CyberOps Associate: Módulo 18 – Comprendiendo qué es defensa

Última actualización: abril 1, 2022

18.0. Introducción

18.0.1. ¿Por qué debería tomar este módulo?

Proteger nuestras redes seguirá siendo un reto. Millones de nuevos dispositivos se unen a nuestras redes cada año a medida que Internet de las cosas (IoT, Inernet of things) continúa expandiéndose, y las personas necesitan conectar sus propios dispositivos a la red. Además, gracias a sus capacidades inalámbricas, esos dispositivos pueden estar casi en cualquier lugar. Muchas organizaciones deben proteger los usuarios y recursos internos, los trabajadores móviles y los servicios virtuales y basados en la nube, mientras que los atacantes siguen buscando vulnerabilidades que puedan explotarse.

Utilizamos una serie de métodos para proteger nuestras redes, dispositivos y datos. En este capítulo se abordan los enfoques de la defensa de la seguridad de la red y las políticas de seguridad necesarias para asegurarse de que se siguen las prácticas de seguridad.

18.0.2. ¿Qué aprenderé en este módulo?

Título del módulo: Comprendiendo qué es Defensa

Objetivo del módulo: Explicar enfoques para la defensa de seguridad de la red.

Título del Tema Objetivo del Tema
Defensa en profundidad Explicar cómo se utiliza la estrategia de defensa en profundidad para proteger las redes.
Políticas, Regulaciones, y Estándares de Seguridad Explicar las políticas, las regulaciones y los estándares de seguridad.

18.1. Defensa en profundidad

18.1.1. Activos, Vulnerabilidades y Amenazas

Los analistas de ciberseguridad deben prepararse para cualquier tipo de ataque. Es su trabajo proteger los activos de la red de la organización. Para ello, los analistas de ciberseguridad deben identificar primero lo siguiente:

  • Activos – Cualquier elemento de valor para una organización que debe ser protegido, incluidos servidores, dispositivos de infraestructura, terminales y el activo más importante, los datos.
  • Vulnerabilidades – Una debilidad en un sistema o en su diseño que podría ser aprovechada por un atacante.
  • Amenazas – Cualquier daño potencial a un activo.

18.1.2. Identificar los activos

A medida que una organización crece, también lo hacen sus activos, por lo que es posible imaginar la cantidad de activos que debe proteger una organización de gran tamaño. Las organizaciones también pueden adquirir otros activos mediante fusiones con otras empresas. Como resultado, muchas organizaciones solamente tienen una idea general de los activos que necesitan proteger.

Los activos son el conjunto de todos los dispositivos y la información que la organización posee o administra. Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de amenaza. Estos activos deben inventariarse y evaluarse a fin de determinar el nivel de protección necesario para frustrar posibles ataques.

La administración de activos consiste en inventariar todos los activos y, luego, desarrollar e implementar políticas y procedimientos para protegerlos. Esta tarea puede ser agotadora si se tiene en cuenta que muchas organizaciones deben proteger usuarios y recursos internos, trabajadores móviles y servicios virtuales y basados en la nube.

Además, las organizaciones necesitan identificar dónde se almacenan los activos de información fundamentales, y cómo se obtiene acceso a dicha información. Los activos de información varían, al igual que las amenazas contra ellos. Por ejemplo, es posible que una tienda minorista almacene información de las tarjetas de crédito de los clientes. Una empresa de ingeniería almacenará software y diseños que no debe ver la competencia. Un banco almacenará los datos del cliente, información de la cuenta y otra información financiera sensible. Cada uno de estos activos puede atraer distintos agentes de amenaza que tienen distintos niveles de habilidad y motivaciones.

18.1.3. Identificar Vulnerabilidades

La identificación de amenazas le brinda a una organización una lista de probables amenazas en un entorno determinado. Para identificar las amenazas, es importante hacerse varias preguntas:

  • ¿Cuáles son las posibles vulnerabilidades de un sistema?
  • ¿Quién podría aprovechar estas vulnerabilidades para obtener acceso a activos de información específicos?
  • ¿Cuáles serían las consecuencias si alguien aprovecha vulnerabilidades del sistema y se pierden activos?

Para ver un ejemplo, consulte la ilustración

Amenazas de banca electrónica identificadas

La identificación de amenazas para un sistema de banca electrónica incluiría lo siguiente:

  • Peligro del sistema interno – El atacante utiliza los servidores de banca electrónica expuestos para ingresar en un sistema interno del banco.
  • Datos robados de clientes – Un atacante roba los datos personales y financieros de los clientes del banco de la base de datos de clientes.
  • Transacciones falsas desde un servidor externo – Un atacante modifica el código de la aplicación de banca electrónica y hace transacciones haciéndose pasar por un usuario legítimo.
  • Transacciones falsas con una tarjeta inteligente o un PIN robados – Un atacante roba la identidad de un cliente y realiza transacciones maliciosas desde la cuenta comprometida.
  • Ataque al sistema desde el interior – Un empleado del banco encuentra una falla en el sistema y la aprovecha para iniciar un ataque.
  • Errores de ingreso de datos – Un usuario ingresa datos incorrectos o realiza solicitudes incorrectas de transacciones.
  • Destrucción del centro de datos – Un evento catastrófico daña gravemente o destruye el centro de datos.

La identificación de vulnerabilidades en una red requiere comprender las aplicaciones importantes que se utilizan, así como las diferentes vulnerabilidades de esa aplicación y del hardware. Esto puede exigirle al administrador de redes un nivel importante de investigación.

18.1.4. Identificar amenazas

Las organizaciones deben emplear un enfoque de defensa profunda para identificar amenazas y proteger activos vulnerables. En este enfoque se utilizan varias capas de seguridad en el perímetro de la red, dentro de la red y en los puntos terminales de la red.

Para ver un ejemplo, consulte la ilustración.

Enfoque de defensa en profundidad

La ilustración de esta diapositiva muestra una topología simple de un enfoque de defensa en profundidad.

  • Router externo -La primera línea de defensa se conoce como router externo (R1 en la figura). El router externo tiene un conjunto de reglas que especifica el tráfico autorizado y denegado, y pasa por el firewall todas las conexiones destinadas a la red LAN interna.
  • Firewall – La segunda línea de defensa es el firewall. El firewall es un dispositivo de punto de control que efectúa un filtrado adicional y rastrea el estado de las conexiones. Deniega el inicio de conexiones desde las redes externas (no confiables) a la red interna (confiable) mientras permite que los usuarios internos establezcan conexiones bidireccionales con las redes no confiables. También puede realizar la autenticación de usuario (proxy de autenticación) para otorgarles a los usuarios remotos externos acceso a recursos de la red interna.
  • Router interno – Otra linea de defensa es el router interno (R2 en la imagen). Puede aplicar las reglas de filtrado finales en el tráfico antes de que se reenvíe a su destino.

Los routers y firewalls no son los únicos dispositivos que se utilizan en el enfoque de defensa en profundidad. Otros dispositivos de seguridad incluyen Sistemas de Prevención de Intrusiones (IPS, Intrusion Prevention System), Protección Avanzada contra Malware (AMP, Advanced Malware Protection), sistemas de seguridad de contenido web y de correo electrónico, servicios de identidad, controles de acceso a la red y muchos más.

En el enfoque de seguridad de defensa en profundidad por capas, las diferentes capas trabajan juntas para crear una arquitectura de seguridad en la que la falla de una capa de protección no afecte la eficacia de las demás.

18.1.5. La Cebolla de Seguridad y La Alcachofa de Seguridad

Hay dos analogías comunes que se utilizan para describir un enfoque de defensa en profundidad.

  • Cebolla de Seguridad
  • Alcachofa de Seguridad
Una analogía común utilizada para describir un enfoque de defensa en profundidad se denomina “La Cebolla de Seguridad» Cómo se puede observar en la figura, un atacante tendría que quitar las capas de defensa de la red capa por capa, de manera similar a pelar una cebolla. Solo después de penetrar en cada capa el actor de amenazas llegaría al sistema o a los datos a los cuales pretendía llegar.

Nota: El enfoque tipo cebolla descrito en esta página es una manera de visualizar la defensa en profundidad. No debe confundirse con el conjunto de herramientas de seguridad Security Onion.

El panorama cambiante de las redes (por ejemplo, la evolución de las redes sin fronteras) ha cambiado esta analogía de «Cebolla de Seguridad» a «Alcachofa de Seguridad” la cual beneficia al atacante.

Como se puede observar en la imagen, los agentes de amenaza ya no tienen que desprender cada capa. solamente necesitan quitar “hojas de la alcachofa.” La ventaja es que cada “hoja” de la red puede revelar datos sensibles que no están bien protegidos.

Por ejemplo, es más fácil para un agente de amenaza atacar un dispositivo móvil que un servidor o una computadora internos que están protegidos por capas de defensa. Cada dispositivo móvil es una hoja. cada vez que el hacker quita una hoja, encuentra más datos. En el corazón de la alcachofa se encuentran los datos más confidenciales. Cada hoja proporciona una capa de protección que, al mismo tiempo, es un camino para el ataque.

No es necesario quitar cada hoja para llegar al corazón de la alcachofa. Los hackers “descascaran” la armadura de seguridad a lo largo del perímetro para llegar al “corazón” de la empresa.

Mientras que los sistemas orientados a Internet suelen estar muy bien protegidos y las protecciones de los límites suelen ser sólidas, los hackers insistentes, ayudados por una combinación de habilidad y suerte, eventualmente encuentran una brecha en este duro perímetro por la que pueden entrar e ir donde les plazca.

18.2. Políticas, Regulaciones, y Estándares de Seguridad

18.2.1. Políticas de la empresa

Las políticas empresariales son las pautas que desarrollan las organizaciones para regir sus acciones y las de sus empleados. Las políticas definen estándares de comportamiento correcto para la empresa y sus empleados. En el ámbito de las redes, las políticas definen las actividades autorizadas en la red. Esto permite establecer un patrón de referencia de uso aceptable. Si se detecta un comportamiento que viola la política de la empresa en la red, es posible que se haya infringido la seguridad.

Una organización puede tener varias políticas orientadoras, como las que se mencionan en la tabla.

Política Descripción
Políticas de la compañía
  • Estas políticas establecen las normas de conducta y las responsabilidades de empleados y empleadores.
  • Las políticas protegen los derechos de los trabajadores, así como los intereses empresariales de los empleadores.
  • De acuerdo con las necesidades de la organización, las diferentes políticas y procedimientos establecen reglas relativas a la conducta de los empleados, la asistencia, la vestimenta, la privacidad y otras áreas relacionadas con los términos y condiciones de empleo.
Políticas de empleado
  • El personal de recursos humanos crea y mantiene estas políticas para identificar el salario del empleado, el cronograma de pagos, los beneficios, el horario de trabajo, las vacaciones y mucho más.
  • A menudo, se les entregan a los empleados nuevos para que las lean y firmen.
Políticas de seguridad
  • Estas políticas identifican un conjunto de objetivos de seguridad para una empresa, definen las reglas de comportamiento de usuarios y administradores, y especifican los requisitos del sistema.
  • Estos objetivos, reglas y requisitos garantizan la seguridad de una red y de los sistemas informáticos de una organización.
  • De manera muy similar a un plan de continuidad, una política de seguridad es un documento en constante evolución basado en cambios en el panorama de amenazas, las vulnerabilidades y los requisitos empresariales y de los empleados.

18.2.2. Política de seguridad

Una política de seguridad integral tiene varios beneficios:

  • Demuestra el compromiso de una organización con la seguridad
  • Establece las reglas del comportamiento esperado
  • Garantiza la coherencia en las operaciones del sistema, la adquisición y uso del software y hardware, y el mantenimiento
  • Define las consecuencias legales de las violaciones
  • Brinda al personal de seguridad el respaldo para la administración

Las políticas de seguridad se usan para informar a los usuarios, al personal y a los gerentes los requisitos de una organización para proteger la tecnología y los activos de información. Una política de seguridad también especifica los mecanismos necesarios para cumplir con los requisitos de seguridad y proporciona un patrón de referencia para adquirir, configurar y auditar el cumplimiento normativo de sistemas informáticos y redes.

En la siguiente tabla se mencionan las políticas que pueden incluirse en una directiva de seguridad.

Política Descripción
Política de identificación y autenticación Especifican las personas autorizadas que pueden acceder a los recursos de red y a los procedimientos de verificación de identidad.
Políticas de contraseña Garantizan que las contraseñas cumplan con requisitos mínimos y se cambien periódicamente.
Política de uso aceptable (Acceptable Use Policy, AUP) Identifica las aplicaciones de red y los usos que son aceptables por la organización. También pueden identificar las ramificaciones si se infringe esta política.
Política de acceso remoto Identifican cómo los usuarios remotos pueden obtener acceso a la red y qué elementos son accesibles a través de la conectividad remota.
Política de mantenimiento de la red Especifican los sistemas operativos de los dispositivos de la red y los procedimientos de actualización de las aplicaciones de los usuarios finales.
Políticas de manejo de incidentes Describen cómo se manejan los incidentes de seguridad.

Uno de los componentes más comunes de la política de seguridad es una Política de Uso Aceptable (AUP) también denominada política de uso adecuado. Este componente define qué pueden y no pueden hacer los usuarios en los distintos componentes del sistema. Esto incluye el tipo de tráfico que se autoriza en la red. El AUP debe ser lo más explícito posible para evitar la malinterpretación.

Por ejemplo, una AUP puede especificar páginas web, grupos informativos o aplicaciones de uso intensivo de ancho de banda a los que los usuarios tengan prohibido el acceso utilizando las computadoras o la red de la empresa. Todos los empleados deben firmar una AUP y las AUP firmadas deben conservarse durante el término del empleo.

18.2.3. Políticas Bring Your Own Device (BYOD)

Hoy en día, muchas organizaciones también deben admitir el uso de dispositivos propios (BYOD). Esto les permite a los empleados utilizar sus propios dispositivos móviles para tener acceso a sistemas, software, redes o información de la empresa. BYOD proporciona numerosos beneficios clave para las empresas, como el aumento de la productividad, la reducción de costos operacionales y de TI, la optimización de la movilidad para los empleados y mayor atractivo a la hora de contratar y retener empleados.

Sin embargo, estas ventajas también presentan un aumento en el riesgo que corre la seguridad de la información, ya que BYOD puede conducir a violaciones de datos y a una mayor responsabilidad para la organización.

Se debe desarrollar una política de seguridad de BYOD para lograr lo siguiente:

  • Especificar los objetivos del programa BYOD.
  • Identificar qué empleados pueden traer sus propios dispositivos.
  • Identificar cuales dispositivos se admitirán.
  • Identificar el nivel de acceso que se otorgará a los empleados cuando utilicen dispositivos personales.
  • Describir los derechos de acceso y las actividades autorizadas al personal de seguridad en el dispositivo.
  • Identificar qué normas deben respetarse cuando los empleados utilicen sus dispositivos.
  • Identificar medidas de seguridad para poner en marcha si un dispositivo está en riesgo.

En la tabla se mencionan las buenas prácticas de seguridad de BYOD para ayudar a mitigar las vulnerabilidades de BYOD.

Buenas Prácticas Descripción
Acceso protegido por contraseña Usar contraseñas exclusivas para cada dispositivo y cuenta.
Control manual de la conectividad inalámbrica Desactivar la conexión WiFi y la conectividad por Bluetooth cuando no se utilizan. Conectarse solamente a redes de confianza.
Mantener actualizado Mantener actualizados el sistema operativo y el software del dispositivo. El software actualizado suele contener parches de seguridad para mitigar el impacto de las últimas amenazas o ataques.
Realizar un respaldo de sus datos Habilitar la copia de respaldo del dispositivo por si se extravía o se lo roban.
Habilitar Buscar mi dispositivo Suscribirse a un servicio de localización de dispositivo con una característica de barrido remoto.
Usar software antivirus. Proporcionar software antivirus para dispositivos BYOD aprobados.
Usar software de Administración de Dispositivos Móviles (Mobile Device Management, MDM) El software MDM les permite a los equipos de TI implementar configuraciones de seguridad y de software en todos los dispositivos que se conectan a redes de la empresa.

18.2.4. Cumplimiento de Normas y Estándares

También hay reglas externas en materia de seguridad de la red. Los profesionales de seguridad de la red deben estar familiarizados con las leyes y los códigos de ética obligatorios para los profesionales de la Seguridad de los sistemas de Información (INFOSEC, Information Systems Security).

Muchas organizaciones deben desarrollar e implementar políticas de seguridad. Las reglas de cumplimiento definen qué organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen. Las reglas de cumplimiento que una organización está obligada a seguir dependen del tipo de organización y de los datos que maneja. Las reglas de cumplimiento específicas se analizarán más adelante en el curso.

18.3. Resumen Comprendiendo qué es Defensa

18.3.1. ¿Qué aprendí en este módulo?

Defensa en profundidad

En este capítulo, aprendió la importancia de proteger nuestras redes, dispositivos y datos, contra agentes de amenaza. El punto de partida para la defensa de la red es la identificación de activos, vulnerabilidades y amenazas. Activo: cualquier elemento de valor para una organización que debe ser protegido, incluidos servidores, dispositivos de infraestructura, dispositivos terminales y el activo más importante, los datos. La administración de activos consiste en inventariar todos los activos y luego, desarrollar e implementar políticas y procedimientos para protegerlos. Vulnerabilidades: Una debilidad en un sistema o en su diseño que podría ser aprovechada por un atacante. Amenazas: Cualquier posible daño hacia un activo. Las organizaciones deben emplear un enfoque de defensa en profundidad para identificar amenazas y asegurar activos vulnerables. En este enfoque se utilizan varias capas de seguridad en el perímetro de la red, dentro de la red y en los puntos terminales de la red.

Políticas, Regulaciones, y Estándares de Seguridad

Las organizaciones también deben tener un conjunto de políticas que definan las actividades autorizadas en la red. Estas incluyen las políticas de la empresa, las políticas de seguridad, las políticas de BYOD y las políticas que garanticen que la organización cumpla con las normas gubernamentales. Las políticas empresariales definen estándares de comportamiento correcto para la empresa y sus empleados. Las políticas de seguridad se usan para informar a los usuarios, al personal y a los gerentes los requisitos de una organización para proteger la tecnología y los activos de información. Algunas directivas de seguridad comunes incluyen la política de uso aceptable, la política de acceso remoto, la política de mantenimiento de red y los procedimientos de manejo de incidentes. El propósito de las políticas Bring your Own Device (BYOD) permiten a los empleados utilizar sus propios dispositivos móviles para tener acceso a sistemas, software, redes o información de la empresa. BYOD proporciona numerosos beneficios clave para las empresas, como el aumento de la productividad, la reducción de costos operacionales y de TI, la optimización de la movilidad para los empleados y mayor atractivo a la hora de contratar y retener empleados.

Cumplimiento Normativo y de Estándares.

Las reglas de cumplimiento definen qué organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen. Las reglas de cumplimiento que una organización está obligada a seguir dependen del tipo de organización y de los datos que maneja.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax