Para evitar verse abrumado por vulnerabilidades de seguridad, la mejor perspectiva es una adecuada priorización. La mayoría de redes empresariales son relativamente planas y ofrecen poca resistencia una vez se irrumpe el perímetro, ademas los sistemas de escritorio son el objetivo más probable para el malware. Por lo tanto crear cierta separación entre los sistemas de escritorio y los datos críticos almacenados en los servidores es un gran paso para proteger la red. Lo siguiente podría ser separar los escritorios el uno del otro para limitar el reconocimiento de escritorios y la propagación de gusanos entre estos. La LAN conectada hacia los escritorios debe ser considerada permanentemente hostil, y por lo tanto los escritorios deben únicamente permitir el mínimo de datos requerido para operar. Los servidores deben estar separados entre si y de los escritorios con firewalls.
El flujo de datos o flujo de red es un método para recolectar información del tráfico IP y vigilar el tráfico de red. Mediante el análisis del flujo de datos se puede construir una imagen del flujo de tráfico de red y volumen. El flujo de red permite ver de donde proviene y hacia donde va el tráfico de red, demás de cuanto tráfico está siendo generado. El flujo de red proporciona una contabilidad 24x7 sobre toda la actividad de la red, y cuando ocurre un incidente, la información necesaria para identificar la causa raíz y comenzar la limpieza se encuentra en el flujo de datos almacenado.
El flujo de red permite ver aquello sucediendo en la red más allá del perímetro, lo cual también es el lugar más difícil para aplicar un análisis de ciberseguridad. Con el flujo de red se puede ver teléfonos inteligentes, teléfonos IP, portátiles, servidores, e infraestructura virtualizada en esta capa. Cuanto más grande y distribuida sea la red, mayor será el valor aportado por el flujo de red del tráfico. Solo requiere se ingresen unos pocos comandos sobre el encaminador para tener visibilidad de la red en una ubicación específica. El análisis basado en flujo de red se basa en algoritmos y comportamiento en lugar de coincidencia de firmas, lo cual permite detectar ataques los cuales aún no tienen una firma, algunas veces denominados ataques de día cero.
Fuentes:
https://insights.sei.cmu.edu/blog/traffic-analysis-for-network-security…
https://iesmartsystems.com/network-architecture/