Y si los hackers han conseguido entrar, ¿qué hacemos?

En estos tiempos actuales de la era digital, todavía nos encontramos con empresas obsesionadas en poner en marcha técnicas tradicionales de ciberseguridad de perímetro, especialmente los firewall, que se han vuelto terriblemente obsoletos.

Las empresas han hecho inversiones enormes para proteger su perímetro mediante el uso de firewalls tradicionales y de aquellos llamados de "próxima generación". Aunque representan un buena parte de la inversión en ciberseguridad, estos dispositivos han demostrado una capacidad de defensa limitada. Los firewall se atraviesan fácilmente, ya sea mediante spearfishing, el uso de sitios web o mediante ataques de VPN "man in the middle". Estas técnicas permiten a los atacantes atravesar los firewall y utilizar dolosamente dispositivos autorizados.

Los firewall pueden ser atacados directamente utilizando técnicas de evasión. Estas técnicas son numerosas e incluyen el uso de cifrado, malware sin archivos, ataques polimórficos e incluso técnicas que superan la inspección profunda de paquetes y hasta de motores de conocimiento de aplicaciones de última generación. El estado chino,  los actores criminales y/o impulsados por estados, han utilizado durante años comunicaciones TLS firmadas por certificados que se hacen parecer a paquetes HTTPS.  El tráfico atraviesa fácilmente los firewall de las empresas con ataques entrantes. La exfiltración de datos se oculta en las cabeceras e incluso dentro de la carga útil del tráfico HTTPS fingido.  Este método se sigue utilizando hoy en día, como hemos podido ver en el grupo de hackers APT27 recientemente en sus ataques a empresas de servicios financieros globales, así como para atacar otras industrias.

Especialmente en el sector financiero, pero también en otros verticales, es común encontrar conjuntos de reglas de firewall que han crecido hasta superar miles de páginas.  A lo largo de la vida de un firewall, se van incorporando nuevas reglas para resolver un problema actual, pero rara vez se cruzan con las creadas anteriormente.  Así, miles de reglas se superponen y son contradictorias y aparecen lagunas y contradicciones. Si se añade que la mayoría de las empresas tienen cientos (incluso miles) de firewall, la "dispersión" de reglas se convierte en un claro problema.

Los firewall son dispositivos de perímetro. No se encuentran donde se presenta la mayoría de los flujos de trabajo. El mayor problema hoy en día es que los firewall no se sitúan en el flujo de tráfico, cuando claramente es donde deberían estar para proteger los sistemas de actividades nefastas. Esta es una debilidad común en entornos automatizados, de centros de datos/ nube y centrados en las aplicaciones que tienen entornos comunes donde se comparten datos con clientes, socios, proveedores y fabricantes.

Los atacantes están cambiando sus objetivos, alejándose de los individuos y acercándose a los centros de datos, la nube y las aplicaciones que albergan. Saben aprovecharse muy fácilmente de los problemas de higiene de las empresas. Desde aplicaciones sin parches, poca solidez de las contraseñas, falta de autenticación de dos factores, mala gestión de los certificados y de los servicios de red (DNS, etc.), todo es demasiado fácil.

Pero el mayor problema, con mucho, es la falta de segmentación.  Esto permite a los hackers un movimiento lateral sin restricciones, también conocido como movimiento Este-Oeste, entre sistemas. Una vez que atraviesan el cortafuegos, los hackers son libres de moverse como quieran.

Y para empeorar las cosas, hemos superpuesto capas de seguridad, añadiendo complejidad en la gestión e incrementando los gastos que ello supone.  Mientras que en otras partes de la empresa se han puesto en marcha modelos de DevOps/Cloud para cumplir mejor con los objetivos de negocio, la seguridad tradicional no ha sabido seguir ese camino.

Afortunadamente, la mayoría de los profesionales de ciberseguridad son conscientes de la situación.  Saben que el enfoque tradicional en el perímetro ya no es una protección adecuada, ya que hoy en día los atacantes pueden penetrar fácilmente en dicha seguridad.  Los líderes en seguridad están tomando conciencia de que, dado que las violaciones de la seguridad del perímetro son casi inevitables, deben concentrarse en proteger la empresa desde el interior para evitar el movimiento lateral y proteger las áreas sensibles cuando se producen las violaciones.

No sorprende que muchas organizaciones, desde gobiernos hasta grandes empresas financieras mundiales, se acerquen ya a la seguridad asumiendo que han sido atacadas con éxito y, por tanto, deben tomar medidas para contener y mitigar el ataque. Estamos ante un ejercicio de vigilancia que, como resultado, ha llevado a la elaboración de unos planes de respuesta a incidentes muy bien diseñados. Pero este tipo de respuestas no dejan de ser reactivas, cuando lo que verdaderamente se necesita es proactividad para, ante todo,  proteger mejor los sistemas frente a intrusos.

Es necesario un cambio total en la forma de entender y aplicar las soluciones de ciberseguridad. Necesitamos aplicar mejor la seguridad en todo el entorno y hacerlo de forma acelerada y racionalizada.  No desesperemos, ya contamos con una estrategia fácil y clara que podemos poner en práctica para remediar esta situación.  Con tan solo un pequeño esfuerzo,  las empresas pueden reducir significativamente su exposición a riesgos y, al mismo tiempo, impulsar el cumplimiento normativo.

Hay dos componentes principales en esta estrategia.

1.    Adopción de un esquema confianza cero. Zero Trust es un marco fácil de adoptar que describe los pasos que una empresa puede dar para reforzar su seguridad.  El concepto busca simplificar y agilizar la adopción priorizando lo que más importa.  En lugar de centrarse en las soluciones, se centra claramente en los elementos de negocio dentro de la empresa que necesitan ser protegidos.

2.    Reducción acelerada del riesgo, validación del cumplimiento y ahorro de costes mediante la implementación de una segmentación definida por software

La mejor solución para poner en marcha un esquema Zero Trust es mediante la segmentación definida por software.  A diferencia de las técnicas tradicionales de segmentación, como VLANy ACL en las instalaciones y grupos de seguridad en nube pública y privada, que son una pesadilla de gestión, la segmentación por software es algo sencillo y ofrece una visibilidad suficientemente granular para proteger de manera efectiva contra las amenazas y garantizar el cumplimiento.

Entre otras ventajas, la segmentación por software:

- Funciona en todas las plataformas, viejas y nuevas. Proporciona una visibilidad y gestión en profundidad que está desacoplada de las diversas plataformas y sistemas operativos subyacentes, aportando así una capa de abstracción en la que todas las funciones funcionan a la perfección.

- Sigue la carga de trabajo e incluye la tan necesaria granularidad. En lugar de quedarse estancada en meras políticas de nivel de puertos y direcciones IP (típicas de la segmentación tradicional) que poco hacen por detener las amenazas, la segmentación definida por software permite políticas estrictas y granulares por proceso, identidad y por FQDN.

- Para aumentar la velocidad y la innovación, la segmentación definida por el software también incorpora aprovisionamiento automatizado, gestión y escalado automático de las cargas de trabajo, todo ello mejorados gracias al uso de herramientas como Chef, Puppet y Ansible, que permiten un enfoque de "hecho una vez, hecho correctamente", lo que reduce en gran medida la necesidad de acciones manuales, adiciones, cambios y eliminaciones.

Al obtener una visibilidad y gestión granular y en profundidad dentro de una única plataforma, la segmentación definida por software permite segmentar de forma acelerada, logrando en días lo que antes llevaba meses o años.

Especialmente para el sector financiero, que debe cumplir con múltiples normas de cumplimiento de SWIFT, PCI RGPD y otras normas, la adopción de la segmentación definida por software ofrece un considerable ahorro de costes ya con solo proporcionar una validación histórica y en tiempo real del cumplimiento.

Además, la segmentación definida por software proporciona un búfer de protección para que una empresa pueda solucionar aquellos problemas de higiene mencionados antes, dentro de sus aplicaciones internas, centros de datos y nubes.  La segmentación definida por software facilita la aplicación de parches, permite una sólida aplicación de contraseñas, autenticación de dos factores, mejor gestión de los certificados e incorporar mejores planes de respuesta a los incidentes.

La adopción del marco de confianza cero y la segmentación definida por el software puede aportar una ciberseguridad eficaz a la empresa de forma acelerada, flexible y simplificada.

Carlos Moliner, director de Guardicore Iberia