Proteger nuestras redes seguirá siendo un reto. Millones de nuevos dispositivos se unen a nuestras redes cada año a medida que Internet de las cosas (IoT, Internet of things) continúa expandiéndose, y las personas necesitan conectar sus propios dispositivos a la red. Además, gracias a sus capacidades inalámbricas, esos dispositivos pueden estar casi en cualquier lugar. Muchas organizaciones deben proteger los usuarios y recursos internos, los trabajadores móviles y los servicios virtuales y basados en la nube, mientras que los atacantes siguen buscando vulnerabilidades que puedan explotarse
1. Comprendiendo que es defensa
Proteger nuestras redes seguirá siendo un reto. Millones de nuevos dispositivos se unen a
nuestrasredescada año a medida que Internetde las cosas (IoT, Internetof things) continúa
expandiéndose, y las personas necesitan conectar sus propios dispositivos a la red.
Además, gracias a sus capacidades inalámbricas, esos dispositivos pueden estar casi en
cualquier lugar. Muchas organizaciones deben proteger los usuarios y recursos internos, los
trabajadores móviles y los servicios virtuales y basados en la nube, mientras que los
atacantes siguen buscando vulnerabilidades que puedan explotarse.
Utilizamos una serie de métodos para proteger nuestras redes, dispositivos y datos. En este
capítulo se abordan los enfoques de la defensa de la seguridad de la red y las políticas de
seguridad necesarias para asegurarse de que se siguen las prácticas de seguridad.
Activos, Vulnerabilidadesy Amenazas
Los analistas de ciberseguridad deben prepararse para cualquier tipo de ataque. Es su
trabajo proteger los activos de la red de la organización. Para ello, los analistas de
ciberseguridad deben identificar primero lo siguiente:
Activos - Cualquier elemento de valor para una organización que debe ser
protegido, incluidos servidores, dispositivos de infraestructura, terminales y el activo
más importante, los datos.
Vulnerabilidades - Una debilidad en un sistema o en su diseño que podría ser
aprovechada por un atacante.
Amenazas - Cualquier daño potencial a un activo.
Identificar los activos
A medida que una organización crece, también lo hacen sus activos, por lo que es posible
imaginar la cantidad de activos que debe proteger una organización de gran tamaño. Las
organizaciones también pueden adquirir otros activos mediante fusiones con otras
empresas. Como resultado, muchas organizaciones solamente tienen una idea general de
los activos que necesitan proteger.
2. Los activos son el conjunto de todos los dispositivos y la información que la organización
posee o administra. Los activos constituyen la superficie de ataque a la que podrían
apuntar los agentes de amenaza. Estos activos deben inventariarse y evaluarse a fin de
determinar el nivel de protección necesario para frustrar posibles ataques.
La administración de activos consiste en inventariar todos los activos y, luego, desarrollar e
implementar políticas y procedimientos para protegerlos. Esta tarea puede ser agotadora si
se tiene en cuenta que muchas organizaciones deben proteger usuarios y recursos
internos, trabajadores móviles y servicios virtuales y basados en la nube.
Además, las organizaciones necesitan identificar dónde se almacenan los activos de
información fundamentales, y cómo se obtiene acceso a dicha información. Los activos de
información varían, al igual que las amenazas contra ellos. Por ejemplo, es posible que
una tienda minorista almacene información de las tarjetas de crédito de los clientes. Una
empresa de ingeniería almacenará software y diseños que no debe ver la competencia. Un
banco almacenará los datos del cliente, información de la cuenta y otra información
financiera sensible. Cada uno de estos activos puede atraer distintos agentes de amenaza
que tienen distintos niveles de habilidad y motivaciones.
Identificar Vulnerabilidades
La identificación de amenazas le brinda a una organización una lista de probables
amenazas en un entorno determinado. Para identificar las amenazas, es importante
hacerse varias preguntas:
¿Cuáles son las posibles vulnerabilidades de un sistema?
¿Quién podría aprovechar estas vulnerabilidades para obtener acceso a activos de
información específicos?
¿Cuáles serían las consecuencias si alguien aprovecha vulnerabilidades del
sistema y se pierden activos?
Para ver un ejemplo, consulte la ilustración
En la figura, se ven varios tipos de amenazas de banca electrónica.
3. Amenazas de banca electrónica
identificadas
La identificación de amenazas para un sistema de banca electrónica incluiría lo siguiente:
Peligro del sistema interno - El atacante utiliza los servidores de banca
electrónica expuestos para ingresar en un sistema interno del banco.
Datos robados de clientes - Un atacante roba los datos personales y financieros
de los clientes del banco de la base de datos de clientes.
Transacciones falsas desde un servidor externo - Un atacante modifica el
código de la aplicación de banca electrónica y hace transacciones haciéndose
pasar por un usuario legítimo.
Transacciones falsas con una tarjeta inteligente o un PIN robados - Un
atacante roba la identidad de un cliente y realiza transacciones maliciosas desde la
cuenta comprometida.
Ataque al sistema desde el interior - Un empleado del banco encuentra una falla
en el sistema y la aprovecha para iniciar un ataque.
Errores de ingreso de datos - Un usuario ingresa datos incorrectos o realiza
solicitudes incorrectas de transacciones.
Destrucción del centro de datos - Un evento catastrófico daña gravemente o
destruye el centro de datos.
La identificación de vulnerabilidades en una red requiere comprender las aplicaciones
importantes que se utilizan, así como las diferentes vulnerabilidades de esa aplicación y
del hardware. Esto puede exigirle al administrador de redes un nivel importante de
investigación.
4. Identificar amenazas
Las organizaciones deben emplear un enfoque de defensa profunda para identificar
amenazas y proteger activos vulnerables. En este enfoque se utilizan varias capas de
seguridad en el perímetro de la red, dentro de la red y en los puntos terminales de la red.
Para ver un ejemplo, consulte la ilustración.
La figura muestra una nube de Internet conectada al router R1 que se conecta a un
firewall. En el otro lado del firewall está el router R2 que también se conecta a una nube
etiquetada lan 1 192 punto 168 punto 2 punto 0. Un router protege el tráfico antes de
reenviarlo a un dispositivo de firewall dedicado como, por ejemplo, el Cisco ASA.
Enfoque de defensa en profundidad
La Cebolla de Seguridad y La Alcachofa
de Seguridad
Hay dos analogías comunes que se utilizan para describir un enfoque de defensa en
profundidad.
Cebolla de Seguridad
Alcachofa de Seguridad
Una analogía común utilizada para describir un enfoque de defensa en profundidad se
denomina “La Cebolla de Seguridad" Cómo se puede observar en la figura, un atacante
tendría que quitar las capas de defensa de la red capa por capa, de manera similar a pelar
una cebolla. Solo después de penetrar en cada capa el actor de amenazas llegaría al
sistema o a los datos a los cuales pretendía llegar.
Nota: El enfoque tipo cebolla descrito en esta página es una manera de visualizar la
defensa en profundidad. No debe confundirse con el conjunto de herramientas de
seguridad Security Onion.
5. La figura de cebolla de seguridad muestra una cebolla con varias capas dentro de ella. La
cebolla está etiquetada como: Activos A la derecha hay palabras y flechas que apuntan a
las diferentes capas: dispositivos fortalecidos; autenticación, autorización y contabilidad (A
A A); filtrado de contenido; Sistemas de Prevención de Intrusiones (I P S); firewall.
La Alcachofa de seguridad
El panorama cambiante de las redes (por ejemplo, la evolución de las redes sin fronteras)
ha cambiado esta analogía de "Cebolla de Seguridad" a "Alcachofa de Seguridad” la cual
beneficia al atacante.
Como se puede observar en la imagen, los agentes de amenaza ya no tienen que
desprender cada capa. solamente necesitan quitar “hojas de la alcachofa.” La ventaja es
que cada “hoja” de la red puede revelar datos sensibles que no están bien protegidos.
Por ejemplo, es más fácil para un agente de amenaza atacar un dispositivo móvil que un
servidor o una computadora internos que están protegidos por capas de defensa. Cada
dispositivo móvil es una hoja. cada vez que el hacker quita una hoja, encuentra más datos.
En el corazón de la alcachofa se encuentran los datos más confidenciales. Cada hoja
proporciona una capa de protección que, al mismo tiempo, es un camino para el ataque.
No es necesario quitar cada hoja para llegar al corazón de la alcachofa. Los hackers
“descascaran” la armadura de seguridad a lo largo del perímetro para llegar al “corazón”
de la empresa.
Mientras que los sistemas orientados a Internet suelen estar muy bien protegidos y las
protecciones de los límites suelen ser sólidas, los hackers insistentes, ayudados por una
combinación de habilidad y suerte, eventualmente encuentran una brecha en este duro
perímetro por la que pueden entrar e ir donde les plazca.
6. Políticas, Regulaciones, y
Estándares de Seguridad
18.2.1
Políticas de la empresa
Las políticas empresariales son las pautas que desarrollan las organizaciones para regir
sus acciones y las de sus empleados. Las políticas definen estándares de comportamiento
correcto para la empresa y sus empleados. En el ámbito de las redes, las políticas definen
las actividades autorizadas en la red. Esto permite establecer un patrón de referencia de
uso aceptable. Si se detecta un comportamiento que viola la política de la empresa en la
red, es posible que se haya infringido la seguridad.
Una organización puede tener varias políticas orientadoras, como las que se mencionan
en la tabla.
7. Política de seguridad
Una política de seguridad integral tiene varios beneficios:
Demuestra el compromiso de una organización con la seguridad
Establece las reglas del comportamiento esperado
Garantiza la coherencia en las operaciones del sistema, la adquisición y uso del
software y hardware, y el mantenimiento
Define las consecuencias legales de las violaciones
Brinda al personal de seguridad el respaldo para la administración
Las políticas de seguridad se usan para informar a los usuarios, al personal y a los
gerentes los requisitos de una organización para proteger la tecnología y los activos de
información. Una política de seguridad también especifica los mecanismos necesarios para
cumplir con los requisitos de seguridad y proporciona un patrón de referencia para adquirir,
configurar y auditar el cumplimiento normativo de sistemas informáticos y redes.
En la siguiente tabla se mencionan las políticas que pueden incluirse en una directiva de
seguridad.
8. Uno de los componentes más comunes de la política de seguridad es una Política de Uso
Aceptable (AUP) también denominada política de uso adecuado. Este componente define
qué pueden y no pueden hacer los usuarios en los distintos componentes del sistema.
Esto incluye el tipo de tráfico que se autoriza en la red. El AUP debe ser lo más explícito
posible para evitar la malinterpretación.
Por ejemplo, una AUP puede especificar páginas web, grupos informativos o aplicaciones
de uso intensivo de ancho de banda a los que los usuarios tengan prohibido el acceso
utilizando las computadoras o la red de la empresa. Todos los empleados deben firmar
una AUP y las AUP firmadas deben conservarse durante el término del empleo
Políticas Bring Your Own Device (BYOD)
Hoy en día, muchas organizaciones también deben admitir el uso de dispositivos propios
(BYOD). Esto les permite a los empleados utilizar sus propios dispositivos móviles para
tener acceso a sistemas, software, redes o información de la empresa. BYOD proporciona
numerosos beneficios clave para las empresas, como el aumento de la productividad, la
reducción de costos operacionales y de TI, la optimización de la movilidad para los
empleados y mayor atractivo a la hora de contratar y retener empleados.
Sin embargo, estas ventajas también presentan un aumento en el riesgo que corre la
seguridad de la información, ya que BYOD puede conducir a violaciones de datos y a una
mayor responsabilidad para la organización.
Se debe desarrollar una política de seguridad de BYOD para lograr lo siguiente:
Especificar los objetivos del programa BYOD.
Identificar qué empleados pueden traer sus propios dispositivos.
Identificar cuales dispositivos se admitirán.
Identificar el nivel de acceso que se otorgará a los empleados cuando utilicen
dispositivos personales.
Describir los derechos de acceso y las actividades autorizadas al personal de
seguridad en el dispositivo.
Identificar qué normas deben respetarse cuando los empleados utilicen sus
dispositivos.
Identificar medidas de seguridad para poner en marcha si un dispositivo está en
riesgo.
9. En la tabla se mencionan las buenas prácticas de seguridad de BYOD para ayudar a
mitigar las vulnerabilidades de BYOD.
Módulo 18: Cuestionario Comprendiendo
qué es defensa
1.
¿Cómo cambia BYOD la forma en que las empresas implementan las redes?
Tema 18.2.0 - Un entorno Bring Your Own Device (BYOD) requiere que la
organización admita una variedad de dispositivos y métodos de acceso.
Los dispositivos personales, que la empresa no controla, pueden estar
involucrados, por lo que la seguridad es esencial. Los costos de hardware
en el sitio se reducen, lo que permite que las empresas se concentren en
brindar herramientas de colaboración y otros softwares a los usuarios
BYOD.
Los dispositivos BYOD son más costosos que los dispositivos que compran las
organizaciones.
BYOD brinda flexibilidad con respecto a cuándo y cómo los usuarios pueden
acceder a los recursos de red.
BYOD requiere que las organizaciones compren PC portátiles en lugar de
computadoras de escritorio.
10. Los usuarios BYOD son responsables de la seguridad de su red, por lo que se
reduce la necesidad de políticas de seguridad dentro de la organización.
2. ¿Qué dispositivo suele ser la primera línea de defensa de un enfoque de defensa en
profundidad con varias capas?
Tema 18.1.0 - El router externo conecta una organización con un
proveedor de servicios. El router perimetral tiene un conjunto de reglas
que especifican el tráfico permitido o denegado.
Switch de capa de acceso
Router externo
Firewall
Router interno
3. Con la evolución de las redes sin fronteras, ¿qué vegetal se usa en este momento
para describir un enfoque de defensa en profundidad?
Tema 18.1.0 - Actualmente, se utiliza la alcachofa a modo de analogía
visual para describir un enfoque para la seguridad de defensa en
profundidad. La cebolla solía ser descriptiva porque el atacante sacaba
cada capa de los mecanismos de defensa de la red. Ahora, se utiliza la
alcachofa porque un solo pétalo o una sola hoja puede desplazarse o
quitarse para revelar información confidencial.
Alcachofa
Cebolla
Lechuga
Repollo
4. ¿Qué tipo de política de la empresa establece las reglas de conducta y las
responsabilidades de los empleados y los empleadores?
Tema 18.2.0 - Las políticas empresariales establecen una línea base de
uso aceptable. Las políticas de la compañía establecen las reglas, la
conducta y las responsabilidades de los empleados y del empleador. Las
11. políticas de la compañía brindan protección a los derechos de los
trabajadores, así como a los intereses comerciales de la compañía.
Compañía
Empleado
Datos
Seguridad
5. Un administrador está preocupado por restringir qué aplicaciones y usos de red son
aceptables para la organización. ¿Qué componente de directiva de seguridad utiliza
el administrador para resolver estas preocupaciones?
Tema 18.2.0 - La política de uso aceptable (AUP, Acceptable Use Policy)
identifica cuales aplicaciones de la red y usos son aceptables para una
organización.
Política de acceso remoto
Políticas de manejo de incidentes
Políticas de mantenimiento de la red
Política de uso aceptable
6. ¿Qué componente de una política de seguridad define explícitamente el tipo de
tráfico permitido en una red y lo que los usuarios tienen permitido hacer o no tienen
permitido hacer?
Tema 18.2.0 Las políticas de seguridad especifican requisitos y
proporcionan un patrón de referencia para las organizaciones. Las
políticas de seguridad pueden incluir lo siguiente:
-Políticas de identificación y autenticación que determinan las personas
autorizadas que pueden acceder a los recursos de red y los
procedimientos de verificación.
-Políticas de contraseña que garantizan el cumplimiento de los requisitos
mínimos, así como la aplicación y la actualización de los métodos de
autenticación
-Políticas de acceso remoto que identifican cómo los usuarios remotos
12. pueden acceder a la red y a qué tienen permitido conectarse
-Políticas de uso aceptable que identifican las aplicaciones de red y el uso
de la red permitidos dentro de la organización
Política de acceso remoto
Política de uso aceptable
Políticas de identificación y autenticación
Políticas de contraseña
7. ¿Qué dispositivo se usaría como tercera línea de defensa en un enfoque de defensa
en profundidad?
Tema 18.1.0 - En un enfoque de defensa en profundidad, el router
perimetral formaría la primera línea de defensa. El firewall sería la
segunda línea de defensa seguida por el router interno que formaba la
tercera línea de defensa.
Firewall
Router perimetral
Host
Router interno
8.
13. Consultar la ilustración. La política de seguridad de una empresa permite a los
empleados conectarse a la intranet de la oficina desde sus hogares. ¿Qué tipo de
política de seguridad es ésa?
Tema 18.2.0 - La sección de política de acceso remoto de una política de
seguridad corporativa identifica cómo los usuarios remotos pueden
acceder a una red y a qué se puede acceder a través de conectividad
remota.
Mantenimiento de red
Acceso remoto
Manejo de incidentes
Uso aceptable
9. ¿Cuál de las siguientes es una característica de un enfoque para la seguridad de
defensa en profundidad con varias capas?
En el enfoque de seguridad de defensa en profundidad por capas, las
diferentes capas trabajan juntas para crear una arquitectura de seguridad
en la que la falla de una capa de protección no afecte la eficacia de las
demás.
Las capas establecen una línea de base de uso aceptable de la red.
Las capas definen un conjunto de objetivos de seguridad para una empresa y
definen las reglas de comportamiento para usuarios y administradores.
Una falla de protección no afecta la eficacia de otras medidas de protección.
Las diferentes capas trabajan de forma aislada para crear una arquitectura de
seguridad.
10. ¿Cuál de las siguientes es una buena práctica de BYOD?
Tema 18.2.0 - Una de las buenas prácticas para los dispositivos BYOD es
suscribirse a un servicio de localizador de dispositivos con función de
borrado remoto en caso de pérdida o robo del dispositivo.
14. utilizar una contraseña compleja global para todos los dispositivos BYOD
suscribirse a un servicio de localización de dispositivo con una característica de
barrido remoto.
hacer que todos los usuarios instalen un programa antivirus de su elección en el
dispositivo BYOD
desactivar el uso del software MDM en cualquiera de los dispositivos BYOD
11. ¿Qué definen las regulaciones de cumplimiento de seguridad?
Tema 18.2.0 -Las reglas de cumplimiento definen qué organizaciones
deben hacerlo y qué responsabilidad tienen si no las cumplen. Las reglas
de cumplimiento que una organización está obligada a seguir dependerán
del tipo de organización y de los datos que maneja.
a que sitios web no pueden acceder los usuarios
que organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen.
que dispositivos de seguridad se pueden utilizar
que mecanismos de defensa en profundidad adoptar
12. ¿Qué dispositivo se usaría como segunda línea de defensa en un enfoque de
defensa en profundidad?
Tema 18.1.0 - En un enfoque de defensa en profundidad, el router externo
formaría la primera línea de defensa. El firewall sería la segunda línea de
defensa seguida por el router interno que formaba la tercera línea de
defensa.
Switch
Router interno
Router perimetral
15. Firewall
13. ¿Qué dos áreas debe entender una persona responsable de la seguridad de TI para
identificar vulnerabilidades en una red? (Elija dos opciones).
Tema 18.1.0 - Para identificar vulnerabilidades en la seguridad, un
experto en ciberseguridad debe entender las aplicaciones que se utilizan
y las vulnerabilidades asociadas, así como el hardware utilizado.
Hardware utilizado por las aplicaciones
Tendencias en el análisis de datos
Datos de determinación de línea de base de red
Aplicaciones importantes utilizadas
Cantidad de sistemas en cada red