La mayoría de los expertos en seguridad están de acuerdo en que solo porque algo no es 100% a prueba de balas, no significa que no sirva para nada, incluso si, como dice el CEO de Bayshore Networks Redes, Francis Cianfrocca, “El perímetro de la red tradicional ya no es defendible”.
El claro ejemplo más reciente de ello es Adobe. La empresa reconoció a mediados de septiembre que los hackers habían irrumpido un mes antes y accedieron a nombres de los clientes, el crédito cifrado y números de tarjetas de débito y las fechas de vencimiento, así como el código fuente. La compañía aún no ha informado de cómo los atacantes llegaron, pero es evidente que las defensas del perímetro de seguridad no fueron suficientes.
Pero el propio Cianfrocca declara que las empresas deben seguir invirtiendo en defensas perimetrales tradicionales. “Todavía tiene que mantener sus puertas bajo llave, incluso mientras se enfrenta a las amenazas de las entidades que se mueven libremente a través de ellas o las eluden”, señala.
Gary McGraw, CTO de Cigital, llama a la seguridad del perímetro “higiene básica”, y compara poner la seguridad del software por delante de la seguridad de la red, con “ponerse los pantalones antes de ponerse la ropa interior”.
El Dr. Anton Chuvakin, director de investigación de seguridad y gestión de riesgos de Gartner para los profesionales técnicos, señala que si bien las organizaciones necesitan protección dentro de sus perímetros, “¿Por qué dejar a los atacantes sin luchar en el perímetro? Las defensas perimetrales no lo pondrán a salvo, pero es un lugar útil para combatir su primera batalla con el atacante, reunir información de inteligencia, etc.”.
Sin embargo, esa no es una opinión unánime. Thevi Sundaralingam, vicepresidente de administración de productos de Accellion, le dijo recientemente a Dark Reading que, dado un mundo en el que los empleados móviles habilitados se conectan con sus redes de empresas de todo el mundo en los dispositivos de su elección, “el perímetro de seguridad ya no es relevante para las empresas. La seguridad de próxima generación tiene que concentrarse en mantener a salvo el contenido, no en defender el perímetro de la red”.
Tyler Rorabaugh, vicepresidente de ingeniería en Cenzic, está de acuerdo. “El perímetro se ha ido durante varios años debido a BYOD y que los datos son accesibles desde cualquier parte. Es difícil construir un perímetro o valla virtual en torno a una frontera inexistente, ya que una frontera no se puede definir en torno de datos que sean accesibles desde cualquier lugar”, agrega.
En apoyo de este punto de vista, señaló que, “Hay más de 60 mil API públicas a través de sistemas como APIHub, Mashery y Apigee. Casi todas las grandes empresas dan acceso a algún tipo de datos de terceros, y la mayoría de los datos relacionados con los consumidores, incluso los registros de salud, son ahora públicos”.
Pero Sundaralingam y Rorabaugh parecen estar en la minoría. Chuvakin llama a ese punto de vista “tonto”.
“Sí, la seguridad de próxima generación tiene que concentrarse en mantener a salvo el contenido, pero lo hará al definir y defender un perímetro de la red”, señala, argumentando que incluso un perímetro que es solo el 30% efectivo, “significa que tiene un tercio menos de malware para luchar en el interior”.
Kevin McAleavey, experto en el malware como un servicio, y fundador y arquitecto jefe del Proyecto KNOS, señala que un buen perímetro es mucho mejor que el 30%. “La defensa del perímetro sigue siendo la mejor manera de prevenir el 90% de los ataques contra la infraestructura”, agrega. “Definitivamente no estoy de acuerdo en que es algo obsoleto”.
Nimmy Reichenberg, vicepresidente de estrategia de AlgoSec, es otro que lo compara con la protección de los objetos de valor en una casa. “El hecho de que tenga una caja fuerte en su casa no significa que deba desbloquear todas las puertas y derribar la cerca”, señala. “No hay un conflicto inherente entre la protección del perímetro y la protección de los datos sensibles; y la combinación de ambos es una buena práctica”.
Y Trevor Hawthorn, director de tecnología de ThreatSim, señala que mientras los atacantes saben que hay formas más fáciles de robar datos -vulnerabilidades de aplicaciones web e ingeniería social que sobrepasan los controles de seguridad de red -eso no significa que las organizaciones deban abandonar el perímetro de seguridad. “El momento en que dejemos de hacer eso, le damos a los hackers otra ruta fácil para acercarse a los datos sensibles”, agrega.
Algunos de los debates pueden ser más sobre la semántica que sobre el fondo. Chuvakin y otros están de acuerdo en que la explosión de dispositivos móviles y acceso remoto ha cambiado radicalmente la definición de un perímetro. Señala que, “las máquinas virtuales de una organización (VM) se despliegan en el interior del perímetro, mientras que la nube privada virtual (VPM) amplía el perímetro para incluir el entorno de Amazon”.
Kevin O’Brien, arquitecto de soluciones empresariales en CloudLock, señala que la realidad BYOD es que el perímetro se extiende con frecuencia más allá de eso. Un ejemplo, dijo, es una tableta que se utiliza para el trabajo durante el día, pero luego es llevada a casa por la tarde, “se conecta a una red inalámbrica doméstica sin cifrar, y se utiliza para editar archivos sensibles”.
La seguridad del perímetro no protegería esa información, indica, “incluso si una organización de TI cumple bien la autenticación con contraseña de multifactor o conexiones SSL encomendadas a los servicios en la nube que utiliza ese dispositivo”.
Por esta y otras razones, Eldon Sprickerhoff, cofundador y director de tecnología de eSentire, dijo que cree que lo que está obsoleto es, “la idea de un único perímetro de seguridad. Ahora, varios perímetros necesitan ser defendidos simultáneamente: El perímetro clásico, tales como las empresas, la sede, y los centros de datos propios; los más pequeños, como las implementaciones en la nube y la infraestructura compartida, y por último los perímetros personales como BYOD”.
En otras palabras, la seguridad perimetral moderna es mucho más que las amenazas que están fuera de la pared. “Se debe revisar el comportamiento interno, incluyendo el uso de análisis de ancho de banda, honeypot y sistemas honeytoken y anomalías de acceso para proteger contra la actividad inaceptable”, señala Sprickerhoff.
“Aunque nada es completamente seguro, la construcción de un ‘panal’ de pequeños perímetros en lugar de uno grande proporcionará una mejor seguridad para la red moderna”.
Arthur Braunstein, vicepresidente de cuentas estratégicas en CloudLock, va un paso más allá: En esencia, la persona se ha convertido en el perímetro, señala.
“La nube y BYOD añaden una dimensión a la porosidad de las redes y el aumento de las amenazas internas es profundo”, agrega. “Los datos se asocian con los usuarios, y no con los dispositivos. Las empresas ya no pueden ir a un dispositivo, aislarlo con controles de acceso o enumerar los archivos en él, ya que el dispositivo se ha convertido en la nube, y todos los usuarios tienen más o menos igualdad de acceso. De este modo, la protección de datos tiene que estar centrada en las personas, lo que lleva a la metáfora del firewall humano”.
Y ese firewall es, por decirlo suavemente, poroso. “La parte del león de las violaciones resulta cuando los insiders maliciosamente o por negligencia externalizan datos”, señala Braunstein. “O los forasteros se abren camino en las empresas y utilizan códigos o absorciones para camuflar su ilegitimidad”.
Braunstein agrega que cree que la economía apunta a una tendencia en la que, “las empresas contratan proveedores de nube pública por infraestructura, con seguridad perimetral integrada, y luego enfocan sus esfuerzos en salvaguardar la utilización de los datos”.
Él lo compara con las empresas que utilizan bóvedas de los bancos. “Ninguna empresa en su sano juicio administraría su propio repositorio de dinero en efectivo”, indica. “Su defensa del perímetro efectivo se mudó de un lugar en las instalaciones de la empresa hacia una bóveda mejor protegida en un banco de confianza. Pero las empresas no manejan su dinero con gran sofisticación y de acuerdo con sus necesidades de negocio”.
Pero si la gente es el perímetro, ¿el máximo de seguridad no depende de la naturaleza humana, que incluye tanto el descuido y la intención que a veces es maliciosa?
No del todo, en opinión de Sprickerhoff, quien dijo que cuando los resultados de un fracaso humano resultan en una brecha, una mejor tecnología puede detectarla más rápidamente. “Soy un gran fan de los honeypots internos -los sistemas que se implementan en un entorno que parecen contener la ‘salsa secreta’ que un atacante externo querría acceder, pero a la que no hay necesidad legítima de acceso”, agrega. “Actúan como un ‘canario en una mina de carbón’ para alertar a una empresa cuando otros medios de defensa han sido violados”.
Braunstein añade que los departamentos de TI pueden reducir el riesgo de los usuarios finales, proporcionándoles las herramientas en la nube. “Tú los alejas de una infraestructura heredada cada vez más cara y difícil de controlar, que disminuye la retención, fomenta el uso de soluciones de nube sancionadas y controlables como Google Apps, y reducen el incentivo para hacer trampa”, señala.
Reichenberg acepta que BYOD expande y fragmenta el perímetro. Para lidiar con ello, “las empresas deben tomar medidas de protección contra amenazas tales como los dispositivos perdidos o robados. Hemos estado haciendo esto para laptops corporativas durante muchos años, pero con BYOD debemos extender esta protección a los dispositivos de gran movilidad que no son propiedad de la compañía”, anota.
Trevor Hawthorn, director de tecnología de ThreatSim, sostiene que BYOD, la nube y los servicios web han hecho que el “perímetro tradicional” sea menos relevante. “Pero si nos fijamos en casi cualquier gran empresa, encontraremos una gran cantidad de datos que aún vive dentro de los muros del castillo”, señala. “Esto no quiere decir que no debamos dejar de poner los controles de seguridad cerca de los datos, pero no se puede desechar el viejo paradigma por el momento”.
En última instancia, la mayoría de los expertos coinciden en que la seguridad perimetral no es tanto una pared, sino una capa de protección -una que merece una inversión de tiempo, esfuerzo y dinero, pero no a expensas de software y de nivel de datos de control.
“El perímetro de la red es ahora omnipresente”, señala Cianfrocca de Bayshore, y una empresa que se centra únicamente en un solo perímetro es la versión de alta tecnología de “el borracho que busca sus llaves del auto debajo de la farola porque hay más luz”.
Hawthorn comenta que la mayoría de la inversión debe hacerse en “dos lugares de profundidad dentro de la empresa que Internet todavía pueda alcanzar directamente a: software y personas”.
“El desarrollo de software seguro es posible y hay muchos recursos para ayudar”, señala el ejecutivo, “y los usuarios pueden ser su mayor debilidad o su mayor activo. La mayoría de los ataques modernos implican algún tipo de ataque orientado al usuario.
Hawthorn, sin embargo, subraya que no estaba necesariamente pidiendo que cada usuario final se capacite hasta el punto de convertirlos en expertos.
“Solo tenemos que ajustar su forma de pensar para que sea más como un “escéptico inteligente” cuando se trata de mensajes de correo electrónico, manejo de datos, y las anomalías que se encuentran durante el día”, finaliza.
-Taylor Armerding, CSO
