DMZ está muerto
Esta frase tan chocante ha sido lanzada recientemente por el director técnico de un grupo editorial del sector de la seguridad TI. ¿Provocación? No, visión...
A día de hoy, la desperimetración de la seguridad informática, es una cuestión innegable. Es consecuencia de dos factores fundamentales: la intrusión de la informática móvil y personal en los sistemas de información, y la distribución de los datos y el proceso de tratamiento de lo que llamamos la "nube".
Sin embargo, las políticas y estrategias de seguridad de los sistemas de información se mantienen prácticamente sin cambios.
Todavía aplicamos (¿de vez en cuando?) un enfoque medieval que consiste en la construcción de fortalezas y muros cada vez más altos y más gruesos. Las soluciones actuales de firewalls y aplicaciones, IPS, pasarelas, servidores proxy, UTM son las defensas estáticas. Estas se pusieron en marcha para responder mejor a una necesidad específica identificada en un momento concreto: proteger un determinado perímetro del sistema de información vis-à-vis del mundo exterior.
Esta estrategia fue eficaz hace 10 años.
Los atacantes se dirigen a un objetivo dentro de la fortaleza y tratan de encontrar su camino mediante la fuerza o el engaño. Pasamos a la edad de oro del DMZ (del inglés Demilitarized Zone), privados, públicos, internos, externos, etc. Como muchas otras zonas de seguridad infranqueables, acabaron sucumbiendo ante las olas de los ataques.
Pero después los recursos se dispersaron, las tecnologías cambiaron y los atacantes se adaptaron.
Los ataques son ágiles y se propagan desde un punto débil que se encuentra a veces fuera de la fortaleza abandonada: hoy esto puede ser desde un smartphone, un sistema de almacenamiento o una aplicación cloud; mañana, también podrá ser a partir de un frigorífico conectado... La propagación de los ataques se produce de manera impune de unos recursos a otros dentro de un perímetro de seguridad permitido sin vigilancia, y donde la porosidad con los servicios “cloud” aumenta cada día. Por último, a su vez, para evitar ser detectados, estos ataques saben variar su comportamiento en función del contexto y son multifuncionales.
Este escenario no es ficción, sino que tiene nombre y se llama Duqu 2.0, un malware que ha sido capaz de infectar los sistemas de información de uno de los mayores fabricantes de seguridad, y está lejos de ser el último. Sólo podemos imaginar lo que sucede en otros sistemas de información en este momento, de inmediato.
Utilizar la tecnología en lugar de sufrir
La conclusión es simple: la gran mayoría en el ámbito de la seguridad no es capaz, o no quiere, entender la evolución de las tecnologías que han invadido los sistemas de información. La única respuesta es dada por la virtualización o las soluciones de seguridad “cloud”, conceptos que se remontan a diez o quince años.
Las TI han cambiado el fondo, la esencia, la forma de la seguridad. Un balance cuyo resultado aparece con frecuencia en los medios.
Debemos cambiar los conceptos para adaptarnos a las amenazas. Mejor dicho, hay que saber beneficiarse de lo que estas nuevas tecnologías nos ofrecen y evolucionar con ellas.
¿Los datos y los procesos ahora están distribuidos? La idea es acercar la seguridad a los recursos, sin importar si el medio es físico, virtual o "cloud". Estamos en un mundo controlado por PLC y nunca ha sido tan fácil desplegar un agente a una aplicación, sistema o infraestructura, cualquiera que sea su soporte.
¿La infraestructura de red está virtualizada? ¡Es una ventaja! Las zonas de seguridad no son físicas, sino lógicas. Sus definiciones, despliegues, el aislamiento de un componente comprometido se convierte en un asunto de un solo comando gracias al SDN.
¿Los volúmenes a tratar son enormes? En cualquier caso, las tecnologías de "Big Data" ya están muy evolucionadas…
Así, la defensa puede ser tan dinámica como los ataques. La visibilidad general es proporcionada por los agentes que se despliegan de forma sistemática con las infraestructuras, aplicaciones y datos. Mejor aún, el proceso global de seguridad de la información finalmente enriquece el análisis estático y dinámico de un análisis predictivo apropiado. Y la reacción es inmediata, ya que, para disgusto de los atacantes, la infraestructura ahora puede cambiar a voluntad.
En cierta medida, los ataques se podrán prever. Pero para ello es necesario tratar de entender lo que subyace de una revolución tecnológica que podría haber sido un activo. Y que se ha convertido en una amenaza.
