El nuevo perímetro…
Se resume como definición de perímetro: “La línea o conjunto de líneas que forman el contorno de una superficie o una figura o bien la suma de todas las longitudes de este conjunto de líneas.”
El perímetro es probablemente una de las metáforas más utilizadas en seguridad informática, porque en el mundo de las tecnologías de información y comunicación, las metáforas son esenciales para reducir las cosas altamente complejas, a términos más familiares y comprensibles para los humanos (por ejemplo, “firewall” y “nube”).
Por mucho tiempo, la metáfora del perímetro ha tenido sentido, porque si queríamos defender una organización necesitamos encontrar todos los puntos débiles que un atacante pudiese atacar.
Antes, cuando el estado de TI de las organizaciones solía ser mucho más simple, razonablemente comenzábamos este proceso en la capa de red. Controlábamos estrictamente todas las rutas de comunicación entrantes a los recursos que necesitan ser accesibles desde el exterior y cerrábamos el acceso a todo lo demás.
Luego, con la red controlada, trabajaríamos a lo largo de la pila de red para restringir y/o controlar el acceso a la capa de aplicación, con el fin de que los servicios expuestos estén más protegidos. Nos referiríamos en el pasado al perímetro como una barrera de protección para los sistemas accesibles por usuarios desconfiados.
La metáfora del perímetro funcionó razonablemente bien porque era correspondiente a la realidad. Pero como lo único permanente es el cambio, ¡el mundo de la seguridad digital cambió! Los puntos ciegos comenzaron a aparecer cuando la Internet nos llevó más allá de las empresas, a organizaciones modernas, sin bordes y elásticas que incluyeron:
- Servidores alojados en una mezcla de instalaciones locales y en la nube.
- Herramientas de productividad de oficina basadas en la nube como Google Mail, Dropbox, etc…
- Almacenamiento de objetos en la nube, como los kubernetes y dockers.
- Las plataformas SaaS como Zendesk, Mailchimp, Sendgrid, etc.
- Terceros que gestionan DNS a través de muchos dominios y TLD alternativos.
- BYOD (Trae tu propio dispositivo) en el lugar de trabajo.
- Empresas de outsourcing que manejan más de la cadena de valor tecnológica.
- Conectividad a redes de terceros o socios y proveedores.
- Shadow IT
- Presencia en plataformas de redes sociales para marketing, branding y reclutamiento.
- Presencia personal y profesional de empleados en redes sociales.
¿Dónde está el perímetro en todo esto? ¿Cómo podría ser identificado?, ¿Cómo podría ser controlado? El riesgo que enfrentan las organizaciones está ahora mucho más allá del perímetro, ya que su propia red ya no es el único lugar donde los daños pueden ser infligidos en sus activos, en si marca y/o en su reputación.
Esto significa que el perímetro ya no está compuesto solo de nombres de host, direcciones IP y puertos abiertos. Ahora también incluye direcciones de correo electrónico, nombres de empleados, cuentas de redes sociales, registros públicos, fugas de datos y cualquier otra información disponible de forma gratuita sobre la organización, que pueda dar una ventaja al atacante.
Parece poco probable que la metáfora del perímetro vaya a desaparecer pronto, pero la definición tiene que cambiar para tener una visión más amplia de todas las formas en que un atacante puede obtener una visión crítica de una organización y usar esa información para su beneficio. Tenemos que dejar de ver el perímetro como el borde de la red y, en cambio, verlo como toda la información disponible abiertamente sobre una organización, que podría usarse en su contra.
En las organizaciones de hoy, el nuevo perímetro es la suma de todos los sistemas a los que se puede acceder externamente, más toda la información disponible sobre la organización que podría usarse en su contra, directa o indirectamente. Esta información debe identificarse y controlarse si no se elimina, al igual que el antiguo perímetro centrado en la red.
