justinkendra - Fotolia
Construya una arquitectura de seguridad de la información paso a paso
Lograr la preparación en seguridad cibernética requiere una sólida arquitectura de seguridad de la información. El experto Peter Sullivan explica los bloques básicos que las empresas necesitan para construir uno.
La arquitectura de seguridad de la información es una sólida arquitectura de seguridad de red, que permite la comunicación segura local, de área amplia y remota, como un componente necesario para controlar y comprender cómo funciona la red, y permitir la supervisión de la red.
La arquitectura, en términos simples, es la forma en la cual las partes componentes de una cosa están ordenadas y organizadas. Si la cosa en cuestión es un sistema de información en red, entonces el objetivo es organizar y operar ese sistema de una manera que permita el control del sistema y la detección de actividad maliciosa inesperada, no deseada y maliciosa.
Gateway seguro
Si no se puede ver el tráfico que fluye hacia dentro, hacia fuera y a través de una red de información, no se puede monitorear eficazmente. Con el fin de poder controlar el tráfico que entra y sale de una red informática, ese tráfico necesita pasar a través de un entorno de gateway conocido y monitoreado. Las grandes empresas pueden no tener un buen manejo de cuántos puntos de acceso a internet están en uso. Ejemplo de ello: El Poder Ejecutivo Federal de Estados Unidos identificó más de 8,000 conexiones a internet entre sus diversas agencias, la mayoría de las cuales no eran monitoreadas por ninguna red o centro de operaciones de seguridad, ni por ningún dispositivo de seguridad, y representaban una vulnerabilidad importante para el gobierno de los Estados Unidos. La situación ideal es tener un único gateway para concentrar y monitorear el tráfico.
El gateway de internet seguro debe proporcionar los siguientes servicios:
- Firewall para proporcionar inspección de paquetes con estado y control de acceso;
- Sistema de detección de intrusiones (IDS)/servicio de prevención de intrusiones (IPS);
- Servicio de proxy de aplicaciones para los siguientes protocolos: HTTP/HTTPS, SMTP, FTP y otros;
- Filtrado de spam;
- Filtrado de antivirus y malware; y
- Análisis de tráfico de red.
Firewall
Si recomendar el uso de un firewall suena obsoleto y demasiado obvio, recuerde esto: La Sony PlayStation Network y los servicios de juego de Sony Online Entertainment fueron violados en 2011, perdiendo los datos personales de más de 100 millones de usuarios. Esas redes no estaban protegidas por firewalls.
Desde una perspectiva de arquitectura de seguridad de la información, un firewall puede ser visto como un dispositivo que implementa la política de seguridad, particularmente la política de acceso. La presuposición es que la política de control de acceso de un perímetro –si es ahí donde se coloca el firewall– se ha definido y documentado. Sin una política de control de acceso definida que sirva de guía para la configuración del firewall, la implementación del firewall puede no proporcionar el nivel de servicio de seguridad que la organización requiere.
Detección y prevención de intrusiones
Un IDS o IPS es una función crítica en una arquitectura de gateway seguro. Un IDS/IPS típico en un gateway está basado en la red y depende de una base de datos de firmas para detectar posibles intrusiones o violaciones de la política, como el uso de protocolos no autorizados. La base de datos de firmas en un IDS es similar en concepto a la base de datos de firmas utilizada en un sistema de detección de virus especialmente con respecto al hecho de que el IDS no va a proporcionar una alerta para una firma de intrusión que no esté en su base de datos, y que la base de datos de firmas debe actualizarse regularmente, al igual que un sistema de detección de virus.
Ponga proxy a todo
Todos los protocolos de aplicaciones que atraviesan el gateway deben pasar por un servicio de proxy bidireccional completo para que puedan ser monitorizados eficazmente. Comience con los protocolos de correo electrónico (SMTP, IMAP, POP) y web (HTTP, HTTPS), y la mayoría del tráfico de red probablemente será cubierto. Un análisis de ancho de banda identificará otros protocolos de aplicación, como FTP y SSH, que pueden estar en uso. El envío de estos protocolos a través de un servicio de proxy bidireccional completo también proporcionará visibilidad y la capacidad de monitorear qué información y archivos están entrando y saliendo de la red. Estos servicios de proxy incluyen:
Proxy de correo electrónico
Los dispositivos de proxy de correo electrónico pueden filtrar el correo no deseado, realizar análisis de virus y controlar archivos adjuntos de correo electrónico y enlaces HTML. El contenido activo y el código móvil también pueden filtrarse mediante un servicio de proxy. El correo electrónico también puede ser escaneado por contenido, como un tipo de servicio de prevención de pérdida de datos.
Proxy web
Un servicio de proxy web debe proporcionar filtrado bidireccional para los protocolos HTTP y HTTPS basados en dirección URL y/o IP, incluyendo el filtrado de enlaces a direcciones URL, IP y código activo que se puede incrustar en páginas web. El filtrado de contenido y palabras clave también debe emplearse como parte de un servicio de proxy web. El acceso a correo electrónico externo basado en web –una ruta favorita para la exfiltración de propiedad intelectual– puede ser monitoreado o bloqueado.
Antivirus, antimalware y bloqueo de spam
Si no se proporciona en otra parte, como parte de un servidor proxy, por ejemplo, se debe proporcionar escaneo de virus y malware y bloqueo de spam dentro del gateway seguro. Si bien es posible realizar análisis de virus y bloqueo de spam en hosts individuales y computadoras de escritorio, identificar estas amenazas lo más cerca posible del borde, antes de que entren en la red de confianza, es una práctica recomendada.
Análisis del tráfico de red
El análisis del tráfico de la red de computadoras se basa en la recopilación y el análisis de los flujos de IP para determinar las características de la comunicación de red que está teniendo lugar. Netflow de Cisco o el protocolo IPFIX de la Internet Engineering Task Force se utilizan para analizar los flujos de IP.
La información de flujo IP es extremadamente útil para comprender el comportamiento de la red:
- La dirección de origen permite comprender quién es el origen del tráfico;
- La dirección de destino indica quién recibe el tráfico;
- Los puertos caracterizan la aplicación que utiliza el tráfico;
- La clase de servicio examina la prioridad del tráfico;
- La interfaz del dispositivo indica cómo el tráfico está siendo utilizado por el dispositivo de red;
- Los paquetes y bytes tallados muestran la cantidad de tráfico entre cualquier punto de la red;
- La identificación del sistema operativo o la identificación de sistemas operativos deshonestos;
- La identificación del tráfico de red desde las aplicaciones comunes;
- La identificación del tráfico de red desde aplicaciones no deseadas; y
- El monitoreo de la utilización del ancho de banda e identificación del uso inesperado o excesivo del ancho de banda.
Usando esta información, es posible hacer una línea base del comportamiento normal de la red, y luego identificar el comportamiento inesperado o no deseado, incluyendo el comportamiento malicioso. Por ejemplo, si un usuario comienza a transferir grandes cantidades de datos a través del correo electrónico a un lugar fuera de la empresa, sería posible detectar ese comportamiento con el análisis de tráfico de red.