Podcast: Reproducir en una nueva ventana | Descargar
En este capítulo del podcast hablo sobre dos concepciones de la seguridad, no sólo informática: la defensa perimetral y la defensa en profundidad.
Para simplificar podríamos decir que la defensa perimetral se encargaría de las protecciones que evitan los ataques desde el exterior montando un sistema que impida que dichos ataques lleguen dentro de la empresa, mientras que la defensa en profundidad es un concepto más global que se basa en la mayor fortificación posible de cada elemento de un sistema informático.
Defensa perimetral
La seguridad perimetral abarca aquellos sistemas que protegen a la empresa de los ataques desde el exterior. Se trata probablemente de las soluciones que vienen a la cabeza a la mayoría de gerentes: firewall e IPS son los elementos más comunes. Se trata de proteger, lo mejor posible, nuestra empresa de los atacantes externos.
En el mundo físico los ejemplos serían las vallas y alarmas de seguridad. Un ejemplo histórico podría ser la línea Maginot: se trata de una línea de defensa que Francia construyó antes de la Segunda Guerra Mundial, en su frontera con Alemania. Las construcciones de búnkeres, puestos de artillería, etc. era tan formidable que creían que pararía en seco cualquier ataque alemán. ¿Qué hicieron los alemanes? A grosso modo, simplemente bordearon esa gran defensa y se encontraron con que el resto del país no tenía casi defensas ya que estaban todas bloqueadas en la línea Maginot.
Vemos pues cuál es el gran problema de fiarlo todo a la seguridad perimetral: que si por lo que sea es sobrepasada ya no hay defensa alguna. Un ejemplo más adaptado a nuestro mundo: Una empresa con el mejor firewall, IPS, sistemas anti-DoS, etc…. pero un usuario recibe un supuesto e-mail de Correos y acaba instalando un ransomware y cifrando los archivos corporativos.
Defensa en profundidad
La seguridad en profundidad es un concepto más amplío que precisa de una mayor implicación por parte de diferentes especialistas. La idea es fortificar lo mejor posible cada uno de los equipos que forman el sistema informático de la empresa. De tal forma que aunque no haya un gran nodo defensivo, la acumulación de pequeñas fortificaciones, que deben superarse de forma individual, haga que el ataque no sea fructífero.
Veamos un ejemplo:
Supongamos que nuestro atacante conoce una vulnerabilidad en nuestra página web que le permite conseguir acceso a línea de comandos del servidor web.
Si el atacante se encuentra con que el servidor web estaba trabajando con un usuario de sistema operativo que no tiene permisos de administración deberá buscar una vulnerabilidad que le permita una escalada de privilegios. Supongamos que lo consigue y se hace con el control del servidor web con permisos de administración. Cuando intente acceder a otro servidor se puede encontrar con que el otro servidor tiene un firewall que impide el salto lateral de un servidor a otro. Es posible que cada servidor tenga contraseñas diferentes por lo que el acceso a uno no facilita el salto a los otros. Además quizás cuando intente acceder a la base de datos se encuentre con un IDS interno que detecte dichas peticiones anómalas. Puede que, aún incluso llegando a entrar en la base de datos, se encuentre con que el usuario no tenga permisos de administración de dicha base de datos y sólo pueda leer una serie de tablas. Si intenta acceder a recursos compartidos (carpetas, impresoras, etc.) se encuentre con que sólo puede acceder a una serie de carpetas pero no a todas gracias a las políticas de seguridad de ActiveDirectory, etc.
Como podéis suponer montar una defensa en profundidad implica el concurso de técnicos especialistas en diferentes áreas (con estos ejemplos habría que trabajar con administradores de sistemas operativos, de bases de datos, de servidores web, de microinformática) que deben reforzar la seguridad de cada parte de la infraestructura.
El principal beneficio es que aunque una defensa falle (por una vulnerabilidad nueva o por error en la configuración) el resto harán que el sistema siga siendo seguro tanto ante atacantes externos como internos. Una buena estrategia de defensa en profundidad, como puede ser la gestión de permisos en directorios compartidos, haría que el ransomware del ejemplo anterior sólo afectase parcialmente a algunas carpetas compartidas y no a toda la empresa.