spinner

Seguridad personalizada en entornos resilientes

El año 2020 ha traído consigo nuevos retos de seguridad en cuanto las empresas se han encontrado con nuevos escenarios que han requerido de un impulso, replanteamiento o evolución a las estrategias de transformación digital.

Si bien los abruptos cambios o decisiones que se han llevado a cabo por las empresas cara a facilitar el teletrabajo a sus empleados también han supuesto en muchos casos abrir nuevas líneas de negocio mayoritariamente apoyadas en una estrategia digital. En ambos casos se cubre el end-to-end entre la información (o datos, en su nivel más granular) hasta el empleado o el cliente. Y también en ambos casos ha de evaluarse la seguridad necesaria para acompañar el éxito de la correcta implantación de dicha estrategia.

En realidad, es necesario diferenciar entre el impacto de cualquier cambio o ampliación del perímetro tecnológico, los mecanismos y tecnologías que hay disponibles para protegerlos, o mejor dicho, reducir el riesgo asociado a la ocurrencia de incidentes de seguridad y su impacto en los distintos activos que componen dicho perímetro.

La ‘no confianza’

En cierto modo, si bien han surgido nuevas tecnologías y soluciones cara a resolver estos retos, la mayoría ya las estábamos utilizando y ya existían los mecanismos de seguridad para protegerlos. Tal es la realidad, que se han vuelto a reforzar términos muy conocidos como las aproximaciones Zero Trust, cuya filosofía y aplicación sin duda son de gran utilidad sobre todo en entornos híbridos y altamente complejos en los que existe una elevada interactuación N a N entre personas, dispositivos y sistemas finales. Sobretodo donde estos sistemas de información finales no conforman o comparten necesariamente el mismo core o ubicación tecnológica, reforzando la realidad de que no existe un único perímetro de seguridad alrededor de estos SSII y por ello no han de considerarse la primera línea de defensa.

Muchas de las soluciones que están facilitando un proceso de transformación digital a las empresas, como pueden ser las mismas plataformas cloud, nacen con muchos de estos principios de seguridad, permitiendo una sencilla configuración desde la propia conceptualización. Algo que se complica cuando los entornos presentan arquitecturas híbridas y/o entornos legacy que tienen que convivir. Lo cual involucra adoptar una mayor adaptabilidad de estos mecanismos de seguridad a los distintos procesos que se ejecuten en estas plataformas. Apoyándose en la “no confianza” en una primera instancia, y abordando los riesgos que supongan los distintos niveles de confianza otorgados o adquiridos en los distintos momentos, ya sea a partir de mecanismos de autenticación robustos, correcta gestión de dispositivos y la adecuada aplicación de políticas de seguridad para cada caso de uso, va a permitir distribuir y desplazar la línea de defensa a un plano distinto al habitual, surgiendo la necesidad de enfocarlo fuertemente en los endpoints o usuarios consumidores de la información además de en los habituales perímetros cercanos a los sistemas finales.

La securización de los propios endpoints o de dispositivos se ha visto acompañada de una rápida evolución de mecanismos de autenticación, creando estándares como por ejemplo FIDO, el cual persigue robustecer este proceso bajo la premisa de que las contraseñas actuales no son un mecanismo suficientemente fiable por si solas o en sí mismas, ya sea por las políticas utilizadas, por su incorrecta utilización por parte de usuarios, o por los ataques muy maduros dirigidos contra éstas. Por ello, ha existido una extensa adopción de mecanismos de autenticación multi-factor (MFA) y un importante avance en la estandarización de tecnologías biométricas (reconocimiento facial, voz, etc.) que en conjunto o sustitución demuestran aumentar la fiabilidad en procesos de autenticación y autorización. Y en muchos casos, se han convertido en mecanismos no únicamente de seguridad, sino como habilitadores de negocio en algunos contextos desde el onboarding de usuarios.

Evolución del perímetro

Uno de los actores que mayor cambio ha experimentado ha sido la seguridad en redes, promovido principalmente por los cambios llevados a cabo por algunos negocios en los que tanto el fog computing o el edge computing promueven cambiar el foco tradicional de la seguridad desde el centro de proceso datos habitual hacia entornos que se encuentran mayoritariamente fuera de las localizaciones físicas o bajo el control de la empresa.

Ambas tecnologías bautizadas con nomenclaturas según distintos fabricantes, si bien son muy parecidas, persiguen trasladar tareas de cómputo o procesamiento de datos a un perímetro más alejado del procesamiento en cloud u on-premise, para llevarlo a cabo por los propios orígenes (dispositivos, aplicaciones, etc.) o por entornos más próximos a éstos. Sin duda, esto supone un importante impacto en los tiempos de procesamiento, reduciéndolos significativamente en comparación a técnicas habituales, y que sin embargo supone nuevos retos tanto en complejidad computacional en el momento de agregar la información, como en el momento de gestionar la seguridad.

En el mercado, esto ha llevado a muchos fabricantes a la construcción de soluciones que aúnen los principios y tecnologías de seguridad previamente mencionadas, a los actuales servicios de acceso a las distintas nubes, dando lugar a las soluciones SASE (Secure Access Service Edge) con el aspiracional de ampliar el alcance de la gestión de la seguridad más allá de los entornos corporativos privados, híbridos o públicos mediante la gestión unificada de políticas.

seguridad

Estas soluciones permiten, desde un punto de vista unificado, definir en base al contexto y las identidades, los niveles de seguridad para cada conexión, reforzando en varios casos la importancia de la confianza y la continua evaluación de ésta en función de las necesidades de acceso balanceando requerimientos y ofreciendo así una seguridad dinámica. Una de las mayores diferencias de las funcionalidades de estas soluciones en contra de las aproximaciones tradicionales, es su foco en proporcionar una seguridad definida por software en base a políticas y atributos, con la ventaja que ofrece esta aproximación cara a una gestión unificada y con suficiente granularidad habilitando a los administradores de seguridad el poder balancear dicha seguridad en base al contexto.

Gestión unificada de la inteligencia

Esta ampliación de alcance o del perímetro a proteger (convirtiéndose muchas veces en un perímetro difuso tal como estamos viendo) acentúa significativamente la necesidad de disponer de una visión unificada de la seguridad y de los servicios de seguridad (o seguridad-como-servicio) que facilite la integración de todos los componentes y faciliten técnicas de análisis, investigación y respuesta eficientes. Las plataformas, mecanismos y adecuación de procesos de Threat Intelligence han recuperado tanto impulso como importancia para conformar el “broche de seguridad” a todo el conjunto.

En esta parte, es importante remarcar que, sin lugar a dudas, uno de los principales campos que han “sufrido” una fuerte evolución, aunque ya vinieran haciéndolo desde los últimos años, son los relativos a técnicas de machine learning aplicadas al campo de la ciberseguridad, que nos permiten alcanzar una alta automatización con la ambición de obtener un modelo lo más unificado posible, permitiendo diseñar una gestión de la seguridad de forma holística. Si bien este es sin duda el aspiracional en entornos complejos en los que la seguridad ha de aplicarse de forma distinta o específica, requiere de una mayor interactuación para poder proporcionar coherencia entre eventos y, por lo tanto, habilitando una rápida respuesta y reacción ante estos en base a herramientas de descubrimiento, visibilidad y análisis. Dicho de otra forma, refuerzan su valiosa utilización en entornos que, generando eventos de distinta índole, nos permitan disponer de información concreta y realmente explotable.

Unificando las distintas fuentes de eventos y logs generados en los distintos puntos de estas plataformas de arquitecturas complejas, permite no solo obtener la deseada visión unificada, sino disponer de la información suficiente para tomar decisiones, tanto para la prevención como reacción ante incidentes, y proporcionando la información necesaria para alimentar las políticas de seguridad a aplicar en función del actor, el origen o el destino de la actividad dentro de estas arquitecturas como se mencionaba en párrafos anteriores.

Las soluciones SOAR (Security Orchestation Automation and Response) están abordando muchas de estas necesidades de por sí, o en escenarios y arquitecturas existentes se están complementando plataformas de inteligencia y respuesta a incidentes con Arquitecturas Orientadas a Servicios (SOA) para obtener las mismas funcionalidades SOAR, enriqueciendo, automatizando y compartiendo todos los elementos de inteligencia obtenidos.

seguridad

Una de las principales funcionalidades que estas herramientas (o stack de soluciones) permiten es su alta integración con distintas fuentes de información internas como externas, evaluando vulnerabilidades, información de ataques, comportamientos etc. poniendo en marcha los distintos flujos de trabajo para implantar las medidas de remediación que correspondan.

La clave se encuentra en disponer de información útil que pueda transformarse de forma lo más automatizada posible en acciones inmediatas, desde el parcheo de una vulnerabilidad, hasta la creación de políticas de seguridad aplicadas en cualquier punto de la red. En muchas de estas actividades, las distintas técnicas de machine learning están siendo indispensables para poder minimizar la intervención humana en tareas que de otra forma serían inviables de realizar, o en su defecto, impactarían negativamente en los tiempos de adopción de medidas.

Si repasamos el journey recorrido durante el artículo, podríamos obtener las siguientes conclusiones:

  • Las arquitecturas cada vez son más complejas y han de convivir con escenarios muy distintos (legacy, cloud, etc) en los que existe una alta conectividad para la ejecución de los distintos procesos.
  • Ha de aplicarse seguridad en todos y cada uno de los recursos, usuarios, segmentos, etc. Las arquitecturas de seguridad y soluciones han de diseñarse para cubrir el end-to-end, complementarse, retroalimentarse y ser altamente automatizadas cara a proporcionar la capacidad de analizar los riesgos y tomar decisiones en cada punto del entorno y perímetro.
  • Las estrategias de desconfianza de cualquier identidad, activo, elemento o dato se tiene que apoyar en un nivel mínimo de confianza -lo cual conlleva heredar un riesgo residual a asumir y evaluar. Así mismo han de permitir aplicar de forma dinámica políticas de seguridad de acuerdo al contexto. En entornos cambiantes y expansivos la seguridad ha de revisarse continuamente; no son estados estáticos.
  • Los mecanismos y tecnologías de machine learning son un apoyo cada vez más valiosos para automatizar la gestión de seguridad en plataformas cada vez más complejas. Desde el alta de nuevos usuarios, descubrimiento de activos recientes, gestión de vulnerabilidades y puntos débiles.
  • La seguridad está pasando a formar parte de procesos de negocio, permitiendo la suficiente flexibilidad para generar nuevas oportunidades, minimizando riesgos de seguridad que de otra manera, serían prácticamente imposibles de identificar.
  • Cada vez se dispone de un mayor número de eventos, capaces de proporcionar mayor inteligencia sobre los comportamientos y actividades en los sistemas, por lo que es necesario ser capaces de unificar la gestión de estas y obtener una mayor automatización para hacer uso eficiente de dicha inteligencia cara a poder prevenir o reaccionar ante cualquier amenaza.

¿Quieres saber más?

El próximo jueves, 26 de noviembre de 2020 vamos a realizar un evento online Steps forward in Security: Zero Trust & PasswordlessSi quieres conocer más sobre arquitecturas y filosofía Zero Trust (ZTA) así como de tecnologías Passwordless y el futuro de la autenticación, puedes apuntarte a nuestro primer #NextSecurityDay. ¡Apúntate aquí! 

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de BBVA Next Technologies.

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?