necesitan backups.

En muchos sentidos, la defensa en profundidad encaja con otra filosofía de ciberseguridad cada vez más popular: la confianza cero. Una arquitectura de confianza cero se basa en la idea de que cualquier usuario o dispositivo en la red debe ser desafiado y monitoreado continuamente para garantizar que sea quien afirma ser, y que se le permita hacer lo que está tratando de hacer. Esta filosofía requiere una infraestructura de defensa profunda, subyacente, de herramientas y políticas de seguridad que sean capaces de controlar todo lo que interactúa con y en la red.

Defensa en profundidad frente a la seguridad en capas

A menudo escuchará las frases 'defensa en profundidad' y 'seguridad en capas' usadas de manera intercambiable. Mucha gente las usa para expresar más o menos lo mismo: como hemos señalado, una infraestructura de defensa en profundidad implica capas de herramientas de seguridad que luchan contra los atacantes. Está claro que esas capas son importantes, y nos sumergiremos en ellas con más profundidad momentáneamente.

Pero esas capas no son la historia completa de la defensa en profundidad, que va más allá del ámbito técnico. Una arquitectura de defensa en profundidad debe implicar establecer, de antemano, cómo responderá a los ataques en curso, y cómo informará y reaccionará ante incidentes cuyo daño solo descubre después del hecho. En otras palabras, las capas de herramientas son solo una parte de la historia: el resto radica en la mentalidad organizacional que requiere una estrategia de defensa en profundidad.

Elementos de la defensa en profundidad

Consideremos cómo se unen todos los elementos de una estrategia de defensa en profundidad para proteger su infraestructura de red. Una forma de pensar en la defensa en profundidad es como en un todo que agrupa a los elementos defensivos en tres categorías principales: controles administrativos, controles físicos y controles técnicos. Cada uno de estos es importante a su manera.

• Los controles administrativos son las estrategias organizativas generales que crean un ambiente seguro. Estos pueden incluir políticas que establezcan cómo se eligen e implementan las herramientas de seguridad de la información, procedimientos para manejar datos de manera segura y marcos de trabajo para administrar el riesgo de conectarse con los sistemas de proveedores externos.
• Los controles físicos son, en cierto modo, los más simples, pero a menudo se pasan por alto. Estos evitan que los atacantes obtengan acceso real a sus datos y sistemas informáticos: tarjetas de acceso, puertas de bloqueo y defensa de su oficina y centro de datos, guardias de seguridad y similares. Recuerde, algunos ataques de ingeniería social comienzan con un intruso físico que se abre paso en sus instalaciones, haciéndose pasar por un colega o un repartidor de alimentos.
• Los controles técnicos son las capas de herramientas de seguridad que hemos estado discutiendo, para hardware, software y la red. Profundicemos más para comprender lo que esto implica.

Defensa en capas de profundidad

Estas capas se pueden dividir en varias categorías amplias:

• La red. Una estrategia de defensa en profundidad no puede descuidar el perímetro y comienza con un firewall o IDS para tratar de bloquear los ataques en el borde de la red. Los sistemas de protección contra intrusiones, y otras herramientas de monitoreo de red, escanean el tráfico en la red en busca de evidencia de que el firewall ha sido afectado, y reaccionan automáticamente o solicitan ayuda humana. Y las herramientas como las VPN permiten a los usuarios conectarse de forma más segura y autenticarlos para asegurarse de que son quienes afirman ser.
• Antimalware. El software antivirus, como los firewalls, a veces puede parecer un producto de otra época. Pero una herramienta que puede escanear su infraestructura en busca de malware, ya sea comparando archivos por su firma con una base de datos o usando heurística para detectar patrones sospechosos, es una capa clave de defensa después de la evasión de un firewall.
• Análisis de comportamiento. Los policías del mundo real tienden a concentrarse en las personas que actúan de manera extraña o sospechosa, y los profesionales de ciberseguridad deberían hacer lo mismo. "Personas” aquí puede significar usuarios humanos o procesos automatizados, y existen herramientas para determinar si se están comportando de manera extraña (una vez que haya establecido un comportamiento normal de referencia) y marcarlos para su investigación. ¿Alguien está accediendo repentinamente a datos que normalmente no accedería? ¿Algún host oscuro está disparando toneladas de información cifrada a algún servidor en Europa del Este? Es posible que tenga un problema en sus manos.
• Integridad de los datos. ¿Sus archivos están siendo modificados, copiados o exfiltrados? ¿Un archivo entrante tiene el mismo nombre que algo en su red, pero diferentes contenidos? ¿Hay una dirección IP misteriosa o sospechosa asociada con un archivo? Si, en el peor de los casos, sus archivos fueron dañados o encriptados por ransomware, ¿tiene backups? Las herramientas que abordan estas preguntas son otra capa defensiva clave.

Cómo funciona la defensa en profundidad: un ejemplo

Imagine un atacante que, desde su centro de datos, está tratando de extraer información valiosa de identificación personal sobre sus clientes. Intentan hacerlo plantando una puerta traseraen su sistema, que debería permitirles acceso privilegiado.

Hay varios puntos en una estrategia de defensa en profundidad que podrían obstaculizar este esquema. En el ámbito de las políticas y los procedimientos, tal vez su organización ejecute simulaciones de phishing con regularidad para que sus empleados estén en guardia y no caigan en los trucos del atacante, o implemente parches con regularidad para garantizar que la vulnerabilidad que aprovecha el malware del atacante no se abra en su sistema. A nivel técnico, el troyano que instala la puerta trasera podría ser detectado por su sistema de correo electrónico, o la puerta traseraen sí podría ser identificada por una herramienta antimalware. Si los delincuentes logran obtener acceso a su red, las herramientas de análisis de comportamiento pueden alertar a su centro de operaciones de seguridad. Estas pueden informar si ven un movimiento lateral de un host a otro, o si detectan una filtración de datos en curso. O tal vez su base de datos se bloqueará con herramientas de autenticación seguras que aplican el principio de privilegio mínimo, lo que significa que el atacante nunca tendrá acceso a las joyas de la corona.

En teoría, cualquiera de estas defensas podría detener a un atacante en seco. Pero con toda probabilidad, un adversario determinado podrá eludir uno o más de ellos. Al aumentar la profundidad de sus defensas, aumenta su grado de dificultad y, con suerte, mantiene sus datos seguros.

Cómo implementar la defensa en profundidad

Como ya debería quedar claro, una estrategia de defensa en profundidad no es un producto que se compre y venga listo para funcionar; es una forma de enmarcar su filosofía de seguridad total, y su implementación requiere mucha reflexión sobre cómo hace las cosas. Dicho esto, si está tratando de descubrir cómo abordar esta tarea monumental, sería aconsejable adoptar el enfoque descrito por el proveedor de la nube Fastly:

• Haga un inventario de sus superficies de ataque y determine qué protecciones existen actualmente.
• Determine qué protecciones necesita en cada capa del stack de red.
• Busque brechas entre los componentes del sistema donde los adversarios podrían encontrar su camino.

Este es un movimiento que implicará mucho trabajo para su organización, pero las recompensas pueden ser significativas. ¡Buena suerte!

Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú

Puede ver también:

• Evite estos 5 errores al implementar la confianza cero
• ¿Quién vende Zero Trust Network Access (ZTNA) y qué se obtiene?
• SD-WAN y SASE: Cómo están evolucionando los principales proveedores
• SSE es SASE sin la SD-WAN
• Cómo comprar SASE
• ¿Quién vende SASE y qué ofrece?
• SASE: Uniendo la SD-WAN con la seguridad
• Los 3 mayores retos de SASE en entornos de nube híbrida
• SASE: Uniendo la SD-WAN con la seguridad
• Cómo adaptar SASE a su empresa
• SASE: Una opción para reforzar la seguridad de los trabajadores remotos
• Cómo comprar firewalls
• 7 principales proveedores de firewalls de siguiente generación