Comúnmente las compañías más neófitas suelen confiar su defensa a una sola tecnología, a un solo fabricante, o hasta un solo equipo, únicamente con el argumento de la centralización de amenazas, la facilidad de administración y el ahorro de coste. Si bien, el argumento es totalmente válido y en la práctica sumamente útil, es necesario saber qué se está perdiendo a cambio de esos beneficios, y el posible riesgo al que se está exponiendo la organizaciòn.
En el pasado, cuando las tecnologías unificadoras no existían, los consultores de seguridad se prestaron un viejo concepto de estrategia militar llamado defense in-depth. Por defense in-depth se entendía al despliegue de los muchos o pocos recursos a varios flancos de defensa “posible”, como si se tratase de varios muros o capas protegiendo la torre de la doncella.
Ese aparentemente pasivo, complejo y veterano concepto, ha servido de mucho en la seguridad informática, la auditoria, la computación forense, y especialmente a la sobrevivencia operativa contra los constantes descuidos, debilidades y exploits que los especialistas y los sistemas no dejarán de generar por varias décadas (y quizás por toda la existencia).
Si su infraestructura de seguridad no tiene un esquema de defense in-depth, luego no pretenda culpar al fabricante del equipo en el único frente de batalla, cuando algo en este salga mal. El mayor responsable de la escasa o desventajosa resilencia, es aquel que confió la estrategia de defensa en la focalización de recursos en un sólo frente (defensa inelástica).
En una infraestructura defense in-depth, si un frente cae, los demás salen a relucir, los demás cobran valor. Esto es más cierto aún en el presente, cuando hablar de perímetros podría sonar de absurdo para algunos científicos de la materia. Piense en defense in-depth como una forma de disminuir de seguir manteniendo la seguridad después de la seguridad, es decir, seguridad a pesar de pérdidas.
Piense en qué puede darle todavía un poco de paz y seguridad a los encargados de la defensa del gobierno de los EE.UU. si Huawei, empresa fundada por un ex-militar chino, tiene éxito en su segundo intento de adquirir la compañía 3com, compañía propietaria de la riqueza más selecta de exploits y firmas de ataque alojados en la división TippingPoint, sino sólo la confianza de que el potencial enemigo no ha tomado todos sus frentes. Por el contrario, piense qué pasaría si todas las bases y agencias militares y gubernamentales hubieren homologado a TippingPoint como el único producto IPS válido (por hablar de IPS). Cuánto le costaría al gobierno de los EE.UU. el remover esa tecnología y adquirir una nueva, esta vez sin cometer el mismo error.
Si bien la historia predice que Huawei no tendrá éxito, como le pasó a CheckPoint con Snort, el riesgo sigue siendo válido. ¿Cuántos otros riesgos no se ve alguien expuesto, cuando deja todo vigilado por el mismo equipo? Es bueno no despreciar los viejos conceptos, y si aún la necesidad los sobrepasase, es mejor no olvidarlos, para saber al riesgo (responsable) al que se está introduciendo toda la organización.
Cortesía de JaCkHaCk-Consultoría
Diseñando la seguridad del negocio
JaCkSecurity
