La transformación digital ha dado paso a redes interconectadas que permiten compartir información y colaborar. Eso es fantástico para la eficiencia y la productividad, pero muchas redes son planas, lo que deja a las organizaciones susceptibles de sufrir ciberamenazas que pueden moverse lateralmente, incluso en entornos distribuidos, lo que permite a los hackers explotar las aperturas y pivotar sobre sus datos más valiosos.
¿Por qué siguen siendo habituales estas aperturas? Sin duda, el creciente número y variedad de activos, muchos de ellos dispositivos IoT y OT no gestionados, ha aumentado el riesgo. A menudo, los enlaces de comunicación no deseados no se comprueban y las vulnerabilidades se esconden a plena vista basándose en la suposición de que los activos y las redes están separados cuando no lo están. Mientras tanto, los perímetros de la red están desapareciendo debido al teletrabajo y a las operaciones globalizadas. Todas estas fuerzas juntas aumentan la superficie de ataque.
Pero hay otro obstáculo peligroso: la segmentación de red y los retos a los que se enfrentan las organizaciones al intentar aplicarla en todo su entorno digital.
La segmentación de la red es un principio básico de las iniciativas de Zero Trust y de least-privilege y una prioridad absoluta en todos los sectores. La gran mayoría de las ciberamenazas pueden mitigarse con una segmentación que restrinja los flujos de tráfico sólo a los activos que deben comunicarse entre sí y que aísle los dispositivos vulnerables hasta que puedan ser corregidos. Desgraciadamente, los proyectos de segmentación de la red experimentan un alto índice de fracaso, y muchos nunca pasan de la fase de planificación. Sin el enfoque adecuado, los proyectos de segmentación pueden ser excesivamente complejos, costosos y potencialmente perjudiciales para el funcionamiento.
Una forma segura de acabar con su proyecto de segmentación de red -y con una estrategia más amplia de Zero Trust – es causar una interrupción en el negocio. Pero no tiene por qué ser así. He aquí un enfoque práctico que le permitirá desatascarse.
Por qué fracasan los proyectos de segmentación de la red
Como en todos los proyectos de ciberseguridad, la base de la segmentación de red es la visibilidad completa de lo que hay en su terreno digital. Muchas organizaciones pasan meses recopilando datos de activos y aun así no logran identificar todos los activos conectados. El análisis manual de los registros de los flujos de tráfico entre dispositivos se suma al problema. El proceso es extremadamente lento y propenso a los errores humanos, lo que provoca incertidumbre sobre la validez de los resultados. Construido sobre un terreno tan inestable, el departamento de TI carece de confianza para diseñar políticas eficaces, lo que puede ser un proceso delicado incluso con un sólido conocimiento del entorno.
El análisis de impacto puede ser aún más abrumador. Al igual que otras implantaciones, la segmentación de red se produce en entornos de tipo «brownfield», entre una mezcla de usuarios y activos que pueden estar atendiendo a clientes, produciendo bienes o procesando nóminas. Las políticas deben ser eficaces a la hora de restringir el acceso a los recursos sensibles y, al mismo tiempo, permitir el funcionamiento de las operaciones críticas.
Sin una visibilidad adecuada de cómo se comunican los activos y de lo que podría fallar cuando se introducen las políticas de segmentación de la red, los equipos de TI se sienten obligados a ralentizar aún más el despliegue. Por temor a las costosas interrupciones y al tiempo de inactividad, acaban aspirando s lo más bajo, intentando alcanzar un equilibrio entre la limitación del riesgo de seguridad y el impacto negativo en los procesos empresariales críticos.
Un enfoque de cinco pasos para agilizar la segmentación de red
Por lo tanto, empecemos con un borrón y cuenta nueva. He aquí cinco pasos para que su proyecto de segmentación de la red tenga éxito:
- Conseguir el 100% de visibilidad de todos los dispositivos de red
- Mapeo de los flujos de comunicación y tráfico
- Simulación para evaluar el impacto de las políticas de segmentación antes de su aplicación
- Supervisión continua de las políticas de segmentación para detectar infracciones
- Orquestación de controles a través de diferentes tecnologías para hacer cumplir las políticas cuando se detectan violaciones
Los dos primeros pasos -la visibilidad y el mapeo- deben ser automatizados para acelerar las fases de diseño y planificación e infundir confianza en el enfoque. El tercer paso, la simulación, debe permitir una rápida iteración para cerrar rápidamente la fase de planificación. Una vez desplegado, se necesita una forma simplificada de supervisar continuamente el cumplimiento de las políticas de segmentación y orquestar los controles en varias herramientas de seguridad para hacer cumplir las políticas.
Visibilidad de los activos
Antes de pensar en la segmentación, hay que preguntarse: ¿cuáles son todos mis activos y cómo se comunican entre sí? ¿Cuál es su importancia para la empresa, su nivel de riesgo y su estado de cumplimiento?
Aprovechando la detección automatizada y sin agentes, puede conseguir una visibilidad del 100% de los dispositivos, lo que le permitirá obtener la información necesaria para comprender la clasificación de los activos en el contexto empresarial relevante para su organización. A continuación, puede aplicar este conocimiento y contexto para agrupar todos los dispositivos conectados en una jerarquía empresarial lógica, acelerando así la fase de planificación de su proyecto de segmentación de red.
Mapa de tráfico de red
A continuación, querrá asignar automáticamente los flujos de tráfico a una clasificación lógica de usuarios, aplicaciones, servicios y activos en su entorno. De nuevo, la visibilidad es fundamental aquí. ¿Qué pasaría si pudiera ver todos sus puntos finales en una matriz que identificara el tráfico entre ellos y le permitiera filtrarlos y agruparlos según sea necesario para facilitar el diseño de políticas?
Con una matriz de este tipo, podría ver claramente cómo interactúan actualmente todos los activos conectados y determinar fácilmente cómo deberían comunicarse, a través de qué puertos y protocolos, en función de lo que necesiten hacer los usuarios o los servicios. Ver el tráfico y los activos (desde los puntos finales y servidores gestionados hasta el IoT no gestionado, el OT y los activos especializados como los dispositivos médicos) de esta manera, recogidos automáticamente y listos para ser analizados, es dramáticamente más fácil que revisar los registros.
Simulación de políticas
Activar las políticas en modo de simulación permite analizar su impacto en los flujos de tráfico antes de implantar nuevos controles. De nuevo, la visualización es esencial. Una matriz de tráfico ayuda a identificar dónde tiene políticas en vigor, el nivel de cumplimiento de esas políticas y cómo pueden solaparse o entrar en conflicto entre sí. También puede señalar dónde se producirían infracciones de las políticas no deseadas en función de las nuevas políticas, de modo que pueda ajustarlas y validarlas sin causar un daño real antes de ponerlas en marcha.
Monitorización continua
La guía NIST SP 800 -207 para la Arquitectura de Zero Trust exige la separación lógica de un único punto de decisión de políticas (PDP) en el plano de control de múltiples puntos de aplicación de políticas (PEP) en el plano de datos. El PDP actúa como un motor de macropolíticas, escribiendo todas las políticas de aplicación necesarias y aplicándolas a través de PEPs y dominios de red dispares. Las decisiones de política de segmentación y su aplicación son una pieza de este diseño.
Su PDP nunca debería cambiar; refleja su marco de seguridad basado en los principios de reducción de riesgos y el contexto empresarial. Los PEP, por otro lado, cambian constantemente a medida que las empresas se expanden, pasan por fusiones y adquisiciones, renuevan el hardware, etc. ¿Cómo se garantiza que lo que se ha segmentado por diseño siga segmentado en condiciones tan dinámicas? Con una supervisión continua y alertando de cualquier desviación de la política prevista.
Ejecución ordenada
Una vez desplegadas, la aplicación de las políticas de segmentación plantea retos continuos, ya que los administradores se esfuerzan por alinearlas con las tecnologías de aplicación de varios proveedores y garantizar que no haya lagunas. Normalmente, los proyectos de segmentación de la red requieren una combinación de cortafuegos, listas de control de acceso (ACL), controladores SDN, LAN virtuales y otros, que exigen diferentes políticas y controles. Esto es difícil de gestionar a través de tecnologías de infraestructura dispares para el campus, el centro de datos, la nube, las redes remotas y otras, y a menudo conduce a la dispersión de las políticas a medida que las necesidades de negocio y las amenazas evolucionan.
Para mantener la limpieza de la segmentación, se necesita un marco unificado (es decir, una única PDP) para organizar los controles a través de las diferentes herramientas de seguridad en su entorno y hacer cumplir las políticas de segmentación. La misma herramienta utilizada para la visibilidad y la monitorización continua debe ser capaz de orquestar los controles de segmentación a través de diferentes tecnologías y segmentos de red.
Automatizar para acelerar
Una buena segmentación de red limita el impacto de cualquier infracción que pueda producirse y ayuda a mantener el terreno digital alineado con el marco de seguridad. Conseguirlo es difícil, si se confía en herramientas manuales heredadas que no proporcionan una comprensión completa de todos sus activos y del contexto en el que se comunican. Al mapear los activos y el tráfico mediante una visualización automatizada e interactiva, Forescout Continuum Platform acelera el diseño, la simulación y la implementación de políticas de segmentación para que no se quede atascado.
Siga este enfoque automatizado de cinco pasos para acelerar el progreso hacia la confianza cero, reducir el riesgo normativo y minimizar la exposición a las amenazas.
Para ver el blog original, pinche aquí