Historia del IPS y la nube, y por qué son tiempos felices de nuevo

Hasta hace poco, parece que no solo la defensa de la red ha cerrado el círculo, sino que ese círculo nos llevó atrás en el tiempo. Detener los ataques a las redes comenzó como un régimen de solo detección. Se detectaron cosas malas, y la gente tuvo que tomar medidas para limitar el daño o responder con suficiente rapidez. El énfasis se puso en limitar lo que podía atravesar los gateways y los firewalls, y el IDS se encargaría de detectar las cosas malas. Si eso suena débil, lo fue, e IPS fue el avance. Si se podía detectar lo que claramente eran ataques, ¿por qué no bloquearlos?

Las cosas se mejoraron algo por un el tiempo hasta la aparición de la virtualización híbrida y las multi-clouds. Casi todos los IPS y los firewalls hasta ese momento se suministraban en dispositivos porque los servidores de propósito general no podían ofrecer las capacidades de inspección de red para mantener la latencia lo suficientemente baja como para que el bloqueo pudiera ser efectivamente en tiempo real. Esto nunca fue un problema porque el IDS siempre estaba "fuera de banda" y podía inspeccionar a su propio ritmo. El IPS tiene que estar en la ruta de los paquetes para bloquear lo malo. La nube realmente desafió la tecnología, porque virtualizar el software IPS de tipo dispositivo significaba consumir una capacidad increíble para la nube privada o gastar mucho en ciclos de nube pública. Al mismo tiempo, muchas tecnologías en la nube no exponían lo suficiente la red virtual como para que los puntos de ubicación de los IPS pudieran colocarse en switches virtuales, por ejemplo. Por lo tanto, colocar los IPS en la nube, especialmente en la nube híbrida y pública, fue difícil.

Las organizaciones reaccionaron apoyándose en el IDS. Los proveedores cloud ofrecieron funciones IDS nativas. Al mismo tiempo, acontecía una tendencia un poco negativa; no estoy seguro de si era el huevo o la gallina, se veía que apoyarse en la detección estaba de moda. Algunas de las razones en ese momento tenían sentido, incluyendo que mucha heterogeneidad y las viejas arquitecturas de seguridad no eran adecuadas para la nueva tecnología. El resultado es que las cosas malas se detectan pero no se bloquean. Una excusa fue que "siempre vas a ser atacado, así que la detección es la clave", pero eso ignora la lógica de bloquear las cosas malas conocidas. Sé que puede haber desacuerdos sobre cómo progresó la filosofía de seguridad (bueno, esto es Internet después de todo) pero sin importar la ruta, terminamos en un lugar con IDS y casi sin IPS en nuestras nubes. No hay "parches virtuales" en ese período crítico entre el momento en que se conoce una nueva vulnerabilidad y ese parche se implementa con éxito en toda la organización.

Las cosas volvieron a empeorar recientemente cuando la era de la multi-cloud se hizo realidad y las organizaciones tuvieron que lidiar con la racionalización de los IDS nativos de múltiples proveedores de cloud, cada uno con su propia API, consola de gestión y enfoques. Nuevamente, no hay bloqueo.

Entonces, damos la enhorabuena a Gartner este año cuando reconoció el problema y dijo: "las empresas migrarán a un nuevo modelo donde consolidarán múltiples servicios de seguridad de red en la nube con un solo proveedor para reducir la complejidad".

Al mismo tiempo, dos eventos hicieron posible el IPS para entornos híbridos y multi-cloud. El primer evento fue el de los proveedores de tecnología en la nube exponían más redes virtuales y dieron nuevas funciones que las tecnologías de inspección de red pudieron aprovechar. El segundo fue una reelaboración de la tecnología IPS de abajo hacia arriba para que funcionara en un entorno cloud y también aprovechar esas funcionalidades. No solo se dispone ahora de IPS que se escala en la nube, sino que también nace en la nube para que pueda ser orquestado y construido en los modelos operativos y de suscripción a los que están acostumbradas las operaciones en la nube en lugar de los modelos de rendimiento de dispositivos antiguos. Solo por aclarar, no estoy hablando de "IPS como servicio" donde el tráfico se enviaría a una nube externa, sino de tener IPS en alguna o en todas las redes dentro de sus nubes -multi-cloud o cloud híbrida.

Hemos vuelto al punto de partida para bloquear las amenazas de nuevo. No hay nada malo en de bloquear las cosas malas conocidas… A menos que seas un atacante.

Greg Young, vicepresidente de Ciberseguridad de Trend Micro