Capítulo 4
Capítulo 4
Capítulo 4
4: Protección de la organización
Este capítulo abarca algunos de los procesos y tecnologías utilizados por los profesionales
de la ciberseguridad para proteger la red, equipos y los datos de una organización. Primero,
explica brevemente los tipos de firewalls, dispositivos de seguridad y software que se
utilizan actualmente, incluidas las mejores prácticas
Luego, este capítulo explica los botnets, the kill chain, la seguridad basada en
comportamientos y el uso de NetFlow para monitorear una red.
Abarca brevemente las herramientas que los profesionales de la ciberseguridad utilizan para
detectar y prevenir los ataques a la red. Abarca brevemente las herramientas que los
profesionales de la ciberseguridad utilizan para detectar y prevenir los ataques a red.
Tipos de firewall
Un firewall (cortafuegos) es un muro o partición diseñada para evitar que el fuego se
propague de una parte a otra de un edificio. En las redes de computadoras, un firewall está
diseñado para controlar o filtrar la entrada o salida de comunicaciones de un dispositivo o
una red, como se muestra en la figura. Un firewall puede instalarse en una única
computadora con el propósito de proteger dicha computadora (firewall ejecutado en un
host) o puede ser un dispositivo de red independiente que protege toda una red de
computadoras y todos los dispositivos host en dicha red (firewall basado en la red).
Durante años, dado que los ataques a la computadora y la red se han vuelto más
sofisticados, se han desarrollado nuevos tipos de firewalls que atienden diferentes fines en
la protección de la red. Esta es una lista de los tipos de firewall comunes:
Servidor proxy: filtrado de solicitudes de contenido web, como URL, dominio, medios,
etcétera.
Servidor de proxy inverso: ubicados frente a los servidores web, los servidores de proxy
inversos protegen, ocultan, descargan y distribuyen el acceso a los servidores web.
Firewall de traducción de direcciones de red (NAT): ocultan o enmascaran las direcciones
privadas de los hosts de red.
Dispositivos de seguridad
Hoy no existe un dispositivo de seguridad o una tecnología que resuelva todas las
necesidades de seguridad de la red por sí solo. Debido a que hay una variedad de
dispositivos de seguridad y herramientas que deben implementarse, es importante que
trabajen en conjunto. Los dispositivos de seguridad son más efectivos cuando forman parte
de un sistema.
Routers: los routers de servicios integrados (ISR) Cisco, como se muestra en la Figura 1,
tienen muchas capacidades similares a las de un firewall además de las funciones de ruteo,
entre ellas, el filtrado de tráfico, la capacidad de ejecutar un sistema de prevención de
intrusiones (IPS), el cifrado y las capacidades de VPN para las conexiones de cifrado
seguro.
Firewalls: los firewalls de nueva generación de Cisco tienen todas las capacidades de un
router ISR además de análisis y administración de redes avanzadas. El dispositivo de
seguridad adaptable (ASA, por sus siglas en inglés) de Cisco con funcionalidades de
firewall se muestra en la Figura 2.
IPS: los dispositivos IPS de nueva generación, que se muestran en la Figura 3, están
dedicados a la prevención de intrusiones.
VPN: los dispositivos de seguridad de Cisco cuentan con tecnologías de redes virtuales
privadas (VPN) tanto de cliente como servidor. Están diseñados para conexiones de cifrado
seguro.
Ataques DDoS y respuesta en tiempo real: El ataque DDoS es una de las mayores
amenazas que requiere la detección y respuesta en tiempo real. Es extremadamente
difícil defenderse contra los ataques de DDoS porque los ataques se originan en
cientos o miles de hosts zombis y aparecen como tráfico legítimo, como se muestra
en la figura. Para muchas empresas y organizaciones, los ataques DDoS ocurren de
forma regular y paralizan los servidores de Internet y la disponibilidad de la red. La
capacidad para detectar y responder a los ataques DDoS en tiempo real es crucial.
Crear una política de seguridad: cree una política que delinee claramente las
reglas de la empresa, las tareas y las expectativas.
Medidas de seguridad física: restringen el acceso a los centros de datos, a las
ubicaciones de servidores y a los extintores.
Informar a los usuarios: educar a los usuarios y a los empleados sobre los
procedimientos seguros.
Cifrar los datos: cifrar todos los datos confidenciales de la empresa, incluido el
correo electrónico.
Algunas de las pautas más útiles se encuentran en los depósitos organizacionales, como el
Centro de Recursos de Seguridad Informática del Instituto Nacional de Normas y
Tecnología (NIST, por sus siglas en inglés), según se muestra en la figura.
Botnet
Un botnet es un grupo de bots conectados a través de Internet con la capacidad de ser
controlados por un individuo o grupo malicioso. Una computadora bot se infecta
generalmente por visitar un sitio web, abrir un elemento adjunto de correo electrónico o
abrir un archivo de medios infectado.
Un botnet puede tener decenas de miles o incluso cientos de miles de bots. Estos bots se
pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico
no deseado o ejecutar ataques de contraseña por fuerza bruta. Los botnets por lo general se
controlan a través de un servidor de comando y control.
Los delincuentes cibernéticos alquilan a menudo los botnets, por un monto, a otros
proveedores para fines infames.
Etapa 3. Entrega: el atacante envía el ataque y la carga maliciosa al objetivo por correo
electrónico u otros métodos.
Etapa 6. Mando y control: se obtiene el control remoto del objetivo mediante un servidor
o canal de comando y control.
• ¿Qué herramientas de seguridad son necesarias para detectar los indicadores de ataque en
cada una de las etapas?
Según Lockheed Martin, comprender las etapas de la cadena de eliminación permite poner
obstáculos defensivos, demorar el ataque y, finalmente, evitar la pérdida de datos. La figura
muestra cómo cada etapa de la cadena de eliminación equivale a un aumento en la cantidad
de esfuerzo y costos para impedir y corregir ataques.
NetFlow
La tecnología NetFlow se usa para recopilar información sobre los datos que atraviesan la
red. La información de NetFlow se puede comparar con una factura telefónica por el tráfico
de la red. Muestra quién y qué dispositivos están en la red también como y cuando los
usuarios y dispositivos tuvieron acceso a la red. NetFlow es un componente importante del
análisis y la detección basados en el comportamiento. Los switches, routers y firewalls
equipados con NetFlow pueden comunicar información sobre los datos que ingresan,
egresan y viajan por la red. La información se envía a los recopiladores de NetFlow que
recopilan, almacenan y analiza los registros de NetFlow.
CSIRT
Muchas organizaciones grandes tienen un Equipo de respuesta a incidentes de seguridad
informática (CSIRT, por sus siglas en inglés) para recibir, revisar y responder a informes de
incidentes de seguridad informática, como se muestra en la Figura 1. La función principal
del CSIRT es ayudar a proteger la empresa, el sistema y la preservación de datos realizando
investigaciones integrales de los incidentes de seguridad informática. Para evitar incidentes
de seguridad, el CSIRT de Cisco proporciona una evaluación de amenazas proactiva,
planificación de la mitigación, análisis de tendencias de incidentes y revisión de la
arquitectura de seguridad, como se muestra en la Figura 2.
El CSIRT de Cisco colabora con el Foro de respuesta ante los incidentes y los equipos de
seguridad (FIRST), el Intercambio de información de seguridad nacional (NSIE), el
Intercambio de información de seguridad de defensa (DSIE) y el Centro de Investigación y
Análisis de operaciones DNS (DNS-OARC).
Hay organizaciones de CSIRT nacionales y públicas, como la División CERT del Instituto
de Ingeniería de Software de la Universidad Carnegie Mellon, que están dispuestos a
ayudar a las organizaciones, y a los CSIRT nacionales, a desarrollar, utilizar y mejorar sus
capacidades de administración de incidentes.
Una de las mejores maneras de prepararse para una violación a la seguridad es prevenirla.
Se deben tener pautas sobre cómo identificar el riesgo de la ciberseguridad en los sistemas,
los activos, los datos y las funcionalidades, proteger el sistema mediante la implementación
de protecciones y capacitaciones del personal, y detectar el evento de ciberseguridad lo más
rápidamente posible. Cuando se detecta una violación a la seguridad, deben adoptarse las
acciones adecuadas para minimizar el impacto y los daños. El plan de respuesta debe ser
flexible con múltiples opciones de acción durante la violación. Una vez contenida la
violación y restaurados los sistemas y servicios comprometidos, las medidas de seguridad y
los procesos deben actualizarse para incluir las lecciones aprendidas durante la violación.