Embedded Files
U2 lab™ - smart tech solutions / ciberseguridad
Seguridad de Red
Implementar el hardware y el software necesarios para proteger una red informática del acceso no autorizado, intrusos, ataques, interrupciones y/o mal uso.
Ayuda al cliente a proteger sus activos contra amenazas externas/internas.
Seguridad de Red
Toda aquella actividad, proceso, tecnología o política que busca proteger los recursos digitales de un individuo u organización de fallos y ataques a su Confidencialidad, Integridad y Disponibilidad (CIA).
Cualquier actividad diseñada para proteger el acceso, el uso y la integridad de la red y los datos corporativos.
Soluciones de hardware y software, así como procesos o reglas y configuraciones relacionadas con el uso de la red, la accesibilidad y la protección general contra ciberamenazas.
Está orientada a diversas ciberamenazas.
Evita que las ciberamenazas accedan y/o se propaguen por la red.
Ámbito de la Seguridad de Red
Seguridad del perímetro digital de una organización.
Seguridad dentro de los "muros" de una "fortaleza".
Dentro de los "muros" encontramos la infraestructura TI (Tecnología de la Información) de una empresa, es decir, el software, el hardware, almacenamiento de datos y componentes de red de cada uno de los usuarios y dispositivos.
Objetivos de la Seguridad de Red
Evitar que ataques maliciosos logren acceder a redes internas de ordenadores u otros dispositivos.
Proteger los datos, sistemas y dispositivos donde estos se almacenan.
Asegurar que la información que entra y sale de los dispositivos, se conserve solo entre ellos y sus destinatarios, permaneciendo confidenciales y alejados de terceros.
Ciberamenazas (amenazas) y Vulnerabilidades
Posibles infracciones que afectan a la confidencialidad, disponibilidad o integridad de los recursos.
Pueden incluir la divulgación de datos confidenciales, alteración de los datos o incluso la denegación de acceso a algún servicio.
Agente de amenazas: persona o un grupo de personas que pretende/n causar algún daño utilizando vulnerabilidades existentes.
Vector de amenazas: ruta que sigue un ataque.
Vulnerabilidades: debilidad o error que los agentes de amenazas pueden utilizar para infringir las políticas de seguridad.
Fases de la Seguridad de Red
Fase-1. Prevención
Definir qué hay que proteger.
Determinar las responsabilidades de organización.
Establecer los procedimientos de implementación.
Detallar la ejecución.
Crear un programa de concienciación de la seguridad para formar a todos los empleados.
Establecer controles de acceso para gestionar la forma en la que los empleados utilizan y acceden a los recursos de la organización.
Fase-2. Detección
Utilizar funciones que supervisen y registren la actividad del sistema.
En el caso de una posible brecha o de una actividad maliciosa, los sistemas de detección deberían notificar a la parte o persona responsable.
El proceso de detección solo es efectivo cuando va seguido de una respuesta planeada a tiempo.
Fase-3. Respuesta
Corrección bien planeada para un incidente.
Paralización del ataque en curso.
Actualización de un sistema con el parche más reciente.
Cambio de la configuración de un firewall.
Control de Acceso
Tipo de control de seguridad.
Fases: Identificación, Autenticación, Autorización y Responsabilidad (IAAR).
Fase-1. Identificación: confirmación de la identidad del usuario a través de un identificador único como lo es un "id de usuario", un "nombre de usuario" o un "número de cuenta".
Fase-2. Autenticación: verificación de las credenciales que el usuario "conoce" (ej. nombre de usuario y la contraseña), "tiene" (ej. tarjeta de identidad), y/o "es" (ej. biometría).
Fase-3. Autorización: concesión del permiso de acceso.
Fase-4. Responsabilidad: seguimiento de la actividad del usuario para hacer que aquellos que tienen acceso sean responsables de sus acciones en un sistema.
Segmentación de Red
Consiste en dividir una red en partes lógicas más pequeñas para que se puedan añadir los controles entre ellas.
Así se mejora el rendimiento y la seguridad.
Las "Redes de Área Local Virtual" - "Virtual Local Area Network" (VLAN) son un método común de segmentación de la red que se lleva a cabo de forma local o utilizando una infraestructura en la nube.
Cuando se utiliza para la nube, se llaman "Nubes Privadas Virtuales" - "Virtual Private Cloud" (VPC).
Seguridad Perimetral
Definir un perímetro.
Determinar qué tipo de tráfico debe fluir: datos, voz, vídeo, etc.
Configurar los mecanismos de control adecuados: Firewalls, IDS, IPS, VPN, etc.
Cifrado
Garantiza la confidencialidad y la integridad de los datos en tránsito o en reposo mediante la conversión de estos en un cifrado utilizando una clave.
Tipos:
Encriptación simétrica: consta de una única clave que se comparte entre el remitente y el receptor.
Encriptación asimétrica: emplea dos claves, una pública y una privada para cifrar/descifrar la información, haciéndola menos vulnerable.
Hash
Utiliza un algoritmo que genera una cadena de una longitud fija de caracteres aleatorios al convertir los datos o el mensaje original en un valor corto.
Este funciona como clave para garantizar la integridad de ese mensaje o esos datos.
Los algoritmos de hash son una forma de verificar la integridad de la comunicación.
Usos típicos de hash: almacenar contraseñas, archivos de supervisión, garantizar la integridad de la comunicación de forma segura, etc.
Medidas de Seguridad en la Red
Cortafuegos - Firewall (FW).
Sistema de Detección de Intrusiones - Intrusion Detection System (IDS).
Sistema de Prevención de Intrusiones - Intrusion Prevention System (IPS).
Red Privada Virtual - Virtual Private Network (VPN).
Prevención de Filtración de Datos - Data Leak Prevention (DLP).
Gestión de Derechos Digitales - Digital Rights Management (DRM).
Registros, Supervisión y SIEM.
Firewall (FW)
Analiza y clasifica el tráfico automáticamente.
Bloquea o permite el paso del tráfico.
Para un firewall el tráfico se divide en dos categorías: el tráfico "deseado" para que pase y el tráfico "no deseable" para bloquear.
Un firewall se configura con una lista de reglas ("políticas").
El tráfico al que se le permite el paso a través de un firewall está especificado en su configuración, basada en el tipo de tráfico que un negocio tiene y necesita.
El firewall usa esta lista de reglas para determinar qué hacer con el tráfico una vez que lo recibe.
La mejor y más importante práctica de seguridad con un firewall es que debe de bloquear por defecto todo el tráfico.
Debe configurarse para permitir solamente el paso de tráfico específico hacia servicios conocidos.
La configuración del firewall es crítica.
Opera en distintas capas dentro del modelo de "International Standards Organization", "Open System Interconnect" (ISO OSI).
Capas OSI 2-5: lo usual.
Capa OSI 7: "proxy", "gateway", "Web Application Firewall" (WAF).
Sistema de Detección/Prevención de Intrusiones - Intrusion Detection/Prevention System (IDPS)
IDPS = IDS + IPS.
IDS:
Dispositivo pasivo.
Supervisa la red en busca de actividad maliciosa.
Se centra en encontrar el tráfico que no debería estar ahí (proveniente de un hacker, etc.).
Registra el tráfico sospechoso.
Realiza informes.
Tipos: Network-Based IDS (NIDS) o Host-Based IDS (HIDS).
IPS:
Dispositivo activo.
El IPS debe conocer qué es y que no es tráfico “bueno”.
Esto se puede hacer con archivos de firmas o puede aprender.
Cuando se da cuenta de que el tráfico que está fluyendo proviene de un hacker, destruye dicho tráfico.
En la práctica es muy complicado ajustar correctamente este tipo de sistemas.
Tipos: Network-Based IPS (NIPS) o Host-Based IPS (HIPS).
La mayoría de las empresas optan por un IDS, que complementan con registros, un SIEM, así como planes y equipos de respuesta preparados.
Red Privada Virtual - Virtual Private Network (VPN)
Una de las medidas de seguridad más comunes en las empresas.
Se conecta a un servidor seguro antes de hacerlo directamente al internet.
Oculta la dirección IP y ubicación del usuario.
Protege la confidencialidad de los datos cuando atraviesan su red.
El núcleo de una VPN es el cifrado, aunque también utiliza la autenticación.
Opciones de cifrado:
Secure Socket Layer (SSL)/Transport Layer Security (TLS).
Secure Shell (SSH).
Internet Protocol Security (IPsec).
Prevención de Filtración de Datos - Data Leak Prevention (DLP)
Protección de la propiedad intelectual (IP).
La IP incluye: manuales, procesos, documentos de diseño, datos de investigación y desarrollo, etc.
Objetivo: mantener contenida la información confidencial.
DLP busca información sensible en los flujos de datos como emails o transferencias de archivos.
Si el software DLP ve información sensible como el número de una tarjeta de crédito, bloquea o detiene la transmisión (o bien puede encriptar la información, si esa llegara a ser una opción más apropiada).
Gestión de Derechos Digitales - Digital Rights Management (DRM)
Protección de la propiedad intelectual (IP).
La IP incluye: manuales, procesos, documentos de diseño, datos de investigación y desarrollo, etc.
Objetivo: Asegurar de que la información sólo puede ser vista por quien debe de ser vista.
DRM permite que la empresa comparta contenidos digitales (libros, manuales, etc.) con sus clientes de forma controlada.
El software DRM controla el acceso a la propiedad intelectual.
La tecnología DRM usa control de accesos que determina por cuánto tiempo alguien puede usar el contenido, si puede imprimirse, si puede compartirse, etc.
Los parámetros se basan en los deseos del dueño de la propiedad intelectual.
Algunos ejemplos de plataformas que usan DRM son: Netflix, Amazon Prime Videos, Spotify, iTunes, Kindle, etc.
Registros, Supervisión y SIEM
Registros ("logs"):
Prácticamente todos los sistemas dentro de o conectados a una red deben de generar logs.
Esto permite saber qué ha sucedido y qué está sucediendo en la red.
Esto resulta en un gran número de eventos registrados.
Lo que se registra lo determina la propia empresa.
Esto podría incluir intentos de inicio de sesión, flujos de tráfico, paquetes, acciones tomadas o incluso cada tecleo que hace un usuario.
La decisión sobre qué se debe registrar debe basarse en el análisis de riesgo del negocio, la sensibilidad de los activos y las vulnerabilidades de los sistemas.
Supervisión:
Para hacer sentido de todos estos datos, es necesario mandar los "logs", los cuales también son rastros para auditorías, a una ubicación central como un servidor "syslog" para su análisis.
Gestor de Eventos e Información de Seguridad - Security Information Event Manager (SIEM):
Herramienta de análisis.
Una vez que los logs se encuentran en el servidor syslog, son analizados por un SIEM.
Analiza los logs de todos los sistemas y correlaciona los eventos.
Busca "indicadores de compromiso" - "indicators of compromise" (IoC).
Si hay un IoC, alguien debería revisar ese evento y determinar si es necesario actuar para detener un ataque o para reparar y restaurar los sistemas después de un ataque.
Un IoC no siempre representa evidencia de un evento malicioso, por lo que debe de ser analizado por personas.
Aquí es donde un SOC ("Security Operation Center") y un equipo de respuesta a incidentes ("IRT") deben determinar cuáles son los siguientes pasos.
Áreas Vulnerables de la Seguridad de una Red
Intercambios de archivos.
Correo electrónico.
Lenguajes de programación, sistemas operativos y programas desactualizados.
Extensiones ocultas de ficheros.
Plataformas de mensajería instantánea (IM): WhatsApp, Facebook Messenger, etc.
Chatbots.
Redes/conexones inalámbricas: WiFi, NFC, etc.
Seas Autónomo/a, una PYME o una gran empresa, desde U2-LAB™ te ayudamos con todo lo que necesites, en todo momento, desde el inicio del proyecto hasta su finalización y más allá, para que estés tranquilo/a y puedas dedicarte a lo que realmente importa: hacer crecer tu negocio/empresa y ofrecer a tus clientes servicios de la máxima calidad, eficaces y eficientes.
✅ Cuéntanos tu caso o proyecto! En U2-LAB™ te ayudamos con todo lo que necesites!
✅ Presupuesto gratuito y sin compromiso!
Report abuse