Cómo la inteligencia de direcciones IP puede proteger su red corporativa
Como profesional de seguridad de TI, usted, correctamente, asume que su infraestructura corporativa está bajo ataque. Constantemente surgen nuevas amenazas, y los delincuentes tienen las habilidades y la motivación para ingresar a las redes y robar datos.
También sabe que es casi imposible evitar que todos los malhechores entren en su red, pero puede realizar investigaciones forenses para comprender quién está detrás y tomar medidas para evitar daños mayores. (Lea también: Análisis forense digital: la guía definitiva.)
Aquí es donde entra en juego la inteligencia de direcciones del Protocolo de Internet (IP). La inteligencia de direcciones IP juega un papel vital en el análisis forense digital, especialmente cuando se trata de tráfico basado en VPN.
Eso es:
¿Qué es la inteligencia de direcciones IP?
La inteligencia de direcciones IP ayuda a caracterizar a usuarios específicos al proporcionarle varios tipos de datos, como:
- datos de geolocalización.
- Características de la dirección IP.
- Enmascarar o anonimizar datos.
Estos datos pueden ayudarlo a conocer información de fondo importante sobre sus usuarios, como desde dónde acceden a su red, si su identidad está oculta a través de una VPN e incluso si son usuarios. A su vez, esta información le permite tomar decisiones estratégicas para proteger su empresa.
Profundicemos un poco más en este tipo de datos:
datos de ubicación geográfica
Los datos de geolocalización (latitud/longitud) le indican de dónde proviene su tráfico.
Esto es útil para marcar actividades sospechosas; por ejemplo, si su empresa se limita al noreste, un aumento en el tráfico de California podría ser una señal de alerta. Algunos países no procesan a los ciberdelincuentes con tanta agresividad como otros, lo que lleva a muchas empresas a bloquearles automáticamente el tráfico. (Lea también: Las 10 leyes de privacidad de datos más estrictas por país en 2023.)
Características de la propiedad intelectual
Los datos sobre las firmas de IP pueden ayudarlo a determinar:
- Qué tan estable es la dirección IP.
- quién o qué está detrás.
- El número de usuarios a los que ha sido asignado.
- Ya sea asociado con el hogar, la empresa o el centro de datos.
- El nombre de la empresa y el transportista con el que está asociado.
Todos estos proporcionan un contexto importante al evaluar vulnerabilidades o tomar decisiones sobre cómo proteger su red.
Datos enmascarados/anonimizados
Los datos de inteligencia de direcciones IP pueden ayudar a identificar a los usuarios que intentan eludir las restricciones de seguridad a través de VPN anónimos o servicios de proxy.
El tráfico anónimo no es necesariamente malicioso, pero dichos usuarios no deberían tener acceso a la infraestructura corporativa.
Cómo el uso de VPN compromete la seguridad
Entonces, ¿por qué los usuarios de VPN no pueden acceder a la infraestructura corporativa?
Para responder a esta pregunta, debemos examinar dos tipos diferentes de usuarios de VPN:
- Usuarios internos de VPN.
- Usuarios de VPN externos.
Usuarios internos de VPN
Los usuarios internos de VPN son empleados que utilizan los servicios de VPN dentro del campus corporativo. Los empleados pueden usar VPN para eludir las políticas de la empresa, como las que prohíben la transmisión de video en la oficina. En el peor de los casos, las VPN se pueden usar para filtrar datos internos fuera de la red, eventos que las herramientas de seguridad no siempre pueden detectar.
Por supuesto, no todos los empleados descargan VPN para fines inapropiados; por ejemplo, algunos optan por software VPN gratuito para eludir las restricciones de contenido geográfico. Pero estos empleados todavía se están poniendo a sí mismos y a su negocio en un riesgo significativo. Por ejemplo, algunos proveedores de VPN gratuitos secuestran las direcciones IP de los usuarios residenciales para bloquear el tráfico por completo o insertar malware que puede ingresar fácilmente a su red corporativa cuando los empleados inician sesión desde casa.
Por eso es importante comprender las características de las VPN que pueden estar utilizando sus empleados.
Usuarios de VPN externos
Los usuarios de VPN externos son aquellos que están fuera de su organización, y puede haber más de ellos de lo que piensa.
Con el aumento vertiginoso del uso de VPN durante la pandemia, es probable que los clientes accedan a su red a través de su servicio de VPN. Muchas personas se suscriben a una VPN como una forma de navegar por la web de forma completamente anónima, mientras que otras se suscriben para sortear las restricciones de administración de derechos digitales (DRM), beneficios que muchos proveedores de VPN promocionan. (Lea también: ¿Considerando una VPN?Tome la decisión correcta para sus necesidades.)
Hay muchos servicios de proxy residencial gratuitos y de pago, algunos de los cuales ofrecen una función de no registro, que es una característica preocupante porque es muy fácil de usar para los delincuentes. Algunas VPN son malware que agregan sus computadoras a una botnet.
Por supuesto, no todos los usuarios de VPN son malas personas. Las VPN y los proxies se crearon originalmente para la seguridad. Sin embargo, estas herramientas han evolucionado con el tiempo y ahora las organizaciones las utilizan para proteger sus negocios, así como los proveedores comerciales de VPN para «permanecer en el anonimato» en línea. Por lo tanto, no todas las VPN o proxies deben recibir el mismo trato y es importante mantenerse al tanto del mercado de VPN. Si bien saber quién proporciona el servicio VPN de un usuario no protegerá su red, puede usar este conocimiento para tomar medidas de seguridad tangibles.
Cómo la inteligencia de direcciones IP puede ayudarlo a tomar decisiones estratégicas de seguridad
La inteligencia de direcciones IP lo ayudará a desarrollar un conjunto de reglas, como bloquear, marcar o permitir el uso en torno a la fuente de tráfico y si usar una VPN en casos específicos.
Una vez que tenga los datos de la dirección IP de sus usuarios, aquí hay algunas preguntas útiles que debe hacerse sobre sus usuarios:
1. ¿El usuario está usando una VPN que no tiene rastro en papel?
Cada VPN y proxy es inherentemente anónimo, pero ¿qué sucede si el usuario comete un delito?
Las VPN que requieren información específica al registrarse, como nombre, dirección e información de facturación válida, tendrán registros escritos. Las VPN que son gratuitas, permiten registros anónimos o aceptan pagos anónimos a través de tarjetas de crédito prepagas o criptomonedas pueden generar inquietudes para algunos, ya que no hay un registro escrito y, por lo tanto, no hay forma de identificar la actividad de los usuarios en caso de ataques maliciosos.
2. ¿La dirección pertenece a una instalación de alojamiento?
Las direcciones que pertenecen a las instalaciones de depósito en garantía pueden verse con sospecha porque los usuarios humanos generalmente no se encuentran en las instalaciones de depósito en garantía. Por lo tanto, la dirección IP que pertenece a la instalación de alojamiento es claramente un proxy.
El tráfico saliente de las empresas que se adhieren al marco de seguridad Zero Trust parecerá que se origina en la instalación de alojamiento. Algunas de las ideas obtenidas de la inteligencia de direcciones IP pueden proporcionar el contexto necesario para diferenciar a los humanos de los bots. (Lea también: Un modelo de confianza cero es mejor que una VPN.Es por eso.)
También vale la pena distinguir las instalaciones de alojamiento tradicionales de las instalaciones de alojamiento a prueba de balas. Las instalaciones de alojamiento a prueba de balas no obedecen los avisos de eliminación, incluso si provienen de las fuerzas del orden. Podría ser una buena idea bloquear este tráfico.
3. ¿El usuario es una empresa o el público?
Los usuarios corporativos generalmente se consideran inofensivos. Sin embargo, con la inteligencia de direcciones IP, puede identificar nombres de dominio y ver si los competidores están tratando de acceder a su red.
El transporte público requiere cierta consideración, pero eso no significa que deba bloquearse automáticamente. El tráfico público significa enviar múltiples usuarios desde una ubicación que permite el acceso público a Internet, como una biblioteca o un aeropuerto, para que todos los usuarios compartan una sola dirección IP. Asimismo, el contexto proporcionado por la inteligencia de direcciones IP puede ayudarlo a decidir cuándo se requiere autenticación adicional.
Sugerencias de inteligencia de direcciones IP empresariales
gran organizacion
Las grandes organizaciones pueden tener altos niveles de seguridad integrados en su infraestructura para garantizar la protección contra malware, ataques de Credential Stuffing e incluso amenazas internas. Si esta es su situación, debe saber si estas protecciones se aplican a sus sistemas internos, usuarios que trabajan desde casa y sistemas heredados que pueden no tener las últimas protecciones.
La inteligencia de direcciones IP complementa los sistemas de seguridad de las grandes organizaciones al agregar conocimientos más profundos para revisar de manera proactiva la actividad diaria e investigar retroactivamente cualquier incidente.
pequeña organización
Para organizaciones más pequeñas o aquellas con menos protecciones de seguridad, la inteligencia de direcciones IP es el requisito mínimo para ayudar a bloquear la actividad maliciosa o permitir el tráfico desde una ubicación segura, ya sea física o virtual.
En el peor de los casos, la inteligencia de direcciones IP y los registros de su sistema permitirán que las fuerzas del orden o los investigadores comprendan qué sucedió, detengan un incidente en curso y eviten que suceda en el futuro.
Organización de confianza cero
Para las organizaciones cuya base de clientes utiliza un marco Zero Trust, los datos de IP son fundamentales para permitirles el acceso a cualquier portal de clientes y servicios que cree para ellos.
Los sistemas de seguridad marcarán su tráfico como procedente de la instalación de alojamiento y posiblemente como «tráfico no válido», cuando en realidad son sus clientes. Cualquier organización que use Zero Trust debe incluir inteligencia de direcciones IP para agregar contexto a los sistemas de seguridad.
En conclusión
IP Address Intelligence le permite hacer una serie de preguntas y tomar medidas inteligentes en función de sus respuestas. Por ejemplo, ¿te ponen nervioso los servicios gratuitos de VPN? Si es necesario involucrar a la policía, ¿prefiere un registro escrito? ¿Su empresa tiene empleados que viajan y acceden a su red desde lugares públicos?
En caso afirmativo, es posible que deba considerar pasos de autenticación adicionales.