La clave para una excelente seguridad de TI es un ecosistema de ciberseguridad

La seguridad de TI lleva años experimentando una tensión entre las soluciones específicas y las integradas. Conforme las amenazas se vuelven más serias, complejas y frecuentes, las organizaciones más previsoras comienzan a adoptar un enfoque más unificado para hacerles frente.

Lo cierto es que ningún producto va a mejorar su actitud hacia la ciberseguridad. Por otro lado, muchas de las soluciones que ahora son muy específicas, con el tiempo se volverán inevitablemente más engorrosas e ineficaces.

Lo que parece funcionar bien es la integración minuciosa de soluciones polifacéticas. Por ejemplo, la unión del Sistema de Detección de Intrusiones (IDS), el software de Gestión de Eventos e Información de Seguridad (SIEM) y la Gestión del Acceso Privilegiado (PAM) es una opción muy recomendable ya que ofrece una manera eficaz de hacer frente a la frecuencia, naturaleza cambiante y complejidad de los ciberataques.  Todos estos elementos se coordinan para centrarse en características como la analítica, el machine learning, la identificación de información, la autenticación y la interoperabilidad. El Departamento de Seguridad Nacional de EE. UU (DHS) denomina a este enfoque «ciber ecosistema», pero a nosotros nos gusta llamarlo ecosistema de ciberseguridad.

Como si fuera el sistema inmune de la empresa

Según un libro blanco del DHS que aborda este tema, una organización debe adoptar un ciber ecosistema que imite al sistema inmune del cuerpo. Este documento pone como ejemplo situaciones en las que dispositivos sanos detectan a otros que están infectados. O, mejor dicho, dispositivos que aíslan a la fuente infectada y transmiten a los administradores de seguridad información sobre la presunta amenaza. El documento también incluye ejemplos sobre cómo los dispositivos pueden emplear umbrales de defensa y restablecer las comunicaciones con los componentes afectados una vez que se mitigan las infecciones.

Soluciones de componentes en un ecosistema de ciberseguridad

Las soluciones seleccionadas para la integración en un ecosistema de ciberseguridad son tan importantes como el objetivo global del diseño del ecosistema. La combinación de IDS, SIEM y PAM fortalece la gestión de la amenaza y la conformidad de TI en el ecosistema y, si se hace correctamente, cada elemento consigue funcionar de forma adecuada con otros sistemas para así reforzar el TI:

  • Detección de la intrusión: una detección de la intrusión eficaz necesita un enfoque polifacético. A nivel de la red, esta debería identificar rápidamente el tráfico no autorizado y el comportamiento anómalo. El tráfico de red no se bloquea; en cambio, la información se almacena para identificar y registrar cualquier actividad sospechosa que se encuentre en el flujo normal de los datos. La detección de la intrusión basada en el host hace lo mismo, pero tan solo en determinados dispositivos. Funciona según un modelo basado en normas, recopilando, registrando y alertando de forma pasiva sobre la actividad sospechosa que se produce en todos los dispositivos conectados a la red.
  • SIEM: con esta solución, los datos de seguridad de la empresa proceden de un gran número de ubicaciones. SIEM emplea un sistema centralizado para almacenar y analizar estos datos, y también combina la gestión de la información de seguridad con la gestión de eventos de seguridad para que los datos puedan ser recopilados eficazmente desde los servidores, equipos de red y dispositivos de usuarios finales, incluidos las tablets y smartphones. Asimismo, los sistemas SIEM también combinan la información relacionada con la seguridad que extraen del software de antivirus y firewalls. Desde una consola de gestión centralizada, uno puede evaluar la salud de la red e incluso alertar en caso de que detecte algún tipo de actividad que se salga de la norma. Los administradores controlan cómo se gestionan los eventos anómalos, pero primero tienen que determinar cómo son dichos eventos en condiciones normales.

PAM en el núcleo del ecosistema de ciberseguridad

PAM funciona como la esencia del ecosistema, uniendo SIEM, IDS y otros sistemas. A fin de cuentas, prácticamente todos los eventos sospechosos de los que el SIEM o el IDS alertan implican algún tipo de usuario: ¿Quién es el usuario? ¿Procede del interior o del exterior de la organización? ¿Cuáles son sus privilegios de acceso? ¿Está autorizado para llevar a cabo determinadas acciones? Y así sucesivamente.

La solución PAM de WALLIX contiene todas estas funciones. Además, es compatible con otras y puede operar junto a ellas. Como ocurre con SIEM, WALLIX Bastion está centralizado para evitar muchos de los desafíos que implica tener diversos sistemas de seguridad en un entorno de TI complejo. Los administradores pueden acceder a todo el sistema y a sus funciones utilizando un único nombre de usuario. Pueden definir políticas de control de acceso y aplicarlas/gestionarlas en todos los activos de la empresa.

WALLIX Bastion también es conocido por su ligereza y adaptabilidad, esencial para un ecosistema de ciberseguridad. Se necesita un sistema PAM centralizado, sensible y combinado con otros activos de seguridad para rastrear y analizar toda la actividad de las redes. En los ecosistemas de TI de hoy en día hay desde usuarios externos que acceden a las aplicaciones hasta servicios de nube que amplían sus límites incluso en las redes de las empresas más pequeñas y proveedores y usuarios de terceros que pueden acceder a varios recursos de TI desde cualquier lugar. Es por ello por lo que la única puerta de entrada del WALLIX Bastion facilita la gestión de estos entornos interdependientes e inestables.

El bastión «todo en uno» de WALLIX contiene algunas herramientas de PAM críticas. El Access Manager controla los accesos privilegiados de casi cada usuario dentro y fuera de la red principal y proporciona un acceso independiente para que los usuarios privilegiados accedan a otras partes del sistema. En cuanto al Password Manager, este evita que los administradores locales realicen cambios en las configuraciones de protección y controles de gestión de datos. Finalmente, el Session Manager rastrea la actividad de toda la red, incluidas las identidades de todos los individuos que intentan y consiguen obtener acceso. Además, la auditoría en tiempo real permite un rastreo eficaz de los usuarios privilegiados tanto internos como externos.

WALLIX ha diseñado una solución de PAM integrada para hacer frente a los actuales desafíos de ciberseguridad. Su flexibilidad permite la implementación interna o en la nube, por lo que el despliegue puede ser tan rápido y eficaz como una organización lo necesite. Si a esto le sumamos la detección de intrusiones,  SIEM, y otros activos de seguridad importantes, WALLIX es una solución que puede complementar un ecosistema de ciberseguridad robusto que cumpla con las normativas del DHS y el sector.

 

¿Desea obtener más información sobre cómo WALLIX se integra en sistemas de SIEM y IDS específicos? Visite nuestro programa de alianzas tecnológicas o póngase en contacto con nosotros.