Más allá del firewall de señalización de red: protección continua

Como industria, los proveedores de servicios móviles, los suministradores y la GSMA trabajaron juntos para crear un marco de recomendaciones cubriendo los diversos protocolos de red que intervienen en el internetworking de las redes móviles. Desde GSM MAP y CAMEL con SS7, LTE/IMS con DIAMETER, SIP/ISUP para la voz y GTP-C para los servicios de datos móviles. Las correspondientes recomendaciones de seguridad de la interconexión, como la FS.11 (Guía de supervisión de la seguridad de la interconexión SS7 y firewall) y la FS.19 (Seguridad de la interconexión Diameter), proporcionaron una base para navegar por la tarea de asegurar las redes móviles de forma eficaz.

Está claro que aunque estas defensas, cuando se implementan con un firewall activo, fueron eficaces mejorando significativamente la seguridad de la red, los atacantes no fueron disuadidos. En particular, las organizaciones bien organizadas y bien financiadas por la inteligencia de los estados nacionales y por organizaciones privadas siguieron atacando las redes con una sofisticación y un engaño cada vez mayores.

Firewall de Señalización: Configuración y optimización correctas

La plataforma de protección de señalización de AdaptiveMobile Security ofrece una seguridad mejorada a nuestros clientes gracias a la incorporación de servicios de expertos de seguridad prestados por nuestra Unidad de Inteligencia contra Amenazas. Este equipo permite el despliegue exitoso de la protección de seguridad a un estado operacionalmente activo utilizando un proceso riguroso y repetible. Con una solución de seguridad adaptada a la configuración específica de las redes de nuestros clientes.

Es sumamente importante completar este proceso de optimización y ajuste para poder reducir el nivel de “ruido” de la seguridad. Descubrimos que las redes a menudo contienen configuraciones heredadas, servicios mal configurados y configuraciones de prueba que se dejaron sin gestionar.

Utilizando un proceso metódico para clasificar estas configuraciones como gestionadas y permitidas, descatalogadas y eliminadas o bloqueadas desde una conexión de terceros, reducimos la cantidad de eventos desencadenados por día a un nivel inferior permitiendo que las verdaderas amenazas a la seguridad sean claramente visibles. Un firewall bien configurado solo generará unos 1.500 eventos de seguridad por millón de suscriptores al día. Una red mal configurada producirá muchos más que esa cifra.

¿Significa esto que el trabajo está hecho después de optimizar un firewall?

Resulta que, una vez desplegadas las defensas, los atacantes no se limitan a aceptarlo y pasar a otra red. Se vuelven creativos y utilizan métodos cada vez más sofisticados.

No debería ser una sorpresa que busquen partes de la red o partes del protocolo no protegidas. La intención original de la denominación “Categoría 3” en la FS.11, era realmente transmitir a los operadores de telefonía móvil que habría una carrera armamentística continua entre los atacantes y los defensores. La intención era significar que las defensas tendrían que mantenerse activamente y revisarse continuamente.

El cumplimiento de la norma FS.11 no consiste en una lista de comprobación de los flujos de llamadas protegidos, sino más bien en un proceso de revisión, detección de vulnerabilidades y despliegue de contramedidas. Esto lleva naturalmente a la necesidad de un proceso continuo de auditoría y análisis que identifique nuevas vulnerabilidades y gestione el despliegue de contramedidas eficaces. Los atacantes ya están cambiando sus métodos en función de las defensas que bloquean sus ataques.

Estos procesos de revisión y auditoría pueden realizarse en un ciclo regular, digamos sobre una base de 3 meses donde la frecuencia de revisión minimiza la ventana de vulnerabilidad a cualquier nueva amenaza. Desde el punto de vista del tiempo y dependiendo de la aplicación atacada, un ciclo de 3 meses podría ser aceptable, sin embargo, a medida que avanzamos hacia la red 5G y el apoyo a los servicios críticos, es probable que se necesite un ciclo de actualización más corto, si no continuo.

Entorno de amenazas en constante cambio

Haciendo un paralelismo con otros sectores de la seguridad informática, la seguridad suele adoptar la forma de pruebas de penetración para anticiparse a las vulnerabilidades y a las brechas de seguridad, combinadas con firewalls activos, análisis pasivos y retención de datos para el análisis de la causa raíz.

Las amenazas y las vulnerabilidades se recogen de forma centralizada y las actualizaciones se distribuyen a todas las plataformas de seguridad. Tiene sentido que la seguridad de las redes móviles refleje este tipo de actividades y garantice que todos los firewalls de señalización se mantengan con los últimos algoritmos de prevención de amenazas y métodos de detección. Incluso si los tipos de ataque específicos aún no han atacado su red. Esto es ampliar las recomendaciones de mejores prácticas con la experiencia y las observaciones del mundo real. En mi opinión, esto es lo que la “Categoría 3” de la FS.11 pretendía cubrir. No se trata de una tecnología estática, sino de una llamada a la acción para que los expertos en seguridad se involucren y contribuyan a la investigación del sector.

Tenemos que predicar con el ejemplo, y lo hemos hecho, asegurando que la fase de ajuste de los despliegues de nuestros firewalls de protección de señalización se mantiene en un ciclo frecuente y regular con auditorías continuas de nuestro equipo de inteligencia de amenazas y las últimas actualizaciones de seguridad enviadas a nuestros clientes. Mi opinión es que si protegemos mejor a nuestros clientes, construimos una comunidad móvil más segura, lo que es bueno para todos.

Si tiene alguna pregunta sobre los puntos mencionados anteriormente, póngase en contacto con nuestros expertos.

Contact Us