La visibilidad ayuda a mejorar las políticas de seguridad

Los militares de mayor éxito son, a menudo, los que reúnen más inteligencia antes y durante la batalla. Cuanto más sepan de su adversario, el entorno del campo de batalla y de sus propias tropas, mejor podrán afinar sus tácticas y estrategias militares para ganar la guerra. Sin esta inteligencia entrarían ciegos en la batalla, sin preparación y lo más probable es que perdieran. Este concepto se aplica a la seguridad de la información. Cuanta más inteligencia de seguridad y de red se tenga, mejor se sabrá cómo ajustar las políticas de seguridad (tácticas) para proteger a las organizaciones. 
Muchas de las herramientas de registro y presentación de informes en las que tradicionalmente hemos confiado no transmiten íntegramente los eventos importantes que ocurren entre bastidores en nuestras organizaciones. Los datos están ahí, enterrados en los registros, pero sin las herramientas analíticas y de visibilidad adecuadas es difícil encontrar e interpretar rápidamente la información y actuar en consecuencia. Por otro lado, las herramientas de visibilidad permiten descubrir aspectos de la red y de los usuarios que nunca antes había conocido y que pueden ayudar a reforzar sus defensas.

Cinco alternativas de visibilidad que pueden contribuir a mejorar sus políticas de seguridad:

1.- Conocer a las “tropas” ayuda a guiarlas: los controles de seguridad modernos autentican a los usuarios e identifican las aplicaciones basadas en el tráfico de red. Combinando estas capacidades con buenas herramientas de visibilidad, se obtiene una nueva perspectiva sobre lo que ocurre en la red. Ver qué herramientas y aplicaciones utilizan los usuarios, quién consume más ancho de banda, qué archivos se descargan y mucho más, es conocimiento para diseñar y perfilar las políticas de red de los negocios. ¿Qué pasa si detecta que una aplicación consume más ancho de banda que una aplicación crítica? No hay problema, agregue una política de calidad de servicio para priorizar lo que es importante para su negocio, o bloquee totalmente la otra aplicación. O tal vez puede ver si un usuario está utilizando una aplicación más arriesgada (como Bittorrent). Ahora que posee esa información, puede averiguar por qué y decidir restringirla si es necesario.

2. Comprender los patrones normales de su red: el tráfico de red de cada organización varía en función de la empresa y sus actividades. Por eso, no existe una plantilla para el tráfico "correcto" de red.  La única forma para detectar actividad anómala potencialmente peligrosa en la red es comprender lo que parece "normal". Y la única manera en que un humano reconocerá fácilmente “lo normal” es viendo el tráfico de red interpretado visualmente. Controlando las herramientas de visualización con regularidad podrá entender la línea de base de la red. Hecho esto, podrá notar "picos" de actividad de la red irregular que podrían darle la pista sobre la existencia de algún evento nuevo o diferente. Estos eventos pueden no ser malos, pero su identificación e investigación proporcionarán una visión más clara de la red y, en función de los resultados, también pueden sugerir la inclusión de nuevas políticas para evitar esos incidentes en el futuro.

3.- Conocer los objetivos comunes de su red: muchos profesionales de seguridad tienen instalados sistemas antimalware, sin embargo, la mayoría no presta mucha atención a los resultados. Si su IPS bloquea un ataque, entonces no tiene que preocuparse por ello, así que para qué prestar atención, ¿no? Las herramientas de visibilidad inteligentes pueden ayudar a aprender mucho de los patrones de ataque; incluso de los ataques que fracasan. Por ejemplo, ¿sabe qué servidor recibe la mayor cantidad de ataques de red? ¿Qué usuarios tienden a estar asociados con malware bloqueado? O ¿qué tipo de ataques enemigos se dirigen contra usted con más frecuencia? Las buenas herramientas de visibilidad pueden resaltar estas tendencias y, una vez que conoce las respuestas a estas preguntas,  se pueden ajustar sus políticas para proteger con más cuidado y restringir a ciertos usuarios, o endurecer las defensas de los servidores de destino.

4. Filtrar el ruido de fondo de la red: al hablar de patrones de ataque, cualquier persona que alguna vez haya supervisado el tráfico de Internet sabe que los dispositivos conectados a la Red reciben un flujo constante de “conversaciones”. Estas “charlas” abarcan desde robots legítimos que rastrean el espacio de la red e investigadores de seguridad escaneando puertos, hasta la exploración masiva de malware automatizado de nuevas víctimas. Las buenas herramientas de visibilidad ayudan a identificar esta charla constante, identificando conexiones al azar a puertos más populares como TCP 445, 137, 111, 69, 3389, 5800 y así sucesivamente. Los puertos que se ven en el portal de acceso a la red serán diferentes dependiendo de la parte del mundo en la que usted se encuentre y de lo que esté haciendo. En cualquier caso, se trata de ruido indeseable en las conexiones, y si se conocen esos agentes de ruido se pueden bloquear de manera más agresiva. Probablemente su firewall ya bloquea estas conexiones por defecto, pero ¿por qué no deshacerse totalmente de quienes están detrás de ellos? Los dispositivos de seguridad modernos permiten crear políticas de autobloqueo. Si la solución de visibilidad muestra muchos intentos de conexión al puerto 445, por qué no añadir una política que bloquee completamente la dirección IP que esté tratando de realizar esa conexión. Después de todo, si alguien repetidamente está intentando conectarse a  algo a lo que no le permiten,  probablemente no sea para nada bueno. 

5. Saber si sus tácticas actuales están funcionando: las políticas en sus controles de seguridad ya están configuradas. Tal vez ha segmentado su red interna basándose en roles de la organización y ha añadido políticas para restringir el tráfico en esas redes. Quizá quiere que ciertas comunicaciones pasen por rutas específicas, para que sus controles puedan monitorizar las comunicaciones de los datos confidenciales con herramientas de prevención de pérdida de datos. O tal vez usted haya creado una política para forzar el cifrado de comunicaciones específicas. En cualquier caso, ¿sabe si esas políticas funcionan? O ¿sabe si puede o no haber formas fraudulentas alrededor de esas políticas? Algunas herramientas de visibilidad también pueden ayudar, pues permiten visualizar la red y el flujo de las políticas. Pueden mostrar cómo determinados tipos de tráfico viajan a través de su red, y a qué políticas de seguridad afecta ese tráfico. Esto ayuda a identificar muchos potenciales errores que podrían haber pasado inadvertidos. Las herramientas de visibilidad de políticas pueden ayudar a identificar las políticas que más se utilizan o menos, permitiendo deshacerse de elementos no funcionales.

En resumen, las herramientas de visibilidad ayudan a identificar lo que realmente está ocurriendo en su red, de modo que es posible hacer cambios de políticas para conseguir que la realidad refleje lo que su empresa realmente quiere que suceda.

Los investigadores de Gartner han declarado que más del 95% de las violaciones a firewalls son causadas por errores de configuración del servidor de seguridad, no por defectos del firewall. Esto no tiene que ver con que los administradores de firewall sean estúpidos o perezosos. Más bien, creo que muchos administradores no tienen acceso a la red y la seguridad de inteligencia que necesitan para ayudar a establecer las políticas adecuadas a las necesidades específicas de su compañía. Las herramientas de visibilidad traducen este océano de datos de registro en inteligencia práctica. Una vez que se adoptan estas herramientas, descubrirá innumerables formas de mejorar sus políticas de seguridad y de proteger aún más a su empresa, estando un paso más cerca de convertirse en un general de cinco estrellas de la infoseguridad para ganar la guerra de la seguridad.