Mientras que la empresa digital se esfuerza por encontrar las mejores soluciones de seguridad para defender sus redes en constante expansión, muchos están buscando herramientas de última generación que ofrezcan capacidades de interoperabilidad.
Las redes definidas por software (SDN, por sus siglas en inglés) mantienen muchas promesas. Mediante la consolidación de los planos de control de múltiples dispositivos en un único controlador, ésta se convierte en el tomador omnipotente de decisiones de toda la red.
Eso involucra un montón de poder, pero los desarrolladores todavía no consideran la seguridad como prioridad en la construcción de productos SDN, razón por que hay debilidades en SDN que pueden llegar a comprometer la seguridad de la empresa.
Fabio De Gaspari, estudiante de doctorado en la Universidad Sapienza de Roma, señaló: “Los principales riesgos asociados con SDN, son el compromiso del plano de control y las posibles preocupaciones de escalabilidad del plano de control”.
La forma en que se implementa el plano de control determina su vulnerabilidad, pero si un atacante puede acceder al controlador, los resultados “pueden variar desde catastrófico -si es que el atacante obtiene control total sobre toda la red, hasta un riesgo de alta seguridad en un controlador múltiple de SDN, donde los controladores no comprometidos pueden detectar y mitigar potencialmente aquel comprometido”, anotó De Gaspari.
Debido a que los interruptores no pueden funcionar correctamente en ausencia del controlador, De Gaspari añadió, “los resultados de la escasa escalabilidad de los planos de control pueden variar desde la mala eficiencia de la red, a dispositivos de red que no responden a los nuevos flujos de red”.
Generalmente, los principales riesgos de seguridad provienen de una configuración incorrecta o deficiente de los dispositivos. Aunque esto no es cierto en SDN únicamente. De Gaspari señaló que es potencialmente aún más importante, dada lo flexible y, por tanto, lo fácil que es configurar de manera equivocada la arquitectura.
A pesar de las brechas en la seguridad, SDN sigue siendo una solución alternativa emergente a los problemas de las redes modernas. Gregory Pickett, jefe de operaciones de seguridad cibernética en Hellfire Security, indicó que SDN trae muchas cosas buenas.
“Permite operaciones que los proveedores han querido durante décadas, operaciones como dry-out de mantenimiento, selección de salida de clientes, seguridad mejorada de BGP a través de la selección de rutas basada en la reputación, convergencia más rápida de rutas en el IXP. SDN hace que estos problemas sean discutibles”, escribió Pickett.
En su presentación en Black Hat 2015, titulada “Abusing Software Defined Networks”, Pickett señaló que SDN ofrece la posibilidad de que la red responda por sí sola a las amenazas. A pesar de que ofrece promesas, SDN todavía tiene agujeros de seguridad.
“La brecha está en que la gente no revisa la seguridad antes de lanzar su producto. Todavía no toman la seguridad con seriedad”, añadió Pickett.
Parte de la razón por la que la seguridad sigue siendo un desafío con SDN, es que no hay una definición clara establecida de lo que son las redes definidas por software, anotó Pickett.
“Mi impresión es que el concepto es una palabra de moda. Su SDN puede no ser mi SDN. Tomemos a Cisco como ejemplo, que tiene su propia versión de SDN”, añadió Pickett. Sin embargo, hay muchas versiones de SDN que varían dependiendo del proveedor.
“Los vendedores van a definir a SDN de una manera en que se ajuste a su línea de productos. Lo que pasa es que la línea de productos no se mueve en la dirección de SDN, sino que la definición de SDN se está moviendo de acuerdo a la línea de productos”, dijo Pickett.
Irónicamente, se supone que SDN otorga consistencia a la red, pero existe mucha ambigüedad sobre lo que SDN realmente es; razón por la cual Jon Oltsik, analista principal, señaló que como las empresas están llevando a cabo planificación estratégica en torno a SDN, necesitan involucrar al equipo de seguridad.
Los profesionales de la seguridad son los que pueden trabajar para identificar y mitigar el riesgo. “Pueden buscar riesgos en la tecnología, implementación o las operaciones, y tratar de mitigarlos tanto como sea posible”, agregó Oltsik.
El controlador puede ser un único punto de falla, y Oltsik anotó: “Cuando SDN es implementado, cuenta con supervisión sobre toda la red. En una red tradicional, si se compromete un interruptor de la capa 2, podría ser capaz de ver el tráfico de y para tal interruptor, pero no toda la red”.
Aunque SDN no es un nuevo desarrollo, mucho acerca de los protocolos recién diseñados lo hacen muy similar a una nueva tecnología. “Todavía no se han reestructurado todas las fallas. Hay un alto grado de innovación, pero no es tan estable como las tecnologías establecidas”, indicó Oltsik.
Cuando se trata de planchar los dobleces y pliegues, el software está cambiando rápidamente, pero no existen muchos especialistas de SDN para contratar, anotó Oltsik. “Está establecido por un equipo de redes o un equipo de operaciones de centros de datos que busca simplificar, y utilizan el software para hacerlo, pero no son expertos en seguridad”.
El deseo de tener un medio moderno de controlar la red ha generado una nueva ola de herramientas de gestión de redes, pero los nuevos productos no mitigan los riesgos de seguridad.
Paul Querna, CTO y co-fundador de ScaleFT, mencionó: “Los riesgos de seguridad no son tan diferentes a los que hay en las redes en general. Ambos tratan sobre personas en las redes”.
“La realidad es que los atacantes más avanzados ya han descubierto la forma de acceder a la red en un mundo SDN. Para los atacantes más débiles, SDN es más seguro porque pueden enrutar más fácilmente las cosas”, indicó Querna.
Sin embargo, los riesgos varían dependiendo de la tecnología exacta de SDN que se utiliza. “Si va a implementar un SDN, debe tener cuidado al hacer cambios y con la forma de implementar esas normas en hardware, y entender qué pasa si no lo tiene”, añadió Querna.
Vitaly Mzokov, jefe de soluciones de negocio, del centro de datos y la seguridad de virtualización de Kaspersky Lab, señaló: “Las organizaciones, tengan o no SDN, deben contar con una estrategia de seguridad que integre múltiples capas de seguridad cibernética para proteger el entorno corporativo”.
En tiempos pasados, Mzokov dijo: “Las organizaciones tenían que predecir o estimar la forma en que los delincuentes cibernéticos querrían atacar la infraestructura corporativa y qué vectores podrían utilizar. Luego, empezaban a diseñar el entorno de TI apropiado, junto con la configuración de las políticas de red y firewall”.
Pero los delincuentes cibernéticos modernos han aprendido que la agilidad es la clave del éxito. Tienen que cambiar sus tácticas casi en tiempo real a medida que la tecnología evoluciona. “Esto significa que cuanto más tiempo se gaste tratando de predecir vectores de ataque y diseñar una infraestructura adecuada, más vulnerables se vuelven las organizaciones frente a amenazas modernas o desconocidas”, señaló Mzokov.
Las nuevas amenazas cibernéticas son difíciles de identificar porque son menos conocidas en la industria y difíciles de detectar con soluciones de seguridad antiguas. “SDN permite una reconfiguración más rápida del entorno, y también activa la micro-segmentación”, comentó Mzokov.
“Sin una integración o interoperación adecuada con soluciones antimalware, cualquier tecnología SDN es solo una poderosa herramienta que la gente utiliza de manera insuficiente. Una organización debería dejar que SDN sepa lo que está sucediendo dentro de la máquina virtual desde una perspectiva de seguridad, para así ver cuánto más eficiente puede ser una operación de SDN y el entorno empresarial en general”, dijo Mzokov.
Comprender lo que se recibe sigue siendo un elemento crítico de la seguridad de red definida por el software. Sí, los medios tradicionales de asegurar los controladores todavía se aplican, pero Pickett señaló, “es importante que subamos nuestro nivel. Y para hacerlo, la seguridad debe ser parte de la discusión”.
Kacy Zurkus, CSO.com
