Automatización de ciberseguridad

La ciberseguridad es una de las principales preocupaciones de los responsables de sistemas de la mayoría de organizaciones. Las amenazas son múltiples y, además, aumentan cada día. Cuanto más compleja es la red, más aplicaciones y más usuarios tienes que gestionar, mayores son los riesgos. Por ese motivo, la automatización lleva tiempo introduciéndose en el sector de la seguridad. Te explicamos en qué consiste y cómo aprovechar sus ventajas.

¿Qué es la automatización de la ciberseguridad?

Como en cualquier proceso de automatización, la de la ciberseguridad consiste en sustituir el trabajo manual por procesos automáticos que permiten llevar a cabo muchas más tareas con menos intervención humana. Las comprobaciones de ciberseguridad en todos los sectores, también en la industria 4.0, son, precisamente, una serie de tareas que pueden automatizarse de forma relativamente sencilla, ya que en muchos casos los procedimientos son rutinarios y su principal dificultad reside en que son muchos los puntos a comprobar.

Además, dado que se trata de un proceso que necesita actualización muy frecuentemente y que debe de ser monitorizado 24/7, la posibilidad de automatizar parte de estas tareas es más que interesante.

Elegir las tareas de ciberseguridad a automatizar

En principio, puede resultar tentador llevar a cabo la automatización de cualquier posible mejora de ciberseguridad. Sin embargo, no se trata de una tarea que se lleve a cabo una vez. Está comprobado que requiere un mantenimiento, actualización y de validación de las alertas de seguridad.

Por ese motivo, es necesario estudiar qué puntos son los más críticos y centrarse en estos. En algunos casos, las conexiones de red son fundamentales. Sobre todo, si en la organización se almacenan datos personales y pueden estar sujetas a ataques. En particular, es importante monitorizar los posibles ataques de ransomware. Esto se puede hacer, por ejemplo, detectando cambios en ficheros que hacen que su contenido deje de ser accesible. Otro punto fundamental es el software, ya que muchos de los posibles ataques se corresponden con vulnerabilidades que presenta.

Implementar la automatización de ciberseguridad

Una vez elegidas las tareas a automatizar, es importante identificar las herramientas adecuadas para ello. Así, para detectar vulnerabilidades hay diversas soluciones. Como las proporcionadas por las compañías Tripwire o Qualys. Además, es posible adquirir suscripciones a proveedores de seguridad que analizan diariamente todas las alertas de seguridad. Estos, además, incorporan con regularidad a sus conjuntos de reglas de detección todo lo necesario para estar siempre al día.

La combinación de una herramienta de monitorización con reglas de seguridad informática actualizadas permanentemente es un sistema muy eficiente para identificar posibles problemas antes de que se produzcan. Por supuesto, es tarea de los administradores de sistemas mantenerse atentos a todas las alertas que se puedan producir para poner en marcha las soluciones que sean necesarias.

Otra herramienta que permite automatizar la ciberseguridad es un firewall o cortafuegos. La mayoría de ellos permite poner en marcha reglas que bloqueen de forma automática intentos de intrusión o ataques de denegación de servicio, DOS (Denial Of Service). Una correcta configuración puede hacer que tu red corporativa reaccione en tiempo real a los intentos de ataque y evite que el problema vaya a más. Por supuesto, también es importante que los responsables de seguridad revisen periódicamente las alertas. También resulta interesante que reciban las más importantes en el momento en que estas tienen lugar.

Una capa que, posiblemente, ya esté en uso y que sigue siendo fundamental en ciberseguridad, es la instalación de software antimalware. Tanto en los equipos manejados por usuarios como en servidores, mantener al día software especializado puede evitar multitud de problemas. Algunas de las amenazas más peligrosas se pueden evitar antes de que causen daños.

Un caso evidente de la importancia de este tipo de herramientas es el ransomware, que habitualmente se aprovecha de la impericia de los usuarios menos tecnológicos. Una vía común de entrada de este tipo de software malicioso es el correo electrónico. Evitar en el propio PC del receptor que el malware se ejecute, impedirá que se propague por la red. De esta manera se consigue evitar más daños y detectarlo cuando ya sea demasiado tarde. En el mejor de los casos, cuando ya haya cifrado archivos de datos y no podamos recuperarlos sin pagar a los cibercriminales (y, en muchos casos, estos no cumplirán su palabra de devolverte los archivos originales una vez accedas a cumplir sus condiciones).

Automatizar la ciberseguridad con soluciones libres

Aunque la oferta de productos para ciberseguridad es muy amplia, si tu presupuesto es limitado o no precisas de soluciones que se actualicen de forma muy habitual, puedes optar por algunas soluciones libres. Para controlar el tráfico de red, el firewall incluido en todas las distribuciones Linux puede serte útil. Se trata de una herramienta muy completa que, eso sí, requerirá de algo más de tiempo y conocimientos para llevar a cabo configuraciones muy complejas.

Un buen complemento a este firewall, o al que ya utilices en tu red, es Fail2Ban. Esta pequeña herramienta puede configurarse para detectar intentos de intrusión en los servicios que especifiques (ssh, web o correo) y bloquear las conexiones sospechosas. Hay muchos ejemplos de cómo configurarlo para los servicios de red más comunes y permite utilizar listas blancas y negras para las IPs que ya conozcas.

Otras herramientas interesantes, de cara a auditar lo expuesta que está tu red a ataques externos, son nmap, sqlmap o BurpSuite. Estas están orientadas a valorar posibles agujeros de ciberseguridad en servidores web, bases de datos SQL, etc. Existe una distribución de Linux que incluye estas y otras herramientas de seguridad, que se llama Kali Linux. Un uso interesante de esta herramienta es la ejecución periódica de comprobaciones de seguridad, lo que permite la automatización de muchas tareas.

Como verás, la capacidad de un departamento de IT para llevar a cabo las comprobaciones necesarias para mantener la red y los datos de la empresa libres de ataques, aumenta notablemente si parte de estas tareas se automatizan. Esto no implica que se pueda dejar de lado la ciberseguridad, pero sí que ayuda a que los riesgos sean menores. Además, la capacidad para dar respuesta a un ataque será mucho más rápida, tanto si dicha respuesta es automática como si son los administradores quienes responden ante alertas enviadas por sistemas de ciberseguridad automatizados.