Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Por qué siguen ocurriendo los desastres cibernéticos y cómo solucionarlos

Gary Barlet
Arquitecto Principal de Soluciones, Sector Gubernamental
Illumio Editorial
13de enero de 2023
23 min. leer

Históricamente, la ciberseguridad tanto en el sector gubernamental como en el privado siguió un tema constante: la prevención y la detección.

¿El problema? La prevención y la detección no son suficientes. Las infracciones siguen ocurriendo.

Luego de décadas de tratar de prevenir y detectar ataques directos de adversarios, y fallar, es hora de cambiar el enfoque a la contención. Ya sea que Einstein realmente lo dijera o no, la perogrullada sigue siendo precisa: la definición de locura es hacer lo mismo una y otra vez y esperar resultados diferentes.

Los métodos de seguridad tradicionales no son suficientes para luchar contra los adversarios modernos

La mayoría de los esfuerzos de los equipos de seguridad se centraron en tratar de evitar que las amenazas ingresen al centro de datos o a la nube.

El perímetro norte-sur, el límite entre el exterior no confiable y el interior confiable, es donde se colocaron la mayoría de las herramientas de seguridad. Aquí es donde se implementan firewalls, escáneres antivirus, proxies y otras herramientas de seguridad de próxima generación que intentan inspeccionar todo el tráfico entrante para cerciorar de que no se cuele nada malo.

Sin embargo, todas las grandes brechas de seguridad de los últimos años tuvieron al menos una de estas herramientas implementadas y la mayoría cumplieron con los requisitos de seguridad. Sin embargo, los adversarios entraron con éxito en la red.

Y una vez dentro de la red, todos los adversarios tienen una cosa en común: les gusta mover. Se propagan lateralmente, de este a oeste, mover de un host a otro para buscar su objetivo previsto para la exfiltración de datos.

Muchas de estas violaciones se descubrieron mucho después de que ingresaron a la red, a veces meses después. Incluso con el cambio de la prevención a la detección, las herramientas actuales no son rival para los adversarios modernos que son muy buenos para evitar la detección hasta después de que el daño esté hecho.

Una vez comprometidas, la mayoría de las redes están abiertas a la propagación este-oeste

Un enfoque tradicional de la ciberseguridad define todo lo que está fuera del perímetro como no confiable y todo lo que está dentro del perímetro como confiable. El resultado es que a menudo hay muy poco para evitar que los adversarios se propaguen lateralmente una vez que está dentro del núcleo de confianza.

La propagación de host a host, de aplicación a aplicación, a través de segmentos de red significa que la mayoría de las cargas de trabajo son blancos fáciles para adversarios que se mueven rápidamente. Y los segmentos de red suelen ser muy ineficaces para evitar que se propaguen entre hosts.

Los segmentos de red están diseñados para evitar problemas de red, como DDoS o suplantación de ARP. Las VLAN, las subredes IP, los puntos de emparejamiento de enrutamiento y las redes superpuestas de SDN se crean para controlar estos problemas y habilitar la ingeniería de tráfico en la red. Pero los adversarios atraviesan fácilmente estos segmentos de red, ya que generalmente se propagan entre hosts a través de puertos que parecen tráfico legítimo.

Los dispositivos de red miran los encabezados de los paquetes y bloquearán o permitirán el tráfico en función de los puertos que se encuentren en estos encabezados. Pero descubrir adversarios requiere profundizar en la carga útil de datos de los paquetes, y esto requiere implementar firewalls entre todos los hosts en la ruta de todo el tráfico este-oeste.

Esto se vuelve rápidamente costoso y un posible cuello de botella en la red, ya que cada paquete debe ser "abierto" e inspeccionado, confiando en firmas, "sandboxes", IA, Machine Learning u otros métodos complejos para tratar de descubrir adversarios sin ralentizar la red.

Incluso cuando se prueba este enfoque, se abandona o reduce rápidamente, y no ofrece un retorno de la inversión en dólares presupuestarios ganados con tanto esfuerzo. Esto deja muy poco para evitar la propagación este-oeste y los huéspedes permanecen abiertos de par en par.

Cuando ocurre la inevitable infracción, la gente comienza a señalar con el dedo.

Las organizaciones sin segmentación de confianza cero están librando una guerra que no pueden ganar

Todos los perímetros son porosos. Incluso un límite de seguridad perimetral efectivo del 99 por ciento eventualmente se romperá. O una brecha de seguridad entrará desde el interior, ya sea accidental o intencionalmente.

Aquellos que todavía están tratando de implementar herramientas de seguridad aún más costosas en el perímetro, y que continúan confiando en que sus hosts no están propagando ningún tipo de amenazas de este a oeste a través de su red, se encontrarán en las noticias al día siguiente como la última víctima de un ataque directo.

Cualquiera que ignore la implementación de la seguridad en todo su tejido este-oeste estará librando una batalla perdida.

La microsegmentación es una parte importante de una arquitectura de confianza cero en la que cada recurso es un límite de confianza, desacoplado de los límites de la red.

Illumio protege los vectores de amenazas este-oeste dentro del centro de datos y la nube a gran escala.

Cada carga de trabajo se microsegmenta de todas las demás cargas de trabajo, lo que aplica un modelo de acceso de privilegios mínimos entre ellas, con hosts identificados mediante un modelo basado en metadatos y no sus direcciones de red. Esto significa que las cargas de trabajo implementadas en los hosts se identifican a través de su función y no de su ubicación, lo que permite una visualización clara del comportamiento de la red entre los hosts.

Obtenga más información sobre la microsegmentación aquí.

Obtenga visibilidad de cómo las aplicaciones se comunican en su red

La visibilidad del tráfico de red entre aplicaciones, desde una perspectiva centrada en las aplicaciones, es un desafío al usar dispositivos de red, ya sean dispositivos físicos en un centro de datos o dispositivos virtuales en una nube pública.

Esto se debe a que la visualización del comportamiento de las aplicaciones y las dependencias de conmutadores, enrutadores, firewalls o herramientas de monitoreo generalmente requiere traducir el comportamiento de la red en el comportamiento de la aplicación y descubrir "quién está haciendo qué a quién" entre aplicaciones y hosts. A menudo, esto rápidamente se vuelve más confuso que revelador.

Visualizar cómo las aplicaciones se comunican entre sí a través de una red requiere una solución implementada directamente en los hosts en los que residen esas aplicaciones.

Illumio permite un mapa de dependencias muy claro y preciso entre todas las aplicaciones de su centro de datos y la nube. Los hosts se agrupan en función de los metadatos, como la función o la propiedad, y los flujos de tráfico entre todos ellos se muestran claramente.

Esto permite descubrir muy rápidamente las infracciones de cumplimiento y cómo los hosts se comunican entre sí sin tener que tocar la red o tocar la nube.

Illumio revela quién está haciendo qué a quién a gran escala en todo su entorno para ayudarlo a cuantificar el riesgo entre hosts y mostrar qué puertos riesgosos están expuestos a un posible compromiso.

Implemente la segmentación de confianza cero de Illumio para detener el movimiento este-oeste de los adversarios

El modelo de seguridad de prevención está desactualizado y el modelo de seguridad de detección nunca es lo suficientemente rápido como para evitar la propagación lateral.

El modelo de seguridad moderno debe asumir que se producirá o ya se produjo una infracción. Esta mentalidad no se centra en tratar de preservar la salud de un anfitrión comprometido, sino que aísla rápidamente a los adversarios y evita que se propaguen, todo sin necesidad de comprender exactamente quién es el adversario.

Los vectores de amenazas este-oeste se pueden aplicar y visualizar empleando la solución de Illumio para la seguridad centrada en la aplicación desde la perspectiva de la aplicación.

Ya sea que la brecha provenga de un adversario patrocinado por el estado o de una banda criminal, esa amenaza se aísla y se evita que se propague.

La locura debe, y puede, detener.

¿Desea obtener más información sobre la segmentación de Illumio Zero Trust? Contáctenos hoy.

Temas relacionados

Government

Artículos relacionados

Expertos de la industria sobre las 3 mejores prácticas de ciberseguridad más importantes
Cyber Resilience

Expertos de la industria sobre las 3 mejores prácticas de ciberseguridad más importantes

Obtenga los mejores consejos de ciberseguridad que necesita implementar ahora de los líderes de Microsoft, IBM, Cylera, AWS y más.

Read more
La ciberseguridad es nuestro mayor imperativo nacional de resiliencia
Cyber Resilience

La ciberseguridad es nuestro mayor imperativo nacional de resiliencia

Con un mayor enfoque en el aumento de la producción, la fabricación y la distribución, la ciberseguridad y la seguridad de la infraestructura crítica son primordiales para ese éxito.

Read more
Cómo Illumio reduce el riesgo cibernético de ACH Group, con gastos generales casi nulos
Cyber Resilience

Cómo Illumio reduce el riesgo cibernético de ACH Group, con gastos generales casi nulos

"Buenas vidas para las personas mayores" es el lema de ACH Group, una organización sin fines de lucro con sede en Australia. Pero si los ciberdelincuentes derriban los sistemas de TI de ACH, su capacidad para apoyar a aquellos a quienes sirven podría ver perjudicada.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more