Mientras que la ciberseguridad consiste en proteger los sistemas informáticos contra los atacantes malintencionados, ha adoptado prácticas de seguridad del ejército para reforzar sus esfuerzos en la prevención y detención de los ciberataques. Una de estas prácticas tomadas prestadas del ejército es la Defensa en Profundidad (DiD)
La defensa en profundidad es una estrategia militar que se remonta a la época medieval, cuando los castillos tenían múltiples capas de seguridad, como puentes levadizos, zanjas, fosos, murallas y torres de vigilancia, que proporcionaban capas adicionales de seguridad al castillo.
La defensa en profundidad también se utilizó durante la primera y la segunda guerras mundiales, cuando los militares cavaban trincheras, utilizaban ametralladoras estratégicamente situadas, construían fortificaciones y empleaban obstáculos antitanque para frenar el avance de los enemigos, causar bajas y ganar tiempo para tomar represalias.
En ciberseguridad, la defensa en profundidad es una práctica de seguridad en la que múltiples productos y controles de seguridad, como cortafuegos, cifrado y sistemas de detección de intrusiones, se superponen y se utilizan conjuntamente para proteger las redes y los sistemas informáticos de los ataques.
Esto se traduce en una mayor seguridad de los activos críticos que hace que los sistemas sean más difíciles de penetrar, ya que cuando falla una medida de seguridad, existen capas adicionales de seguridad para proteger un sistema contra las amenazas.
La defensa en profundidad emplea la redundancia en la ciberseguridad, lo que la hace muy eficaz ya que una sola medida o control de ciberseguridad no puede detener todas las formas de ciberataques. El enfoque multicapa de la ciberseguridad de la defensa en profundidad permite protegerse de una amplia gama de ciberataques, lo que da como resultado sistemas informáticos mejor protegidos y muy difíciles de comprometer.
Elementos de la defensa en profundidad
La defensa en profundidad se compone de los siguientes elementos clave
Controles físicos
Se trata de medidas de seguridad establecidas para asegurar los sistemas informáticos y evitar el acceso físico de intrusos a los sistemas. Por lo general, esto implica limitar el acceso a los sistemas informáticos colocando infraestructuras físicas como cámaras de seguridad, puertas cerradas con llave, escáneres de tarjetas de identificación y sistemas biométricos o incluso empleando guardias para atender las salas con sistemas informáticos críticos.
Controles técnicos
Son el hardware y el software implementados para proteger los sistemas de atacantes malintencionados. Algunos ejemplos de estas medidas de seguridad son los cortafuegos, la autenticación multifactor, los sistemas de detección o prevención de intrusiones (IDS/IPS), los antivirusy la gestión de la configuración, entre muchos otros.
Controles administrativos
Estos comprenden las políticas y procedimientos de una organización para sus empleados, que tienen por objeto controlar el acceso a los recursos de la organización y también guiar a los empleados en las prácticas adecuadas de ciberseguridad para reducir los errores humanos que pueden dar lugar a que los sistemas informáticos se vean comprometidos por los atacantes.
Por qué es importante la defensa en profundidad
Kevin Mitnick, que en su momento fue considerado el hacker más famoso del mundo tras piratear los sistemas de empresas como Sun Microsystems, Nokia y Motorola, es conocido por decir que «Cualquier cosa ahí fuera es vulnerable a un ataque si se le da el tiempo y los recursos suficientes»
Esta afirmación sigue siendo válida a día de hoy, sobre todo con las sofisticadas herramientas a las que pueden acceder los atacantes. Esto, a su vez, significa que nunca existe una solución de ciberseguridad única que no pueda verse comprometida. Esta es la razón por la que la defensa en profundidad es muy importante en un mundo con atacantes sofisticados que tienen acceso a inmensos recursos.
La defensa en profundidad obliga a las organizaciones a adoptar un enfoque proactivo hacia su seguridad y a pensar en la seguridad de sus recursos incluso cuando falla un producto de seguridad.
Esta estratificación de diferentes productos de seguridad proporciona a las empresas una protección robusta para sus recursos críticos, reduciendo significativamente la probabilidad de que sus sistemas se vean comprometidos. La defensa en profundidad hace que el proceso de comprometer los sistemas sea muy difícil para los atacantes.
Además, obliga a las organizaciones a adoptar un enfoque holístico hacia su seguridad y abordar todas las formas posibles en las que sus sistemas pueden ser atacados. Al igual que en el ejército, donde la defensa en profundidad ralentiza los ataques y gana tiempo para las represalias, hace lo mismo en ciberseguridad.
La defensa en profundidad puede frenar a los actores maliciosos antes de que accedan a los sistemas y dar tiempo a los administradores para identificar los ataques y aplicar contramedidas para detenerlos antes de que penetren en sus sistemas.
También limita el daño causado por los atacantes en caso de que falle una medida de seguridad, ya que otros controles de seguridad limitarán el acceso y la cantidad de daño que los atacantes pueden infligir a un sistema.
Cómo funciona la defensa en profundidad
Un componente clave de la defensa en profundidad es la redundancia de las medidas de seguridad que dificulta a los atacantes la ejecución de los ataques. Por ejemplo, un atacante puede plantearse acudir físicamente a sus instalaciones para instalar una memoria USB infectada en sus sistemas.
Disponiendo de guardias de seguridad que vigilen las instalaciones o utilizando la biometría para registrar y controlar el acceso a los ordenadores, se puede detener a un atacante de este tipo.
Suponiendo que estén muy decididos en su ataque y cambien su enfoque para atacar la red enviando malware a la red, un ataque de este tipo puede detenerse utilizando un cortafuegos que supervise el tráfico de la red o un antivirus instalado en la red.
O, supongamos que intentan acceder a la red utilizando credenciales comprometidas, una autenticación multifactor implementada en la red puede ser capaz de impedirles el acceso al sistema.
Suponiendo que aún así sean capaces de entrar en el sistema, un sistema de detección de intrusos podría captar e informar de su intrusión, que entonces puede abordarse antes de que se produzcan daños mayores. Alternativamente, también se puede utilizar un sistema de prevención de intrusiones para detener activamente las amenazas.
Si van a pasar por todas estas medidas de seguridad, puede evitar que los atacantes exploten la información sensible cifrando los datos en tránsito y en reposo.
Por mucho que los atacantes puedan a veces ser muy decididos en sus ataques y sortear las diferentes medidas de seguridad instaladas para proteger los datos, la defensa en profundidad funciona dificultando mucho a los atacantes el acceso a un sistema. Esto puede disuadirles en sus ataques o, mejor aún, dar tiempo a la organización para responder a los ataques antes de que sus sistemas sean vulnerados.
Casos de uso de la defensa en profundidad
La defensa en profundidad puede aplicarse en diversos escenarios. Algunos de ellos son
#1. Seguridad de la red
Una aplicación común de la defensa en profundidad es la protección de las redes frente a los ataques. Esto se hace normalmente disponiendo de cortafuegos para supervisar el tráfico de la red basándose en la política de una organización y sistemas de protección contra intrusiones para supervisar la actividad maliciosa de la red y tomar medidas para prevenir y mitigar las intrusiones en una red.
Además, se instala software antivirus en la red para evitar que se instale malware en la red o eliminar el que pueda estar instalado.
La última capa de seguridad es la encriptación de los datos en reposo y en tránsito en la red. De esta forma, aunque los atacantes se salten todas las medidas de seguridad anteriores, no podrán utilizar los datos a los que accedan, ya que están encriptados.
#2. Seguridad de los puntos finales
Los puntos finales son dispositivos como servidores, ordenadores de sobremesa, máquinas virtuales y dispositivos móviles que se conectan a la red de una organización. La seguridad de los puntos finales implica proteger estos dispositivos de las amenazas.
Una estrategia de defensa en profundidad en la seguridad de los puntos finales puede implicar asegurar físicamente la ubicación donde se encuentran los puntos finales, utilizar contraseñas seguras y autenticación multifactor para controlar el acceso a los dispositivos y registrar las actividades de los dispositivos. También se pueden implementar cortafuegos, software antivirus y encriptación de datos para añadir capas adicionales de seguridad.
#3. Seguridad de las aplicaciones
La defensa en profundidad también es útil para asegurar las aplicaciones, ya que manejan datos sensibles como cuentas bancarias, números de identificación personal y direcciones de los usuarios.
En tal escenario, la defensa en profundidad puede implementarse mediante el uso de buenas prácticas de codificación para minimizar los fallos de seguridad, pruebas regulares de las aplicaciones para cazar vulnerabilidades, encriptación de los datos en tránsito y en reposo, e implementación de la autenticación multifactor para confirmar la identidad de los usuarios y también mantener un registro de las actividades realizadas por los usuarios de la aplicación.
Seguridad por capas frente a defensa en profundidad
Aunque estas dos medidas de seguridad implican el uso de múltiples capas de productos de seguridad para mejorar la seguridad de los recursos informáticos, difieren en su aplicación y enfoque. Sin embargo, ambas se basan en la creación de redundancia para mejorar la seguridad.
La seguridad por capas es un enfoque de seguridad en el que se despliegan múltiples productos de seguridad para proteger las áreas más vulnerables de la seguridad de una organización.
En este enfoque, los múltiples enfoques de seguridad se despliegan en la misma capa o pila, como el uso de diferentes software antivirus para que, en caso de que un antivirus pase por alto un virus o tenga alguna deficiencia, la otra opción disponible pueda recoger el virus o superar las deficiencias del otro antivirus.
Otro ejemplo de esto es utilizar varios cortafuegos o sistemas de detección de intrusiones de forma que en caso de que un producto no detecte o detenga una intrusión, otro producto pueda recogerla.
Este enfoque garantiza que la seguridad de los sistemas informáticos no se vea comprometida aunque falle un producto. La seguridad por capas puede ser a través de diferentes capas de seguridad para mejorar la seguridad de los sistemas informáticos críticos.
A diferencia de la seguridad por capas, que crea redundancia en una sola capa de seguridad, la defensa en profundidad crea redundancia a través de múltiples capas o áreas de un posible ataque para proteger los sistemas informáticos contra una amplia gama de ataques.
Un ejemplo de defensa en profundidad es implementar cortafuegos, autenticación multifactor, sistemas de detección de intrusos, cerrar físicamente las salas con ordenadores y utilizar software antivirus. Cada producto de seguridad aborda un problema de seguridad diferente y protege así un sistema contra una amplia gama de ataques.
Conclusión
Los ciberataques anteriores han demostrado que los actores maliciosos probarán diferentes vectores de ataque cuando busquen una vulnerabilidad que explotar en cualquier sistema. Dado que los atacantes disponen de una amplia gama de ataques que pueden lanzar para comprometer un sistema, las organizaciones no pueden confiar en un único producto de seguridad para garantizar la seguridad de sus recursos informáticos frente a los atacantes.
Por lo tanto, es importante implementar la defensa en profundidad para proteger los recursos informáticos críticos contra una amplia gama de ataques. Esto tiene la ventaja de garantizar que se cubren todos los posibles canales que los actores maliciosos pueden utilizar para explotar un sistema.
La defensa en profundidad también ofrece a las organizaciones la ventaja de ralentizar los ataques y detectar los que están en curso, dándoles tiempo para contrarrestar a los actores de la amenaza antes de que puedan comprometer sus sistemas.
También puede explorar los Honeypots y Honeynets en ciberseguridad.