En la historia siempre ha habido disrupciones que cambian la historia, y que se manifiestan de forma súbita, aunque el cambio se viniera fraguando desde muy atrás. Tenemos ejemplos en la caída de Acre, en 1291, el último enclave en tierra santa de los reinos francos, con su mítica "torre maldita", que supone el fin de las cruzadas y del dominio cristiano en el Mediterráneo oriental. O en la conquista de Constantinopla en 1453 por el sultán Mehmed II, por la "Kerkaporta" o puerta del panadero, que alguien olvidó cerrar. Y esta conquista propició el inicio de la edad moderna y del descubrimiento de América, por el cierra de las rutas de comercio hacia el Este por este acontecimiento.
En nuestro cercano siglo XX, tenemos grandes ejemplos también, y uno es el que da nombre a este artículo, el de la línea Maginot. Como sabemos, la primera guerra mundial fue de estrategias poco móviles, de pocos avances, trincheras, etc. Al finalizar, Francia construyó en la frontera con Alemania una red de bunkers y fortificaciones para contener una posible agresión alemana. Pero en 1940, durante la segunda guerra mundial, el paradigma había cambiado, y la "Blitzkrieg" alemana, la guerra de rápidos movimientos, desbordó por el Norte, por los bosques de las Ardenas, esta línea de defensa obsoleta. Toda la inversión no sirvió de nada, porque todo estaba orientado hacia Alemania, para detener un ataque que jamás se produjo desde esa dirección.
En #ciberseguridad, estamos librando una guerra continua y muy intensa contra el cibercrimen y muchas organizaciones de carácter criminal o militar. Hace unos años, el paradigma de defensa era el de "bastión", al estilo de la línea Maginot: Un firewall perimetral, una zona desmilitarizada, y una red interna, aislada del exterior. Los usuarios se encontraban seguros dentro del perímetro, y la defensa se construía con ese concepto "perimetral". Pero en los últimos años esto ha cambiado. La explosión de la superfície de exposición que se aceleró con la pandemia, ha propiciado la dilución de las fronteras de nuestras redes, gracias al teletrabajo, el IoT (múltiples dispositivos conectados), 5G, etc. Así, el paradigma ha cambiado, ya no hay torres ni murallas, sino que se parece más al de un aeropuerto, en el que las personas entran y salen por múltiples lugares, sin controles, y es difícil detectar aquellos maletines que son sospechosos de contenido peligroso o indeseado.
Además, hay determinados cambios tecnológicos que están empeorando la situación, ya de por sí complejísima. Uno de ellos es el impulso de la privacidad sobre la ciberseguridad. El tráfico viaja encriptado, en conexiones HTTPS, cifradas, y en muchas organizaciones no se habilita a los dispositivos (firewalls, appliances de ciberseguridad, etc.) para la inspección de este tráfico. Y al no poderse realizar "Man in the middle" (interceptar el tráfico, descifrarlo, inspeccionarlo, volverlo a cifrar y enviarlo a su destino), estas conexiones se convierten en tuberías directas que pasan a través de nuestras defensas, de forma impune. Otro cambio es la implantación de los DNS cifrados (dos alternativas, DNS sobre HTTPS o DNS sobreTLS), que imposibilita el bloqueo del acceso a determinados lugares maliciosos, desde dónde se descarga el software malicioso como virus, ransomware, etc. O el creciente uso de protocolos de comunicaciones en los que los firewalls no prestan mucha atención por su simplicidad. Hablo de UDP, que en sí, no constituye un peligro, pero si se estructura (p.e. con QUIC de Google), puede ser una nueva tubería de entrada en nuestra organización para el cibercrimen.
Así, estamos asistiendo a un nuevo cambio de paradigma, en la ciberseguridad, en el que hemos pasado, al igual que en la segunda guerra mundial, a una guerra de movimientos, de rapidez, donde las fortificaciones han pasado a mejor vida. ¿Y cuál es la estrategia, entonces ante esta nueva situación? Pues lo que siempre ha dictado la estrategia militar: Cuándo desconocemos por dónde recibiremos el ataque y con qué intensidad, hay que establecer una defensa por capas, en profundidad. Desde el firewall hasta el endpoint, pasando por el email, las aplicaciones en la nube, los puntos de acceso WIFI, los switches, etc. A esto, hay que añadir visibilidad y control, para poder identificar rápidamente los ataques, incluso los más sigilosos (en nuestro caso usando IA -Inteligencia Artificial-). Y a la detección, debe seguir una respuesta contundente, aislando aquellas partes de la infraestructura que hayan sido comprometidas, para poder valorar daños y recuperar la normalidad cuanto antes. Y finalmente, toda esta defensa debe tener un TCO que pueda pagar cualquier organización, independientemente de su tamaño y tipología.
En #Sonicwall somos muy conscientes de esta situación, y ya hace tiempo que dimos los pasos para ayudar a nuestros clientes, junto con nuesto extenso y selecto canal de distribución, a desplegar estrategias de este tipo. Estamos comprometidos con nuestra comunidad de clientes y partners en estos tiempos tan convulsos, de cambio de paradigma, y posiblemente, de la historia, como ha sucedido ya tantas veces en el devenir de la humanidad, tal cómo veíamos al principio de este artículo. Abramos pues los ojos, porque vienen tiempos movidos.
