Firewalls de red, control de acceso a la red, operaciones de seguridad, capacitación y liderazgo en seguridad Cómo proteger la infraestructura crítica CyberEdBoard • 25 de septiembre de 2024 Shervin Evans, arquitecto empresarial y oficial de seguridad de la información, Deltec Bank & Trust Ltd., y miembro de CyberEdBoard Descuidar la seguridad de la red puede tener graves consecuencias para las organizaciones. La arquitectura de TI de una organización se basa en su capa de red, y no proteger adecuadamente esta capa puede resultar en violaciones devastadoras, robo de datos y tiempo de inactividad prolongado. Aquí se presentan las prácticas esenciales para administrar la seguridad de la red, junto con ejemplos del mundo real que refuerzan la importancia de una protección integral. Consulte también: Kit de herramientas de participación y concientización sobre la ciberseguridad: eleve su cultura de seguridad Asegurar el acceso: la primera línea de defensa Los dispositivos de red, como enrutadores, conmutadores, firewalls y firewalls de aplicaciones web, son el núcleo de cualquier infraestructura de TI. Proteger el acceso a estos dispositivos es esencial para la integridad de la red. El acceso no autorizado puede provocar una escalada de privilegios, interrupciones de la red y violaciones de datos. Mejores prácticas: control de acceso basado en roles con TACACS La implementación del control de acceso basado en roles o RBAC garantiza que los usuarios solo tengan acceso a los sistemas que necesitan para realizar sus tareas. Junto con el sistema de control de acceso del controlador de acceso a terminales o TACACS, RBAC puede ofrecer una forma sólida de administrar el acceso de los usuarios a los dispositivos de red, como conmutadores, enrutadores y firewalls. TACACS centraliza la autenticación para dispositivos de red, lo que permite a los administradores aplicar políticas de RBAC, rastrear la actividad de inicio de sesión y aplicar la autorización a nivel de comando. TACACS para la gestión de acceso: TACACS proporciona un método seguro para autenticar a los usuarios que necesitan acceder a los dispositivos de red. Permite el registro y la auditoría de cada comando ingresado por los usuarios, lo que garantiza la responsabilidad y la seguridad. Autenticación multifactor: la combinación de RBAC con MFA agrega una capa adicional de protección, lo que requiere que los usuarios verifiquen su identidad a través de algo más que una contraseña. Esto reduce significativamente el riesgo de credenciales comprometidas. Las auditorías regulares de los permisos de usuario y el acceso a la red son necesarias para evitar la proliferación de privilegios, una situación en la que los usuarios acumulan más acceso del necesario con el tiempo. Al usar TACACS junto con RBAC y MFA, las organizaciones pueden administrar y rastrear mejor el acceso a dispositivos de red críticos. Ejemplo del mundo real: las consecuencias de un control de acceso débil Se produjo una infracción importante cuando las organizaciones dejaron sus puertos de protocolo de escritorio remoto expuestos a Internet. Los atacantes explotaron credenciales débiles o robadas para acceder a componentes de red confidenciales. La infracción se intensificó rápidamente, lo que provocó un robo generalizado de datos e interrupciones operativas. La aplicación de TACACS, RBAC y MFA para equipos de red podría haber evitado el acceso no autorizado, lo que resalta la importancia de estos controles en capas. Fortalecimiento del sistema: refuerzo de los dispositivos de red El fortalecimiento del sistema es esencial para minimizar las vulnerabilidades y reducir la superficie de ataque de sus dispositivos de red. Cada componente de la red (enrutadores, conmutadores, firewalls, servidores, computadoras de escritorio, portátiles y puntos de acceso Wi-Fi) debe estar protegido. Práctica recomendada: fortalecimiento de dispositivos de red clave Enrutadores y conmutadores: deshabilite los puertos no utilizados, aplique contraseñas seguras y restrinja el acceso a las interfaces de administración mediante TACACS para monitorear y controlar el acceso administrativo. Firewalls y WAF: Implemente políticas para bloquear el tráfico innecesario, utilice sistemas de detección de intrusiones y aplique parches regularmente para cerrar vulnerabilidades. Servidores y puntos finales: Asegúrese de que todos los dispositivos estén actualizados con los últimos parches de seguridad, deshabilite los servicios no utilizados y utilice herramientas de protección de puntos finales para protegerse contra el malware. Caso real: Servicios en la nube mal configurados Capital One sufrió una vulneración en 2019 debido a un firewall mal configurado en su infraestructura en la nube de AWS. Paige Thompson, exingeniera de AWS, aprovechó esta vulnerabilidad para obtener acceso no autorizado a datos confidenciales, lo que afectó a más de 100 millones de clientes. Al utilizar una herramienta personalizada, Thompson pudo detectar cuentas de AWS mal configuradas, lo que le permitió vulnerar el entorno de Capital One y obtener acceso a un bucket S3 no seguro. Los datos expuestos incluían información personal confidencial, como números de la Seguridad Social e información de cuentas bancarias. Finalmente, Capital One tuvo que pagar más de 270 millones de dólares en multas y compensaciones, así como 190 millones de dólares adicionales en acuerdos para los clientes afectados por esta vulneración. Este incidente destaca las graves consecuencias de las configuraciones incorrectas de seguridad en la nube y la necesidad de una vigilancia continua para salvaguardar los activos digitales. Limitación de puntos de acceso: reducción de vectores de entrada Minimizar los puntos de entrada a la red es clave para reducir los vectores de ataque. Esto implica segmentar la red en zonas (como zonas de usuario, servidor y administración) y aplicar controles de acceso estrictos entre ellas. Mejor práctica: segmentación de la red La segmentación de la red aísla los sistemas críticos, lo que garantiza que un ataque en una parte de la red no comprometa toda la infraestructura. Las organizaciones pueden usar firewalls, VLAN y listas de control de acceso para limitar la comunicación entre zonas, lo que reduce el daño por infracciones. Ejemplo del mundo real: puertos abiertos como vector de ataque: WannaCry Uno de los ciberataques más devastadores de la historia reciente fue el ataque de ransomware WannaCry en mayo de 2017. Explotó una vulnerabilidad en el protocolo Server Message Block de Microsoft a través del puerto abierto 445, lo que le permitió propagarse rápidamente por las redes. A nivel mundial, cientos de miles de computadoras se vieron afectadas por el ataque, que encripta archivos y exige un rescate en bitcoins para desbloquearlos. El ransomware utilizó un exploit conocido como Eternal Blue, que fue desarrollado inicialmente por la NSA y luego filtrado por un grupo de hackers llamado Shadow Brokers. Aunque Microsoft lanzó un parche para la vulnerabilidad en marzo de 2017, muchos sistemas no lo habían aplicado, dejándolos vulnerables. Los hospitales, las agencias gubernamentales y las grandes corporaciones fueron los más afectados, lo que resultó en interrupciones operativas generalizadas. Diseño para alta disponibilidad: garantizar una infraestructura resistente La seguridad no se trata solo de prevenir ataques. También se trata de la resiliencia de la red. Las configuraciones de alta disponibilidad garantizan que los sistemas permanezcan operativos incluso si falla un componente. Esto incluye tener sistemas redundantes como múltiples firewalls, enrutadores y balanceadores de carga para evitar puntos únicos de falla. Mejor práctica: implementar sistemas redundantes Al implementar mecanismos de conmutación por error y configuraciones de red redundantes, las organizaciones pueden garantizar que los sistemas críticos permanezcan operativos durante ataques o interrupciones. Por ejemplo, el uso de firewalls redundantes, balanceadores de carga y sistemas de respaldo garantiza que el tráfico se redireccione automáticamente en caso de falla. Ejemplo del mundo real: Ataque DDoS a servidores primarios – Dyn Uno de los ejemplos más famosos de ataques DDoS es el incidente Dyn de 2016, que tuvo como objetivo a uno de los proveedores de DNS más grandes del mundo. Hubo una interrupción generalizada de los servicios de Internet debido a este ataque, orquestado principalmente por la botnet Mirai. Una botnet lanzó el ataque explotando dispositivos vulnerables de Internet de las cosas (IoT), como cámaras y enrutadores. Los servidores DNS de Dyn se vieron abrumados por el tráfico, lo que hizo que los principales sitios web como Twitter, Netflix, Amazon y GitHub no estuvieran disponibles en muchas regiones, especialmente en el noreste. A pesar de la capacidad de Dyn para mitigar algunos de los efectos posteriores, el ataque expuso debilidades en la infraestructura de DNS y subrayó la importancia de proteger los dispositivos de IoT. Las empresas que dependían únicamente de Dyn enfrentaron mayores interrupciones del servicio en comparación con las que diversificaron sus proveedores de DNS; también destacó los riesgos de confiar en proveedores de DNS únicos sin copias de seguridad. Proteger la red en cada capa La seguridad de red eficaz requiere un enfoque integral de varias capas. Desde controles de acceso sólidos con RBAC y TACACS hasta el fortalecimiento del sistema y la minimización de los puntos de acceso, estas medidas mejoran colectivamente la seguridad de la infraestructura de red. El diseño para una alta disponibilidad garantiza que, incluso ante un ataque o una falla del sistema, su empresa pueda seguir funcionando sin problemas. Al aplicar las mejores prácticas y aprender de incidentes del mundo real, las organizaciones pueden construir una red segura y resistente capaz de defenderse de las sofisticadas amenazas actuales. El momento de proteger su red es ahora, antes de que sea demasiado tarde. CyberEdBoard es la principal comunidad exclusiva de ISMG compuesta por ejecutivos de alto nivel y líderes de opinión en los campos de seguridad, riesgo, privacidad y TI. CyberEdBoard ofrece a los ejecutivos un poderoso ecosistema colaborativo impulsado por pares, reuniones privadas y una biblioteca de recursos para abordar desafíos complejos compartidos por miles de CISO y líderes de seguridad sénior ubicados en 65 países diferentes en todo el mundo. Únase a la comunidad: CyberEdBoard.io. Solicite la membresía Shervin Evans tiene una amplia experiencia en gestión de riesgos, cumplimiento, diseño de sistemas/redes y elaboración de estrategias de seguridad sólidas. Antes de Deltec, desempeñó funciones fundamentales en reconocidas empresas de servicios financieros y corporaciones multinacionales, mejorando la protección de activos críticos y datos confidenciales. Se especializa en áreas como seguridad en la nube, inteligencia de amenazas, implementación de SOC, marco regulatorio y respuesta a incidentes. URL de la publicación original: https://www.databreachtoday.com/blogs/managing-security-at-network-layer-p-3727