Después de más de 20 años de experiencia en seguridad informática y actualmente con el foco puesto en nuestra fuerte apuesta por el área de seguridad en la nube, en Davinci Group hemos trabajado muy duro para construir un portfolio de proyectos y servicios basado en nuestra visión de la seguridad cubriendo de forma trasversal cualquier entorno, ya sea on premise o cloud, abordando esta importante cuestión en un modelo estructurado por capas.
Estas capas, buscan abordar la seguridad desde múltiples puntos de vista, empezando por un plano general cómo es la plataforma en la que se despliegan todos los servicios hasta llegar al usuario final, la pieza más delicada en concepto de seguridad.
PLATAFORMA
Cuando hablamos de entornos on premise, el foco a la hora de aplicar seguridad se encuentra en proteger la red. Por otro lado, cuando hablamos de entornos cloud, el foco lo tenemos que hacer en proteger el acceso a estas cargas de trabajo.
Es por ello que para seguir protegiendo estos nuevos entornos, es necesario adoptar un enfoque diferente integrando nuevas soluciones específicas que nos permitan retomar la visibilidad y el control en todo momento sobre la plataforma permitiéndonos detectar cualquier riesgo que se produzca prácticamente al instante.
Las soluciones dedicadas a proteger la postura de seguridad de la plataforma se integran mediante API con el proveedor de cloud (AWS, Google Cloud, Azure u otros) y mediante una serie de llamadas por API son capaces de evaluar el grado de cumplimiento de esta plataforma en cuestión de segundos. Es por ello que estas son la mejor opción para, de forma totalmente transparente para el negocio, poder conocer cuales son los principales riesgos que amenazan la disponibilidad e integridad de los activos.
Para dar respuesta a esta necesidad nosotros trabajamos con soluciones tanto comerciales como de código abierto. Nuestra solución de vanguardia es Checkpoint CloudGuard Dome9, la cual nos permite cubrir por completo esta capa pudiendo hacer un seguimiento recurrente del estado de la postura de la seguridad lanzando más de 1200 controles de seguridad que nos permiten detectar cualquier incumplimiento en cuestión de segundos.
Tomar control de la postura de seguridad de tu plataforma es primordial a fin de poder empezar a construir un modelo de seguridad robusto que minimice en la mayor medida posible los riesgos de seguridad de tu compañía.
Seguridad en tu cloud directamente a través del marketplace de AWS
Todos los servicios de seguridad de Davinci Group están disponibles para clientes de Amazon en el marketplace de AWS, lo que le permite aprovechar todas las ventajas financieras de este medio de pago.
INSTANCIA
Después de hablar de la protección de la plataforma, nuestro terreno de juego, el próximo paso es proteger los principales activos que están en esta plataforma, las instancias que corren las cargas de trabajo del negocio.
Un factor importante a tener en cuenta cuando hablamos de proteger las instancias que tenemos en la nube es que, a términos generales, las medidas para proteger estas son las mismas que podríamos tomar para proteger las instancias en on premise. Por ello, la mayoría de soluciones del mercado pueden cubrir de forma transversal tanto un entorno en la nube como on premise.
Las soluciones de protección de instancia a día de hoy ya no son solo un antivirus. Los riesgos hacia estos activos han aumentado exponencialmente y con ello las contramedidas dando cabida a soluciones tipo EDR, HIDS, ATP entre otros. De este modo, estas soluciones son capaces de monitorizar en tiempo real los recursos, eventos y detectar las amenazas que pueden tener los activos.
Para dar respuesta a esta necesidad también disponemos de alternativas tanto comerciales cómo de código abierto. Nuestra solución principal es Kaspersky ya que nos permite cubrir la totalidad de esta capa con todo tipo de protecciones para la instancia con el añadido de poder extender estas protecciones a dispositivos finales independientemente de la plataforma (equipo de trabajo o dispositivo móvil) de forma ágil y cómoda.
La protección de las instancias y dispositivos finales es un punto crítico para la seguridad de una compañía ya que estas pueden ser en ciertas situaciones la primera puerta para un ataque.
CONTENEDOR
La transformación y el cambio es inevitable, nuevas tecnologías más optimizadas y eficientes salen al mercado y el concepto de dockers o contenedores ha marcado un antes y un después debido a los beneficios que tiene el correr las aplicaciones siguiendo este sistema. Pero, como siempre, nuevos avances traen nuevos riesgos de seguridad que es necesario tener en cuenta.
Este nuevo paradigma no ha venido solo, ha venido acompañado de el uso de tecnologías y procedimientos como GITOPS, CI/CD y KUBERNETES y es por ello que es necesario aportar seguridad en cada una de estas etapas para proteger la construcción de estos contenedores en cada uno de sus estados.
Las soluciones de protección de contenedores normalmente cubren de forma integral los tres estados en los que se puede encontrar un contenedor.
Repositorio
El código necesario para construir la imagen de un contenedor se encuentra almacenado en un repositorio de código.
Construcción
En el momento en que se construye la imagen con la que luego se lanzará el contenedor.
Producción
Mientras que el contenedor está corriendo en el clúster en producción.
Adicionalmente, hay soluciones que se pueden integrar en el IDE de desarrollo del programador integrando un escaneo de seguridad incluso antes de las anteriores fases comentadas.
Para dar respuesta a estas necesidades trabajamos con soluciones comerciales como de código abierto. Nuestra solución principal en este caso es Aqua Security la cual nos permite cubrir todas las protecciones necesarias para esta capa incluyendo capacidades adicionales para obtener mayor visibilidad y control sobre las comunicaciones que ocurren dentro de clusters de kubernetes en el que se lanzan los contenedores.
No proteger el desarrollo y puesta en producción de cargas de trabajo en contenedores puede ser un error crítico. La tecnología ya está al orden del día y así los atacantes por ello es imprescindible contemplar este nuevo vector de ataque para prevenir el compromiso de estos nuevos activos.
APLICACIÓN
Hasta este punto, toda la seguridad que hemos estado comentando ha sido desde un punto de vista interno pero no olvidemos que, las aplicaciones que hayamos desplegado quedan expuestas hacia internet. Por ello, es necesario implementar una protección desde un punto de vista externo.
Dependiendo de la tipología de la aplicación (aplicación web, API, etc) el tipo de protección puede variar ligeramente pero la principal necesidad que hay que cubrir es proteger la aplicación contra ataques de SQLi, XSS, XSRF, DDoS, entre otros. En segundo lugar pero no menos importante, una auditoría tanto estática (del código de la aplicación) cómo dinámica (de la aplicación en producción) son necesarias para mitigar todas las vulnerabilidades explotables que esta pueda presentar públicamente.
Las soluciones que hay en el mercado actualmente para cubrir esta capa se encuadran principalmente bajo las categorías de WAF, WAAP, antiDDoS, entre otras. Estas son capaces de detectar todo tipo de ataque dirigido contra las aplicaciones que tengamos protegidas previniendo que ese tráfico malicioso llegue a destino.
Para dar respuesta a esta necesidad utilizamos herramientas comerciales y open source tanto para proteger las aplicaciones de nuestros clientes contra ataques como para auditar la seguridad de estas. Nuestra herramienta principal en este caso es FORTIWEB que gracias a sus capacidades de detección de amenazas utilizando algoritmos de aprendizaje automático permite identificar estas y bloquearlas en el momento.
En este caso, proteger las aplicaciones contra ataques es proteger el negocio directamente previniendo un compromiso de la disponibilidad de la aplicación y de la reputación de la compañía.
DATO
Prácticamente todas las compañías a dia de hoy tratan datos sensibles. Ya sea el departamento comercial, contable o de recursos humanos en algún momento gestiona datos de carácter personal o bancario y proteger tanto ese dato en cualquiera de sus estados como el acceso a este es necesario para prevenir una fuga de información o cualquier otro riesgo relacionado.
El nuevo enfoque de la nube ha provocado una descentralización del dato a unos niveles que ni pensamos en entornos on premise, es por ello que tomar control sobre la seguridad de este activo se hace cada vez más difícil.
Por lo que hace a la protección del dato, múltiples son los enfoques que las soluciones del mercado le dan al problema para tratar de abordarlo. Cifrado, tokenización, etiquetado, control de acceso por políticas, etc. Todas estas son válidas pero siempre es importante estudiar cada caso para adecuar la mejor solución.
Para dar respuesta a esta necesidad, hemos optado por las que consideramos que son la mejor solución que hay actualmente en el mercado, Sealpath, pudiendo embeber la seguridad en el documento independientemente de donde se encuentre este.
Por lo que hace a la protección del acceso a dicho dato, también son varios los enfoques desde los que se puede abordar esta necesidad. A día de hoy podemos encontrar soluciones dedicadas para una necesidad en concreto como el control de accesos privilegiados, accesos programáticos, identity brokering entre otras pero, recientemente ha surgido un nuevo enfoque llamado SASE que busca paquetizar gran parte de estas necesidades como FWaaS, Cloud SWG, ZTNA entre otros en un único producto.
En este caso nuestra apuesta clara es en favor del fabricante líder indiscutible en el mercado en este nuevo paradigma, ZScaler. Durante tiempo a la cabeza en la parte de Cloud SGW y con una oferta muy prometedora en el resto de protecciones.
El dato es aquello que realmente mueve el negocio. Ya sea un curriculum vitae o el detalle de una transacción, la seguridad de este es necesaria para proteger su integridad.
USUARIO
El usuario es, posiblemente, el vector de ataque más vulnerable y más atacado cuando hablamos de seguridad informática y el principal motivo de que esto sea así es por la falta de formación y concienciación de dicho usuario en esta materia. Como dicen que una cadena es tan débil cómo su eslabón más débil, formar y concienciar tanto al equipo interno como al equipo externo es primordial para poder detectar a tiempo ataques de phishing, fraude u otros antes de que sea demasiado tarde.
Independientemente de cual sea el entorno, laboral o personal, todos podemos recibir en algún momento un correo de la compañía del gas con un archivo adjunto que nunca habíamos recibido, o una llamada de alguien que dice ser del banco pidiéndonos autorizar una transferencia entregándoles unas credenciales. En cualquiera de estas situaciones podemos ser víctimas de un ataque dirigido que acabe cifrando todos los datos de nuestro equipo y todos los que tengamos conectados o vaciando la cuenta del banco.
Las soluciones que hay a dia de hoy en el mercado para cubrir esta capa se proponen ofrecer un catálogo de cursos y formaciones las cuales deben ser de obligatorio cumplimiento para el empleado complementadas normalmente por un modelo de premios que otorga unas medallas al empleado según va realizando estas formaciones.
Para dar respuesta a estas necesidades, nuestra apuesta en este caso sigue esta línea con Kaspersky KASAP complementando la propuesta con unas campañas de phishing dirigido con Attack Simulator. De esta forma somos capaces de formar al empleado y validar los conocimientos en un entorno real continuamente.
Muchos de los incidentes de seguridad que escuchamos en las noticias han sido producto de un ataque dirigido contra el usuario. No importa ni el cargo ni el tipo de usuario, todos pueden ser objetivo de un ataque.
Con esta última capa terminamos el primer post de una serie sobre seguridad informática. Poco a poco iremos publicando los siguientes posts los cuales buscan entrar en detalle en cada una de las capas que hemos explicado brevemente en este primer post.
Si no puedes esperar a los próximos artículos y quieres conocer más en detalle sobre cómo Davinci Group protege cada una de las capas explicadas anteriormente, puedes contactarnos usando el formulario integrado en la esquina inferior derecha de esta página o usando el formulario de nuestra página de contacto.
