Estas aquí
Colombia Seguridad 

Ahora es el turno de la micro-segmentación

Alberto Marín Morán

Por: Leonardo Carissimi es Director de Soluciones de Seguridad de Unisys en Latinoamérica.

Gartner publicó recientemente una lista de las 10 tecnologías «más promisoras» para 2017 y una de las más destacadas fue la micro-segmentación. Esto no podría ser diferente, ya que las herramientas tradicionales están cada vez más limitadas.

Una vez que los invasores comprometen uno de los sistemas de la empresa (ya sea un dispositivo del usuario o un servidor), generalmente pueden moverse lateralmente («este-oeste») a otros sistemas sin impedimentos. Para minimizar o eliminar el daño de un ataque como este, se recomienda el uso de micro-segmentación, que es el proceso de aislamiento y segmentación para garantizar la seguridad en los centros de datos virtuales o en la nube. Esta avanzada herramienta en el centro de datos funciona como las diferentes cámaras en un submarino, por ejemplo, que contiene «fugas» puntuales y evitan que un accidente fatal ocurra. Es decir, la micro-segmentación ayuda a limitar los daños de una violación, cuando esta ocurre.

Cuando la capa externa (firewalls y otros elementos de seguridad perimetral) es sobrepasada con técnicas como phishing o cualquier otra, el invasor pasa a moverse lateralmente en la red interceptada para explorar blancos de alto valor. Considere el caso de WannaCry como un ejemplo típico: una máquina infectada inicialmente fue utilizada como plataforma para hacer exploraciones dentro de la red, buscando otros equipos vulnerables y diseminando el ramsonware.

No es una broma. Hace unos años, un retail estadounidense sufrió el robo de datos de más de 100 millones de clientes, desde una pequeña brecha en el sistema electrónico del aire acondicionado. El caso fue tan grave que el presidente (CEO) de la compañía perdió su trabajo.

Es necesario que exista una capa de seguridad que contenga la acción del delincuente cuando las demás capas fallan para restringir su alcance. Por eso, la micro-segmentación se está posicionando como la respuesta correcta.

Al ser implementada en una red empresarial o centro de datos, la micro-segmentación aísla los sistemas con diferentes requisitos de seguridad en pequeñas redes locales virtuales (micro-segmentos). La seguridad de estas redes pequeñas ocurre por medio de tecnología de ecriptación que las cubre con una capa selectiva “invisible”, es decir, son visibles sólo por usuarios autorizados. Para aquellos que no tienen derecho de acceso, los micro-segmentos simplemente no existen.

Los contenidos en estos equipos se vuelven invisibles para invasores y, por lo tanto, inmunes a las técnicas de análisis de direcciones y puertos. El movimiento lateral se limita y, en consecuencia, la magnitud de los daños también se reduce. El ataque contra el retail mencionado se hubiese restringido al aire acondicionado, y el CEO quizás hoy mantendría su trabajo.

Sin embargo, la micro-segmentación no es interesante sólo para elevar el nivel de seguridad. Su aplicación, a diferencia de otros controles, es bastante transparente. Se puede realizar sin cambios en la infraestructura, independientemente de las capas existentes de hardware y software, manteniendo la inversión ya realizada.

La solución puede aplicarse incluso si la red es heterogénea, con elementos de distintos fabricantes. Esto es posible porque soluciones avanzadas utilizan el concepto de micro-segmentación por software. Esta característica permite un aumento significativo en el nivel de seguridad en unos pocos días. Y es una aplicación libre de riesgos de impacto en los servicios de TI.

Otro punto fuerte de esta solución avanzada es la posibilidad de ahorro de costos – tanto gastos de capital (Capex) como de funcionamiento (Opex) en las áreas de seguridad, infraestructura y red.

Tal reducción de costos es posible porque los micro-segmentos pueden simplificar substancialmente arquitecturas complejas de subredes (LAN o VLAN). Actualmente, las grandes empresas tienen altos costos resultantes de la administración de decenas o cientos de subredes y sus diferentes direcciones IP, máscaras, VLAN, puertos de conmutación, etc. Además, esta arquitectura compleja de subredes genera impactos en la seguridad, obligando a adoptar listas de controles de acceso o firewalls para separar diferentes redes LAN y VLANs.

Actualmente, existen empresas con millones de reglas de firewalls y también hay empresas que han reducido esas normas en más del 90% con la implementación de la micro-segmentación. Estas estrategias de simplificación reducen los costos de gestión del ambiente, pero también mejoran la seguridad, una vez que minimizan la posibilidad de errores.

Finalmente, en un escenario de amenazas cibernéticas crecientes y presupuestos restringidos, la micro-segmentación es una alternativa inteligente para cubrir satisfactoriamente estos dos asuntos. Además, dada su característica de rápida implementación, puede generar beneficios técnicos y económicos en el corto plazo. Por todo esto, y más, la micro-segmentación se destaca hoy en la industria.

Artículos relacionados

Dejar un comentario