La seguridad de redes es el campo de la ciberseguridad centrado en la protección de las redes y sistemas informáticos frente a ciberamenazas y internos.
Tiene tres objetivos principales: impedir el acceso no autorizado a los recursos de la red, detectar y neutralizar los ciberataques y las violaciones de la seguridad en curso, y garantizar que los usuarios autorizados tengan un acceso seguro a los recursos de la red que necesitan, cuando los necesitan.
El riesgo de ciberataque aumenta al tiempo que crece el tamaño y la complejidad de las redes. Por ejemplo, según el informe de IBM "Coste de una filtraciónd de datos" de 2023, el 82 % de las vulneraciones de datos (una violación de seguridad que da lugar a un acceso no autorizado a información sensible o confidencial) que sufrieron las organizaciones estuvieron relacionadas con datos almacenados en la nube. Estos ataques fueron caros: el coste medio mundial de una vulneración de datos es de 4,45 millones de dólares, y el coste medio de una vulneración de datos en Estados Unidos es más del doble, 9,48 millones de dólares.
La seguridad de la red protege la integridad de la infraestructura, los recursos y el tráfico de la red para frustrar estos ataques y minimizar sus repercusiones financieras y operativas.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
Los sistemas de seguridad de la red operan en el perímetro y dentro de la red.
En el perímetro, los controles de seguridad intentan impedir que las ciberamenazas entren en la red. Pero los atacantes de la red a veces la traspasan, por lo que los equipos de seguridad informática también establecen controles en torno a los recursos dentro de la red, como los portátiles y los datos. Incluso si los atacantes consiguen infiltrarse en la red, no tendrán vía libre. Esta estrategia (interponer múltiples controles entre los hackers y las posibles vulnerabilidades) se denomina "defensa en profundidad".
El establecimiento de sistemas de seguridad de red implica la combinación de las siguientes herramientas:
Un cortafuegos es un software o hardware que impide que el tráfico sospechoso entre o salga de una red, al tiempo que permite el paso del tráfico legítimo. Los cortafuegos pueden instalarse en el extremo de una red o utilizarse internamente para dividir redes más grandes en subredes más pequeñas. De este modo, si una parte se ve comprometida, los piratas informáticos no pueden acceder al resto de la red.
Existen diferentes tipos de firewalls con diferentes características. Los firewalls básicos utilizan el filtrado de paquetes para inspeccionar el tráfico. Los firewalls de nueva generación más avanzados añaden prevención de intrusiones, IA y aprendizaje automático, conocimiento y control de aplicaciones, además de alimentación de inteligencia sobre amenazas.
Las soluciones de control de acceso a la red actúan como guardianes, ya que autentican y autorizan a los usuarios para determinar quién puede entrar en la red y qué puede hacer dentro. La "autenticación" consiste en comprobar que un usuario es quien dice ser. También significa otorgar permiso a los usuarios autenticados para acceder a los recursos de la red.
Las soluciones NAC se utilizan a menudo para aplicar políticas de control de acceso basado en funciones (RBAC), que exigen que los privilegios de los usuarios reflejen sus funciones. Por ejemplo, un desarrollador junior puede ver y editar código, pero no pueden enviarlo. En cambio, los desarrolladores senior podían leer, escribir y enviar código a producción. El sistema RBAC ayuda a evitar la vulneración de datos al mantener a los usuarios no autorizados alejados de los recursos a los que no tienen derecho de acceso.
Además de autenticar a los usuarios, algunas soluciones NAC pueden evaluar los riesgos en los terminales de los usuarios. El objetivo es impedir que los dispositivos no seguros o comprometidos accedan a la red. Si un usuario intenta acceder a la red en un dispositivo equipado con un software antimalware obsoleto o mal configurado, el sistema denegará el acceso. Algunas herramientas NAC avanzadas son incluso capaces de resolver automáticamente los problemas de no conformidad de los terminales.
Un sistema de detección y prevención de intrusiones, a veces denominado a veces sistema de prevención de intrusiones, puede implementarse directamente detrás de un firewall para analizar el tráfico entrante en busca de amenazas a la seguridad. Estas herramientas derivan de los sistemas de detección de intrusos, que se limitaban a señalar las actividades sospechosas para su examen. Los IDPS tienen la capacidad añadida de responder automáticamente a posibles infracciones, por ejemplo mediante el bloqueo del tráfico o el restablecimiento de la conexión. Son especialmente eficaces para detectar y bloquear ataques de fuerza bruta, denegación de servicio (DoS) y denegación de servicio distribuido (DDoS).
Una red privada virtual (o VPN del inglés "virtual private network") se utiliza para proteger la identidad de un usuario cifrando sus datos y enmascarando su dirección IP y su ubicación. Cuando alguien utiliza una VPN, ya no se conecta directamente a Internet, sino a un servidor seguro que se conecta a Internet en su nombre.
Las VPN permiten a los teletrabajadores acceder a las redes corporativas con total seguridad, incluso a través de conexiones wifi públicas no seguras, como las que se encuentran en cafeterías y aeropuertos. Las VPN cifran el tráfico de los usuarios, protegiéndolo de los hackers que quieran interceptar sus comunicaciones.
En lugar de VPN, algunas organizaciones utilizan el modelo Zero Trust Network Access (o ZTNA). En lugar de utilizar un servidor proxy, ZTNA conecta a los usuarios remotos de forma segura utilizando políticas de control de acceso zero trust. Cuando los usuarios remotos se conectan a una red a través de ZTNA, no obtienen acceso a toda la red. Solo tienen acceso a los recursos que están autorizados a utilizar y deben ser controlados cada vez que acceden a un nuevo recurso.
La seguridad de las aplicaciones se refiere a las medidas adoptadas para proteger las aplicaciones y las interfaces de programación de aplicaciones (API) de los atacantes. En la actualidad, muchas empresas utilizan aplicaciones para llevar a cabo funciones empresariales esenciales o procesar datos confidenciales, por lo que los ciberdelincuentes suelen atacar las aplicaciones. Y como muchas aplicaciones empresariales están alojadas en nubes públicas, los piratas informáticos pueden aprovechar sus vulnerabilidades para entrar en las redes privadas de las empresas.
Las medidas de seguridad de las aplicaciones las protegen de los agentes maliciosos. Las herramientas de seguridad de aplicaciones comunes incluyen firewalls de aplicaciones web, autoprotección de aplicaciones en tiempo de ejecución, pruebas de seguridad de aplicaciones estáticas y pruebas de seguridad de aplicaciones dinámicas.
El IBM Security X-Force Threat Intelligence Index muestra que el phishing es el vector inicial de ciberataque más común. Las herramientas de seguridad del correo electrónico pueden ayudar a frustrar los ataques de phishing y otros intentos de poner en peligro el correo electrónico de los usuarios. La mayoría de los servicios de correo electrónico incluyen herramientas de seguridad, como filtros antispam y cifrado de mensajes. Algunas herramientas están equipadas con entornos aislados, es decir, entornos aislados en los que los equipos de seguridad pueden inspeccionar los archivos adjuntos al correo electrónico en busca de malware sin exponer la red.
Aunque las siguientes herramientas no son estrictamente herramientas de seguridad de red, los administradores las utilizan a menudo para proteger zonas y activos de la red.
Prevención de pérdida de datos (DLP).
La prevención de la pérdida de datos se refiere a las estrategias y herramientas de seguridad de información que impiden el robo o la filtración accidental de datos sensibles. Este enfoque aúna políticas de seguridad y tecnologías especializadas que rastrean los flujos de datos, cifran información sensible y activan alertas si se detectan actividades sospechosa.
Seguridad de punto final
Las soluciones de seguridad de endpoints protegen cualquier dispositivos que se conectan a una red (como ordenadores portátiles, de escritorio, servidores, dispositivos móviles o dispositivos IoT) contra piratas informáticos que intentan utilizarlos para colarse en la red. El software antivirus puede detectar y destruir troyanos, software espía y otro software malicioso en un dispositivo antes de que se propague al resto de la red.
Las soluciones de detección y respuesta de endpoints son herramientas más avanzadas que supervisan el comportamiento de los terminales y responden automáticamente a los eventos de seguridad. El software de gestión unificada de puntos finales permite a las empresas monitorizar, gestionar y proteger todos los dispositivos de los usuarios finales desde una sola consola.
Seguridad web
Las soluciones de seguridad web, como las pasarelas web seguras, bloquean el tráfico de Internet malicioso e impiden que los usuarios se conecten a sitios y aplicaciones sospechosos.
Segmentación de red
La segmentación de redes es una forma de dividir grandes redes en subredes más pequeñas, ya sea físicamente o mediante software. Esta técnica limita la propagación de ransomware y otros programas maliciosos aislando una subred comprometida del resto de la red. También tiene la ventaja de mantener a los que no deberían tener acceso.
Seguridad en la nube
Las soluciones de seguridad en la nube protegen los centros de datos, las aplicaciones y otros activos de la nube contra los ciberataques. En la mayoría de los casos, se trata simplemente de medidas de seguridad de red estándar. Los proveedores de servicios en la nube incorporan controles de seguridad en sus servicios u ofrecen como complementos complementos en los como complementos como complementos complementos de servicios en nube.
Análisis del comportamiento de usuarios y entidades (UEBA)
El análisis del comportamiento de usuarios y entidades utiliza el análisis del comportamiento y el machine learning para detectar actividades anómalas de usuarios y dispositivos. UEBA se utiliza para detectar amenazas internas y hackers que se han apoderado de cuentas de usuario.
En el pasado, las redes corporativas estaban centralizadas, con terminales, datos y aplicaciones clave ubicados en las instalaciones de la empresa. Los sistemas tradicionales de seguridad de redes se centraban en impedir que las amenazas traspasaran el perímetro de la red. Una vez que un usuario estaba dentro, se le consideraba de confianza y tenía un acceso prácticamente ilimitado.
Sin embargo, a medida que las organizaciones se digitalizan y adoptan entornos de nube híbrida, las redes se descentralizan cada vez más. Los recursos de red pueden encontrarse ahora en la nube (centro de datos), en dispositivos locales y remotos, así como en dispositivos móviles e IoT.
Los controles de seguridad a nivel perimetral son menos eficaces para las redes distribuidas, razón por la cual muchos equipos de seguridad informática están recurriendo al zero trust. En lugar de centrarse en el perímetro, la seguridad de red de confianza cero sitúa los controles de seguridad en torno a los recursos individuales. La confianza depositada en los usuarios nunca es implícita. Cada vez que alguien intenta acceder a un recurso, debe ser autenticado y autorizado, aunque ya se encuentre en la red corporativa. A los usuarios autentificados sólo se les concede el acceso menos privilegiado, y sus autorizaciones se revocan en cuanto finaliza la tarea.
La seguridad de la red de zero trust se basa en políticas de acceso granular, validación continua y datos recopilados de tantas fuentes como sea posible (incluidas muchas de las herramientas antes mencionadas) para garantizar que solo los usuarios adecuados puedan acceder a los recursos adecuados por los motivos correctos y en el momento adecuado.
Aunque un enfoque de defensa en profundidad puede proteger la red de una empresa, también requiere que el equipo de seguridad informática gestione una serie de controles independientes. Las plataformas de seguridad de redes empresariales pueden ayudar a agilizar la gestión integrando herramientas dispares y permitiendo a los equipos supervisar toda la red desde una única consola. Las plataformas de seguridad de red más comunes son:
- Gestión de información y eventos de seguridad (SIEM)
- Orquestación, automatización y respuesta de seguridad (SOAR)
- Detección y respuesta de red (NDR)
- Detección y respuesta extendidas (XDR)
Las soluciones de eventos e información de seguridad recopilan información de las herramientas de seguridad internas, la cotejan en un registro central e informan de las anomalías.
Las soluciones de orquestación, automatización y respuesta en materia de seguridad (SOAR) recopilan y analizan datos de seguridad, lo que permite a los equipos de especialistas definir y ejecutar medidas automatizadas en caso de ciberamenazas.
Las herramientas de respuesta de red utilizan IA y machine learning para monitorizar el tráfico de red y detectar actividades sospechosas.
Las soluciones de detección y respuesta extendidas son una arquitectura de ciberseguridad abierta que integra herramientas y operaciones de seguridad para todas las capas: endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Con XDR, las soluciones de seguridad que no están necesariamente diseñadas para trabajar juntas pueden interoperar sin problemas en la prevención, detección, investigación y respuesta ante amenazas. XDR también puede automatizar la detección de amenazas, la clasificación de incidentes y los flujos de trabajo de búsqueda de amenazas.
Proteja toda su red con soluciones de seguridad de red de última generación que reconocen de forma inteligente incluso las amenazas desconocidas y se adaptan para prevenirlas en tiempo real.
Las competencias, la experiencia y las soluciones de seguridad probadas mejoran la capacidad de su equipo para proteger su infraestructura y su red de las sofisticadas amenazas a la ciberseguridad.
Una solución SIEM es una solución de seguridad que permite a las empresas identificar posibles amenazas y vulnerabilidades antes de que perturben su actividad.
El IBM Security X-Force Threat Intelligence Index ofrece a los responsables de seguridad de la información, a los equipos de seguridad y a los líderes empresariales información práctica para comprender los ciberataques y proteger de forma proactiva su organización.