Si está familiarizado con la película ‘La historia sin fin’, entonces sabe que el objetivo del héroe, Atreyu, es llegar a los límites de Fantasia. Se decepciona al saber que ese lugar no tiene fronteras, pues es la tierra de la fantasía humana.
En cierto modo, la tierra de Fantasia es como la seguridad de la red. Donde antes existía una fortaleza alrededor del perímetro de un terreno que necesitaba ser protegido, ahora esos límites se han expandido, dejando a los profesionales de seguridad rompiéndose la cabeza tratando de encontrar la mejor manera de proteger la empresa contra invasores.
La idea de que el tiempo y los recursos deben ser invertidos en seguridad de red o de aplicaciones es un error, ya que ambos son igual de importantes al referirnos a la seguridad de la empresa.
Sin embargo, según un reciente informe de Forrester Research sobre el estado de la seguridad de red, la porción más grande del presupuesto de gastos de tecnología de seguridad en el 2015 fue en la seguridad de red, con un aumento esperado en esta categoría presupuestaria en los próximos años.
“De cara al futuro, el 41% de los tomadores de decisiones espera aumentar el gasto en seguridad de red, al menos, en un 5% del 2015 al 2016; con un 9% planeando aumentar el gasto de la seguridad de red en más de 10%”, señaló el informe.
Mientras que la seguridad de las aplicaciones ha estado rondando por un tiempo, los profesionales de TI permanecen arraigados en las tradiciones que se encuentran en la base de la seguridad de red. El resultado ha sido, a menudo, una decisión presupuestaria de “esto o lo otro” cuando se trata de invertir en herramientas de seguridad.
La realidad es que, al igual que Fantasia, la red no tiene fronteras.
Aunque es fácil descartar ‘La historia sin fin’ por ser una película para niños, hay mucho que el mundo adulto y el mundo de la ciberseguridad pueden aprender de los niños. En una historia de Marketplace Education en NPR el 7 de enero de 2016, “Los niños comienzan a perfeccionar sus habilidades de ciberseguridad a temprana edad”, un niño de cuarto grado, James Estrella, ofreció un consejo sabio.
“Estrella dijo que ya sabe más sobre computadoras que sus padres. Para tener una buena seguridad, necesita deshacerse de los errores en su código, dijo. Ah, y hacer contraseñas seguras. De lo contrario, señaló, podría ser hackeado”.
En referencia a la historia de NPR, el CTO de Cigital Internal, John Steven, dijo que incluso estos niños se han dado cuenta de que no se trata de la red.
Durante las últimas dos décadas, históricamente, la gente ha adoptado una propuesta con un enfoque en la seguridad perimetral y firewalls. “No hay perímetro”, indicó Steven, “Nosotros tallamos agujeros en nuestras redes para hacer negocios”.
“Las organizaciones que piensan que van a permanecer en el entorno heredado, no ven que sus redes no tienen límites. El perímetro no está ahí”, anotó Steven. En casa, compramos dispositivos para que se comuniquen unos con otros, y el ambiente empresarial no es diferente.
La red es muy porosa, añadió Steven, e IoT acelerará esta tendencia. “Una directriz principal es dejar de poner rejas alrededor de las cosas y reconocer que la comunicación es el propósito de los dispositivos”, anotó Steven.
Con demasiada frecuencia, Steven ha visto empresas sorprenderse mucho al enterarse de que tienen muchas más superficies de ataque de las que esperaban. “Si un sistema heredado abarca las bases de datos, servidor y cliente; algunas personas creen que solo se trata de una conexión que no es de confianza para el navegador”.
El riesgo de la empresa se encuentra en las copias de seguridad, recuperación de desastres, respuesta a incidentes y cualquier otra conexión subcontratada sin editar, sin cifrar, y sin verificar.
Paula Musich, directora de investigación en NSS Labs, señaló: “Históricamente, la seguridad de red se ha centrado en los puertos y protocolos, y se ha basado en la capacidad de escanear el tráfico de red -normalmente en el perímetro de la red corporativa”.
Incluidos en la protección de red, están los “firewalls, sistemas de prevención de intrusiones (IPS), secure web gateways(SWG), protección de denegación de servicios distribuidos (DDoS), redes privadas virtuales (VPN), y mucho más”, anotó Musich.
La introducción de la seguridad de red consciente del contexto, añadió Musich, “ha difuminado los límites entre la seguridad de red y la de aplicaciones. Y la integración de los dispositivos de seguridad de red y software con protección, ha contribuido a esa difuminación.
Sin embargo, la seguridad de red todavía se basa en la capacidad de escanear el tráfico en la red empresarial”.
Cloud computing y las aplicaciones móviles han contribuido a que las paredes del perímetro de la red se desmoronen. “El acceso a las aplicaciones empresariales basadas en la nube, y a las aplicaciones móviles utilizadas por los trabajadores para colaborar en la actividad de la empresa, todavía debe estar asegurado”, dijo Musich. “La seguridad de aplicaciones, por otra parte, se centra en cómo operan las aplicaciones, y busca anomalías en esas operaciones”.
La seguridad de aplicaciones abarca firewalls de aplicaciones web, seguridad de bases de datos, seguridad de servidores de correo electrónico, seguridad del navegador, y seguridad de aplicaciones móviles, agregó Musich. “También podría incluir pruebas estáticas y dinámicas del código de la aplicación, a pesar de que eso se lleva a cabo con más frecuencia en aplicaciones empresariales personalizadas antes de comenzar la producción”, anotó.
Añadirle seguridad a las cosas que queremos proteger es fundamental; no solo para el futuro, sino también para ahora. “La conectividad es el valor, no una moda pasajera”, informó Steven, “y la capacidad de conectarse y generar confianza entre los dispositivos es la forma en que tienen valor”.
Sin embargo, aquellas organizaciones que siguen concentrando sus recursos en la seguridad de red, no están necesariamente equivocadas, señaló Bill Ledingham, CTO y vicepresidente ejecutivo de ingeniería en Black Duck Software.
“El problema de la seguridad de red no desaparece”, expresó Ledingham, “otros desafíos se están formando en capas por encima de eso”.
Activos críticos fuera del perímetro son vulnerables debido a la cantidad de aplicaciones y recursos expuestos durante el acceso a Internet. “Si lleva su laptop cuando sale y habilita el acceso a Internet, hay otros puntos de vulnerabilidad agregados al cuadro general”, añadió Ledingham.
Con el fin de defender mejor, el equipo de seguridad debe ganar primero visibilidad de lo que tienen y lo que hay que proteger. “Poner en marcha un proceso que prioriza riesgos, incluso cuando están trabajando con recursos limitados”, es una buena práctica, anotó Ledingham.
El mayor desafío para cualquier equipo de seguridad es ocuparse de todo lo que se le presenta. “¿Cómo gastan sus recursos limitados? Necesitan entender las nuevas vulnerabilidades y ser capaces de analizar y comprender el impacto de estas, rápidamente”, indicó Ledingham.
Tradicionalmente, donde la seguridad se ha centrado en la protección del perímetro, hay un cambio en el crecimiento con más y más información accesible a través de Internet y aplicaciones expuestas. “Ese es el desafío con el que las empresas están luchando en este momento”, señaló Ledingham.
La seguridad no es un problema ni de red ni de aplicaciones; es un problema de gestión de riesgos. La solución, mencionó Ledingham, está en priorizar basándose en la sensibilidad de los datos o aplicaciones en conjunción con la comprensión de cuán alto es el riesgo realmente.
Las aplicaciones y redes presentan riesgos, y tienen el potencial para que los hackers maliciosos accedan a información sensible dentro de la red o de aplicaciones que tienen acceso a la red. “Tenga en cuenta el aspecto de la infraestructura y las aplicaciones que están expuestas externamente”, indicó Ledingham.
“No creo que tenga que elegir uno u otro”, agregó Ledingham sobre la asignación de recursos para la seguridad de red vs la seguridad de aplicaciones. “Mire las cosas desde una perspectiva de riesgo, y decida dónde va a destinarlos”.
-Kacy Zurkus, CSO (EE.UU.)