Los tipos de seguridad de red que implemente deber¨ªan basarse en el entorno de las amenazas. Esto incluye las vulnerabilidades, vectores y agentes de amenazas actuales. Por lo tanto, los controles deben a?adirse al entorno de su red para reducir la probabilidad y el impacto de un posible ataque.?
La seguridad a?adida a un entorno de red deber¨ªa basarse en el panorama de amenazas que existe hoy en d¨ªa y que se espera que siga existiendo el d¨ªa de ma?ana. Esto se aplica al hogar, las empresas o las redes proveedoras de servicios.
Una seguridad de la red efectiva tiene en cuenta las vulnerabilidades, los hackers y los dem¨¢s agentes de amenazas conocidos y las tendencias de ataque actuales. Para a?adir seguridad a una red de la manera adecuada, debe entender todos los activos expuestos de su empresa y c¨®mo pueden verse comprometidos.
El entorno o panorama de amenazas incluye muchos elementos que son importantes identificar y entender. Esto le proporciona el conocimiento necesario para tomar las medidas apropiadas.
Vamos a comenzar con los agentes de amenazas. Estos son los que lanzan ataques y entran en los sistemas. Los agentes maliciosos son personas o entidades y tienen una variedad de diferentes objetivos dependiendo del tipo de agente que sean.
Un vector de amenaza es el camino que sigue el ataque. Podr¨ªa ser tan sencillo como que el atacante le pidiese f¨ªsicamente a alguien que le abriese la puerta de un edificio, lo cual es b¨¢sicamente ingenier¨ªa social. Podr¨ªa ser mucho m¨¢s complicado y requiere que se consigan un gran n¨²mero de habilidades.
Por ejemplo, es normal que un ataque comience con un ataque de ingenier¨ªa social que se conoce como phishing. Un usuario cae en un email de phishing. Este instala un software en el sistema y el software abre una puerta trasera en el sistema. El hacker realiza un exploit de la puerta trasera para acceder al sistema y navegar o moverse de forma lateral por toda la red.
Las vulnerabilidades son debilidades o imperfecciones que existen en la tecnolog¨ªa. Esto incluye productos de seguridad como firewalls, antivirus y anti-malware. Tambi¨¦n hace se refiere a dispositivos normales de endpoint como servidores, estaciones de trabajo, equipos port¨¢tiles, c¨¢maras, termostatos y refrigeradores. Adem¨¢s, incluye dispositivos de red como enrutadores y conmutadores. Las vulnerabilidades se clasifican en tres categor¨ªas:
?
Los sitios como Mitre registran los dos primeros tipos y se conocen como la lista de (CVE, por sus siglas en ingl¨¦s). El National Institute of Standards and Technology (NIST) tiene otro sitio en el que compila una lista de vulnerabilidades conocidas llamada la (NVD, por sus siglas en ingl¨¦s).
Encuentra las vulnerabilidades mediante la ejecuci¨®n de an¨¢lisis de vulnerabilidad en su red. Buenas herramientas como de Tenable enlazan de forma autom¨¢tica el software descubierto con las bases de datos de vulnerabilidades conocidas. Los an¨¢lisis de vulnerabilidades informan sobre posibles vulnerabilidades, pero no confirman si se pueden aprovechar. El siguiente paso es confirmar si se pueden aprovechar en una red y actuar para proteger los sistemas.
Por ejemplo, si hay un Windows Server?2019 de Microsoft en su red, el an¨¢lisis de vulnerabilidad deber¨ªa detectar a Zerologon, un problema que podr¨ªa afectar a este servidor. El an¨¢lisis primero descubre que hay un Windows Server?2019 y despu¨¦s busca en la base de datos vulnerabilidades conocidas.
Este an¨¢lisis deber¨ªa descubrir un del NIST llamado Zerologon que le proporciona privilegios inapropiados. Este CVE tiene un Sistema de puntuaci¨®n de vulnerabilidad com¨²n (CVSS, por sus siglas en ingl¨¦s) de 10?de?10, lo que quiere decir que es el peor escenario y que debe solucionarse de inmediato. La p¨¢gina de CVE tiene enlaces a avisos, soluciones y herramientas. Tambi¨¦n cita la p¨¢gina de la (CWE), la cual proporciona m¨¢s informaci¨®n sobre un ataque.
Hay muchas herramientas y metodolog¨ªas diferentes que una empresa puede utilizar para evaluar una red en cuanto a sus vulnerabilidades de red. Un m¨¦todo es simular un ataque a la empresa, lo cual tambi¨¦n se conoce como una prueba de penetraci¨®n o pentest. En estas ocasiones, las empresas utilizan a hackers ¨¦ticos.
Cuando los hackers ¨¦ticos atacan una red, encuentran vulnerabilidades espec¨ªficas de esa red. Lo que convierte a estos hackers en ¨¦ticos es que tienen permiso para atacar un sistema. Podr¨ªan demostrar que las vulnerabilidades de la lista de la CVE existen en esa red o podr¨ªan descubrir una configuraci¨®n err¨®nea o vulnerabilidades desconocidas.
Una forma de ejecutar una pentest es con equipos rojos y azules. El equipo rojo utiliza herramientas reales de hackers e intentan romper las defensas que existen en la red. El equipo azul es un equipo de respuesta ante incidentes que utiliza manuales o planes de respuesta ante incidentes existentes para responder a los ataques activos.
Cuando estos dos equipos trabajan juntos en una pentest, los beneficios son mejores que con una pentest est¨¢ndar. El equipo rojo descubre las vulnerabilidades y el equipo azul puede practicar la respuesta. Ser¨¢n hackers de verdad los que ataquen las redes, as¨ª que es importante que el equipo de respuesta ante incidentes est¨¦ preparado. La pr¨¢ctica es vital en ese punto.
El objetivo de la seguridad de una red es, primero y, ante todo, prevenir ataques. Cuando ocurre un ataque, el primer paso es detectarlo. Cuando se conoce el ataque, es importante responder. Ejecutar un protocolo de intervenci¨®n y evaluar el da?o, comprender del alcance y aplicar parches en las vulnerabilidades o en el camino utilizado para ejecutar el ataque. Este proceso se llama prevenir, detectar y responder (PDR).
La prevenci¨®n supone un fortalecimiento de los sistemas y una defensa de estos mediante controles de seguridad. Fortalecer un sistema incluye lo siguiente:
La detecci¨®n se realiza principalmente mediante registros. Los sistemas como los Sistemas de detecci¨®n de intrusiones (IDS, por sus siglas en ingl¨¦s) observan el tr¨¢fico y registran la actividad sospechosa. El sistema registra la actividad y la env¨ªa a un servidor syslog. Un sistema de Gesti¨®n de eventos e informaci¨®n de seguridad (SIEM, por sus siglas en ingl¨¦s) relaciona y analiza los registros que alertan al personal de seguridad sobre Indicadores de compromiso (IoC, por sus siglas en ingl¨¦s). El departamento de seguridad o el equipo de respuesta ante incidentes toman acciones para comprobar si es un compromiso real y corrige el entorno para que no vuelva a suceder.
La respuesta puede ser tan simple como descargar un parche a un sistema, pero tambi¨¦n podr¨ªa suponer bastante trabajo. Podr¨ªa ser necesario analizar las configuraciones existentes en los firewalls, los sistemas de prevenci¨®n de intrusiones (IPS), enrutadores y todos los dispositivos y softwares de seguridad y redes para averiguar qu¨¦ es lo que est¨¢ mal configurado.
Una respuesta tambi¨¦n puede consistir en a?adir herramientas de seguridad nuevas o diferentes a la red. Este puede ser un proceso extenso que incluya la creaci¨®n de un plan comercial.