E N F O Q U E T E C N O L Ó G I C O I D C. R e p l a n t e a r se la red como d e t e c t o r a y

Transcripción

1 E N F O Q U E T E C N O L Ó G I C O I D C R e p l a n t e a r se la red como d e t e c t o r a y r e s p o n s a b l e del cumplimiento d e p o l í ticas de s e g u r i d a d Octubre de 2015 Adaptado de Worldwide Enterprise Network Infrastructure Forecast, por Nolan Greene, Rohit Mehra, Rich Costello, et al., IDC n.º Patrocinado por Cisco En la actualidad, las redes corporativas son más importantes que nunca para los objetivos empresariales. Por lo tanto, cada vez circulan mayores cantidades de datos confidenciales a través de redes por cable e inalámbicas. Este importante volumen de datos de la empresa atrae a un mayor número de hackers y aplicaciones de malware. Sin embargo, la inherente inteligencia conectada y el carácter distribuido que convierten la red en un tesoro apetecible para los ciberdelincuentes también pueden hacer que la red sea una herramienta de seguridad proactiva. Mediante la segmentación y la visibilidad del tráfico, las redes corporativas actuales pueden convertirse en detectoras y responsables del cumplimiento de políticas de seguridad. Introducción Con el auge de lo que en IDC denominamos "la 3ª plataforma", está surgiendo un nuevo paradigma de tecnologías y aplicaciones creadas en torno a la nube, la movilidad, el Big Data y las redes sociales. La red se ha convertido en una innovación impulsora de funciones estratégicas. Una de las razones de esta transición es que la 3ª plataforma ha permitido el acceso ininterrumpido a aplicaciones críticas, lo que favorece la colaboración, elimina barreras espacio-temporales y promueve la innovación. Con el boom de nuevos dispositivos y aplicaciones en la empresa, los datos que circulan a través de la red son más confidenciales que nunca. Este hecho aumenta las necesidades de seguridad, desde el núcleo hasta el perímetro. Se sabe que el 80% de las empresas experimentará al menos un fallo completo en su seguridad. Asimismo, aun exceptuando los errores importantes, la empresa media pierde 1,3 millones de USD al año por ataques y amenazas de seguridad. En resumen, las redes corporativas nunca han sido tan complejas como en la actualidad. Cualquier nodo, aplicación, certificado, nube, dispositivo y usuario que acceda a las redes actuales tiene la posibilidad de resultar afectado. Si no se detecta y soluciona de inmediato, cualquier aplicación de malware u otros vectores de amenazas que penetren en cualquier superficie, pueden difundirse con rapidez a través de la red. Sin embargo, el mismo carácter conectado de los recursos en red que representa una oportunidad para los atacantes puede ser también uno de los mayores activos de la red. Dicho de otro modo, la inteligencia en la red puede utilizarse para detectar y solucionar muchos tipos distintos de ataques y amenazas de forma proactiva. Gracias a los avances en inteligencia de red, esta puede utilizarse como detector que proporcione avisos rápidos sobre las amenazas que la acechan. La red puede utilizarse para "conocer el estado normal" e identificar cualquier actividad anómala con rapidez, lo que refuerza la función de la red como recurso de seguridad, a medida que se transforma en responsable del cumplimiento de políticas de seguridad para implementar el control de acceso en toda la red y contener así los ataques. IDC 2011

2 El objetivo de la seguridad móvil En muchas organizaciones, la práctica del BYOD y la popularización de la movilidad empresarial siguen incorporando un gran número de dispositivos en la red corporativa. Los dispositivos BYOD añaden complejidad para proteger la red y pueden aumentar la cantidad de datos confidenciales que circula por ella. Además, añadir más dispositivos a la red corporativa implica que hay más terminales que proteger. De forma simultánea, el deseo de los empleados de usar dispositivos móviles para realizar tareas importantes ha provocado un extenso ecosistema de aplicaciones móviles en la nube. Estas aplicaciones añaden más complejidad a los flujos de tráfico en la red, ya que las aplicaciones y los datos asociados pueden estar alojados en instalaciones internas o externas, en la nube, ya sea alojada, privada o pública. Después se llevan a distintos lugares de la red corporativa, desde la sede central hasta las sucursales, e incluso a los trabajadores remotos conectados mediante dispositivos móviles. Las aplicaciones no solo son nuevas superficies expuestas a ataques que incluyen grandes cantidades de datos potencialmente confidenciales, sino que también pueden abrir nuevas vías para que las amenazas penetren en la red. La aparición de Internet de las cosas (IoT, por sus siglas en inglés) añade un nuevo nivel de complejidad a la empresa. IoT es una red de redes de terminales que se identifican unívocamente («cosas») y que se comunican sin mediar interacción humana usando conectividad IP, tanto a nivel local como global. IDC prevé que antes de 2020 se habrán implementado casi millones de dispositivos IoT. Estos terminales o sensores añaden un sinfín de nuevas superficies de ataque a la red. En esta fase preliminar de la evolución de IoT, las interfaces de seguridad pueden resultar difíciles de configurar y pueden surgir problemas de integración con la infraestructura de seguridad. Preocupa especialmente la incertidumbre en torno a la seguridad de IoT. Buena parte del valor de IoT reside en los datos que pueden obtener los dispositivos/sensores. El volumen, extensión y profundidad de estos datos es sorprendente. Los dispositivos IoT, presentes yaen muchos entornos actuales, recopilan un gran volumen de datos estructurados y desestructurados, muchos de ellos muy proclives a problemas de seguridad y privacidad. Es necesaria una estrecha integración con la seguridad de la red para obtener los máximos beneficios de IoT. Con la constante evolución de la movilidad empresarial, la incorporación de aplicaciones empresariales alojadas en la nube pública que mejoran la productividad y la rápida aparición de IoT, el departamento de TI corporativo debe volver a evaluar su enfoque de la seguridad de la red, como bien saben los responsables de tomar decisiones sobre la seguridad en la red. De hecho, una reciente encuesta de IDC entre profesionales de la seguridad reveló que el 52% de los encuestados se mostraba preocupado con que los empleados subestimasen la importancia de respetar las políticas de seguridad. Casi el mismo número (45%) expresaba su preocupación por el aumento de la complejidad de los ataques. Un porcentaje significativo (38%) pensaba que su presupuesto era demasiado reducido para responder debidamente a los retos del cambio. Estos retos crecientes, junto con los problemas para obtener los niveles de financiación y soporte apropiados para la seguridad de la red, pueden ser una rémora a la hora de que la TI detecte y después solucione las brechas, y al tomar medidas para evitar violaciones similares en el futuro. IDC ha observado que las actualizaciones de seguridad de la 3.ª plataforma, como la protección de los terminales y la gestión de los usuarios, pueden tardar más de un año en convertirse en algo habitual en una organización. En la era de la 3. ª plataforma, es cada vez más importante implementar una arquitectura de seguridad de la red más ágil, inteligente y escalable, basada en la plataforma y totalmente integrada con la infraestructura de la red. Este tipo de modelo de prestación para la seguridad de la red se basa en la inteligencia distribuida inherente de la red, que permite convertir la red en un elemento de defensa contra amenazas en lugar de ser una superficie expuesta a los ataques. Los atacantes de la red se mueven con rapidez; por este motivo, la seguridad de la red necesita todas las ventajas posibles para responder debidamente IDC

3 La red como recurso de seguridad A medida que se estandariza la administración de las redes, las empresas disfrutan de una visibilidad sin precedentes sobre sus redes, desde el Data Center hasta el perímetro y en todas las sucursales dispersas. Esta visibilidad se aplica a los dispositivos, los usuarios y las aplicaciones. Al poder recopilar y analizar todos estos datos, las redes actuales tienen una capacidad sin precedentes para detectar actividades irregulares y sospechosas. Gracias a la inteligencia de la red, es más fácil identificar, poner en cuarentena y remediar abusos de la red como el malware, los flujos de tráfico anómalos, el uso de aplicaciones no autorizadas y las violaciones de políticas de otros usuarios, dispositivos maliciosos y puntos de acceso inalámbricos (AP). Aprovechar la red para la seguridad pasa por ver y utilizar la red como un sensor y ejecutor en todos los puntos de la misma, incluido el Data Center, las sucursales y el campus, junto a todos los terminales y aplicaciones en contacto con ella. Usar la infraestructura de la red como una herramienta de seguridad no sustituye a las herramientas de seguridad de la red tradicionales, como los firewalls y la protección frente a malware avanzado; por el contrario, el modelo complementa a estas herramientas. En el apartado siguiente se analiza cómo usar la cartera de soluciones integrales de Cisco para lograr este objetivo. Plantearse Cisco La cartera de seguridad de la red de Cisco se basa en el concepto de que la seguridad debe estar integrada en todos los ámbitos de la red. Con NetFlow, que permite a la red funcionar como un sensor, e integrándolo con Identity Services Engine (ISE) para el control granular de políticas, además de TrustSec para implementar la segmentación de red, es posible extender la seguridad de la red desde la infraestructura hasta el usuario final. Las herramientas que se describen en este apartado responden a las necesidades de una implementación integral del uso de la red para la seguridad. NetFlow y Lancope En el centro del modelo de Cisco de «red como sensor» tenemos NetFlow, una herramienta que permite realizar un registro continuo de todas las conversaciones que circulan a través de los routers y switches y de algunos equipos inalámbricos de Cisco. Cada sesión de comunicación en un dispositivo compatible con NetFlow ofrece visibilidad e información, que incluye seis ámbitos que con frecuencia tienen gran importancia: exploración de la red, detección de botnet, denegación de servicio, ataques de fragmentación, cambios de reputación del host y propagación de gusanos. Los datos pueden almacenarse para su uso posterior, lo que convierte a NetFlow en una herramienta esencial para identificar las brechas de seguridad. Los registros detallados de diagnóstico y comunicación de extremo a extremo proporcionan amplios detalles sobre las actividades sospechosas en la red, lo que permite mejorar su detección y centrarse en remediarlas. NetFlow y Lancope StealthWatch facilitan una mayor visibilidad de la red, además de alertas en tiempo real para identificar las amenazas de seguridad. La integración de Lancope StealthWatch con Cisco ISE ofrece una mayor correlación entre el contexto de un dispositivo (quién, qué, dónde, cuándo y cómo) y el tráfico de la red, y proporciona la capacidad de aislar rápidamente los dispositivos afectados de la red IDC 3

4 Identity Services Engine (ISE) Identity Services Engine es la plataforma de gestión de políticas de seguridad de Cisco que facilita una implantación uniforme de controles de acceso seguros a través de redes por cable o inalámbricas y de conexiones VPN. El acceso seguro de los usuarios mediante ISE comienza con la autenticación del usuario y la clasificación del dispositivo, que ISE complementa con una extensa información contextual para mejorar la toma de decisiones, lo que garantiza que se asigne el nivel de control de acceso apropiado en cada momento. Usando una información contextual más detallada, como la función, la ubicación y la hora, ISE puede restringir el acceso a la red; así, se logra una completa seguridad de acceso en lo que se refiere a alcance y profundidad. En función de los criterios de las políticas, ISE habilita diversos accesos seleccionados según el usuario y el dispositivo. Una política integrada en toda la red permite aumentar las eficiencias operativas, al evitar la necesidad de gestionar y aplicar políticas separadas e individuales e integrar la visibilidad de la aplicación de políticas. Segmentación definida por software con TrustSec TrustSec de Cisco es una tecnología integrada en los switches, routers y dispositivos inalámbricos y de seguridad de Cisco que permite a las empresas implementar la segmentación de la red definida por software. TrustSec aplica controles de acceso basados en perfiles, creados en Cisco ISE, para acceder de forma segura a los recursos confidenciales de la red según la identidad y el perfil. TrustSec tiene como objetivo simplificar la configuración y la gestión de políticas que regulan quién puede hablar con quién (o qué) en la red, quién tiene acceso a los recursos y cómo pueden comunicarse unos sistemas con otros. La aplicación de TrustSec comienza en el Data Center y llega hasta el perímetro de acceso, así como a las VPN remotas. Ventajas de usar la red como herramienta de seguridad En un momento en que todos los gastos operativos y de capital se miran con lupa, es muy importante para el departamento de TI justificar las decisiones de inversión y encontrar formas de generar valor añadido mediante la red. El uso de la infraestructura de la red como sensor de seguridad y responsable del cumplimiento de las políticas es una forma de aprovechar los recursos ya disponibles para protegerse contra las brechas de seguridad que pueden afectar a la empresa y producir pérdidas de beneficios. Una infraestructura de seguridad de red integrada como la que ofrece Cisco aprovecha los valiosos metadatos para reducir el tiempo en que se obtiene información sobre el tráfico de la red. El uso de TrustSec e ISE permite un control de acceso basado en políticas detalladas con segmentación definida por software capaz de contener las amenazas y evitar su propagación transversal por toda la red. Este tipo de paradigma de seguridad es también muy escalable, ya que NetFlow, ISE y TrustSec pueden implantarse en toda la red para proteger los recursos conectados a través de ella. Retos y oportunidades Replantearse las funciones de seguridad de la red empresarial supone un cambio de paradigma bastante significativo, teniendo en cuenta la noción convencional de que la protección se obtiene mediante recursos externos y no desde la propia red. Como con cualquier forma radicalmente distinta de pensar en la infraestructura de TI, se necesita un esfuerzo educativo para lograr comprender este nuevo paradigma y un cambio cultural entre los responsables de la toma de decisiones en la organización. Además, para las organizaciones que ya han implementado complejas infraestructuras de seguridad de la red, las partes interesadas pueden ser reacias a reconsiderar los sistemas actuales (en especial cuando parecen funcionar). El equipo de TI de la empresa debe mantener, por lo general, un delicado equilibrio entre maximizar las inversiones anteriores y asegurarse de que la infraestructura existente esté preparada para los retos del futuro, y esta situación no es diferente IDC

5 No obstante, como la mayoría de los retos, también entraña grandes oportunidades. Como hemos mencionado, implementar una arquitectura de red con componentes de seguridad perfectamente integrados puede representar una inversión más eficiente que permita eliminar las redundancias de implementaciones de seguridad de la red menos sistemáticas. Obtener eficiencias operativas y rentabilidad mediante una red que funciona como detectora y promotora del cumplimiento de políticas de seguridad es posiblemente la mejor forma de demostrar por qué es una oportunidad que bien vale la pena. Conclusión En la era de la 3ª plataforma, la red empresarial desempeña una función sin precedentes en las operaciones cotidianas, la interacción de los clientes y empleados, la diferenciación respecto a la competencia y la innovación. No obstante, con el ingente volumen de datos confidenciales que circulan por las redes empresariales, los hackers y los ciberdelincuentes tratarán de usar las redes para obtener acceso a estos datos, lo que podría causar importantes daños y perturbaciones en las vidas de los clientes y empleados, además de perjudicar a la reputación de la organización. Lo bueno es que pueden incorporarse herramientas de seguridad en las redes actuales, de forma integrada, para dar a las redes unas posibilidades sin precedentes de defensa contra futuros ataques. Es muy recomendable tener en cuenta una infraestructura de red con herramientas de seguridad bien integradas en esta era de la TI, y una cartera de soluciones como la que ofrece Cisco podría suponer una solución viable para las organizaciones. A C E R C A D E E S T A P U B L I C A C I Ó N Esta publicación ha sido elaborada por IDC Custom Solutions. Las opiniones, los análisis y los resultados de investigaciones que contiene se han extraído de investigaciones y análisis más detallados realizados y publicados de forma independiente por IDC, a menos que se especifique el patrocinio específico de un proveedor determinado. IDC Custom Solutions suministra el contenido de IDC en una amplia variedad de formatos a diversas empresas para su distribución. Una licencia de distribución de contenido de IDC no implica aval u opinión alguna por parte del licenciatario. C O P Y R I G H T Y R E S T R I C C I O N E S Si quiere utilizar cualquier información de o referencia a IDC en anuncios, notas de prensa o materiales promocionales, se requerirá el consentimiento previo por escrito de IDC. Para solicitar permisos, póngase en contacto con la línea de información de IDC Custom Solutions en el teléfono o envíe un mensaje de correo electrónico a gms@idc.com. La traducción o la localización de este documento requerirán una licencia adicional de IDC. Para más información acerca de IDC, visite Para más información acerca de IDC Custom Solutions, visite Sede global: 5 Speen Street Framingham, MA EE UU P F IDC 5