A medida que nuestros ambientes informáticos se expandían para incluir redes, extremos, equipos móviles y activos virtuales, también lo hicieron nuestras herramientas de seguridad. La mayoría de organizaciones han resultado con un grupo de tecnologías dispares a través de estos puntos de control que nunca fueron diseñadas para trabajar en conjunto.
El resultado: ocurren intrusiones. Es un hecho. A medida que nuestros métodos de protección mejoran y los niveles de efectividad de seguridad alcanzan nuevas alturas, los chicos malos se encuentran escarbando todavía más y están usando técnicas avanzadas y nuevos vectores de ataque para esquivar los métodos de protección existentes.
La integración hecha hasta la fecha, si es que la hay, suele ser en un solo sentido: la visibilidad y análisis no se correlacionan automáticamente ni se traducen en acción para poder contener y detener daños y prevenir futuros ataques. Además, los datos obtenidos suelen ser una instantánea, no algo continuamente actualizado para monitorear la actividad a medida que se desarrolla.
Para complementar la visibilidad y análisis integrados necesitamos controles e inteligencia integrados y automatizados. Además, no podemos enfocarnos solamente en datos en un solo instante en el tiempo; debemos mantener la vigilancia continua para combatir las técnicas de ataque más sofisticadas de hoy en día. ¿Qué ocurre en el caso del malware que se disfraza de archivo sano para evadir su detección y solo exhibe comportamiento malicioso después? ¿O cuando los indicadores de compromiso son imperceptibles por sí solos y solo apuntan hacia un ataque cuando se correlacionan distintos puntos de datos, como por ejemplo un extremo que intenta tener acceso a una base de datos a la que normalmente no accedería mientras que un sistema en la red intenta responder la comunicación de una dirección IP que se halla en lista negra? La integración debe abordar el proceso continuo y completo del ataque, no solo antes sino también durante y después, de tal manera que podamos adaptar nuestras defensas y actuar para proteger nuestros activos.
Lo que se necesita es una arquitectura de seguridad empresarial sólidamente integrada. Una encuesta hecha en 2012 por la firma de investigación de mercados Enterprise Strategy Group halló que el 44% de los profesionales en seguridad empresarial consideran que es probable que en los próximos 24 meses sus organizaciones diseñen y construyan una arquitectura de seguridad empresarial integrada para mejorar los controles de seguridad con gestión central de políticas, monitoreo y ejecución distribuida de políticas.
Una arquitectura de seguridad empresarial puede proveer seguridad continua antes, durante y después de un ataque. Con una infraestructura de seguridad basada en el concepto de vigilancia y usando la visibilidad como base, podemos sumar datos y eventos a través de la red extendida. Esto hace que la seguridad evolucione de un ejercicio hecho en un momento en el tiempo a uno de análisis y toma de decisiones continuos. Con esta perspectiva en tiempo real podemos emplear automatización inteligente para ejecutar políticas de seguridad a través de los puntos de control sin intervención manual, aún tras una intrusión.
Después de un ataque, debemos mitigar el impacto y prevenir futuros ataques similares. Con una infraestructura que pueda recoger y analizar datos continuamente para crear inteligencia de seguridad, podemos identificar y correlacionar indicadores de compromiso, detectar malware que sea lo suficientemente sofisticado para alterar su comportamiento para evitar la detección, y luego hacer un proceso de remediación, todo de manera automatizada. Los compromisos que de otra manera habrían pasado desapercibidos por semanas o meses pueden ser identificados, examinados, contenidos y limpiados rápidamente. También podemos avanzar con una seguridad más efectiva al actualizar automáticamente las protecciones e implementar reglas integradas en el portal de seguridad perimetral, dentro de las aplicaciones de seguridad que protegen redes internas, en extremos y en equipos móviles para detectar y bloquear el mismo ataque.
A medida que miramos hacia el futuro, sabemos que nuestros ambientes informáticos continuarán expandiéndose, produciendo nuevos vectores de ataque aún inimaginables. Una arquitectura de seguridad integrada provee una base dinámica para que las medidas de seguridad puedan seguir siendo continuamente efectivas y relevantes en un mundo cambiante.
Los atacantes no discriminan. Ellos usarán todas las armas que tengan a su disposición para cumplir su misión. Como defensores, nosotros debemos hacer lo mismo. Con una arquitectura de seguridad empresarial poderosa, basada en la vigilancia y las capacidades continuas, podemos cerrar las brechas de seguridad a través de la eternamente creciente red, antes, durante y después de un ataque.
Por Carlos Bolívar, director Regional para Latinoamérica Sourcefire