Combatir los ataques de hoy en día: un asunto generacional

Por: Marc Solomon.– *

Nos enfrentamos a una brecha generacional en lo que respecta a combatir los ataques de hoy en día. Los adversarios están usando métodos de ataque de última generación mientras que muchas organizaciones usan defensas de primera generación. Y la situación podría empeorar antes de que mejore. Al estar diseñados para otros tiempos, la mayoría de equipos de seguridad de redes de primera generación no pueden hacer frente a retos tales como:

Interrupción de tecnología – Los dispositivos móviles, software en servicio, virtualización y computación en la nube se han convertido en necesidades, ya que las organizaciones buscan maneras de mejorar su productividad, ahorrar costos y acelerar su despliegue. La mayoría de herramientas de seguridad desplegadas hoy en día no proveen visibilidad adecuada para tener en cuenta la topología, comportamiento y tráfico de redes dinámicas en la definición de políticas de seguridad y toma de decisiones de ejecución.

Ataques avanzados – Las tácticas que usan los adversarios ahora, tales como el salto entre puertos, encapsulamiento, ataques de día cero, evasión de mando y control (C&C), movimiento lateral, tráfico cifrado y evasión de archivos de sandbox dificultan enormemente la detección y bloqueo de ataques. Las herramientas de seguridad de primera generación carecen de los datos históricos y la inteligencia para manejar ataques que usen esos métodos.

Exigencias de desempeño – En la era de las conexiones de red multigigabit en el perímetro y dentro del centro de datos principal, los equipos de seguridad deben inspeccionar y ejecutar políticas a las mismas velocidades a través de todas las subsecciones de la red. Esto simplemente no es posible con arquitecturas de equipos de seguridad de red tradicionales.

Entonces, ¿cómo manejar esta brecha generacional? Nuevos acercamientos a la seguridad están emergiendo para abordar el entorno informático fluido de hoy en día, las amenazas sofisticadas y las velocidades crecientes de las redes. Dado que muchos equipos de primera generación han sido desplegados por más de una década y simplemente no se pueden adaptar a esta nueva realidad, este es el momento preciso para revisar su estrategia de seguridad y cerrar la brecha con un nuevo acercamiento a la seguridad.

Con miras a sus próximos intercambios con proveedores acerca de sus más recientes tecnologías de seguridad de redes, a continuación se encuentran unos criterios clave para buscar junto con preguntas específicas para hacer con el fin de ayudarle a tomar decisiones más informadas y, en últimas, defender mejor su entorno informático moderno contra los ataques modernos.

Visibilidad – Usted debe poder identificar con precisión las aplicaciones activas en su entorno (sin importar el protocolo) y ver la miríada de hosts, infraestructura y usuarios conectados. Con esta visibilidad, usted puede aplicar el contexto de red y comportamiento de los usuarios para determinar la intención de una conexión cualquiera y si debería ser bloqueada. Las preguntas clave para hacerle a su proveedor incluyen:

• ¿Cómo rastrea y monitorea los cambios en mi entorno informático?

• ¿Provee inteligencia de reputación de sitios?

• ¿Puede monitorear la actividad de red basada en usuario, equipo y aplicación?

Efectividad contra amenazas – Usted debe garantizar que su tecnología de seguridad de redes pueda protegerlo de amenazas tanto conocidas como emergentes mientras mantiene la efectividad bajo carga durante la utilización máxima.

Preguntas para hacer con el fin de asegurarse de que esté cubierto incluyen:

• ¿Qué medios emplea para detectar amenazas?

• ¿Puede detectar y bloquear basándose en contenido como, por ejemplo, ciertos tipos de archivos?

• ¿Puede comparar el comportamiento base de red contra el actual para identificar actividad anómala?

Controles granulares – Usted necesita que sus equipos de seguridad de redes le permitan un acceso seguro, no que alente a sus empleados a evadir sus defensas. Esto requiere políticas de seguridad refinadas con la habilidad para personalizar la detección y respuesta para tanto aplicaciones como sitios web. Algunas preguntas para su proveedor incluyen:

• ¿Cómo aborda políticas a través de varios elementos de seguridad y cómo maneja excepciones de políticas?

• ¿Qué tan flexiblemente maneja las opciones de control de accesos y funcionalidad de aplicaciones?

• ¿Soporta desarrollo de reglas personalizadas?

Automatización – Para la mayoría de organizaciones de seguridad informática, los recursos no están incrementando para hacer frente a los adversarios avanzados. Usted necesita herramientas para automatizar el abastecimiento y afinación de las políticas de seguridad y aplicar dichas políticas consistentemente en toda la empresa. Algunas preguntas clave que usted debería hacerle a su proveedor incluyen:

• ¿Cómo puede ayudarme a filtrar miles de eventos de seguridad cada día y establecer el foco en lo que más importa?

• ¿Cómo puede minimizar el tiempo que le invierto ahora a optimizar y afinar políticas en todo el entorno?

• ¿Puede ayudarme a enfocarme en usuarios atados a eventos y responder a comportamiento anómalo?

Protección avanzada contra malware – Con ataques de malware cada vez más sofisticados, se está haciendo más difícil detectar malware en la red y remediarlo si logra penetrar exitosamente. La inteligencia contra malware basada en la nube y la habilidad para coordinar defensas a en todo el entorno es esencial ahora. Las preguntas claves para hacerle a su proveedor incluyen:

• ¿Cómo recolecta inteligencia sobre amenazas emergentes?

• ¿Cómo actualiza su hardware automáticamente las funciones de detección en todos los puntos de control?

• ¿Cómo realiza análisis continuos y seguridad retrospectiva en caso de malware que se halle durmiente durante su entrada y posteriormente exhiba comportamiento malicioso?

Desempeño, escalabilidad y flexibilidad – Para analizar y aplicar políticas completas a grandes velocidades, el desempeño y la habilidad para escalar a redes multigigabit es esencial. La flexibilidad para soportar su modelo de despliegue hoy y la capacidad para cambiar fácilmente en el futuro le da a usted una protección de la inversión. Pregúntele a su proveedor:

• ¿Tiene resultados validados de desempeño de terceros que pueda compartir?

• ¿Qué capacidades de seguridad puedo desplegar en el mismo dispositivo?

• ¿Qué tipo de disponibilidad, velocidades de conexión y opciones de conectividad ofrece?

Gestión y extensibilidad – Para ser práctico, cualquier acercamiento actualizado a la seguridad de redes debe permitir una gestión centralizada de seguridad informática en la empresa entera y soportar capacidades adicionales sin inconvenientes. Las preguntas claves para hacerle a su proveedor incluyen:

• ¿Puedo gestionar múltiples políticas en diferentes puntos de ejecución?

• ¿Qué capacidades de presentación de informes ofrece para soportar la seguridad, reacción a incidentes y cumplimiento?

• ¿Cómo se integra con soluciones complementarias de terceros?

Es solo cuestión de tiempo antes de que su organización se enfrente a una intrusión. La buena noticia es que las tecnologías de seguridad de redes están evolucionando para que usted no tenga que verse obstaculizado por acercamientos de primera generación. Si está armado con las preguntas adecuadas, usted puede confiar en que tomará las mejores decisiones para proteger su organización y mitigar el riesgo en esta era desafiante.

 

* Director de Marketing, Sourcefire

  Share: