En 2017, la división de redes de Aruba de Hewlett Packard Enterprise anunció el Aruba 360 Secure Fabric, una solución integral de seguridad de red. Esta solución protege la red corporativa 360 grados de amenazas externas e internas dentro de un perímetro de seguridad en constante cambio, con la llegada de dispositivos inalámbricos y servicios en la nube.
La solución se basa en varios componentes clave. En primer lugar, es una infraestructura segura y confiable. El equipo de red de Aruba ha sido diseñado desde el principio en términos de máxima seguridad. Los controladores modernos pueden proporcionar procesamiento de alta velocidad (hasta 100 Gbit / s) del tráfico de red, teniendo en cuenta la función de inspección profunda de paquetes (DPI). Asociado a esto está el surgimiento del protocolo especializado Advanced Monitoring (AMON), que está diseñado para transferir una gran cantidad de información diversa entre los controladores WLAN y el sistema de control y sirve como una fuente adicional de información para los sistemas de seguridad.
El siguiente componente de la fábrica de Aruba 360 es el Sistema de control de acceso a la infraestructura ClearPass de Aruba, que pertenece a la familia de productos de software bajo el nombre de Control de acceso a la red (NAC). Este producto merece una consideración detallada y planeamos dedicarle una serie de artículos por separado. Comencemos examinando por qué en las condiciones modernas es imposible confiar únicamente en el perímetro de seguridad de la red y de dónde proviene la necesidad de sistemas SIEM.
El perímetro de seguridad se construye sobre la base de una integración profunda de soluciones asociadas ubicadas en la interfaz con redes no seguras y el segmento DMZ. Estos son dispositivos que proporcionan firewall, análisis de firmas de datos transmitidos, trabajo con tráfico encriptado, auditoría criptográfica, etc.
Es difícil para los atacantes superar los sistemas de seguridad clásicos antes mencionados que protegen el perímetro de las redes corporativas, por lo que a menudo eligen un enfoque diferente para los ataques. Se puede construir un ataque sobre la base de la introducción y distribución de código malicioso a través del equipo de los empleados de la empresa. Un usuario legítimo puede perder o dejar desatendido su dispositivo corporativo, conectarse a redes WiFi públicas inseguras. Otra opción común para crear un punto de partida para un ataque es enviar al usuario un enlace falso o enviarle un archivo adjunto de correo electrónico malicioso, que le permite inyectar posteriormente el código malicioso en la computadora de un usuario legítimo. Recientemente, cada vez más a menudo vemos ejemplos de acciones maliciosas que utilizan dispositivos IoT, cuyas principales debilidades son la configuración "predeterminada" y el software antiguo con vulnerabilidades bien conocidas (por ejemplo, casi nadie instala parches en cámaras IP con Windows 95 o MS DOS).
A veces, un empleado de una organización puede convertirse en un atacante y comenzar a recopilar datos corporativos valiosos con el fin de chantajear o obtener ganancias comerciales. El año pasado, el ransomware como WannaCry y Pyetya se difundieron activamente. Antes de la aparición del ransomware autopropagante, el malware se propagaba de tres maneras: mediante la descarga desde sitios, por correo electrónico o desde medios físicos, como dispositivos USB maliciosos. Por lo tanto, para infectar un dispositivo o sistema con un programa de ransomware, se requería la participación humana en un grado u otro.
Los atacantes han aprendido a usar técnicas de ingeniería social y en el futuro estas habilidades solo mejorarán. Según los analistas, si una organización se basa únicamente en la tecnología para corregir vulnerabilidades de seguridad, esto solo resolverá el 26% de los problemas. Si las organizaciones usan solo políticas para resolver problemas de seguridad, esto eliminará solo el 10% de los problemas; y si solo usan la capacitación del usuario, solo el 4%. Por lo tanto, es necesario controlar los tres aspectos de la seguridad en conjunto. Agregue a esto una grave escasez de personal de TI calificado, que pueda procesar información sobre eventos de red lo antes posible y emitir un veredicto correcto e inequívoco sobre el estado de seguridad.
En este caso, los llamados sistemas SIEM (información de seguridad y gestión de eventos) pueden acudir al rescate, diseñados para recopilar una amplia variedad de eventos de seguridad de la información y ayudar a los centros de seguridad de red (SOC) a analizar eventos, crear informes. Pero incluso ellos, como resultó, no pueden dar una imagen completa debido a la complejidad del procesamiento de la información por parte de los humanos y la gran cantidad de falsos positivos. Según un
informe analítico para pequeñas empresas con un ingreso de menos de $ 100 millones, la investigación del incidente lleva unos 10 minutos. En compañías con un número de empleados de 1,001 a 5,000, en 26 compañías de 85 encuestados, el tiempo de investigación de un incidente puede tomar de 20 minutos a una hora. Las conclusiones clave de estas estadísticas pueden ser que si cada analista pasa gran parte de su tiempo de trabajo investigando un incidente de seguridad, y puede haber 10 o más incidentes de este tipo, entonces investigar los incidentes de seguridad puede agotar todos los recursos humanos disponibles.
Según el mismo informe, los sistemas SIEM pueden generar hasta 10,000 eventos por minuto, que incluyen falsas alarmas y a veces requieren un análisis inmediato del personal. La separación de una señal del ruido no son palabras vacías en el caso de los sistemas SIEM. En este caso, los sistemas con inteligencia artificial pueden ayudar a los departamentos de seguridad. ¡Continuará!