Gestión de activos de TI: cuando la falta de visibilidad impide la seguridad

La Raspberry Pi ha puesto el poder de la computación de bajo coste en las manos de millones de personas y ha permitido a niños y adultos aprender a codificar y crear proyectos de TI inspiradores. Sin embargo, esta ubicuidad también puede causar problemas. Se descubrió que una Raspberry PI sin parchear le dio a un hacker la oportunidad de robar datos confidenciales del Jet Propulsion Laboratory (JPL) de la NASA, después de haber estado en la red sin autorización durante meses.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Más tarde se descubrió que un hacker había explotado el acceso del dispositivo para adentrarse en la red de JPL a través de un gateway compartido y lo utilizó para robar 500 MB de datos en la misión a Marte. Esto refleja las dificultades a las que se enfrentan los equipos de seguridad para obtener visibilidad de todos los activos de TI que entran, salen e interactúan continuamente con el panorama digital de una organización.

La gestión de activos de TI (ITAM) implica la búsqueda y el seguimiento de lo que hay en una red corporativa, como estaciones de trabajo y otros dispositivos. Pero es la proliferación de otro hardware la que ha supuesto un dolor de cabeza para ITAM: desde dispositivos Raspberry Pi y IoT hasta los conmutadores y la tecnología operativa (OT), o las aplicaciones e imágenes de servidor en la nube pública. Rastrear todo esto en un solo lugar es difícil.

Estos cambios y estas nuevas incorporaciones a las redes empresariales han llevado a importantes desafíos para la seguridad de TI, ya que las empresas buscan la escala, la velocidad y la agilidad para seguir siendo competitivas. Los equipos de desarrolladores están escribiendo y publicando código diariamente para personalizar sus aplicaciones. Las nuevas tecnologías, como la nube, los contenedores, la orquestación de contenedores y la ausencia de servidores, ayudan a estas empresas a innovar y a mantenerse a la vanguardia del mercado, pero estas tecnologías suelen ser de naturaleza distribuida y efímera. Los profesionales de la seguridad y de la gestión de activos de TI se enfrentan a aplicaciones en contenedores que pueden existir durante unos días u horas en función de la demanda de los usuarios y en las que las funciones sin servidor suelen tener un límite de ejecución de 15 minutos.

En muchos sentidos, los avances en el campo de la gestión de activos de TI no han estado a la altura del cambio cultural y tecnológico que se ha producido en otras áreas como el desarrollo, la seguridad y las operaciones. No es inusual encontrar empresas que sólo ejecutan un análisis de detección diaria o semanalmente. Todavía hay organizaciones que sólo realizan análisis de inventario masivo cada 20 días porque se considera una sobrecarga de la red.

Para manejar el enorme volumen de activos diversos, los equipos de seguridad deben considerar el enfoque correcto para recopilar datos de diferentes entornos. Por ejemplo, se pueden instalar agentes de software en los activos para proporcionar datos sobre ellos, mientras que el análisis pasivo del tráfico de red puede apuntar a dispositivos que no pueden tener agentes instalados. Por el contrario, los entornos en tiempo de ejecución, como los contenedores, requieren una imagen instrumentada que tenga un código en capas en su interior para proporcionar estos datos desde el principio. Este método creará un perfil de contenedor como referencia y cualquier desviación del perfil de contenedor definido generará una acción de salvaguardia adecuada, por ejemplo, una alerta o una cuarentena preventiva.

Para que todas estas diferentes formas de recopilar datos funcionen de manera eficaz, la visibilidad debe ser consumible y accionable, lo que requiere un panel de control de alto nivel que actúe como una única fuente de verdad. Este "cerebro central" debería normalizar y categorizar los datos para facilitar su comprensión y enriquecer la información presentada con datos adicionales. De este modo, se puede acceder rápidamente a los detalles relevantes, como los datos de fin de vida útil.

Este enfoque requiere que las organizaciones empiecen a pensar en el inventario de activos como una forma de potenciar la visibilidad de los diferentes equipos. Por ejemplo, el equipo de seguridad puede utilizar esta única fuente de verdad para examinar los datos de inventario de un servidor y considerar dónde hay indicios de compromiso o dónde está mostrando una superficie vulnerable. Las operaciones de TI utilizarán los mismos datos para ver qué software está instalado y si está aprobado o prohibido. La conformidad podrá ver si el servidor cumple con los controles relevantes especificados para los marcos PCI DSS o GDPR.

Al reunir la información de los activos de TI en un solo sitio, en lugar de supervisar diferentes conjuntos de datos de activos por separado, los equipos de seguridad finalmente tendrán la capacidad de ver y compartir datos de inventario precisos y en tiempo real con otros equipos y garantizar que su organización no sea la siguiente en ser pirateada.

Raúl Benito, Territory Account Manager para España y Portugal de Qualys