En los últimos tres años hemos visto cómo los cibercriminales han pasado de atacar dispositivos de consumo individuales a dirigirse contra los centros de datos, indistintamente de que estos se encuentren en una sede física, en la nube o, más probablemente, en un entorno mixto de nube híbrida. Los hackers están virando hacia ataques contra los centros de datos básicamente por dos razones.
El hackeo de un centro de datos ofrece un botín mayor. Los centros de datos son como la flota de Indias de la época colonial, un tesoro muy deseable por el potencial de generación de ingresos que supone. ¿Por qué lanzarse contra el navegador un de un único individuo para intentar hacerse con información de su cuenta cuando podemos capturar decenas de millones de cuentas e información personal identificable?
El mercado de reventa de secretos industriales y comerciales hace que los volúmenes de información de los centros de datos sean aún más atractivos. Además, los centros de datos ofrecen una gran potencia de cálculo y ancho de banda de Internet, lo que abre otra línea de oportunidades para la generación de ingresos al secuestras esos recursos empresariales.
Entre las ofertas criminales disponibles en el mercado negro de la red oscura, podemos contratar ataques DDoS-as-a-service (denegación de servicio), pero también de RAT-as-a-service (troyanos de acceso remoto) que facilitan el acceso a una infraestructura de computación secuestrada, bien sea para inyectar malware o para conseguir el acceso remoto y su posterior reventa. Estos servicios criminales también son soluciones atractivas para aquellos atacantes que buscan ofuscar o atribuir erróneamente el origen de un ataque utilizando la potencia de cálculo secuestrada. En Guardicorehemos visto a atacantes perseguir oportunidades adicionales de ingresos utilizando mineros de criptomoneda como Monero o campañas de ransomware.
En segundo lugar, analizando los ataques de los últimos tres años, hemos descubierto que ese cambio de atención hacia los centros de datos no se debe solo a que los objetivos ofrecen oportunidades de ganar mucho más dinero. También se debe a que los centros de datos tienden a ser unos objetivos sorprendentemente fáciles. La verdad es que la seguridad del centro de datos suele estar llena de agujeros. Los centros de datos son presa de ataques que podrían haberse evitado fácilmente.
Trabajar en medidas básicas para mejorar la higiene de la seguridad, como una mejor gestión de vulnerabilidades y parches, es esencial. El uso de una aplicación de contraseñas fuerte, junto con la autenticación de dos factores, una mejor gestión de cuentas y la incorporación de comprobaciones de seguridad en los scripts DevOps frecuentemente utilizados, haría mucho para mejorar la postura de seguridad y complicar el trabajo a los atacantes.
La ausencia de segmentación pone en peligro al centro de datos
Pero el mayor problema de seguridad en el centro de datos es la falta de segmentación. La segmentación viene en muchas formas y, por motivos de seguridad, se utiliza para aislar activos, servidores, segmentos de red y aplicaciones.
Muchas organizaciones no segmentan porque sus administradores simplemente no tienen acceso a las herramientas adecuadas. Esto acaba exponiendo a los centros de datos ante un riesgo importante de sufrir un ataque. Esta situación de peligro no deja de crecer. Por ejemplo, las iniciativas de IOT y infraestructura de escritorio virtual (VDI) han añadido nuevos dispositivos y usuarios a los centros de datos, creando un peligro adicional cuando (como suele ocurrir) no han sido segmentados o aislados. Y los centros de datos, al estar cada vez más abiertos a la incorporación de socios comerciales, distribuidores, clientes, contratistas y proveedores, son más vulnerables a terceros (la cadena de suministro) que introducen sus propios riesgos de seguridad.
No es infrecuente ver ejemplos recientes de “contaminación cruzada”, en los que los atacantes utilizaron varios métodos para entrar en una empresa atacando un tercer elemento más débil y fácil de explotar, a través de un usuario de VDI o aprovechándose de un dispositivo de IoT.
Pero más allá del riesgo de ataque, la segmentación también es necesaria para el cumplimiento de la normativa de los diferentes sectores, como GDPR, SWIFT y PCI. Ante posibles sanciones, las empresas deben tomar las medidas adecuadas para cumplir con la legislación, aislando cargas de trabajo, activos y aplicaciones concretas. Por último, los centros de datos cuentan también con un buen número de plataformas y sistemas operativos heredados que ya se encuentran al final de su vida útil, y que todavía son esenciales para el éxito de la empresa, por lo que deben estar bien protegidos.
Olvídese de la segmentación tradicional
Al decidir segmentar, es importante tener en cuenta que, en los últimos cuatro años, los métodos han evolucionado notablemente. Los métodos tradicionales no se adaptan bien a la dinámica del moderno centro de datos basado en la nube. Pensemos en firewall, redes VLAN y listas de control de acceso en el lado de las instalaciones on-premise, y en security groups para la nube. Todos ellos se encuentran en las redes, se asignan estáticamente y a menudo son específicos de la plataforma. Todas estas técnicas funcionaron bien en entornos locales on-premise, donde los cambios no eran frecuentes, y en los primeros entornos de cloud, cuando la inversión empresarial se encontraba en las fases experimentales iniciales.
Pero estas técnicas tradicionales son técnicas manuales. Requieren un gran esfuerzo para gestionar movimientos, añadidios, cambios y eliminaciones, y fracasan porque los centros de datos modernos son fluidos, dinámicos y de escalado automático. También fallan porque las técnicas antiguas carecen de perímetros para llevar el tráfico a través de cortafuegos de última generación.
El uso de scripts y playbooks DevOps para arrancar, aprovisionar y gestionar cargas de trabajo de forma dinámica y automática, proporciona a las empresas ventajas competitivas tangibles a través de la entrega acelerada de objetivos comerciales, pero en un entorno de segmentación tradicional habría requerido de múltiples técnicas de segmentación manual para su despliegue, e introducido una gran latencia. Que una empresa realice cambios de dirección VLAN e IP por sí sola, incluso para empresas con apenas mil servidores, llevaría meses.
Los firewall ya no son tan útiles, ya que no se sitúan en medio de la mayor parte del tráfico del centro de datos. Incluso con los centros de datos virtualizados, cualquier intento de canalizar el tráfico a través de los firewall provoca cuellos de botella y latencia. Además, todavía se mantienen los problemas de las acciones manuales, como incorporaciones, cambios y eliminaciones. Por último, estas técnicas tradicionales sólo se centran en el nivel de la máquina y del puerto. No proporcionan protección en el nivel del proceso de aplicaciones. Esto significa que cualquier proceso, incluidos los maliciosos, puede eludir fácilmente las reglas basadas en puertos, exponiendo las aplicaciones a amenazas que han conseguido traspasar con éxito el perímetro.
La segmentación moderna
Basado en una segmentación definida por software que sigue los flujos de trabajo, las técnicas modernas funcionan a la perfección en todas las plataformas y están diseñadas para el mundo dinámico, automatizado y con scripts de DevOps de hoy en día. Los métodos modernos proporcionan segmentación para asegurar fácilmente el centro de datos, sin necesidad de mover, añadir, modificar o eliminar manualmente.
Abordando porciones clave de los elementos gente, cargas de trabajo y redes del modelo de seguridad, la segmentación moderna es sin duda la mejor opción. Con las herramientas adecuadas y una planificación mínimamente cuidadosa, la segmentación moderna puede ser implementada de forma rápida, de manera que permita una fácil gestión y mantenimiento. Pruebas recientes han demostrado que la segmentación moderna puede desplegarse 30 veces más rápido que las implementaciones de firewall tradicionales. Estos ahorros de tiempo y eficiencia se traducen en una reducción significativa de los costes a lo largo del ciclo de vida de la implementación.
La segmentación moderna supera las ineficiencias inherentes a las técnicas de segmentación tradicionales y, lo que es quizás más importante, se traduce en una mayor seguridad para los entornos corporativos. Además, reduce el concepto de segmentación de la red a un nivel muy granular, de proceso a proceso. Implica la creación de políticas de seguridad en torno a aplicaciones individuales o agrupadas con lógica, independientemente de dónde se encuentren en el centro de datos híbrido. Estas políticas dictan qué aplicaciones pueden y no pueden comunicarse entre sí, auténtica confianza cero a nivel de aplicación.
Los métodos modernos de segmentación también permiten aplicar políticas de forma dinámica, de modo que, a medida que las nuevas cargas de trabajo aumentan o disminuyen, o incluso se desplazan, se atribuyen automáticamente a la política correcta. Esto ahorra gran cantidad de recursos al eliminar la necesidad de movimientos manuales, adiciones, cambios y eliminaciones.
La clave para implementar la segmentación moderna es comenzar el proceso con una visualización gráfica de todos los activos del entorno, ya sean máquinas físicas, virtuales o contenedores, y las dependencias entre ellos. Esta visibilidad acelera drásticamente el proceso de identificación, agrupación y creación de políticas de seguridad en la parte de aplicaciones.
Mediante el uso de la segmentación moderna, los administradores de la empresa pueden proporcionar seguridad y cumplimiento a nivel de aplicaciones y procesos, frenando las amenazas y alertando a los operadores de su presencia.
La segmentación moderna es la solución más eficaz para reducir la superficie de ataque y el perfil de riesgo de una empresa. El uso de métodos modernos de segmentación, para construir una postura de seguridad más fuerte, implica reducir riesgos y responsabilidades sin sacrificar la velocidad de la innovación.