El fin del perímetro (as we know it)
Cuando configuras un firewall, es un clásico definir una zona como TRUSTED, normalmente la red interna de la empresa, que si además nos dan la oportunidad ponemos de color verde, y otra como UNTRUSTED, que es la zona que encara internet y que solemos poner de color rojo.
Estos firewalls definen un perímetro el cual defienden y entendemos que todo lo que esté fuera de él es potencialmente maligno y todo lo que esté dentro está limpio y será bueno. Hace tiempo que esta aproximación, conocida como “egg shell”, dejó de ser asumible.
El compromiso eterno
En 2014 PWC publicó un paper donde ya hablaba de una nueva filosofía mediante la cual una organización, especialmente una pyme, debía asumir de manera contínua un estado de “seguridad comprometida”. Sí, esto significa asumir que en nuestra zona de confianza había malhechores que podrían actuar en cualquier momento. Que teníamos malware ya depositado y latente esperando a ser detonado en el momento adecuado. Que de manera contínua se filtraba nuestra información a la competencia. ¿Podríamos seguir hablando de zonas verdes y zonas rojas?
Movimientos laterales
Los fabricantes de firewalls empezaron a hablar entonces de “contención de movimientos laterales”. El primer punto dentro de una red corporativa que infecta un atacante no es su objetivo final por lo que tiene que saltar a otros puntos o “moverse lateralmente”. No hay problema, segmentemos nuestra red interna y pongamos más firewalls.
No está mal, la pregunta sería ¿a qué nivel de granularidad segmentamos?¿Separamos los servidores de los usuarios?¿Dentro del datacenter, aislamos la DMZ? Y ¿Qué hacemos con los servidores de archivos? Están dentro del datacenter pero continuamente accedidos por los usuarios.
Puestos a poner firewalls, ¿cómo los gestionamos? ¿Tengo que poner la misma regla en 35 firewalls?
Llegan las aplicaciones SaaS
Todo empezó con el correo personal, el típico hotmail/gmail. Hemos acorazado nuestra organización a base de firewalls y resulta que nos abren un boquete del tamaño de Australia al lado del escaparate. El correo personal además no se puede inspeccionar por ley de protección de datos ni en muchos casos, prohibir. Los atacantes lo sabían y desarrollaron una técnica llamada “phishing”. El resto es historia.
Después vino dropbox, wetransfer, office365, el ERP de la empresa y un sin fin de aplicaciones más que trasladaban el centro gravitatorio del trabajo de la empresa, fuera de los muros de la empresa. Por si fuera poco, y en aras de la seguridad, todas las aplicaciones iban y venían por el mismo puerto, el 443, y la información completamente encriptada. La ciberseguridad vuelve al paleolítico.
Entonces llegó el Firewall de Nueva Generación (NGFW) con la promesa de restaurar el perímetro. Y lo hizo. Era ( y es ) capaz de detectar protocolos/aplicaciones y personas en vez de IPs y puertos, analizar archivos en busca de malware, ejecutarlos en sandboxes, además capaz de realizar la titánica tarea de desencriptar y encriptar de nuevo toda la información que pase por él. Bravo, volvemos a tener zonas verdes y zonas rojas.
El personal se va a su casa
Estábamos en esas cuando vino la pandemia y todo el mundo se fue a trabajar a casa. Los muros de nuestro perímetro corporativo vuelven a hacerse añicos. Vivan las VPNs! Con ellas podemos extender el perímetro corporativo hasta el ordenador de mi casa. Sí, con el que mi hij@ se descarga las pelis y los videojuegos. Esta jugada ha llevado a la campaña más exitosa de distribución de malware/ransomware (que en su gran mayoría está aún sin detonar) de la historia de la ciberdelincuencia.
Admitámoslo, el perímetro tal y como lo conocíamos ya no existe. Se ha atomizado y dividido y ahora se manifiesta en forma de identidad, software, información y algoritmos de Inteligencia artificial. Hablaremos más de esto en siguientes artículos.