Evolución y tendencias de la Seguridad Perimetral

Tuukka Laurikainen. Consultor de Comunicaciones de Ibermática

Algunos todavía recordamos una época en la que el acceso remoto a los sistemas informáticos requería un módem de unos pocos baudios, un ordenador (no precisamente un PC) y números de teléfono para llamar a un BBS (Bulletin Board System o sistema de tablón de anuncios). A principios de los años 90, a través de redes de universidades se empezó a conocer el mundo de Internet y servicios cómo email, IRC y Gopher.

La seguridad en esa época se limitaba al control de accesos por número de teléfono y técnicas de retrollamada, usuarios y contraseñas y revisión de registros de estos accesos . En ocasiones los registros solían ir directamente en una impresora de matriz en continuo funcionamiento. La encriptación del tráfico todavía no existía en la mayoría de los casos e incluso las contraseñas se guardaban en texto claro en muchos servidores.

La seguridad, más allá de estas medidas, no era una necesidad vital. Había muy poca gente interesada en obtener rendimientos de las fisuras de estos sistemas y servían para satisfacer la curiosidad de unos pocos hackers. En esa época, los ataques consistían en buscar números de teléfono de servidores centrales e intentar acceder al sistema con un usuario privilegiado. También existían virus y troyanos que podían eliminar datos, pero antes de la expansión del uso de Internet, la distribución de estos programas maliciosos era lenta y puntual.

Hoy en día la situación es radicalmente distinta. La Red es accesible para una buena parte de la población mundial y toda la información que circula por ella es susceptible de ser usada y manipulada, incluida la información restringida, si no se cuenta con los medios adecuados para impedirlo.

La mayoría de los ataques informáticos a día de hoy tienen cómo objetivo la obtención de beneficio económico fundamentalmente, pero también político o ideológico. Detrás de estos ataques encontramos frecuentemente organizaciones criminales con recursos y claros objetivos de espionaje y sabotaje industrial, que pueden estar incluso respaldadas por empresas privadas y gobiernos.

En este contexto, los sistemas y los profesionales encargados de controlar los accesos internos y externos de una organización tienen una gran y creciente importancia. Tanto que según algunos estudios realizados en Estados Unidos a finales de 2014 los CIO prevén que la seguridad ocupe el primer o el segundo puesto en el incremento presupuestario TI para el año 2015 (TechAmerica, Grant Thornton, 2014). La asociación de CIOs del estado (NASCIO) de Estados Unidos también marca la seguridad cómo prioridad uno para 2015. Este dato es significativo, ya que en estos casos supera la previsión de crecimiento presupuestario reservado para otra área importante, la computación Cloud (privada y pública). También da indicios de cambio ya que, a nivel global, el porcentaje del presupuesto TI para la seguridad se había mantenido durante los últimos cinco años a pesar de que los riesgos y amenazas estaban en continuo crecimiento (PricewaterhouseCoopers, 2014).

Cuando hablamos de seguridad perimetral lo primero que viene a la mente es un cortafuegos (Firewall). Este término tiene hoy en día un significado muy diferente al de hace unos años. Hasta hace relativamente poco era suficiente con que un Firewall filtrase todo el tráfico y sólo permitiera el paso de ciertas direcciones IP y ciertos puertos TCP/UDP. Servía también para identificar y validar protocolos. Si se requería inspección de tráfico a nivel de protocolos se empleaba un sistema de detección/prevención de intrusos (IDS/IPS). Aunque ésta combinación y diferenciación de tareas sigue siendo válida para ciertos casos, se tiende a la integración de todas estas funcionalidades en una solución única.

La protección perimetral ya no es sólo un Firewall e IPS. Dependiendo de las necesidades de cada caso es necesario complementar la protección con otras soluciones. Las más habituales son WAF (Web Application Firewall – cortafuegos para aplicaciones Web) para securizar la publicación de un sitio Web y la protección contra ataques DDOS (Distributed Denial of Service – ataque de denegación de servicio distribuido). Estos últimos son los ataques que más problemas están causando actualmente a nivel mundial. Se trata de un ataque realizado desde cientos o miles de puntos diferentes de forma simultánea, generando tráfico contra el objetivo para imposibilitar su funcionamiento normal. Muchas empresas multinacionales y gobiernos han sufrido este tipo de ataques durante el último año, los daños son multimillonarios a nivel económico y perjudican gravemente la imagen de las organizaciones.

Protección de próxima generación

Así se le llaman a los cortafuegos actuales (Next Generation Firewall). Integran importantes funcionalidades como la detección y control de aplicaciones y usuarios, IPS/IDS con protección contra ataques avanzados y difíciles de detectar con medios tradicionales o la inspección de tráfico encriptado (HTTPS – SSL/TLS).

Son muchas e importantes las funcionalidades que ofrecen estas soluciones para conseguir una protección eficaz. Igualmente importante es la visibilidad que ofrece un punto central de control en la red. Asimismo, facilitan información en tiempo real y ofrecen la posibilidad de consultar datos históricos sobre el uso de los sistemas, recursos y eventos de seguridad. La correcta explotación de estos datos proporciona información importante en informes fácilmente interpretables para apoyar la toma de decisiones a nivel técnico y a nivel de dirección de infraestructuras.

La nube inteligente

Los servicios Cloud están ganando terreno también en la protección perimetral. Aunque lo elemental se queda en el punto de entrada/salida de tráfico, las soluciones de protección perimetral actuales usan servicios Cloud para aprovechar la inteligencia y el acceso a datos continuamente actualizados. Es una creciente tendencia separar una parte de la inteligencia de la solución en un servicio Cloud del fabricante o proveedor. Por ejemplo, en comprobaciones basadas en reputación (de una IP, sitio web, fichero, etcétera) un servicio Cloud permite dar una respuesta más actual que una base de datos en el propio dispositivo.

Otra área importante es la seguridad perimetral del propio Cloud. Con la creciente incorporación de los servicios en Cloud privadas y públicas destaca la necesidad de la prestación de la seguridad perimetral como servicio. Para los proveedores Cloud es imprescindible poder desplegar estos servicios con agilidad y con un máximo nivel de protección para cada cliente. Es importante que puedan tener visibilidad sobre las políticas de seguridad y que tengan la posibilidad, si así lo requieren, de obtener informes sobre el funcionamiento y la utilización del sistema.

La seguridad en los servicios Cloud sigue siendo una preocupación para las empresas y en ocasiones puede hacer que se descarte su implantación y uso. Según un reciente estudio de Eurostat la seguridad es el factor que actualmente más limita la adopción de servicios Cloud en Europa (Konstantinos GIANNAKOURIS, 2014).

Futuro virtual

Para Data Centers y empresas con cierto tamaño el futuro está, igual que para el resto de áreas de infraestructuras TI, en la virtualización. La protección perimetral ya se ha empezado a virtualizar y consolidar hace tiempo mediante appliances virtuales (máquinas virtuales dedicadas a una función concreta) tanto para el perímetro como dentro de la infraestructura para protección y visibilidad sobre el tráfico. También existe la posibilidad de dividir un dispositivo físico en varios sistemas virtuales para simplificar la gestión de políticas complejas y segmentar tanto las funciones como las responsabilidades de gestión.

El siguiente paso importante es la introducción de SDN (Software-Defined Networking) que integrará funciones de red, seguridad y monitorización (y muchas más) bajo un control centralizado y automatizado. Este sistema ofrece posibilidades difíciles de conseguir con los sistemas actuales por lo que, previsiblemente, acabará imponiéndose a medio-largo plazo.

Más allá del beneficio de administrar una infraestructura en vez de equipos separados, posibilita que los componentes compartan información y que el sistema tome decisiones y acciones según políticas predefinidas. En el área de seguridad, el hecho de que la capa de red, seguridad e incluso otras aplicaciones compartan información y se pongan de acuerdo puede ayudar a mitigar amenazas tanto externas como internas. Un ejemplo: La protección perimetral detecta un ataque de denegación de servicio distribuido (DDOS). La capa de red reacciona y reprograma el routing de tráfico durante el ataque para minimizar o eliminar los efectos adversos. Una vez concluido el ataque el sistema vuelve a la situación inicial de forma autónoma.

El objetivo es el mismo que en el resto de áreas de virtualización: Reducir costes de operación y mantenimiento y reducir el tiempo de implantación de nuevos servicios.

Gestión de seguridad

Los profesionales dedicados a la gestión de estos sistemas requieren un conocimiento multidisciplinar orientado a la resolución de problemas e incidencias de seguridad. Para una correcta gestión, se deben entender tanto las políticas de la solución aplicada como el funcionamiento de la capa de red y las aplicaciones publicadas.

Con la futura introducción de SDN se incrementara la exigencia para los perfiles requeridos en materia de seguridad. Las fronteras entre redes, virtualización y seguridad se difuminan y se requiere expertise en todas éstas áreas.

Las necesidades a nivel de protección perimetral no dependen tanto del tamaño de la empresa como de la importancia y criticidad que la empresa asigna a la seguridad de datos y accesos. Aunque las pymes generalmente requieren una solución con mínimo tiempo de administración, la protección prestada debe estar a la altura de soluciones más complejas. Un punto a tener en cuenta es que empresas de diferentes tamaños y niveles de seguridad habitualmente mantienen conexiones entre ellas (proveedores, contratistas, partners etcétera). Aunque la propia conexión sea segura (una VPN encriptada) se requiere un control adecuado sobre el tráfico que intercambian las empresas dentro del túnel VPN.

Pocas empresas disponen de personal cualificado para ocuparse de estos sistemas de seguridad con las garantías que se exigen. Cada vez es más atractiva la posibilidad de contratar estos servicios como una parte de un servicio Cloud y no preocuparse de la gestión de sistemas complejos como la seguridad perimetral y la protección de datos.

En todo caso las empresas necesitan contar con la posibilidad de acceder a servicios profesionales de confianza cuando sus propios recursos no sean suficientes, tanto en la planificación y diseño como en la gestión de los sistemas de seguridad perimetral. Un aliado tecnológico juega un rol importante en estas situaciones.