Eteentzako sare seguruak diseinatzeko bost gako

Sare segurua baimenik gabeko sarbideetatik datuen konfidentzialtasuna, osotasuna eta erabilgarritasuna babesten dituena da. Helburu hori lortzeko, ziberdelinkuentziaren biktima bihurtzeko aukera gutxitzen duten funtsezko alderdi batzuk zaindu behar dira. Hona hemen garrantzitsuenak iruditzen zaizkigunak.

1. Plangintza eta aurretiazko urratsak

Erakundearen testuingurua ondo ezagutu behar da, helburuak lortzeko behar diren baliabideak behar bezala doitzeko. Sareari dagokionez, garrantzitsua da sarearen diagrama bat eta sarea osatzen duten gailuen inbentario oso bat izatea (routerra, switchak, firewallak, etab.).

Horrela, hobeto ulertuko da nola dagoen konfiguratuta, eta zein diren ager daitezkeen arazoak. Izan ere, araudia betetzeak, ISO 27001 edo Segurtasunaren Eskema Nazionala (ENS) bezalako segurtasun-estandarrek alderdi hori beste neurri batzuk ezarri aurretik dokumentatzea eskatzen dute.

Sarea osatzen duten gailuak identifikatu eta kokatuko dituzten plano eguneratuak izatea funtsezkoa da errendimendu-arazoak aurreratzeko; adibidez, gerta daitezkeen interferentziak edo eremu jakin batzuetan sarbiderik ez izatea.

Sarearen topologiak bere osagaiek osatzen duten egiturari egiten dio erreferentzia, bai maila fisikoari (kokapenari), bai logikoari (datuak nola jariatzen diren) dagokienez. Definitu ondoren, funtsezkoa da hainbat babes-maila edo -geruza ezartzea.

2. Sarea gainbegiratzea

Monitorizazioak hainbat alderdiri buruzko datuak bilduko dituzten hardware- eta software-tresnak behar ditu, hala nola konektatutako gailuak detektatzea. Datuak sarean nola zirkulatzen duten, legez kanpoko sarbide-saiakerak edo zibersegurtasunarekin zerikusia duten beste puntu kritiko batzuk erregistratzean, enpresa batek maila horretan dituen arazoen ezagutza zehatza lortzen da.

SIEM zerbitzua izateak erakundea babesteko aukera ematen du, mehatxuen aurrean erantzun azkarrak emanez. Kontuan hartu beharreko informazio-bolumena hain da handia, ondo prestatutako adituak behar direla informazio hori kudeatzeko.Alde horretatik, gure JakinCode enpresak irtenbide bikaina eskaintzen du, edozein erakunderen eguneroko bizitza elikatzen duten datuen segurtasuna lehenesten duena. Garatu dugun SIEM as a Service tresnak mehatxuak eraginkortasunez detektatzeko eta arintzeko aukera ematen du, eta ohikoa ez den edozein joera edo eredu identifikatzen du, ahalik eta azkarren jardun ahal izateko. Oso kualifikatua eta espezializatua duen talde profesionalak esperientzia zabala eskaintzen du enpresa baten sarea eta sistemak indartzeko, funtsezko alderdia izanik.

3. VPN Implementatu

Sare pribatu birtualek (Virtual Private Networks) komunikazio-kanal enkriptatu bat eskaintzen dute, eta, behar bezala konfiguratuta, sisteman ezartzen diren konexioak zifratuta babesten dituzte. Zerbitzu honen ezaugarriei esker, datuak modu seguru, pribatu eta anonimoan bidali daitezke.

Gaur egungo lan-egoeran, enpresetan telelana txertatzeko aukera agertu da. Testuinguru horrek esan nahi du kontu handiz jokatu behar dela nola sartzen diren enpresako aktiboak kanpoko hainbat tokitatik.

VPN bidezko konexio baten bidez, nahigabeko agente batek sareko trafikoa geldiaraztea zailtzen da, eta, hala, enpresaren datuak baimenik gabeko pertsonei erakusteko arriskua minimizatzen da. Horretarako, konexioak horretarako konfiguratutako zerbitzari-sare baten bidez bideratzen dira, eta, hala, informazioa ezkutatzen da (kokapen fisikoa, etab.).Teknologia hau aukeratzean, kontuan hartu behar dira faktore hauek: nabegazio-abiadura, segurtasun-protokolo fidagarrien erabilera, erabilitako zifratzea, etab.

4. Sarearen segmentazioa

ETEen ekosisteman, guztiek ezin dituzte beraien baliabideak beren sareen segurtasunera bideratu, eta litekeena da, haien konfigurazio egoeratan eguneratzen ez diren lehenespenez instalatutako babes-parametroak (pasahitz estandarrak, etab.) aurkitzea. Egoera horrek zibererasoak errazten ditu segurtasun-egoera oso oinarrizkoaren gainean, edo, are gehiago, ez du behar bezala arduratzen.

Sarearen segmentazio egokia mekanismo eraginkorra da exploit-en serieko hedapenaren eraginpean dagoen diseinutik abantailarik atera ez dadin; izan ere, konplexutasun eta sofistikazio tekniko handirik gabe, sisteman barneratu ahal izango dira alboetako mugimenduen bidez, eta, hartara, nahigabeko agente batek inpaktu kaltegarria zabaldu ahal izango du, eta aktibo kritikoen kontrola lortuko du.

Sareen diseinuan, hala nola segmentazioan, funtsezko gako bat aplikatuz, sare horiek sekzio independentetan banatzen dira, zero konfiantzaren printzipioaren arabera (Zero Trust). Izenak adierazten duen bezala, estrategia horrek  sare barruan ustez susmagarriak ez diren elementuak ez direla egiaztatu behar dioen ustea ezabatzen du.

Segmentazio fisikoa sarea zatitzen duten switchak erabiliz egin daiteke. Beste bide bat sare birtualak edo VLANak sortzea da. Honek banaketa logiko bat ahalbidetzen du, sare desberdinetako gailuen arteko zuzeneko komunikazioa eragozten duena, baldin eta aurrez zehaztutako segurtasun-protokolo batzuk betetzen ez badira.

Eremu desmilitarizatua (DMZ, ingelesezko siglak: Demilitarized Zone) segmentazioko beste taktika bat da. DMZk sare baten zati gisa lan egiten du, sare horren barruan ezarritako segurtasun-perimetrotik kanpo, eta, hala, lehenengora sar daiteke, azken hori arriskuan jarri gabe.

Aurrekoez gain, kontuan hartu behar dira beste hauek ere: intraneta (enpresak bakarrik erabiltzen duen sare pribatu bat, baimendutako barne-langileek soilik erabil dezaketeena), extraneta (bezero, saltzaile edo bazkide baimenduek soilik erabil dezaketen sare pribatu bat) edo gonbidatu-sare bat (edonork erabil dezakeen sare ireki eta bereizi bat).

5. Sarbideen kontrola eta gotortzea

Egituraren diseinuarekin edo eraikuntzarekin batera, ETEek beren sarearen segurtasuna ere zaindu behar dute, sarea osatzen duten elementu guztien kudeaketa, eragiketa eta mantentze-lanetan.

Sarearen administrazio-eskubideak ahalik eta gehien mugatzea da babes-neurriak hartzen hasteko abiapuntua. ETEek beren sareetara modu seguruan sartzeko politikak eta prozedurak izan behar dituzte, baimenik gabe sartzeko edozein saiakera arintzen laguntzeko.

Oso garrantzitsua da sareak erabiltzean pribilegio-maila desberdinak esleitzea. Horretarako, identitateak autentifikatzeko, baimena emateko eta sortutako jarduera erregistratzeko metodoak inplementatuko dira.

Eragile anitzeko autentifikazioa (multi-factor authentication edo MFA) bezalako baliabideek zaildu egiten dute baimenik gabeko pertsonek legez kontrako helburuekin lapurtu eta erabil ditzaten kredentzialak. Horretarako, sarbide bat baliozkotzeko, pasahitz bat sartzeaz gain, beste ekintza bat ere egin behar da, bai pertsonak bakarrik duen bigarren gailu baten bidez, baita biometria erabiliz. Neurri horiei beste estrategia osagarri batzuk gehitu behar zaizkie, eta horiek gainbegiratzeko prest dauden langile kualifikatuak behar ditu.

ETE askorentzat, zibersegurtasun-lanetan soilik aritzen den norbait izatea ez da bideragarria. Zorionez, gaur egun, premia hori kanpora daiteke formula praktikoen bidez, hala nola CISO as a Service erabiliz.

Irtenbide horrek beste abantaila bat ere badu: esperientzia eta ezagutza eguneratua bermatzea, besteak beste, jardunbide egokienei jarraitzeko gai den pertsona baten bidez (instalatutako gailuen fabrikatzaileek nahiz Zentro Kriptologiko Nazionalak gomendatutakoak).

Sare bat osatzen duten gailuen gotortzeari dagokionez, konfigurazioari buruzko xehetasun asko behar bezala zaindu behar dira. Besteak beste, enkriptatuta ez dauden administrazio-mailetan sartzeko protokoloak desgaitu behar dira, beharrezkoak ez diren zerbitzuak ezgaitu behar dira, segurtasun-jarraibide egokiak ezarri behar dira eta abar.

Ikus daitekeenez, ETEetako sareen diseinu segurua arazo konplexua da, eta funtsezko xehetasun ugari eskatzen ditu. Adierazi ditugun puntuez gain, komeni da beti kontuan hartzea sarearen segurtasuna probatzen duten segurtasun auditoretza eta bidegabe sartzeari buruzko probak egin behar direla.