Operaciones de Seguridad

Llegó la era post-perímetro y la ciberseguridad del endpoint

Has leído el titular del post, y algo te has asustado. Pero es normal, seguramente habrás pasado años construyendo defensas perimetrales contra los ataques cibernéticos. Con una combinación estratégica de redes privadas virtuales (VPN) divididas incluso por entornos, sistemas de prevención y detección de intrusos IDS/IPS , Firewalls, antivirus y sistemas SIEM, creando un "foso" alrededor de nuestra red que mantenga alejados, o al menos lo intente, incluso a los atacantes avanzados.
Hasta hace poco, que con las aplicaciones basadas en cloud y el teletrabajo convertido en normalidad, hace que ya no baste con centrarse en las defensas del perímetro. De hecho, el claro perímetro alrededor de los valiosos activos se ha difuminado hasta el punto de que necesitamos un enfoque completamente nuevo en ciberseguridad.
Hemos entrado en la era post-perímetro de la ciberseguridad. Para mantener los datos protegidos, debemos cambiar el enfoque a la seguridad endpoint multicapa.

Las tendencias que han cambiado la naturaleza de los ciberataques.

Los atacantes siempre buscan explotar el eslabón más débil de la red. Pero después de décadas de defensas de ciberseguridad en evolución y una mayor concienciación de los empleados, nuestro perímetro ha pasado a un segundo plano, y ya no es el eslabón más débil.

A día de hoy, hay tres tendencias de trabajo que están cambiando la naturaleza de los ciberataques:

  • BYOD: Permitir que los empleados utilicen dispositivos personales para el trabajo ha creado una "historia perfecta de productividad".  Los dispositivos personales pueden aumentar la productividad en un 34% y ahorrar casi una hora improductiva por día. Estos dispositivos personales brindan a los atacantes, nuevos puntos de entrada a su red a la vez que ocultan el perímetro de su red.
  • Teletrabajo: Los avances en la tecnología han facilitado a los empleados hacer su trabajo fuera de su sede. El 60% de los trabajadores con teletrabajo a tiempo parcial dicen que dejarían sus trabajos para ocupar un puesto  de teletrabajo a tiempo completo. El teletrabajo niega la efectividad de las herramientas de seguridad perimetral, porque los empleados no están dentro de los muros de sus defensas típicos de ciberseguridad.
  • Aplicaciones Cloud: estudios muestran, que el 83% de las cargas de trabajo empresariales pasarán a la cloud en 2020. Sin embargo, el 66% de los profesionales TI dicen que la seguridad es su mayor preocupación con esta nueva realidad. Sin una forma de asegurar las conexiones a estas aplicaciones, los atacantes pondrán en peligro la red independientemente de la inversión en ciberseguridad del perímetro.

Los atacantes ya no están adoptando los enfoques tradicionales para entrar en las defensas perimetrales. En su lugar, se están dirigiendo a los dispositivos endpoint, comprometiendo la actividad vulnerable del navegador de Internet y utilizando la ingeniería social para obtener las credenciales de los empleados, consiguiendo así  acceso a la red.
Los atacantes se han adaptado mucho más rápido que la mayoría de las compañías. Por ello, si no te has alejado de las defensas perimetrales tradicionales, podríamos experimentar algún que otro susto.

Los ataques en endpoints están en aumento

El cambio de los ataques de ciberseguridad tradicionales a los ataques de endpoints que aprovechan las nuevas tendencias en el puesto de trabajo es algo que ya ha llegado. Un estudio realizado en 2018 por el Instituto Ponemon encontró que el estado actual de la seguridad en endpoints, no es lo suficientemente fuerte como para soportar ataques modernos. El estudio descubrió que el software antivirus tradicional no detectó el 57% de los ataques y que a los equipos de TI les llevó un promedio de 102 días corregir las vulnerabilidades de dichos equipos.

Al adaptarnos a las nuevas vulnerabilidades con una estrategia de seguridad endpoint de múltiples capas, podemos obtener beneficios de productividad y rentabilidad sin sacrificar la protección de los datos.

Seguridad en el endpoint en la era post-perimetral.

El hecho de que los atacantes hayan cambiado su enfoque fuera del perímetro tradicional de la red, no significa que debamos deshacernos de las soluciones de seguridad existentes. Sin embargo, las defensas de perímetro son solo una capa del enfoque de múltiples capas que ahora es necesario para proteger nuestros datos.
Debemos aplicar un nuevo modelo (Zero trust) tanto a las defensas perimetrales como a la estrategia de seguridad en endpoints. En lugar de asumir que se puede confiar en el tráfico interno, un modelo de confianza cero requiere la verificación de cada usuario y cada dispositivo que accede a los recursos. Por ejemplo, tenemos un reciente caso de la nasa muy relacionado con la confianza cero en los dispositivos.

Con todos estos nuevos endpoints accediendo a la red, esta es la única forma de evitar que la actividad maliciosa evada nuestras defensas. Los firewalls y soluciones antivirus de próxima generación, depende por ejemplo, de una estrategia de seguridad  endpoint de múltiples niveles y sin confianza :

  • Filtrado de URLs: Restringe el tráfico web para evitar que los usuarios accedan a sitios maliciosos conocidos que podrían llevar a credenciales y endpoints comprometidos.

Vemos un ejemplo con configuración de filtrados url con pfSense y Squid proxy:

  • Detección de endpoints: Debemos supervisar continuamente los endpoints para detectar actividades sospechosas y enviar respuestas en tiempo real cuando se detecte un comportamiento inusual (potencialmente malicioso).
  • Controles de acceso remoto: Debemos asegurar las conexiones remotas con puertas de enlace reforzadas y conexiones VPN, implementar autenticación de dos factores para todos los usuarios y dispositivos, registrar todas las sesiones remotas e implementar una solución de acceso remoto sin cliente para que no haya software en el que los atacantes puedan poner en peligro.
  • Aislar el navegador: Debemos elegir una solución de aislamiento de navegador remoto para ejecutar código activo ejecutable del navegador dentro de un entorno aislado, protegiendo así a los usuarios de los ataques de Zero Day, descargas no autorizadas y otro contenido web malicioso.

En los primeros días de la implantación de los programas BYOD y el teletrabajo, las empresas tradicionales se resistían por temor a incidentes de seguridad que conllevasen importantes costos. Pero ahora, se han convertido en necesidades tanto para la experiencia de los empleados como para la productividad.

En lugar de luchar contra las tendencias del puesto de trabajo, debemos actualizar una estrategia de seguridad y adaptarnos a los cambios. Con el tipo de modelo de seguridad de múltiples niveles de zero trust que se describen en el post, podremos adaptarnos continuamente a los nuevos vectores de amenazas y evitar que los atacantes pongan en peligro nuestros datos más confidenciales.

Author image

About Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!
  • Madrid
comments powered by Disqus