Arquitectura de Sistemas: El Cimiento de la Ciberseguridad Moderna
La arquitectura de sistemas es la base estratégica de toda defensa. Imagina que eres el alcaide de una fortaleza: no puedes proteger cada pasadizo si no comprendes cómo está estructurado el edificio. Si no entiendes la estructura, no entenderás el vector de ataque.
El Mapa de Ruta de la Seguridad: Los 5 Pilares
La postura de seguridad es un tejido donde cada hilo debe estar entrelazado. Un buen Hardening reduce el ruido en los Logs, permitiendo que un analista se enfoque en lo importante. Estos son los pilares fundamentales:
- Arquitectura de Red: Crucial para decidir dónde colocar barreras (Firewalls, NDLP).
- Sistemas Operativos: Para identificar procesos maliciosos y realizar endurecimiento inicial.
- Gestión de Identidades (IAM): El combustible para el modelo Zero Trust.
- Criptografía: La base técnica para la confidencialidad.
- Protección de Datos: Vital para cumplir normativas como GDPR, HIPAA o PCI DSS.
Visibilidad de Red: Logging y NTP
El Logging permite el Auditado (vincular acción a entidad). Sin esto, no hay rendición de cuentas.
- Niveles de Registro: Un nivel bajo te deja ciego; uno muy alto (como Process Tracking) satura el almacenamiento y crea ruido.
- Sincronización de Tiempo (NTP): Usa el puerto UDP 123. Es vital para correlacionar eventos. Se organiza en Stratums (0 es la fuente más precisa).
- SIEM: Herramienta para centralizar, de-duplicar y analizar logs de forma inteligente.
Sistemas Operativos: Windows vs. Linux
Windows Registry: Base de datos jerárquica dividida en Hives (HKCR, HKCU, HKLM, HKU, HKCC). Los logs se almacenan en %SystemRoot%\System32\Winevt\Logs.
- Linux: Configuraciones en
/etc, logs en/var/logy gestión de procesos con el comandops. - Estructura de archivos: NTFS (Windows) o ext4 (Linux).
- Procesos: Identificar anomalías en demonios es clave para detectar ataques persistentes.
Arquitecturas de Red Avanzadas y SSL/TLS
- Segmentación: Física o lógica (VLANs) para evitar el "spillover" de datos.
- SDN: Separa el Plano de Control del Plano de Datos.
- ZTNA y SASE: Modelos modernos de acceso seguro distribuidos.
- SSL/TLS Inspection: Detecta exfiltración de datos, aunque añade latencia y dilemas de privacidad.
Seguridad en la Nube y Responsabilidad Compartida
El nivel de control y riesgo varía según el modelo de servicio:
- SaaS: El proveedor gestiona casi todo. El cliente controla el acceso y protege sus credenciales principales.
- PaaS: Ideal para desarrolladores (Azure App Services). Riesgo: exposición de código fuente.
- IaaS: Nivel más cercano al hardware. Ahorro de costos físicos, pero el cliente tiene control total del software (OS y apps).
- SECaaS: Seguridad bajo demanda (Antivirus o IDS en la nube).
Modelos de Despliegue Cloud y CASB
- Nube Pública: Recursos compartidos (AWS, Azure).
- Nube Privada: Propiedad exclusiva de la organización.
- Nube Híbrida: Combinación de pública y privada (el modelo más común).
CASB (Cloud Access Security Broker):
Actúa como intermediario entre usuarios y servicios cloud basándose en 4 pilares:
- Visibilidad: Detectar "Shadow IT" (uso de Dropbox personal, etc).
- Protección contra Amenazas: Bloqueo de malware y cuentas comprometidas.
- Cumplimiento: Garantizar normativas como GDPR.
- Seguridad de Datos: Clasificación y cifrado de documentos sensibles.
Infraestructura Virtual: Máquinas Virtuales y Contenedores
Virtualización y Hypervisors
Permite crear múltiples instancias lógicas sobre un solo hardware físico.
| Tipo de Hypervisor | Nombre común | Ubicación | Ejemplo |
|---|---|---|---|
| Tipo 1 | Bare-metal | Directo sobre el hardware. | VMware ESXi, Hyper-V. |
| Tipo 2 | Hosted | Sobre un sistema operativo. | VirtualBox, VMware Workstation. |
Containerización y Serverless
- Contenedores: Comparten el núcleo (kernel) del sistema operativo anfitrión. Son ligeros y rápidos (Docker).
- Serverless: El usuario no gestiona servidores; se paga solo por el tiempo de ejecución del código.
Gestión de Identidades (IAM): Conceptos Clave para Certificación
Los 4 Pilares del Acceso
- Identificación: El sujeto reclama una identidad.
- Autenticación: El sistema verifica la identidad mediante credenciales.
- Autorización: Comprobación de políticas y privilegios.
- Contabilidad (Auditoría): Registro de actividades para garantizar responsabilidad.
Factores de Autenticación (MFA):
La autenticación multifactor (MFA) requiere más de un factor de categorías distintas
- Algo que sabes: Contraseña o PIN.
- Algo que tienes: Token USB o Smart Card.
- Algo que eres: Huella digital o reconocimiento facial.
- Factores adicionales: Ubicación (IP, GPS) y tiempo (horas permitidas).
SSO, Federación y Privilegios
- SSO (Single Sign-On): Autenticación única para múltiples sistemas. Riesgo: punto único de fallo.
- SAML: Estándar XML para intercambiar autenticación entre un IDP y un SP.
Privileged Access Management (PAM)
Se enfoca en proteger las cuentas con altos permisos (Administradores), que son el objetivo principal de los atacantes.
- Principio de Menor Privilegio: Dar solo el acceso mínimo necesario.
- Authorization Creep: Acumulación innecesaria de permisos; se evita con revisiones periódicas.
Aquí tienes un resumen esquemático, punto por punto, para estudiar para el examen.
Encryption y criptosistemas
- Encryption transforma plaintext legible en ciphertext ilegible que solo se puede usar tras desencriptarlo.
- Un criptosistema se basa en dos piezas clave: algoritmos (fórmulas matemáticas) y claves (bits aleatorios que aportan entropía).
- Para comunicarse cifrando, las dos partes deben usar el mismo algoritmo y una clave compartida o un par de claves complementarias.
Criptografía simétrica
- Usa una única clave secreta para cifrar y descifrar; ambas partes comparten esa misma clave.
- Es muy rápida y eficiente, incluso con claves relativamente cortas como 256 bits.
- Problemas principales: si se compromete la clave, todo lo cifrado con ella queda expuesto y aparece el “key distribution problem” (necesitas una clave distinta y segura por cada interlocutor).
Criptografía asimétrica
-
Usa un par de claves matemáticamente relacionadas: una clave pública (se comparte) y una clave privada (se guarda en secreto).
-
Lo cifrado con la clave pública solo lo puede descifrar la correspondiente clave privada; lo cifrado con la privada lo puede verificar/desencryptar cualquiera con la pública.
-
Permite resolver el problema de distribución de claves, ya que la clave pública se puede publicar sin comprometer la seguridad.
Simétrica vs asimétrica
-
La simétrica usa claves más cortas (p.ej. 128–256 bits) pero sigue siendo muy resistente al brute force; la asimétrica necesita claves más largas (≥ 2048–3072 bits) para un nivel similar de seguridad.
-
La simétrica es mucho más rápida y adecuada para cifrar grandes volúmenes de datos; la asimétrica es más lenta y se usa sobre todo para intercambio de claves, autenticación y firmas.
-
En la práctica se combinan: se usa asimétrica para intercambiar de forma segura una clave simétrica, y luego simétrica para cifrar el tráfico de datos (base de TLS/PKI).
Public Key Infrastructure (PKI)
-
PKI resuelve cómo confiar en que una clave pública realmente pertenece a quien dice ser su dueño.
Las entidades de confianza son las Certificate Authorities (CAs), que validan identidades y emiten certificados digitales X.509 que vinculan una clave pública con un sujeto.
-
Los certificados tienen un periodo de validez y pueden revocarse antes de caducar; las revocaciones se publican en una Certificate Revocation List (CRL) mantenida por una autoridad de revocación.
-
La gestión de certificados incluye: obtenerlos, desplegarlos, proteger las claves privadas, renovarlos antes de expiración y comprobar CRLs para no usar certificados comprometidos.
Firmas digitales
-
Una firma digital demuestra quién ha creado un mensaje y que el contenido no ha sido alterado (autenticidad e integridad).
-
El emisor calcula un hash del mensaje y cifra ese hash con su clave privada; ese resultado es la firma que se adjunta al mensaje.
-
El receptor descifra la firma con la clave pública del emisor y compara el hash obtenido con el hash que él calcula; si coinciden, el mensaje es auténtico y no ha sido modificado.
-
En la práctica, todo este proceso (hash y uso de claves) lo gestionan automáticamente las aplicaciones (correo seguro, sistemas de firma, etc.).
Tipos de datos sensibles
- Algunos datos requieren protección especial porque su divulgación puede causar daños graves a personas, empresas o gobiernos.
- Como analista, debes identificar qué tipos de datos son sensibles y aplicar controles específicos a su almacenamiento y transmisión.
PII (Personally Identifiable Information)
- PII es cualquier dato que identifica directa o indirectamente a una persona (por ejemplo, nombre + fecha de nacimiento, SSN, datos biométricos).
- Se protege por el riesgo de daño personal (fraude, robo de identidad, acoso, etc.), y suele estar sujeto a leyes y regulaciones específicas (p.ej., Privacy Act 1974 en EE. UU.).
PHI (Personal Health Information)
HIPAA Obliga a aplicar salvaguardas administrativas, físicas y técnicas, y establece sanciones fuertes (multas y posibles penas de cárcel) por divulgación no autorizada.
Datos de tarjeta y normativas financieras
- La GLBA exige a entidades financieras proteger la confidencialidad e integridad de la información financiera de clientes, con multas importantes por incumplimiento.
-
- PCI DSS es un estándar de la industria de tarjetas que define requisitos técnicos y operativos para proteger los datos de tarjeta (PAN, nombre, fecha de caducidad, etc.), aunque no sea ley federal en EE. UU. sigue siendo el estándar de facto.
- Idea clave de examen sobre datos sensibles
- Mecanismos de seguridad para PII, PHI y datos de tarjeta suelen ser más estrictos que para otros datos menos sensibles.
Concepto de Data Loss Prevention (DLP)
- DLP son las acciones y tecnologías para evitar que partes externas no autorizadas accedan a datos sensibles.
- Se centra en datos realmente críticos, en accesos desde fuera de la organización y en accesos no autorizados (no todo acceso interno inadecuado se considera fuga en sentido estricto).
- Debe integrarse con la gestión de riesgos para elegir controles que mitiguen varios riesgos a la vez.
Inventario de datos
- Primer paso: localizar y clasificar los datos según sensibilidad y criticidad en todos los sistemas (servidores, endpoints, móviles, nube, etc.).
- Se amplía el alcance progresivamente hasta que el esfuerzo de seguir buscando ya no compensa el valor de los datos encontrados.
Flujos de datos
- La mayoría de datos se mueven siguiendo procesos de negocio y rutas de red concretas; entender estos flujos es clave para colocar bien los controles DLP.
- Colocar sensores solo en el perímetro no basta, porque muchas fugas pueden ocurrir dentro de la red o eludir ese perímetro.
Implementación, pruebas y ajuste de DLP
- Tras elegir una solución, hay que integrarla sin romper procesos, y probar que permite el uso legítimo y bloquea el uso no autorizado.
- DLP requiere mantenimiento continuo porque cambian la organización, los usuarios, las amenazas y las técnicas de evasión.
Network DLP (NDLP)
- NDLP aplica políticas a datos en movimiento y suele desplegarse como appliance en el perímetro o en fronteras de subred.
- Funciona de forma similar a un IDS, inspeccionando tráfico saliente para decidir si permitirlo o bloquearlo según el tipo de datos detectados.
Endpoint DLP (EDLP)
- EDLP protege datos en reposo y en uso en cada endpoint mediante un agente que aplica políticas y reporta eventos.
- Puede ver los datos en el momento de creación y cuando se desencriptan para usarse, y detectar intentos de copia a USB, borrados incorrectos, etc., cosas que NDLP no ve.
DLP híbrido
- Combina NDLP y EDLP para lograr mayor cobertura, aunque es la opción más cara y compleja.
- Muchos productos modernos ya incluyen componentes de red y de endpoint, por lo que se consideran soluciones híbridas de forma nativa.
No hay comentarios:
Publicar un comentario