La actividad de las organizaciones se asienta en unas redes cada vez más complejas, formadas por múltiples capas que se superponen unas a otras y que proporcionan acceso a un número de dispositivos que crece exponencialmente y que se encuentran geográficamente dispersos. Con este panorama, sus administradores se convierten casi en malabaristas profesionales, teniendo que cubrir un mayor número de frentes con unos recursos que no siempre crecen al mismo ritmo.
Más concretamente, los principales retos a los que se enfrentan actualmente estas redes y sus responsables pueden resumirse en:
- La constante incorporación de múltiples dispositivos. La generalización de tendencias como BYOD hace que el número de portátiles, teléfonos y tabletas de diversa procedencia conectados a la red corporativa aumente de forma relevante. Además, en muchas ocasiones, estos dispositivos se conectan desde localizaciones poco seguras.
- Internet de las Cosas. Al igual que en el punto anterior, las redes corporativas deben ser capaces de soportar conexiones de dispositivos que no precisan de intervención humana, como pueden ser los TPVs, multiplicando el número de puntos de entrada a la red.
- Redes remotas. Las redes de un gran número de organizaciones se encuentran en constante expansión, alcanzando distintas zonas geográficas y creando un conglomerado de redes conectadas entre sí. El volumen puede ser tal, que su administración y control resulta cada vez más arduo.
- Centros de datos. Que soportan tráficos a altas velocidades cuya supervisión se hace tan complicada que se limita, en la mayoría de los casos, a inspecciones de entrada y salida.
En un escenario como este no es raro que los equipos de TI vayan perdiendo visibilidad, conocimiento y control sobre lo que ocurre en la red, lo que influye directamente en su capacidad para mantener la integridad de los datos corporativos.
La seguridad comienza en la red
Las soluciones tradicionales de seguridad, encargadas de proteger el perímetro, hacen su trabajo, pero ya no son suficientes. Cada vez hay más puertas abiertas y las amenazas son tan sofisticadas que, en la mayoría de los casos, logran pasar desapercibidas. Se trata, por ejemplo, de los ataques basados en APTs (Amenazas Persistentes Avanzadas), que logran introducirse en las redes y sistemas, permaneciendo latentes durante largos periodos de tiempo y esperando el momento apropiado para sustraer la información sin dejar rastro. Ante estas nuevas amenazas, antivirus o firewalls no tienen ninguna oportunidad.
Si bien hay que reconocer que resulta bastante difícil impedir que las amenazas logren penetrar en la red, también hay que tener en cuenta que los ciberdelincuentes no tienen más remedio que seguir una serie de pasos antes de alcanzar su objetivo dentro de la misma, por lo que, si se dispone de las herramientas correctas, basadas en visibilidad y análisis, existe la posibilidad de detectar y anular sus actividades.
Los responsables de la seguridad necesitan respuestas para poder llevar a cabo su trabajo de forma satisfactoria. Necesitan saber quién está en la red, qué está haciendo, desde cuándo está y qué herramientas emplea. Es decir, necesitan una visibilidad completa de lo que está pasando para poder detectar actividades anómalas que les permitan actuar de forma inmediata. En muchos casos, los fabricantes de tecnología de red ya facilitan esta labor. Es el caso de Cisco, con su solución NetFlow.
Cisco Netflow se encargaría de cubrir el primer paso en la cadena de la seguridad, al recoger, de forma automática y continua, información sobre el tráfico de la red para que más tarde los equipos encargados de la seguridad corporativa puedan tomar medidas con rapidez en el momento en el que detecten una actividad sospechosa.
NetFlow captura información básica de cada conversación que pasa a través de un dispositivo de la red, proporcionando datos como las direcciones IP de origen y destino, los puertos de origen y destino, datos traspasados, etc. De esta forma, NetFlow puede detectar, por ejemplo, cuando alguien está acaparando datos o cuando alguien está escaneando la red, lo que ayuda a distinguir las tendencias de tráfico normales e identificar actividades anómalas y prohibidas, todo ello, sin consumir ancho de banda o capacidad de almacenamiento excesivo. Con esta información, otras soluciones, como StealthWatch, son capaces de ofrecer a los responsables de seguridad de la organización una completa visibilidad de lo que está ocurriendo.
Una ventaja adicional es que NetFlow se ha convertido prácticamente en un estándar para la industria de TI y viene instalado en prácticamente todos los dispositivos de red tanto de Cisco como de otros muchos proveedores, por lo que su uso no tiene por qué suponer una inversión adicional.
Con soluciones como NetFlow, la red, que es el principal objetivo de los ciberdelincuentes, puede convertirse también en el principio de la solución.