Cómo mitigar el riesgo en una red plana: el paraíso de los atacantes

Este artículo fue publicado originalmente el Forbes.com.

Las redes planas se volvieron tan frecuentes porque suelen ser fáciles de diseñar, baratas de construir y fáciles de operar y mantener. Sin embargo, resulta que a los actores maliciosos también les encantan las redes planas. Esto se debe a que una vez que un solo host en una red plana se vio comprometido, la integridad del resto de la red comienza a parecer a un castillo de naipes. Una vez que se penetra en una compañía, la red plana ofrece a los invitados no invitados y no deseados acceso a la red sin restricciones para escanear, identificar y apuntar a activos de alto valor. Desafortunadamente, muchas organizaciones no mitigan o incluso reconocen completamente estos riesgos.

Los riesgos de seguridad de una red plana

Las organizaciones tienden a centrar principalmente en proteger las defensas del perímetro de su red. Sin embargo, las inversiones en seguridad perimetral no pueden hacer mucho. Según el Reporte de violación de datos de Verizon 2018, hubo 2,216 violaciones confirmadas el año pasado. El reporte encuentra que el 73% de esas violaciones fueron perpetradas por actores externos. La piratería y el malware siguen siendo frecuentes.

Estas estadísticas subrayan que, a pesar de nuestros mejores esfuerzos para cerciorar el perímetro con "muros" cada vez más fuertes y altos, esas medidas no mantienen alejados a los malos actores que son tenaces y tienen la capacidad y los recursos completos para ingresar a una red. Se requiere una nueva mentalidad. Debe "asumir una infracción", lo que requiere comenzar con la suposición de que las defensas de su red se verán comprometidas. Además, si tiene una red plana, los actores maliciosos pueden usar un solo sistema o dispositivo comprometido, la cabeza de playa, como plataforma de lanzamiento para mover lateralmente a través de su red en ruta hacia sus activos más valiosos.

En una red plana, su política predeterminada es permitir que todos los dispositivos y aplicaciones se comuniquen entre sí, lo que dificulta que la seguridad determine qué conexiones y flujos de datos son legítimos. Por ejemplo, una computadora portátil proporcionada por la oficina puede conectarse y "hablar" con los servidores de impresión de la compañía para que pueda imprimir un documento de manera rápida y sencilla: ese tipo de conexión es plana. Su teléfono IP de escritorio puede estar en la misma red plana, pero ¿tiene sentido que ese teléfono IP se comunique con esos servidores de impresión? Los sistemas de seguridad luchan por detectar si dicho tráfico y conexiones son anómalos y podrían ser indicadores de una infracción.

Las redes planas también facilitan permanecer ocultos mientras los atacantes intentan atravesar silenciosamente la red. Este periodo de tiempo, conocido como tiempo de permanencia, tiene un promedio de 101 días en todo el mundo. Y no tenemos que mirar demasiado atrás para encontrar ataques de alto perfil en los que los piratas informáticos pasaron desapercibidos durante mucho más tiempo, hasta varios años.

Las amenazas también pueden provenir del interior

Las redes planas también actúan como un campo de juego potencial para (posibles) personas maliciosas. Lo primero que intentaría hacer una persona con información privilegiada es recopilar más credenciales o usar sus licencias elevadas existentes para acceder a sistemas que están fuera del ámbito de sus funciones. La autenticación de dos factores (2FA) o la autenticación multifactor (MFA) son respuestas estables para abordar las credenciales robadas en manos de los usuarios.

Sin embargo, los dispositivos móviles y de máquina a máquina (M2M) son dos de las razones principales por las que el tráfico de datos está aumentando dentro de su red y en todas las demás redes. Más sistemas comerciales necesitan interactuar entre sí, y este tipo de tráfico requiere autenticación, que no puede resolver simplemente con 2FA o MFA. Este problema existe en una variedad de dispositivos conectados y pone en riesgo activos críticos como los repositorios de datos de clientes y los sistemas de pago.

Cómo mitigar el riesgo en una red plana

Como mencioné anteriormente, debe comenzar con una mentalidad de "asumir incumplimiento". Tarde o temprano, incluso las mejores defensas perimetrales serán violadas. Esta mentalidad le permite pensar como un atacante y permite al CISO hacer preguntas pertinentes, como:

• ¿Cuáles son nuestros activos de alto valor a los que un atacante intentará navegar una vez que se afiance en nuestra red? 
• ¿Qué tenemos implementado para evitar el libre movimiento y la persistencia de un atacante dentro de nuestra red plana?

Si la respuesta es "nada" o, quizás igual de malo, "un puñado de firewalls y VLAN", entonces el CISO sabe que necesita impulsar la acción para reducir ese riesgo.

1. Identifique sus activos más importantes: Si bien puede parecer obvio, la clasificación de sus activos de alto valor puede ser diferente según a quién le pregunte. Por eso es importante reunir a las partes interesadas clave (es decir, su CISO más los equipos legales y financieros, etc.) para mapear el riesgo de los activos y aplicaciones dentro de la infraestructura de la compañía. Una buena manera de hacerlo es aprovechar el Marco de Ciberseguridad (CSF) del NIST.
2. Determine la mejor protección o control: Hay muchas capas para proteger una aplicación joya de la corona, que incluyen la gestión de identidades y accesos (IAM), la gestión de vulnerabilidades y la segmentación. La segmentación es un control que encaja en el CSF del NIST: garantiza que solo se pueda acceder a las aplicaciones desde dispositivos autorizados y que esos dispositivos solo tengan acceso a procesos comerciales específicos en las aplicaciones críticas.
3. Identificar soluciones potenciales: La determinación de un conjunto de soluciones comienza por identificar a las partes interesadas clave (por ejemplo, ingeniería de seguridad, ingeniería de redes y equipos de aplicaciones, etc.) para analizar las soluciones que están disponibles en el mercado. Recomiendo encarecidamente que analicen diferentes enfoques de segmentación de diferentes proveedores y tengan en cuenta que la segmentación es un mercado emergente.

La red es que la popularidad de las redes planas está aumentando y, desafortunadamente, también lo hace el apetito de los atacantes maliciosos. Esto lo convierte en una mezcla peligrosa. Reconocer los riesgos de las redes planas es el primer paso. Cambiar a una mentalidad de "asumir infracción" inicia el proceso de mitigación de ese riesgo. Por último, pero no menos importante, la implementación de una estrategia de confianza cero, basada en la suposición de que ya fue violado pero aún no lo sabe, ayuda a garantizar que las organizaciones con redes planas no terminen convertir en los campos de juego de los atacantes.