La defensa en profundidad hace referencia a una estrategia de ciberseguridad en la que se utilizan múltiples productos y prácticas para proteger una red.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
¿Qué es la seguridad de la API?
¿Qué es una fuga de datos?
¿Qué es el OWASP Top 10?
Prueba de penetración
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
"La defensa en profundidad" (DiD) es una estrategia de ciberseguridad que utiliza múltiples productos y prácticas de seguridad para proteger la red, las propiedades web y los recursos de una organización. En ocasiones, se utiliza indistintamente con el término "seguridad en capas", porque depende de soluciones de seguridad en múltiples capas de control (físicas, técnicas y administrativas) para evitar que los atacantes lleguen a una red protegida o a un recurso local.
Originalmente, la defensa en profundidad describía una estrategia militar en la que se sacrificaba una línea de defensa para detener a las fuerzas contrarias. A pesar de que los nombres son similares, ese enfoque no es paralelo a esta estrategia de seguridad, en la que múltiples productos trabajan juntos para mantener a raya a atacantes y otras amenazas.
El principio básico de una estrategia de defensa en profundidad es la idea de que un solo producto de seguridad no puede proteger del todo una red de todos los ataques a los que pueda enfrentarse. Sin embargo, la implementación de múltiples productos y prácticas de seguridad puede ayudar a detectar y prevenir los ataques a medida que van surgiendo, permitiendo a las organizaciones mitigar eficazmente una amplia gama de amenazas. Este enfoque es cada vez más importante según las organizaciones amplían sus redes, sistemas y usuarios.
Otra ventaja de la seguridad en capas es la redundancia. Si un atacante externo derriba una línea de defensa o una amenaza interna pone en riesgo parte de la red de una organización, otras medidas de seguridad pueden ayudar a limitar y mitigar el daño a toda la red. Por el contrario, el uso de un solo producto de seguridad crea un único punto de fallo; si se pone en riesgo, puede tener como resultado que toda la red o el sistema se vea vulnerado o dañado.
Aunque las estrategias de defensa en profundidad varían en función de las necesidades de una organización y los recursos disponibles, suelen incluir uno o más productos de las siguientes categorías:
Los controles de seguridad física defienden los sistemas informáticos, los edificios corporativos, los centros de datos y otros activos físicos contra amenazas como la manipulación, el robo o el acceso no autorizado. Pueden incluir diferentes tipos de control de acceso y métodos de vigilancia, como cámaras de seguridad, sistemas de alarma, escáneres de tarjetas de identificación y seguridad biométrica (por ejemplo, lectores de huellas dactilares, sistemas de reconocimiento facial, etc.).
Los controles técnicos de seguridad comprenden el hardware y el software necesarios para evitar fugas de datos, ataques DDoS y otras amenazas que tienen como objetivo las redes y aplicaciones. Entre los productos de seguridad más comunes en este nivel se encuentran los firewalls, las puertas de enlace web seguras (SWG), los sistemas de detección o prevención de intrusiones (IDS/IPS), las tecnologías de aislamiento de navegador, el software de detección y respuesta de puntos de conexión (EDR), el software de prevención de pérdida de datos (DLP), los firewalls de aplicaciones web (WAF) y el software antimalware, entre otros.
Los Controles de seguridad administrativos hacen referencia a las políticas establecidas por los administradores de sistemas y los equipos de seguridad que controlan el acceso a los sistemas internos, los recursos corporativos, y otros datos y aplicaciones confidenciales. También puede incluir la formación de concienciación sobre la seguridad para garantizar que los usuarios lleven a cabo buenas prácticas de seguridad, mantengan la confidencialidad de los datos y evitan exponer los sistemas, dispositivos y aplicaciones a riesgos innecesarios.
Además de los productos y las políticas de seguridad, las organizaciones deben implementar prácticas de seguridad sólidas para limitar el riesgo a sus redes y recursos. Estas pueden incluir una o más de las siguientes:
El acceso de mínimos privilegios es el principio de conceder a los usuarios permiso para acceder solo a los sistemas y recursos que necesitan para su puesto. Esto ayuda a minimizar el riesgo para el resto de la red si las credenciales de un usuario se ven en riesgo y un usuario no autorizado intenta llevar a cabo un ataque o acceder a datos confidenciales.
La Autenticación multifactor (MFA), como su nombre indica, requiere múltiples formas de autenticación para verificar la identidad de un usuario o dispositivo antes de permitir el acceso a una red o aplicación. La MFA suele incluir buenas prácticas con las contraseñas (es decir, contraseñas complejas, difíciles de adivinar y que se cambian con frecuencia), el establecimiento de controles estrictos para los dispositivos, y la verificación de la identidad mediante dispositivos y herramientas externas (por ejemplo, la introducción de un código de verificación desde un dispositivo móvil).
La encriptación protege los datos confidenciales de ser expuestos a elementos no autorizados o maliciosos. La información se oculta al convertir el texto plano (información legible por humanos) en texto cifrado (combinaciones de letras, números y símbolos generados aleatoriamente).
La segmentación de red ayuda a limitar la exposición de los sistemas y datos internos a proveedores, adjudicatarios y otros usuarios externos. Por ejemplo, establecer redes inalámbricas separadas para los usuarios internos y externos permite que las organizaciones protejan mejor la información confidencial de las partes no autorizadas. La segmentación de red también puede ayudar a los equipos de seguridad a contener las amenazas internas, a limitar la propagación de malware y a cumplir con la normativas sobre datos.
El análisis de comportamiento puede ayudar a detectar patrones de tráfico anormales y ataques a medida que se van produciendo. Lo hace mediante la comparación del comportamiento del usuario con un punto de referencia de comportamiento normal que se ha observado en el pasado. Cualquier anormalidad puede activar los sistemas de seguridad para redirigir el tráfico malicioso y evitar que se lleven a cabo los ataques.
La seguridad Zero Trust es una filosofía de seguridad que agrupa muchos de los conceptos anteriores, partiendo de la base de que las amenazas ya están presentes dentro de una red, y que no se debe confiar por defecto en ningún usuario, dispositivo o conexión.
Estas son solo algunas de las prácticas que deben emplearse en un enfoque de seguridad en capas. Como los tipos de ataque siguen evolucionando para aprovechar las vulnerabilidades de los productos de seguridad actuales, hay que desarrollar nuevos productos y estrategias para subvertirlos.
Una estrategia eficaz de defensa en profundidad no solo requiere controles de seguridad en capas, sino también prácticas de seguridad integradas. Aunque estos términos suenen de forma similar, tienen significados ligeramente diferentes:
Pensemos que la seguridad en capas es como si fuera una armadura fabricada por diferentes artesanos. Algunas piezas de la armadura pueden ser más nuevas o de mayor calidad que otras; aunque el usuario está protegido de muchos tipos de daños físicos, puede haber huecos entre las diferentes piezas de la armadura o puntos débiles en los que el usuario es más vulnerable a los ataques.
En cambio, la seguridad integrada es como una armadura hecha a medida. Puede constar de diferentes piezas (controles de seguridad), pero cada una de ellas está diseñada intrínsecamente para trabajar en conjunto y proteger al usuario, sin dejar huecos ni puntos débiles.
Sin embargo, a la hora de configurar las soluciones de ciberseguridad, la compra de varios productos de seguridad de un solo proveedor no garantiza siempre que una organización reciba los beneficios de un enfoque integrado. Para más información sobre este tema, consulta "El futuro de la seguridad de aplicaciones web."
El paquete de seguridad integrada de Cloudflare está diseñado para aprender de otros productos de seguridad y rendimiento, y funcionar sin problemas con ellos. Por ejemplo, Cloudflare Bot Management bloquea eficazmente la actividad de los bots maliciosos por sí solo, pero adquiere capacidades adicionales cuando se combina con el Cloudflare WAF, que permite que los clientes bloqueen dinámicamente las solicitudes que parecen automatizadas y desencadena otros identificadores.
La inteligencia sobre amenazas compartida también es un componente fundamental del enfoque de Cloudflare para la defensa en profundidad. Con millones de propiedades de Internet en su vasta red global, que abarca más de 330 ubicaciones, Cloudflare puede obtener información de los patrones de tráfico y mejorar las defensas contra las amenazas nuevas y en desarrollo.