BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Lo básico Póngase al día con nuestro contenido introductorio.

Identifique los signos de advertencia de las intrusiones a la red

Detectar intrusiones en la red requiere una gran cantidad de información. El experto Kevin Beaver explica por qué los equipos de seguridad deben tener una visión completa de la red.

"¿Ha sido hackeado?".

Es la gran pregunta a la que nadie parece tener una buena respuesta. Mucha gente con la que he hablado, especialmente los líderes de negocios no técnicos, asumen que un incidente de seguridad va a ser uno de esos eventos altamente visibles de los que todo el mundo sabe. Ciertamente puede ser, sobre todo cuando los atacantes ponen los sistemas fuera de línea, exponen datos o los retienen pidiendo rescate. Pero muchas otras –podría decirse que la mayoría de las intrusiones en la red– son más difíciles de detectar. Como resultado, los ciberdelincuentes y hackers pueden permanecer en la red durante meses o años antes de que alguien se dé cuenta. Es por eso que esos eventos son tan difíciles de tratar.

Por qué las intrusiones en la red son difíciles de detectar

En un mundo donde los atacantes tienen todo el tiempo, y muchas violaciones son descubiertas por terceros, las empresas están, sin duda, detrás de la bola ocho. Uno de los elementos más importantes en la determinación de si ha ocurrido o no una intrusión en la red es saber lo que es "normal". Por extraño que parezca, esto a menudo se pasa por alto o no se considera hasta después de una violación. La red promedio tiene tanto tráfico y ruido en ella que puede ser difícil entender las diferencias entre eventos de red, tales como búsquedas legítimas DNS, frente a infecciones de malware avanzado; grandes volúmenes de medios para transmisión, frente a ataques de denegación de servicio; pruebas de penetración, frente a un mal uso de privilegios y similares. Teniendo en cuenta esto, no es fácil averiguar lo que es normal para una red empresarial.

Por otra parte, las personas quedan atrapadas no solo en su trabajo del día a día, sino también en sus funciones de trabajo específicas, y cada uno tiene un sentido diferente de lo que es normal para esas posiciones. Si bien todo cambia rápidamente, eso también está relacionado con la percepción. He tenido nuevos clientes que nunca han realizado evaluaciones de seguridad ni han monitoreado ​​activamente sus redes, y han asumido que, ya que nada se "ve", nada malo está pasando. No tienen idea de qué esperar, porque eso es todo lo que conocen. Su percepción de la realidad es diferente a la realidad real. Ellos no saben lo que no saben, como dice el dicho.

Lea las señales de advertencia

Desafortunadamente, no hay una señal de advertencia específica de las intrusiones en la red. Detectar una intrusión en la red requiere un montón de pequeñas cosas integradas; ese es el problema que enfrentan las empresas y profesionales de la seguridad. No hay una buena sensación de lo que es correcto e incorrecto, dadas todas las partes móviles en una red empresarial.

A menos que los administradores de red y los administradores de seguridad estén íntimamente familiarizados con cómo se supone que deben lucir las cosas, no hay una buena manera de conseguir la visibilidad y la información de base necesaria para mantener las cosas bajo control. Aquí es donde las tecnologías de seguridad adecuadas entran en juego. El tradicional registro y alertas de cortafuegos y, hasta cierto punto, los sistemas de detección de intrusiones y prevención de intrusiones pueden crear más problemas de los que solucionan. No estoy diciendo que estas tecnologías no sean necesarias para asegurar el entorno de la red. Sin embargo, sobre la base de todos los factores –tales como la complejidad de la red, mínimo de tiempo disponible para recoger y analizar los datos, y la falta de experiencia sobre lo que se debe buscar– las tecnologías tradicionales están creando una falsa sensación de seguridad para las empresas, y a menudo terminan perjudicando más que ayudando.

En cambio, las tecnologías más nuevas, como la gestión de dispositivos móviles, la prevención de pérdida de datos, los sistemas de información de seguridad y gestión de eventos, los corredores de seguridad con acceso a la nube –para una mejor visibilidad de nube– o la tecnología de análisis de seguridad relacionada, se pueden aprovechar para pintar el cuadro completo de lo que está ocurriendo y qué podría ser anormal para un entorno. Incluso los analizadores de red tradicionales como OmniPeek y Wireshark se están posicionando como herramientas que pueden ayudar a tamizar a través del laberinto de seguridad de red y ofrecerle a las empresas un punto de referencia adecuado para la actividad normal. Es este nivel de visibilidad lo que es necesario no solo para recoger la más pequeña de las anomalías, sino también para ser capaz de ver el cuadro completo de lo que realmente está teniendo lugar en la red.

Todos sabemos lo que sucede una vez que se produce una brecha; la información está ahí afuera para siempre y no vuelve. Las empresas pueden no saber exactamente lo que deben buscar en las intrusiones en la red, pero una cosa es cierta: si no tienen una buena línea de base de su entorno y tecnologías razonables para la detección y la respuesta, no van a tener oportunidad en contra de las amenazas. Las empresas tienen que conocer sus sistemas, redes y riesgos –no perfectamente, pero en la mayor medida posible– antes de que puedan estar preparadas para responder con eficacia, y eventualmente, puedan prevenir las intrusiones en la red.

Próximos pasos

Más sobre detección de intrusiones:

Detección de intrusiones en la nube: Consideraciones sobre la IDS en nubes publicas

Cómo rastrear y prevenir ataques de crimeware

Revise su empresa con herramientas de monitoreo de seguridad de red

Este artículo se actualizó por última vez en febrero 2016

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close