También podría decirse que la micro segmentación es un elemento clave en la adopción del paradigma de “defensa en profundidad”. Pero es más que eso. Además de aumentar la seguridad, es fácil de aplicar y es una verdadera oportunidad para reducir los costos.

La defensa en profundidad es el concepto en el cual diferentes capas de seguridad son implementadas. El objetivo es mantenerse protegido incluso en el caso de que un criminal sea capaz de pasar por alto una de estas capas, debido a que su acción malintencionada será interrumpida por la seguridad ofrecida por la siguiente.

Así, por ejemplo, un firewall y un antivirus se complementan en la defensa en profundidad: si un criminal envía un virus adjunto a un correo electrónico a sus usuarios, puede pasar a través del firewall (como un correo “normal”) y luego sólo para ser bloqueado en la estación de trabajo del usuario, por el antivirus.

O no. De hecho, el volumen creciente y persistente de ataques exitosos por correo electrónico, evidencia que el antivirus y otras soluciones de seguridad ya no son suficientes, aunque esenciales. Ataques de suplantación de identidad o phishing (aquellos en los que el criminal envía un correo electrónico falso haciéndose pasar por entidades de buena reputación, induciendo a error al usuario hacer click en enlaces maliciosos) son una fuente importante de ingresos para los criminales en el mundo.

Una vez pasada la capa más externa (firewall y otros elementos de seguridad perimetral), con técnicas como el phishing o cualquier otra, el criminal comienza a moverse lateralmente dentro de la red invadida, para explorar objetivos de alto valor. Y esto es algo muy serio. Hace dos años un gran minorista de América del Norte sufrió el robo de datos de más de 100 millones de clientes, desde una pequeña brecha en el sistema de aire acondicionado electrónico. El caso fue tan grave que el CEO de la compañía perdió su trabajo.

Es necesario que exista una capa de seguridad que contenga la acción del criminal en el caso de que otra falle, para restringir su ámbito de acción.

Por eso, la micro segmentación crece. Cuando se implementa en una red corporativa o en el centro de datos, aísla sistemas con diferentes requisitos de seguridad en redes locales virtuales (micro segmentos). La seguridad de estas redes pequeñas se da a través de la tecnología criptográfica que las cubre con una capa de invisibilidad selectiva, es decir, que sólo son visibles para los usuarios autorizados.

Para quien no tiene derecho de acceso, aquellos micro segmentos simplemente no existen. Los equipos contenidos en ellos se tornan invisibles a atacantes y por lo tanto inmunes a las técnicas de exploración de direcciones y puertos. Se restringe el movimiento lateral y por lo tanto la extensión del daño. El ataque contra el minorista mencionado se limitaría al aire acondicionado y CEO mantendría su puesto de trabajo.

Sin embargo, la micro segmentación no sólo es interesante para aumentar la seguridad. Su implementación, diferente de otros controles, es bastante transparente. Se puede realizar sin cambios en la infraestructura, de forma independiente de las capas de hardware y software existentes, preservando la inversión ya realizada. Incluso si la red es heterogénea, con elementos de fabricantes diferentes. Esto es posible porque las soluciones avanzadas utilizan el concepto de Micro Segmentación Definida por Software.

Esta característica permite una ganancia significativa en el nivel de seguridad en unos pocos días. Y una implementación sin riesgos de impacto en los servicios de TI. Por último, pero no menos importante, es la oportunidad que la micro segmentación ofrece de reducción de costos – tanto de los gastos de capital (CAPEX) y de operación (OPEX). Reducción de costos en las áreas de seguridad, la infraestructura y red.

Esto es posible porque los micro segmentos pueden simplificar sustancialmente las complejas arquitecturas de subredes (LAN o VLAN). En la actualidad, las grandes empresas tienen altos costos derivados de la administración de decenas o cientos de subredes y sus diferentes direcciones IP, máscaras, VLAN, puertos de switch etc. Por otra parte, este complejo de arquitectura de red impacta sobre la seguridad, que está obligada a adoptar las listas de control de acceso y firewalls para separar las diferentes LAN y VLAN internas.

En la actualidad, hay empresas con millones de reglas de firewalls. Y hay empresas que las redujeron en más de un 90%, una vez implementada la micro segmentación. Estas simplificaciones evidentemente reducen el costo de administrar el ambiente, sino que también mejora la seguridad ya que minimiza la posibilidad de errores.

Por último, en un escenario de aumento de las amenazas informáticas y presupuestos ajustados, la micro segmentación se presenta como una alternativa inteligente para cumplir satisfactoriamente con los dos temas. Por otra parte, dada su característica de rápida implementación, puede generar beneficios técnicos y económicos ya a corto plazo. Por todo esto, ha recibido un tratamiento prioritario. Merecidamente.

Noticias Relacionadas

Brain y sus discípulos del cibercrimen5 min read El espionaje en el mundo digital3 min read ¿Eres la chispa que enciende la innovación en tu organización?1 min read Email marketing, herramienta clave para incrementar las ventas2 min read