Netdata Cybersecurity Blog

5 Herramientas de ciberseguridad indispensables

Mario Montoya
12 marzo, 2021
0 comentarios

Te quiero compartir una descripción de alto nivel de las características de las herramientas de ciberseguridad. La lista no pretende ser exhaustiva; se cubre un subconjunto de las herramientas esenciales en la infraestructura de una organización.

<<< Ciberseguridad: vulnerabilidades, amenazas y riesgos a prever en 2021 >>>

Debido a la proliferación de amenazas, y al constante acecho por parte de los ciberdelincuentes, las empresas e instituciones están cada vez más conscientes de la necesidad de proteger sus activos de información. Las limitaciones presupuestarias, y muchas veces la falta del personal técnico en el área de ciberseguridad, condicionan lo robustas y maduras que pueden ser las herramientas desplegadas.

La ciberseguridad debe ser implementada en capas a través de las redes y sistemas de información de la empresa. Las herramientas descritas a continuación, forman parte de la última línea de defensa que protege nuestros activos de información en busca del eslabón débil en la cadena de protección.

 

banner-net-data

Firewalls

Palo Alto Networks define un firewall como un dispositivo de seguridad de la red que permite o deniega acceso a flujos de tráfico entre una zona de confianza (trusted zone) y una zona no confiable (untrusted zone).

Las primeras generaciones de firewalls clasificaban el tráfico inspeccionando únicamente en el puerto de destino (la forma en que la conexión es realizada en el extremo remoto). Las siguientes generaciones, incorporaron visibilidad a nivel de la aplicación, añadiendo módulos de hardware y/o software a sus productos, y llamaron UTM (Unified Threat Management) a esta familia de firewalls. Los UTMs no mejoraron la seguridad debido a que las funciones no eran integradas de manera nativa.

En cambio, el Next Generation Firewall (NGFW) puede detectar y prevenir ataques utilizando políticas de seguridad a nivel de aplicación, y puede tomar decisiones con base en aplicaciones, usuarios y contenido. Su diseño integrado de manera nativa simplifica la operación y mejora la seguridad. Debido a su éxito, el término NGFW se ha convertido en sinónimo de firewall.

Al seleccionar el tipo de firewall adecuado para la empresa, los líderes de TI y del negocio deben definir el balance entre seleccionar lo mejor disponible en el mercado, en función del coste del producto.

Una proyección publicada por Globe Newswire indica que el mercado global de NGFW alcanzará para 2025 un monto de USD 5,5 mil millones, con una tasa de crecimiento anual compuesto (Compound Annual Growth Rate, CAGR) de 12.4%   durante el periodo 2020 a 2025. 

<<< Controles de Ciberseguridad ¿En que debemos pensar? >>>

Software Antivirus

Es un programa o grupo de programas diseñados para detectar aplicaciones o software malicioso (gusanos, troyanos, adware u otras variedades) que no pertenecen a tu computador o dispositivo móvil. Sin un antivirus instalado, un computador conectado a Internet puede ser infectado en pocos minutos. Los fabricantes trabajan incansablemente, con el objetivo de responder a los miles de versiones de virus que son liberados diariamente.

Se atribuye a Robert H Thomas la creación del primer virus en un ambiente controlado en 1971. El programa, llamado Creeper, se desplazó entre computadores de la red ARPANET, predecesora de Internet.

A partir de 1987, la industria de los antivirus aceleró su ritmo, en respuesta a la proliferación de virus en las redes. El experto alemán en seguridad informática, Bernd Fix, creó la herramienta de antivirus que removió el primer virus en el campo.

¿Vale la pena pagar por un antivirus?

El contenido almacenado en nuestros dispositivos tiene un valor significativo, ya se trate de fotos familiares, o detalles de cuentas bancarias. Con la mayoría de nuestros datos circulando por alguna red, con seguridad debemos hacer algún tipo de inversión para asegurar la integridad de tales datos.

Especialmente a nivel empresarial, los usuarios deben buscar opciones que incluyan características avanzadas, como protección contra robo de identidad, seguridad móvil y soporte, características que por lo general no están disponibles con las herramientas gratuitas.

Como parte de su pronóstico de ciberseguridad para 2021 en Latinoamérica, Kaspersky, menciona que las campañas de fraude, robo y extorsión por parte de  los ciberdelincuentes, van a aprovechar que las actividades de trabajo y educación a distancia se mantendrán por lo menos hasta mediados de este año.

Servidor Proxy

Cisco describe de manera sencilla que es un servidor proxy y cómo funciona. Un servidor proxy es un intermediario entre un usuario final /computador, e Internet. Un servidor proxy actúa como un conductor de tráfico. Dependiendo de donde está ubicado en su red, éste realizará la inspección y enrutamiento del tráfico de Internet hacia / desde el usuario y la dirección web solicitada.

Los proxy servers han evolucionado con el transcurrir del tiempo, y ofrecen características y funciones más allá de la gestión estándar del tráfico web. Muchos de los servidores proxy utilizados actualmente, actúan como la línea de defensa importante para los usuarios de Internet, y permiten hacerles frente a obligaciones de cumplimiento tales como:  políticas de seguridad y privacidad de la red, y ayudar a regular el uso del tráfico de Internet.

Tres razones para Utilizar un Servidor Proxy

      • Seguridad: Los servidores proxy pueden actuar como la primera línea de defensa contra actividades maliciosas. Actualmente permiten configurar funcionalidades como:  bloqueo de sitios que contienen malware, y permiten encriptar datos mientras viajan por la web. Una práctica común actualmente en algunas organizaciones, consiste en utilizar el servidor proxy con un NGFW y tecnología de Virtual Private Network (VPN), asegurando de este modo que los usuarios remotos siempre están accediendo a Internet a través del servidor proxy, reforzando el cumplimiento de los estándares y regulaciones de la compañía.
      • Privacidad: uno de los atributos clave de un servidor proxy es la habilidad para proveer a los individuos y a las organizaciones, privacidad adicional mientras navegan en Internet. Algunos inclusive, tienen la capacidad de cambiar la dirección IP del usuario, permitiendo navegación en la web de manera completamente anónima.
      • Monitoreo de Tráfico / Uso de Internet: Los servidores proxy son una muy buena opción para que las organizaciones gestionen y controlen el contenido y proporcionan protección contra amenazas a sus usuarios. Si una organización no quiere que sus colaboradores visiten ciertos sitios en la web a través de su red(s), pueden configurar sus servidores proxy para negar el acceso a dichos sitios. Las organizaciones también pueden utilizarlo para monitorear y guardar registros log de las solicitudes de tráfico web – proporcionando visibilidad, no sólo durante las horas pico de actividad en la red, también reportes de los sitios más visitados y el tiempo dedicado a la navegación en tales sitios.

La inversión en un servidor proxy varía desde cientos de dólares mensuales hasta varias decenas de miles de dólares mensuales, dependiendo de cuán robustas son las características requeridas, sobre todo a nivel Corporativo. Existe variedad de alternativas de servidores proxy en la nube, y cualquiera que sea el factor de forma elegido, las funcionalidades continúan evolucionando para responder al cambiante mundo de las amenazas en la red.

Servicios de Infraestructura de Llave Pública (Public Key Infrastructure - PKI)

Los servicios de Infraestructura de Llave Pública (de ahora en adelante lo abreviamos PKI), es un término utilizado de manera más o menos genérica, para referirse a todo aquello utilizado para establecer y gestionar encriptación de llave pública, una de las formas más comunes de encriptación en Internet. Prácticamente, son documentos que actúan como pasaportes digitales, asignados a una entidad que quiere participar en una conversación asegurada

PKI está embebida en todos los navegadores web en uso actualmente, con el objetivo de asegurar el tráfico a través de la Internet pública, pero las organizaciones la pueden implementar para asegurar sus comunicaciones internas y el acceso a los dispositivos conectados a la web. Su importancia se debe a la combinación de encriptación y autenticación que utiliza que hace posibles las comunicaciones de confianza a través de Internet.

¿Por qué necesitamos PKI para asegurar el correo electrónico?

PKI es genial para asegurar el correo electrónico por la misma razón que es genial para asegurar el tráfico web: porque los datos circulando a través de Internet pueden ser fácilmente interceptados y leídos, y porque puede ser difícil confiar en que un remitente es quien dice ser. 

Establecer PKI casi universal, para el tráfico web ha sido relativamente fácil debido a que la mayor parte de la infraestructura necesaria está incluida dentro de los navegadores y servidores web. El correo electrónico es accedido a través de variedad de clientes heterogéneos, lo cual hace la tarea menos sencilla.

¿Cuáles son los Riesgos de una Ejecución Deficiente de PKI?

Tener PKI implementado no garantiza la seguridad. Algunas veces las compañías no aciertan a desplegarlo de manera adecuada. Un estudio del Ponemon Institute entrevistó cerca de 17.000 profesionales de TI y seguridad en relación con sus prácticas de gestión de llaves y certificados e identificó los riesgos más significativos asociados con asegurar las identidades digitales utilizando PKI:

      • Tiempos de indisponibilidad ocasionados por mal manejo de certificados digitales está en ascenso.
      • Identidades digitales inseguras que impactan negativamente la confianza en la organización.
      • Falla en auditorías, y Autoridades de Certificación afectadas por ciberdelincuencia.
      • Aumento de costos y la complejidad de las operaciones por mayor encriptación.
      • Falta de recurso humano para soportar PKI.  

Encriptación

Es una forma de alteración de los datos de manera que solamente partes autorizadas puedan entender la información. En términos técnicos, es el proceso de  convertir texto sin formato legible para los humanos, en texto incomprensible, también conocido como texto cifrado. En términos simples la encriptación toma datos legibles y los altera de modo que parecen aleatorios. La encriptación requiere el uso de una llave criptográfica - un conjunto de valores matemáticos que ha sido acordado por el emisor y el receptor de un mensaje.

¿Por qué es necesaria la Encriptación de los Datos?

      • Privacidad: la encriptación asegura que nadie pueda leer comunicaciones o datos almacenados o estáticos, excepto el receptor a quien son enviados los datos, o su dueño legítimo. Esto evita que los atacantes, redes de publicidad, proveedores de servicios de Internet, y en algunos casos los gobiernos puedan interceptar y leer datos confidenciales.
      • Seguridad: La encriptación ayuda a prevenir acceso indebido a los datos, ya sea que éstos se encuentren en tránsito o en reposo. Si un dispositivo corporativo es perdido o robado y si su disco duro está encriptado de manera adecuada, los datos en el dispositivo estarán seguros. En forma similar, las comunicaciones encriptadas habilitan a las personas que se comunican a intercambiar datos confidenciales sin que ocurra filtración de datos.
      • Integridad de los Datos: La encriptación también ayuda a prevenir comportamientos maliciosos tales como ataques on-path (ataques en los cuales el atacante se coloca entre dos dispositivos, generalmente un navegador web y un servidor web). Cuando los datos son transmitidos a través de Internet, la encriptación (junto con otras protecciones de integridad) asegura que lo que recibe el receptor no ha sido modificado en el camino.
      • Autenticación: La encriptación de llave pública, entre otras cosas, puede ser utilizada para establecer que el dueño de un sitio web posee la llave privada listada en el certificado TLS del sitio web. Esto permite a los usuarios del sitio web tener la seguridad de que están conectados al sitio web verdadero.
      • Regulaciones: Por las razones expuestas, muchas regulaciones de la industria y de gobiernos exigen a las compañías que manejan datos de usuarios, mantener dichos datos encriptados. HIPAA (Health Insurance Portability and Accountability Act of 1996), PCI-DSS (Payment Card Industry Data Security Standard), y GDPR (General Data Protection Regulation) son ejemplos de estándares regulatorios y de cumplimiento que requieren encriptación.

La encriptación es fundacional para una variedad de tecnologías, pero es especialmente importante para mantener las solicitudes y respuestas HTTP seguras, y para autenticar los servidores de origen de los sitios web. El protocolo responsable por esto es denominado HTTPS (Hypertext Transfer Protocol Secure). Un sitio web disponible sobre HTTPS en lugar de HTTP tendrá un URL que comienza con https:// en lugar de http://, usualmente representado por un candado cerrado en la barra de direcciones.

Las herramientas de ciberseguridad continuarán evolucionando, según sean habilitadas por los avances tecnológicos. Las capas de seguridad buscan proteger los activos de información, manteniendo el balance entre una excelente experiencia de usuario, sin detrimento de la robustez necesaria para mantener alejados a los ciberdelincuentes.

REporte Palo Alto

Mario Montoya