Tabla de contenido:
Video: 18. Seguridad de redes en capas OSI: presentación y capa 1 con VLAN (Noviembre 2024)
Estaba cenando en Washington, DC con el ex zar nacional de ciberseguridad Richard Clarke, ahora presidente y CEO de Good Harbor Security Risk Management, cuando explicó que una buena seguridad perimetral no es suficiente para proteger su red. "Los malos", explicó Clarke, "ya están dentro de su red".
La seguridad por capas es algo de lo que probablemente hayas oído hablar antes, pero para muchos en TI, sigue siendo un misterio. ¿Cómo se crean capas de seguridad? ¿Cómo decides cuántas capas necesitas? ¿Qué deberían proteger las capas? ¿Puede haber demasiadas capas?
La respuesta dependerá de su red, la naturaleza de su negocio y su nivel de riesgo. Pero es importante recordar que su nivel de riesgo puede verse afectado por sus socios comerciales. Entonces, si usted es un proveedor o contratista, por ejemplo, su nivel de riesgo será el mismo que el de ellos porque esos tipos malos tratarán de usarlo como un camino hacia sus socios comerciales.
Las capas se basan en los datos que necesita proteger. Esto significa que debe asegurarse de que sus datos se conservan, y también debe asegurarse de que no se los puedan quitar. Y, por supuesto, debe asegurarse de que su red esté protegida contra daños para que su empresa no se vea afectada.
Preservando sus datos
La preservación de datos es la primera capa crítica. Esto requiere que se asegure de que una copia de sus datos importantes esté en un almacenamiento seguro donde sea inaccesible para los piratas informáticos u otros, incluidos los empleados descontentos. Para la mayoría de las empresas, tales copias de seguridad deberían existir en el centro de datos donde puede acceder a ellas fácilmente cuando sea necesario, y también en la nube, donde la manipulación es mucho más difícil. Hay una serie de servicios de nube pública que manejarán las copias de seguridad, incluidos Amazon Web Services (AWS), Google Cloud e IBM Cloud, así como servicios de copia de seguridad dedicados como Carbonite, que recientemente adquirió a su competidor Mozy.
Esos respaldos se pueden respaldar en ubicaciones geográficamente diversas, lo que ayuda a garantizar que no se vean comprometidos en un solo desastre. Por lo general, todo el proceso de copia de seguridad se puede automatizar, por lo que, una vez que esté todo configurado, lo único que debe hacer es confirmar la integridad de sus copias de seguridad según sea necesario.
Luego está la protección de datos, lo que significa que tiene que ser inaccesible e inutilizable si alguien la encuentra. Para hacer que sus datos sean inaccesibles, debe segmentar su red para que obtener acceso a una parte de la red no signifique que pueda acceder a todo. Por ejemplo, si Target había segmentado su red cuando fue violada a través de su sistema HVAC en 2013, los piratas informáticos no pudieron acceder a otros datos.
La segmentación de red requiere enrutadores que deniegan el acceso de forma predeterminada y solo permiten conexiones de red desde nodos de red específicos, que los enrutadores filtran mediante su Control de acceso a medios (MAC) o direcciones IP. Los firewalls internos también pueden realizar esta función y pueden ser más flexibles en aplicaciones complejas.
Pasar por alto el cifrado es un gran error
Además de la segmentación, sus datos también deben estar encriptados, tanto mientras se transfieren a través de la red como mientras se almacenan. El cifrado es fácil de lograr porque se realiza de forma predeterminada en software inalámbrico y de acceso a la nube, y todos los sistemas operativos (SO) modernos proporcionan cifrado como un servicio estándar. Sin embargo, la falta de encriptación de datos críticos es quizás la mayor causa de pérdida de datos en las violaciones recientes.
Las razones por las que dichos datos no están encriptados, a pesar de los requisitos legales en muchos casos para hacerlo, se pueden resumir en cuatro palabras: pereza, incompetencia, ignorancia y estupidez. Simplemente no hay excusa para no cifrar sus datos.
Finalmente, hay protección de red. Además de proteger sus datos, también debe asegurarse de que su red no se use como plataforma para lanzar ataques, y debe asegurarse de que sus dispositivos de red no se usen contra usted. Esto es especialmente un problema con las redes que incluyen controladores de máquinas en su almacén o fábrica, y es un problema con sus dispositivos de Internet de las cosas (IoT).
- No sabotear su propia seguridad, capacitar a sus usuarios No sabotear su propia seguridad, capacitar a sus usuarios
- Comience a proteger su red de las amenazas de IoT de grado del consumidor Comience a proteger su red de las amenazas de IoT de grado del consumidor
- Encontrar y arreglar la seguridad en el perímetro de su red Encontrar y arreglar la seguridad en el perímetro de su red
Este es un problema importante porque muchos dispositivos de red tienen poca o ninguna seguridad propia. Por lo tanto, es bastante fácil usarlos como plataforma para lanzar un ataque de denegación de servicio (ataque DoS) o desviar sus datos como una forma de vigilar las operaciones de su empresa. También se pueden usar como base de operaciones contra su red. Como no puede eliminar estos dispositivos, lo mejor que puede hacer es colocarlos en su propia red, protegerlos tanto como sea posible y luego no dejar que se conecten directamente a su red interna.
Aquí hemos discutido varias capas y, en algunos casos, su red puede requerir más. Pero es importante recordar que cada capa requiere administración y que la protección necesaria para cada capa debe existir en una red con otras capas de seguridad. Esto significa que es fundamental que tenga el personal para administrar cada capa y que la seguridad en cada capa no afecte negativamente la seguridad en otra.
También es importante evitar la solución del día, lo que significa seguridad única para combatir una amenaza específica. Es fácil dejarse atrapar por una especie de golpe de seguridad y terminar con un desastre inmanejable. En su lugar, elija un enfoque de base amplia en el que la amenaza del día no requiera otra capa.
