Cómo construir un sistema de estrategia de seguridad de red
La ciberseguridad es la práctica de garantizar la integridad, confidencialidad y disponibilidad de la información. Representa la capacidad de defenderse y recuperarse de incidentes de seguridad. Estos incidentes de seguridad incluyen fallas en el disco duro o cortes de energía, así como ciberataques de la competencia. Estos últimos incluyen script kiddies, hackers, bandas criminales capaces de ejecutar amenazas persistentes avanzadas (APT) y otros que pueden representar serias amenazas para las empresas. La continuidad del negocio y las capacidades de recuperación ante desastres son fundamentales para la ciberseguridad (como la seguridad de las aplicaciones y la seguridad de la red en sentido estricto).
La seguridad debe ser una prioridad máxima en toda la empresa y debe estar autorizada por la alta dirección. La fragilidad del mundo de la información en el que vivimos hoy también requiere una sólida estrategia de control de la ciberseguridad. Los gerentes deben comprender que todos los sistemas se construyen de acuerdo con ciertos estándares de seguridad y que los empleados deben recibir la capacitación adecuada. Por ejemplo, todo código puede tener vulnerabilidades, algunas de las cuales son fallas de seguridad críticas. Después de todo, los desarrolladores son humanos e inevitablemente cometen errores.
Capacitación en seguridad
Las personas suelen ser el eslabón más débil en un plan de seguridad de red. Capacite a los desarrolladores para que codifiquen de forma segura, capacite al personal de operaciones para que prioricen una postura de seguridad sólida, capacite a los usuarios finales para que reconozcan los correos electrónicos de phishing y los ataques de ingeniería social; en resumen, la ciberseguridad comienza con la concientización.
Sin embargo, incluso con fuertes controles de ciberseguridad, todas las empresas siguen expuestas a algún tipo de ciberataque. Los atacantes siempre explotan el eslabón más débil, pero muchos ataques se pueden prevenir fácilmente realizando algunas tareas de seguridad básicas, a veces llamadas "higiene cibernética". Los cirujanos nunca pueden entrar al quirófano sin lavarse las manos. Asimismo, las empresas tienen la responsabilidad de hacer cumplir los requisitos básicos para mantener la ciberseguridad, como mantener prácticas de autenticación sólidas y no almacenar datos confidenciales donde se pueda acceder a ellos públicamente.
Sin embargo, una buena estrategia de ciberseguridad requiere más que estas prácticas básicas. Un hacker experto puede eludir la mayoría de las defensas y superficies de ataque, y para la mayoría de las empresas, la cantidad de formas o “vectores” a través de los cuales los atacantes pueden ingresar a los sistemas está en constante expansión. Por ejemplo, a medida que el mundo físico y la información convergen cada vez más, los delincuentes y los grupos de espionaje estatales amenazan la ICA de los sistemas físicos en red, como automóviles, plantas de energía, equipos médicos e incluso su refrigerador IoT. De manera similar, la popular tendencia de aplicación de la computación en la nube, el creciente desarrollo de la oficina de dispositivos propios (BYOD) y el Internet de las cosas (IoT) también han traído nuevos desafíos de seguridad. La defensa de la seguridad de estos sistemas se ha vuelto particularmente importante.
Otra manifestación destacada de una mayor complejidad en la ciberseguridad es el entorno regulatorio que rodea la privacidad del consumidor. Cumplir con marcos regulatorios estrictos como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea también requiere nuevos roles para garantizar que las organizaciones puedan cumplir con los requisitos de privacidad y seguridad del GDPR y otras regulaciones.
Como resultado, la demanda de profesionales de la ciberseguridad está empezando a crecer aún más y los gerentes de contratación están trabajando arduamente para seleccionar a los candidatos adecuados para cubrir los puestos vacantes. Sin embargo, el desequilibrio actual entre oferta y demanda requiere que las organizaciones se centren en áreas de mayor riesgo.
Tipos de seguridad de red
El alcance de la seguridad de red es muy amplio, pero sus áreas principales son principalmente las siguientes. Cualquier empresa debe prestar gran atención a estas áreas principales y abordarlas. Entre sus propias estrategias de ciberseguridad:
1. Infraestructura crítica
La infraestructura crítica incluye los sistemas de redes físicas de los que depende la sociedad, incluidas las redes eléctricas, los sistemas de purificación de agua, los semáforos, y hospitales, etc. Por ejemplo, las centrales eléctricas conectadas a Internet son vulnerables a los ciberataques. La solución para las organizaciones responsables de la infraestructura crítica es realizar la debida diligencia para garantizar que se comprendan y protejan estas vulnerabilidades. Todos los demás también deberían evaluar el impacto de un ciberataque en la infraestructura crítica de la que dependen y desarrollar planes de contingencia.
2. Seguridad de la red (sentido estricto)
La seguridad de la red requiere la capacidad de prevenir intrusiones no autorizadas y personas internas maliciosas. Proteger su red a menudo implica sopesar los pros y los contras. Por ejemplo, el control de acceso (como inicios de sesión adicionales) puede ser necesario por razones de seguridad, pero también puede reducir la productividad.
Las herramientas utilizadas para monitorear la seguridad de la red generan grandes cantidades de datos, pero las alertas válidas a menudo se ignoran debido a la cantidad de datos generados. Para gestionar mejor la supervisión de la seguridad de la red, los equipos de seguridad utilizan cada vez más el aprendizaje automático para detectar tráfico anormal y generar advertencias de amenazas en tiempo real.
3. Seguridad en la nube
Cada vez más empresas migran datos a la nube también traerán nuevos desafíos de seguridad. Por ejemplo, en 2017 se informaron casi semanalmente violaciones de datos debido a instancias de nube configuradas incorrectamente. Los proveedores de servicios en la nube están creando nuevas herramientas de seguridad para ayudar a los usuarios empresariales a proteger mejor sus datos, pero una advertencia: pasar a la nube no es una panacea para realizar la debida diligencia en materia de ciberseguridad.
4. Seguridad de aplicaciones
La seguridad de aplicaciones (AppSec), especialmente la seguridad de aplicaciones web, se ha convertido en el punto tecnológico de ataque más débil, pero pocas organizaciones pueden mitigar completamente todos los ataques web OWASP Top 10. Vulnerabilidades.
La seguridad de las aplicaciones debe comenzar con prácticas de codificación segura y mejorarse mediante pruebas de penetración y fuzzing.
El rápido desarrollo y despliegue de aplicaciones en la nube ha llevado al surgimiento de DevOps como una disciplina emergente. Los equipos de DevOps suelen priorizar las necesidades empresariales por encima de la seguridad y, dada la proliferación de amenazas, este enfoque puede cambiar.
5. Seguridad del Internet de las Cosas (IoT)
El Internet de las Cosas se refiere a diversos sistemas de redes físicas críticos y no críticos, como electrodomésticos, sensores, impresoras y seguridad. cámaras. Los dispositivos de IoT a menudo quedan inseguros y ofrecen pocos parches de seguridad, lo que pone en peligro no solo a los usuarios sino también a otras personas en Internet, ya que estos dispositivos suelen ser utilizados por actores maliciosos para crear botnets. Esto crea desafíos de seguridad únicos para los usuarios domésticos y la sociedad.
Tipos de amenazas de red
Las amenazas de red comunes incluyen principalmente las siguientes tres categorías:
Ataques de confidencialidad
Muchos ataques de red se originan mediante robo o copiar la información personal de un objetivo incluye una variedad de ataques criminales, como fraude con tarjetas de crédito, robo de identidad o robo de una billetera Bitcoin. Los espías estatales también utilizan los ataques a la confidencialidad como parte importante de su trabajo, tratando de obtener información confidencial para obtener beneficios políticos, militares o económicos.
Ataques a la integridad
En términos generales, los ataques a la integridad tienen como objetivo interrumpir, dañar o destruir información o sistemas, así como a las personas que dependen de esta información o sistemas. Los ataques a la integridad pueden ser sutiles (manipulación y daño a pequeña escala) o catastróficos (daño a un objetivo a gran escala). Los atacantes pueden variar desde script kiddies hasta organizaciones de espionaje de estados-nación.
Ataques de disponibilidad
Evitar que los objetivos accedan a los datos es la forma más común de ransomware y ataques de denegación de servicio (DoS) en la actualidad. El ransomware normalmente cifra los datos en un dispositivo de destino y exige un rescate para descifrarlos. Un ataque de denegación de servicio (DoS) (normalmente en forma de ataque de denegación de servicio distribuido) inunda un objetivo con solicitudes que ocupan recursos de la red y los hacen no disponibles.
Cómo se implementan estos ataques:
1. Ingeniería social
Si un atacante puede encontrar la entrada directamente desde un ser humano, no puede hacer grandes esfuerzos. para invadir equipos informáticos. El malware de ingeniería social se utiliza a menudo para distribuir ransomware y es el vector de ataque número uno (en lugar de desbordamientos de búfer, configuraciones incorrectas o exploits avanzados). La ingeniería social puede engañar a los usuarios finales para que ejecuten programas troyanos, a menudo desde sitios web en los que confían y que visitan con frecuencia. La formación continua de los usuarios en materia de seguridad es la mejor medida para combatir este tipo de ataques.
2. Ataque de phishing
A veces, la mejor manera de robar la contraseña de otra persona es engañarlo para que la proporcione ellos mismos. Esto depende principalmente de la práctica exitosa de los ataques de phishing. Incluso los usuarios inteligentes que están bien capacitados en seguridad pueden ser víctimas de ataques de phishing. Es por eso que la autenticación de dos factores (2FA) es la mejor defensa: sin un segundo factor (como un token de seguridad de hardware o un autenticador de token de software en el teléfono del usuario), una contraseña robada es vulnerable a un ataque. el lector.
3. Software sin parches
Si un atacante lanza un ataque de vulnerabilidad de día cero, puede ser difícil culpar a la empresa, pero si la empresa no instala parches, lo hará. es como si no lo hiciera. Si una vulnerabilidad ha sido revelada durante meses o incluso años y una empresa aún no ha instalado parches de seguridad, inevitablemente podría ser acusada de negligencia. Entonces, recuerda parche, parche, parche, ¡di cosas importantes tres veces!
4. Amenazas en las redes sociales
El término "Catfishing" generalmente se refiere a ocultar la propia situación en el entorno en línea, fabricando cuidadosamente una identidad en línea de alta calidad, con el propósito de Impresionar a los demás, especialmente para atraer a alguien a una relación romántica. Sin embargo, el catfishing no es sólo para la escena de las citas. Las cuentas "calcetines" confiables pueden propagar gusanos a través de su red de LinkedIn. ¿Te sentirías raro si alguien conociera muy bien tus contactos profesionales e iniciara una conversación sobre tu trabajo? Como dice el refrán, "la lengua suelta hunde el barco". Espero que tanto las empresas como los países presten más atención al espionaje en las redes sociales.
5. Amenaza persistente avanzada (APT)
De hecho, los espías nacionales no solo existen entre países y organizaciones gubernamentales, sino que también existen atacantes de este tipo en las empresas. Así que no se sorprenda si hay múltiples ataques APT jugando al "escondite" en su red corporativa. Si su empresa se dedica a generar beneficios duraderos para cualquier persona o en cualquier lugar, entonces debe considerar la postura de seguridad de su empresa y cómo responder a ataques APT sofisticados. Esto es especialmente cierto en el sector tecnológico, una industria llena de valiosa propiedad intelectual que durante mucho tiempo ha sido saliva de muchos delincuentes y espías estatales.
Carreras en ciberseguridad
Ejecutar una sólida estrategia de ciberseguridad también requiere las personas adecuadas. La demanda de personal profesional en ciberseguridad, incluidos ejecutivos de nivel C e ingenieros de seguridad de primera línea, nunca ha sido tan alta. Incluso a medida que las empresas se vuelven más conscientes de la protección de datos, los líderes de seguridad han comenzado a ingresar a la alta dirección y a las salas de juntas.
Ahora, el director de seguridad (CSO) o el director de seguridad de la información (CISO) se ha convertido en un puesto de gestión central que cualquier organización formal debe tener.
Además, los roles se han vuelto más especializados. La era del analista de seguridad de propósito general se está desvaneciendo. Hoy en día, los evaluadores de penetración pueden centrarse en la seguridad de las aplicaciones, la seguridad de la red o mejorar la conciencia de seguridad de los usuarios de phishing. La respuesta a incidentes también ha comenzado a extenderse las 24 horas del día (724 horas). A continuación se detallan algunas funciones básicas dentro de un equipo de seguridad:
1. Director de seguridad de la información/Director de seguridad de la información
El Director de seguridad de la información es un ejecutivo de nivel C responsable de supervisar la seguridad de una organización. Comportamiento operativo de TI de los departamentos de seguridad y otro personal relevante. Además, el director de seguridad de la información es responsable de dirigir y gestionar la estrategia, las operaciones y los presupuestos para garantizar la seguridad de los activos de información de la organización.
2. Analista de Seguridad
Los analistas de seguridad también se conocen como analistas de seguridad de redes, analistas de seguridad de datos, analistas de seguridad de sistemas de información o analistas de seguridad de TI. Esta función suele tener las siguientes responsabilidades:
Planificar, implementar y actualizar medidas y controles de seguridad;
Proteger los archivos digitales y los sistemas de información contra el acceso no autorizado, la modificación o la destrucción;
Mantener datos y monitorear el acceso seguro;
Realizar auditorías de seguridad internas/externas;
Administrar sistemas de red, detección y prevención de intrusiones; analizar violaciones de seguridad y determinar sus principios de implementación y raíz; causas;
Definir, implementar y mantener políticas de seguridad empresarial;
Coordinar planes de seguridad con proveedores externos;
3. Arquitecto de seguridad
Un buen arquitecto de seguridad de la información debe poder abarcar dominios empresariales y tecnológicos. Si bien el rol variará según los detalles de la industria, es un puesto de alto nivel responsable principalmente de planificar, analizar, diseñar, configurar, probar, implementar, mantener y respaldar la infraestructura de seguridad de redes y computadoras de una organización. Esto requiere que los arquitectos de seguridad tengan una comprensión integral del negocio de la empresa, así como de sus necesidades técnicas y de información.
4. Ingeniero de seguridad
El trabajo de un ingeniero de seguridad es la primera línea de protección de los activos de la empresa contra las amenazas. Este trabajo requiere fuertes habilidades técnicas, organizativas y de comunicación. El ingeniero de seguridad de TI es un puesto relativamente nuevo que se centra en el control de calidad dentro de la infraestructura de TI. Esto incluye diseñar, construir y proteger sistemas escalables, seguros y robustos; operar sistemas y redes de centros de datos; ayudar a las organizaciones a comprender las amenazas cibernéticas avanzadas y ayudar a las empresas a desarrollar estrategias de ciberseguridad para proteger estas redes;