snort_logo

Estamos frente a una brecha generacional en cuanto a la lucha contra los ataques de hoy. Los adversarios están utilizando métodos de ataque de última generación, mientras que muchas organizaciones están utilizando defensas de primera generación. Y la situación podría empeorar antes de mejorar. Diseñado para otro momento, la mayoría de los dispositivos de seguridad de redes de primera generación no pueden seguir el ritmo de retos como:

 

Interrupción tecnológica –  Los dispositivos móviles, el software como servicio, la virtualización y el ‘cloud computing’, son necesidades que las organizaciones buscan formas de mejorar la productividad, ahorrar costos y velocidad de implementación. La mayoría de las herramientas de seguridad desplegadas actualmente no ofrecen una visibilidad adecuada de factor en topología de red dinámica, el comportamiento y el tráfico en la definición de políticas de seguridad y las decisiones de aplicación.

 

Saltos entre puertos –  Las tácticas que los adversarios ahora emplean, como el puerto de salto, la encapsulación, los ataques de día cero, comando y control

(C & C) de evasión, el movimiento lateral, el tráfico cifrado y la evasión de recinto de seguridad, hacen que sea muy difícil de detectar y bloquear los ataques. Herramientas de seguridad de primera generación no tienen la información y la inteligencia para manejar los ataques que utilizan estos métodos históricos.

 

Demandas de rendimiento –  En la era de las conexiones de red multi-gigabit en el perímetro y en el centro principal de datos, los dispositivos de seguridad deben inspeccionar y hacer cumplir las políticas en estas mismas velocidades en todos los apartados de la red. Esto simplemente no es posible con las arquitecturas de los dispositivos de seguridad de redes tradicionales.

 

Entonces, ¿cómo lidiar con esta brecha generacional? Nuevos enfoques de seguridad están surgiendo para hacer frente a fluido actual entorno de TI, las amenazas sofisticadas y el aumento de las velocidades de red. Teniendo en cuenta que muchos dispositivos de primera generación se han desplegado por más de una década, y simplemente no pueden adaptarse a esta nueva realidad, ha llegado el momento de revisar la estrategia de seguridad y reducir la brecha con un nuevo enfoque de la seguridad.

 

Al hablar con los vendedores sobre sus últimas tecnologías de seguridad de red, a continuación son los criterios clave para buscar junto con preguntas específicas para hacer para ayudarle a tomar decisiones más informadas y, en definitiva, una mejor defiende a su entorno de TI moderna contra los ataques modernos.

 

Visibilidad –  Tiene que ser capaz de identificar con precisión las aplicaciones activas en el medio ambiente (sin protocolo) y ver la gran cantidad de hosts de conexión, la infraestructura y los usuarios. Con esta visibilidad se puede aplicar el contexto del comportamiento de la red y del usuario para determinar la intención de una conexión determinada y si se debe bloquear. Las preguntas clave para hacerle a su proveedor son:

• ¿Cómo se puede rastrear y monitorear los cambios en mi entorno de TI?

• ¿Proporcionan inteligencia reputación web?

• ¿Se puede controlar la actividad de red basada en usuario, el dispositivo y la aplicación?

 

Amenaza eficaz – La necesidad de garantizar la seguridad de la tecnología de red puede proteger contra amenazas conocidas y emergentes, manteniendo la eficacia en carga durante la utilización máxima.

Preguntas que debe hacer para asegurarse de que tiene cobertura incluyen:

• ¿Qué significa que utiliza para detectar amenazas?

• ¿Se puede detectar y bloquear según el contenido, como ciertos tipos de archivos?

• ¿Se puede comparar el comportamiento de la red de referencia contra el actual para identificar la actividad anómala?

 

Controles granulares –  Usted quiere que sus dispositivos de seguridad de red para permitir el acceso seguro, no alienten a los empleados a ir alrededor de sus defensas. Esto requiere políticas de seguridad de grano fino con la posibilidad de personalizar la detección y respuesta para aplicaciones y sitios web.

Algunas preguntas para hacerle a su proveedor son:

• ¿Cómo abordar las políticas a través de diversos elementos de seguridad y cómo manejar excepciones de orden?

• ¿Cómo manejan flexiblemente las opciones de control de acceso y funcionalidad de las aplicaciones?

• ¿Apoya el desarrollo de regla personalizada?

 

Automatización –  Para la mayoría de las organizaciones de seguridad de TI, los recursos no aumentan al mismo ritmo que los adversarios avanzados. Usted necesita herramientas para automatizar el aprovisionamiento y puesta a punto de las políticas de seguridad y aplicar las políticas de forma uniforme en toda la empresa. Algunas preguntas clave para hacerle a su proveedor son:

• ¿Cómo puede ayudarme a tamizar a través de miles de eventos de seguridad cada día y me concentro en lo que más importa?

• ¿Cómo se puede reducir al mínimo el tiempo que ya había puesto en las políticas de optimización y puesta a punto de todo el medio ambiente?

• ¿Puede ayudarme rápidamente a enfocar a los usuarios vinculados a eventos y responder a los comportamientos anómalos?

 

Protección contra el malware avanzado –  Con los ataques de malware cada vez más sofisticados, cada vez es más difícil de detectar con fiabilidad el malware en la red y solucionar si se llega a tener éxito a través de. Inteligencia de malware basado en la nube y la capacidad para coordinar las defensas de todo el medio ambiente son ahora esenciales. Las preguntas clave para hacerle a su proveedor son:

• ¿Cómo se puede reunir información de inteligencia sobre las amenazas emergentes?

• ¿Cómo su análisis de malware actualiza automáticamente la capacidad de detección en todos los puntos de control?

• ¿Cómo se realiza un análisis continuo y la seguridad retrospectivos en caso de que el malware que está inactiva durante la entrada y después muestra un comportamiento malicioso?

 

Rendimiento, escalabilidad y flexibilidad –  Analizar y aplicar políticas complejas a gran velocidad, el rendimiento y la capacidad de escalar a redes multi-gigabit es fundamental. Flexibilidad para apoyar su modelo de implementación actual y la capacidad de cambiar fácilmente en el futuro le ofrece protección de la inversión. Pregunte a su proveedor:

• ¿Tiene los resultados de rendimiento validadas por un tercera parte que pueda compartir?

• ¿Qué capacidades de seguridad puedo implementar en el mismo dispositivo?

• ¿Qué tipo de disponibilidad, velocidad de conexión y opciones de conectividad ofrecen?

 

Gestión y extensibilidad –  Para ser prácticos, cualquier enfoque actualizado para la seguridad de red debe permitir la gestión centralizada de la seguridad de TI en toda la empresa y apoyar a la perfección las capacidades adicionales. Las preguntas clave para hacerle a su proveedor son:

• ¿Puedo gestionar varias políticas a través de los puntos de aplicación?

• ¿Qué capacidades de presentación de informes es lo que ofrece para apoyar la seguridad, respuesta a incidentes y cumplimiento normativo?

• ¿Cómo se integra con las soluciones de tercera partes complementarias?

 

Es sólo una cuestión de tiempo antes de que su organización se enfrente a una violación. La buena noticia es que las tecnologías de seguridad de red están evolucionando por lo que ya no tiene que ser obstaculizados por los enfoques de primera generación. Armado con las preguntas correctas puede estar seguro de que está tomando las mejores decisiones para proteger su organización y mitigar los riesgos en esta época difícil.

 

Por: Arturo Barquín, Director de Latinoamérica y el Caribe de Sourcefire.

Noviembre 2013