Por qué los firewalls no son suficientes para la contención del ransomware

No hace mucho tiempo, los administradores de red y los profesionales de la seguridad dependían exclusivamente de firewalls físicos o virtuales para contener las brechas de seguridad. Pero con la proliferación de redes, el auge de la nube y una explosión de ransomware y otros ataques, las organizaciones necesitan un nuevo enfoque.

Lo que las compañías necesitan hoy en día es una forma rentable y fácil de gestionar para hacer cumplir la microsegmentación. En otras palabras, necesitan un método para aislar máquinas, redes y aplicaciones comprometidas para que no puedan propagar ransomware en todo el entorno de TI de la organización.

La segmentación basada en host señala el camino a seguir gracias a la facilidad de uso, escalabilidad y asequibilidad potenciales. He aquí por qué.

Tres opciones para la segmentación

La segmentación se divide en tres grandes categorías:

1. Segmentación a través de la red
2. Segmentación a través de firewalls
3. Segmentación basada en host

Los administradores de red solían depender de la arquitectura de las redes para ayudar a proteger los datos. Aislaban las aplicaciones y las cargas de trabajo dentro de las redes para evitar que compartieran datos. De esta manera, las máquinas comprometidas no podrían interferir con máquinas o cargas de trabajo en redes separadas. Las redes virtuales y las LAN virtuales cumplían esta función, así como las redes físicas.

Por ejemplo, los administradores podrían colocar los sistemas financieros en una red virtual y los sistemas de recursos humanos en una red diferente, evitando que se comuniquen entre sí.

Puede pensar en este enfoque como similar a las vías del tren; Los datos solo pueden ir a donde va la red. Y es eficaz, pero no aporta mucha flexibilidad a su entorno, ya que dificulta que las cargas de trabajo compartan datos.

La conexión de redes virtuales es donde entra en juego el firewall. Aquí, las complicaciones surgen rápidamente, ya que los administradores deben determinar qué puertos deben permanecer abiertos, qué información debe pasar a qué otros activos y qué reglas deben cambiar en respuesta a las nuevas amenazas.

Aún así, el enfoque de firewall para la segmentación persiste como el principal método de segmentación para las grandes organizaciones. Para usarlos, los administradores crean grupos y definen reglas de lista de "permitir" y "denegar" para controlar la comunicación entre esos grupos. Las reglas se pueden aplicar a través de firewalls de hipervisores físicos, virtuales o distribuidos.

El firewall actúa como control de pasaportes. Luego de identificar a los usuarios, las máquinas y las redes, los deja pasar o los bloquea según lo que ellos o la organización quieran hacer.

El enfoque de firewall sigue siendo común porque las organizaciones generalmente acumularon importantes inversiones en firewall a lo largo del tiempo que desean aprovechar en respuesta a nuevos ataques. Sus equipos también saben cómo gestionarlos y no quieren agregar más productos y costos a sus carteras de TI.

Sin embargo, la naturaleza de los entornos de TI actuales y el panorama de amenazas se adelantó a las capacidades de segmentación de los firewalls tradicionales. Es por eso que las compañías ahora necesitan la escala, la velocidad y el rendimiento de la segmentación basada en host.

Con la segmentación basada en host, los administradores crean etiquetas simples para cada carga de trabajo y desarrollan reglas para la comunicación entre combinaciones de etiquetas. Este enfoque puede ser más rentable y proporcionar una mejor seguridad que los firewalls por sí solos. Esto se debe a que los firewalls tienen muchas limitaciones.

El problema con los firewall

Los firewalls enfrentan varias limitaciones críticas:

• Falta de visibilidad
• Velocidad más lenta
• Incapacidad para implementar la delimitación de aplicaciones
• Complejidad
• Falta de detalle
• Costar
• Vulnerabilidad al ransomware

La lentitud de la implementación de un firewall es fundamental en una era de cargas de trabajo en expansión y las amenazas correspondientes.

Un firewall grande puede depender de una lista de 1,000 o más reglas. Si desea cambiar uno de esos, debe cerciorar de que el cambio no afecte a ninguna de las reglas más abajo en la lista. Y no se puede probar esa regla cambiada; simplemente tienes que desplegarlo y esperar que algo no se rompa. Todo lo cual lleva tiempo. Tiempo durante el cual las vulnerabilidades pueden proliferar y propagar el ransomware.

Dada la complejidad y el tiempo involucrados, no es de extrañar que una estimación sitúe el número de violaciones de firewall debido a una mala configuración del firewall en el 99 por ciento.

Por el contrario, la segmentación basada en host puede llevar mucho menos tiempo y elimina la complejidad del proceso de reescritura de reglas. Se basa en la visibilidad.

Cómo funciona la segmentación basada en host

En lugar de tener que luchar para reescribir listas de reglas durante un ataque de ransomware, la segmentación basada en cargas de trabajo proporciona funciones proactivas y reactivas para ayudar a los equipos a mantener al tanto de las amenazas.

La segmentación basada en host permite a los equipos de seguridad y TI ver todos los flujos de comunicación e identificar el riesgo.

Illumio proporciona un mapa de dependencia de aplicaciones de conexiones entre redes, máquinas y cargas de trabajo. Los usuarios pueden simplemente hacer clic en un enlace en el mapa para probar y luego aplicar una regla inmediatamente en todo el entorno.

A partir de ahí, las organizaciones pueden bloquear rápida y fácilmente rutas de acceso innecesarias y puertos de alto riesgo o tomar otras medidas proactivas para segmentar el tráfico con el fin de limitar el movimiento lateral de malware o atacantes.

Cuando todo lo demás falla, la segmentación funciona como un gran botón rojo de emergencia. Golpearlo puede bloquear instantáneamente la propagación del ransomware a través de cargas de trabajo vulnerables.

Microsegmentación con Illumio

La nube presenta desafíos adicionales a los firewalls tradicionales. Mover los servicios a la nube también mueve su puerta de enlace de Internet a la nube, por lo que ya no es propietario. Y ese firewall que estaba haciendo su segmentación va con él, lo que requiere que encuentre una solución diferente para esa función de todos modos. Illumio puede ser esa solución.

Illumio funciona con los firewalls basados en host existentes para proporcionar visibilidad y protección en tiempo real para todo su entorno de TI, ya sea en la nube, en las instalaciones o en configuraciones híbridas. También proporciona escala; Funciona de la misma manera tanto si tienes dos servidores como si tienes 200.000.

Por supuesto, los entornos complejos pueden volver difíciles de visualizar rápidamente; Es difícil ver lo que está pasando en algo que parece un gran plato de espaguetis. Es por eso que Illumio divide la visualización en mapas fáciles de entender. Por ejemplo, puede mostrar activos por geografía o servicio en la nube.

¿Quiere ver qué está sucediendo con sus datos en los EE. UU.? ¿Qué está pasando en Europa? ¿O en AWS, Azure o Google? ¿Qué hay de esa comunicación sospechosa entre un servidor en Australia y un termostato de pecera en Alemania?

Illumio facilita la visualización de todo porque recupera esa información del proceso real en la carga de trabajo. A partir de ahí, le permite usar la carga de trabajo en sí para realizar la segmentación, en lugar de un firewall externo, lo que le brinda la velocidad, flexibilidad y capacidad de respuesta que necesita para enfrentar las amenazas actuales, dondequiera que aparezcan.

Cálculo de los costos de los firewalls frente a la segmentación basada en host

El costo de los firewalls se acumula rápidamente. El precio del firewall depende del tamaño, que depende de factores como los siguientes.

• Rendimiento, es decir, la suma de las interfaces Ethernet a las que se va a dirigir.
• Núcleos de procesador necesarios para ejecutar firewalls virtuales, que generalmente consumen alrededor del 25 por ciento de los recursos de un servidor.
• Número de sockets: dicta cuántas cargas de trabajo puede admitir el servidor.

Cuanto mayor sea el rendimiento, más núcleos necesitará, lo que significa que necesita más sockets y un servidor más caro. Tales costos pueden acumular rápidamente.

Estos cálculos del costo total de propiedad incluyen el costo de los productos, la cantidad de cambios que normalmente se necesitan en una semana, el costo de las personas que implementan los cambios y otros factores.

El futuro de la segmentación

Illumio abstrae capas de complejidad, lo que simplifica al máximo que los administradores segmenten los activos de forma proactiva o en respuesta directa a las amenazas, sin preocupar por cómo configurar sus redes.

Es lo que requieren los entornos de TI actuales. Así como la segmentación de la red por sí sola dio paso a los firewalls, la segmentación basada en la carga de trabajo es el siguiente paso tecnológico necesario para construir sobre lo que pasó antes.

En la era de las cargas de trabajo en la nube y las amenazas en expansión, lo que se necesita ahora es visibilidad y segmentación basadas en cargas de trabajo. Todo es para proporcionar el enfoque de seguridad Zero Trust que es vital para las compañías de hoy.

La microsegmentación basada en cargas de trabajo también libera a los profesionales de TI de tareas más productivas que la laboriosa reescritura de las reglas de firewall. Y eso puede dar a las compañías un beneficio competitivo crucial en un mercado laboral ajustado en el que deben someter a una transformación digital a una velocidad vertiginosa para mantener al día.

Más información sobre el Beneficios de la microsegmentación o Hable con nuestros expertos sobre cómo puede ayudar a proteger su organización contra ransomware y otros ciberataques.