Sophos Endpoint Security and Data Protection: Guía de producto 1 Guía de producto de Sophos Endpoint Security and Data Protection 2 1 Guía de producto sobre la protección completa para estaciones de trabajo INTRODUCCIÓN Le damos la bienvenida a esta guía de producto de Sophos Endpoint Security and Data Protection, la solución de seguridad de estaciones de trabajo totalmente integrada y escalable de Sophos. En este documento se presentan los principales elementos de software de Sophos Endpoint Security and Data Protection: consola de gestión, antivirus, cortafuegos de cliente, protección de datos, control de dispositivos, control de aplicaciones, cifrado y control de acceso a la red. En esta guía se ofrece una descripción general de las potentes funciones de Sophos Endpoint Security and Data Protection. Una vez la haya leído, conocerá mejor de qué modo Sophos Endpoint Security and Data Protection proporciona a las organizaciones la protección más rentable y fiable disponible contra las amenazas informáticas conocidas y desconocidas y cómo protege su organización contra la pérdida de datos. Le permite centrarse en otras tareas importantes no relacionadas con la seguridad, lo que posibilita una mejor continuidad empresarial y una mayor eficacia de los sistemas. Para obtener información sobre los precios y sobre cómo adquirir Sophos Endpoint Security and Data Protection, póngase en contacto con su representante de Sophos. Para conocer los representantes de cada zona, visite: www.esp.sophos.com/companyinfo/contacting Si desea solicitar una evaluación, visite: www.esp.sophos.com/products/enterprise/free-trials/ Si desea leer la documentación de instalación, visite: www.esp.sophos.com/support/docs/ 3 Guía de producto de Sophos Endpoint Security and Data Protection Contenido 1 PROTECCIÓN COMPLETA PARA LAS ESTACIONES DE TRABAJO Descripción general de Sophos Endpoint Security and Data Protection 2 Una sola consola central automatizada 5 8 Descripción general de Sophos Enterprise Console 3 Protección de ordenadores Windows 24 Descripción general de Sophos Endpoint Security and Control, Sophos Client Firewall, Sophos NAC y SafeGuard Disk Encryption 4 Protección de ordenadores que no utilizan Windows 30 Descripción general de Sophos Anti-Virus en Mac OS X, Linux y UNIX Apéndices I Evaluación de Endpoint Security and Data Protection 33 Red de pruebas sugeridas IIEl “virus” de prueba EICAR 36 IIIOtros productos y servicios de Sophos 37 4 1 Guía de producto sobre la protección completa para estaciones de trabajo Sophos Endpoint Security and Data Protection 1 PROTECCIÓN COMPLETA PARA LAS ESTACIONES DE TRABAJO Descripción general de Endpoint Security and Data Protection Sophos simplifica la tarea de proteger sus ordenadores de escritorio, ordenadores portátiles, dispositivos móviles y servidores de archivos contra amenazas conocidas y desconocidas, además de proteger su organización contra la pérdida accidental de datos. Protección completa El agente antivirus unificado de Sophos elimina la necesidad de disponer de varios productos independientes para detener los distintos tipos de amenazas. Con un solo escaneado puede proteger su organización contra virus, programas espía, programas publicitarios, rootkits y aplicaciones potencialmente no deseadas (PUA). De forma simultánea, puede controlar la instalación y el uso de software no autorizado, como por ejemplo programas de VoIP, mensajería instantánea y de uso compartido de archivos de punto a punto (P2P), controlar el uso de dispositivos de almacenamiento extraíbles y protocolos de redes inalámbricas, y supervisar la transferencia de información confidencial. También puede proteger sus datos contra las pérdidas con un cifrado completo del disco de los ordenadores y el cifrado de la información presente en dispositivos de almacenamiento extraíbles, así como para el intercambio seguro de datos con terceros. Consola simplificada y automatizada La consola automatizada de Sophos, Enterprise Console, ofrece un único punto desde el que puede desplegar, actualizar e informar sobre la protección de las estaciones de trabajo en toda la infraestructura. Una sola consola permite gestionar decenas de miles de ordenadores Windows, Mac, Linux y UNIX. Al simplificar y automatizar la protección, los costes disminuyen, se aceleran las tareas y se obtiene una mejor visibilidad de toda la red. Además, la administración basada en funciones le ofrece la posibilidad de compartir tareas con otros usuarios para reducir su carga de trabajo, al tiempo que conserva un control general de las políticas de seguridad en toda la infraestructura. Una solución para todas las plataformas Cuando adquiere una licencia de Endpoint Security and Data Protection, obtiene software que ofrece protección para más de 25 plataformas (la gama más amplia de cualquier proveedor), entre las que se incluyen Windows, Mac OS X, Linux, UNIX, NetWare, NetApp Storage Systems y Windows Mobile. 5 Guía de producto de Sophos Endpoint Security and Data Protection Protección completa de datos La combinación de varias tecnologías distintas garantiza la protección de datos contra las pérdidas accidentales. La función de escaneado de contenido DLP integrada en el agente único para estaciones de trabajo supervisa la transferencia de datos a dispositivos de almacenamiento extraíbles y a aplicaciones de Internet, como clientes de correo electrónico, navegadores e incluso aplicaciones de mensajería instantánea. El control granular de los dispositivos de almacenamiento extraíbles le ofrece la posibilidad de permitir el uso de dispositivos específicos, aplicar el uso de dispositivos cifrados o simplemente permitir un acceso de sólo lectura. Además, el cifrado completo del disco protege los datos en los ordenadores portátiles, lo que evita que la información caiga en las manos equivocadas en caso de pérdida del ordenador. Experiencia integrada La experiencia de SophosLabs™ en el campo de los programas maliciosos, spam e Internet garantiza una protección mejor y más rápida. Tecnologías exclusivas, como por ejemplo la protección Behavioral Genotype®, combinadas con rápidas actualizaciones de firmas de pequeño tamaño, permiten detener malware nuevo y desconocido y garantizan que Sophos supere con regularidad a Symantec y McAfee en las pruebas independientes. Cumplimiento de las estaciones de trabajo Sophos Endpoint Security and Data Protection garantiza el cumplimiento de las estaciones de trabajo mediante el uso de Sophos NAC para evaluar y controlar todas las estaciones de trabajo. Sophos NAC comprueba que el antivirus y otras aplicaciones de seguridad estén activas y actualizadas, y si el sistema operativo necesita revisiones de actualización. De este modo se reduce el riesgo de que se produzcan infecciones causadas por malware, ya que los ordenadores vulnerables se colocan en cuarentena y los problemas se solucionan antes de que se les conceda acceso a la red. Sophos NAC sigue ofreciendo protección a lo largo de la sesión del usuario con comprobaciones de evaluación periódicas. Motivos Ventajas de Sophos Proveedor de confianza Con más de 20 años de experiencia en la protección de empresas contra amenazas conocidas y desconocidas, podemos responder con rapidez a las amenazas emergentes, independientemente de su nivel de complejidad. Enfoque más Sophos Enterprise Console garantiza una gestión rentable, sencillo e inteligente centralizada e intuitiva en varias plataformas y ofrece una visibilidad y un control extraordinarios de toda la red. Respuesta rápida SophosLabs mantiene una vigilancia permanente sobre las nuevas amenazas, con expertos que analizan el malware de nueva aparición en todas las zonas horarias y que proporcionan las actualizaciones más rápidas y pequeñas. Excelente asistencia técnica Un equipo global de expertos de Sophos proporciona asistencia técnica 24 horas al día, 7 días a la semana y 365 días al año, con una experiencia práctica y detallada que permite ofrece los niveles de satisfacción del cliente más elevados del sector. Sistema de licencias Una sola licencia basada en suscripción proporciona sencillo actualizaciones y mejoras constantes y automáticas para todas las nuevas versiones de productos, además de un servicio de asistencia técnica interno disponible las 24 horas del día y los 7 días de la semana sin costes ocultos. Enfoque puramente empresarial Sophos sólo comercializa sus productos a clientes corporativos, con lo que garantiza que todas las actividades de ingeniería, asistencia e investigación se centren en las necesidades de las organizaciones y no se vean perjudicadas por la necesidad de ofrecer asistencia a los consumidores. Tabla 1: Motivos por los que los clientes confían en Sophos 6 1 Guía de producto sobre la protección completa para estaciones de trabajo Características clave de prueba Antes de realizar las pruebas, éstos son algunos elementos a tener en cuenta y para comparar con los productos de la competencia: • ¿Puede gestionar la protección para todas sus plataformas desde una única consola de gestión? • ¿Cuántos despliegues se necesitan para ofrecer la misma cobertura de protección de las estaciones de trabajo: antivirus, protección contra programas espía, cortafuegos, HIPS, control de aplicaciones, control de dispositivos, control de datos y control de acceso a la red? • ¿Con qué facilidad se puede instalar y desplegar el producto en toda la empresa? ¿Puede utilizar Active Directory (AD) para acelerar este proceso? • ¿Puede sincronizar con AD y desplegar la protección automáticamente en un ordenador nuevo en cuanto se incorpora a la red? • ¿Con qué facilidad se puede evaluar y controlar el acceso a la red para ordenadores gestionados y no gestionados? • ¿La consola de gestión proporciona una vista de panel de control en tiempo real del estado y las alertas? • ¿Con qué facilidad se puede gestionar el producto? En concreto, ¿cuántos pasos hay que realizar y cuánto tiempo se necesita para llevar a cabo tareas de gestión habituales, como modificar y aplicar políticas a grupos? • ¿Cuál es el nivel de eficacia de las tecnologías de detección proactiva/HIPS y cuántas operaciones de configuración son necesarias para introducir y mantener una protección eficaz? • El agente para estaciones de trabajo, ¿puede supervisar la transferencia de datos confidenciales a dispositivos de almacenamiento extraíbles o a aplicaciones de Internet, como clientes de correo electrónico, navegadores y aplicaciones de mensajería instantánea? • ¿Con qué facilidad se puede controlar el uso de dispositivos de almacenamiento extraíbles y qué opciones de cumplimiento hay disponibles? • ¿Con qué facilidad se puede evitar que un usuario descargue e instale aplicaciones legítimas que no desee que se utilicen en su red empresarial, como programas de mensajería instantánea, P2P, VoIP y juegos? ¿Cuánto trabajo es necesario para mantener las listas de aplicaciones actualizadas con las nuevas versiones? • ¿Cuánta memoria utiliza el cliente y cuál es la frecuencia y el tamaño de las actualizaciones de la protección? • ¿Puede acceder a expertos de asistencia técnica situados en su zona y con una buena formación, disponibles las 24 horas del día y los 7 días de la semana, y sin ningún coste adicional? 7 Guía de producto de Sophos Endpoint Security and Data Protection Sophos Enterprise Console 2 UNA SOLA CONSOLA CENTRAL AUTOMATIZADA Descripción general de Sophos Enterprise Console Sophos Enterprise Console proporciona una gestión basada en políticas más sencilla e inteligente para la protección de las estaciones de trabajo. Le permite gestionar miles de ordenadores Windows, Mac, Linux y UNIX desde una única consola. Gracias a la gestión sencilla, el fácil control de las políticas en toda la red, la escalabilidad y la limpieza centralizada y dirigida que ofrece la consola, los costes de gestión recurrentes se reducen de forma significativa. Muchas soluciones de seguridad son excesivamente elaboradas y pueden suponer una carga debido a la complejidad creciente de sus sistemas. Enterprise Console se ha diseñado para ofrecerle un enfoque sencillo e integrado que le permite actuar rápidamente contra problemas emergentes y potenciales. En esta sección se destacan las características principales de Enterprise Console y se describen las ventajas exclusivas que aportan. Un único despliegue Protección de estaciones de trabajo y eliminación de productos de terceros Endpoint Security and Data Protection le permite desplegar y gestionar los componentes de antivirus, cortafuegos de cliente y control de cumplimiento (NAC) en las estaciones de trabajo desde una única consola. Figura 1: Un único despliegue Además de facilitar el traslado de su solución existente a Endpoint Security and Data Protection, le ofrecemos la opción de eliminar software de seguridad de terceros durante la implementación. 8 2 Una sola consola central automatizada Sophos Enterprise Console Integración y sincronización con Active Directory Despliegue más rápido y protección automática Sophos Endpoint Security and Data Protection facilita la detección de ordenadores en la red, ya que permite replicar la estructura de grupos y clientes de Active Directory en Enterprise Console. Tras la réplica, puede optar por sincronizar Active Directory con Enterprise Console para que los cambios realizados en Active Directory se reflejen de forma automática en Enterprise Console, a fin de garantizar la protección automática de los nuevos clientes a medida que se incorporen a la red. Enterprise Console automáticamente comprobará la existencia de cambios en Active Directory cada hora de forma predeterminada. Si no utiliza Active Directory, existen dos métodos alternativos que puede utilizar para identificar ordenadores rápidamente: Figura 2: Detección rápida de ordenadores nuevos • La función integrada de búsqueda en la red. • La búsqueda por intervalo de IP/subred. Panel de control de seguridad Mayor visibilidad y alertas automáticas Cuando se detecta un virus, un programa espía, un programa publicitario, un elemento sospechoso o una aplicación potencialmente no deseada, automáticamente se genera y se muestra una alerta en el panel de control. Los niveles de riesgo de brotes en toda la red se muestran en el panel de control de seguridad de Enterprise Console, que combina todas las alertas procedentes de ordenadores Windows, Mac, Linux y UNIX y muestra el estado como azul (correcto), ámbar (advertencia) o rojo (crítico). 9 Guía de producto de Sophos Endpoint Security and Data Protection Con un solo clic del ratón, puede: • Filtrar la vista para centrarse en los ordenadores con protección obsoleta o con alertas de programas maliciosos, lo que le proporciona una visibilidad instantánea de las zonas de la red que precisan de su atención. • Ajustar los umbrales del panel de control en los que cambiarán los colores de estado. • Activar alertas automáticas por correo electrónico que se enviarán cuando los valores se aproximen a los umbrales de seguridad que haya definido. Gracias a estas funciones, no tendrá que iniciar sesión en la consola para recibir alertas sobre posibles problemas de seguridad. De forma predeterminada, las alertas de malware también se muestran en el escritorio de los ordenadores en los que se hayan detectado programas maliciosos, PUA o aplicaciones no autorizadas. También es posible que tanto usted como un grupo específico de usuarios reciba alertas de SNMP y por correo electrónico si se detecta un virus, una PUA o un error en cualquiera de los ordenadores de un grupo. Todos los virus que se detecten en el ordenador se mostrarán en forma de hipervínculos, que permitirán acceder a la entrada relevante de la biblioteca de virus del sitio Web de Sophos. Seguimientos de los eventos críticos Cuando se produce un evento de control de aplicaciones, cortafuegos, control de datos o control de dispositivos en una estación de trabajo, como por ejemplo que el cortafuegos haya bloqueado una aplicación, dicho evento se envía a Enterprise Console y se puede visualizar en el visor de eventos respectivo. Figura 3: Panel de control de seguridad de Sophos Enterprise Console Mediante los visores de eventos, puede investigar los eventos que se hayan producido en la red de forma rápida y fácil. También puede generar una lista de eventos basada en un filtro que haya configurado, por ejemplo una lista de todos los eventos de control de datos correspondientes a los últimos siete días y que haya generado un usuario determinado. El número de ordenadores con eventos por encima de un umbral especificado en los últimos siete días se muestra en el panel de control. También puede configurar alertas para que se envíen a los destinatarios que haya seleccionado cuando se produce un evento. 10 Panel de control de consulta rápida La posibilidad de visualizar zonas problemáticas de forma rápida constituye una gran ventaja, y se envían alertas automáticas por correo electrónico cuando se alcanzan los umbrales de seguridad. 2 Una sola consola central automatizada Sophos Enterprise Console vistas inteligentes Limpieza dirigida La limpieza de una red de grandes dimensiones después de un ataque puede ser una tarea costosa y para la que se necesite mucho tiempo. Enterprise Console ofrece una limpieza centralizada y remota de archivos, entradas de registro y procesos en ejecución. Smart Views proporciona una vista completa del estado de seguridad de todos los ordenadores de la red desde una única consola, lo que le permite visualizar y solucionar los problemas solamente de los ordenadores que necesitan atención, por ejemplo los que tienen una protección obsoleta o los que no cumplen las políticas. Figura 4: Smart Views Sophos Update Manager Actualizaciones rápidas gestionadas desde un solo punto Sophos Update Manager garantiza que la red esté protegida en todo momento mediante la actualización automática del software de seguridad de Sophos. Con Enterprise Console se instala y se gestiona un gestor de actualizaciones. Una vez que haya configurado un gestor de actualizaciones, éste: • Se conecta con una frecuencia programada a un almacén de distribución de datos de Sophos o de la red. • Descarga las actualizaciones relevantes para el software de seguridad al que se ha suscrito el administrador. • Coloca el software actualizado en una o más unidades compartidas de red para su instalación en las estaciones de trabajo. A su vez, las estaciones de trabajo se actualizarán automáticamente a partir de estas unidades compartidas de red de acuerdo con la política de actualización que haya configurado. 11 Guía de producto de Sophos Endpoint Security and Data Protection ActivePolicies Configuración y aplicación de políticas simplificada Gracias a Sophos ActivePolicies™, puede crear y desplegar políticas en toda la red de forma rápida e intuitiva, independientemente de los grupos, lo que le permite desplegar una política en varios grupos de modo simultáneo. ActivePolicies simplifica la aplicación de políticas en siete aspectos clave. Figura 5: ActivePolicies Actualización de políticas Enterprise Console le permite mantener sus ordenadores actualizados con la protección más reciente. Puede configurar la hora a la que las diferentes partes de la red se actualizarán y la ubicación a la que se conectarán los ordenadores para obtener las actualizaciones. Esta función es especialmente útil si su organización cuenta con grandes redes que abarquen varias zonas horarias o personal que trabaje con sus ordenadores a horas distintas, en particular ordenadores portátiles remotos que se conecten a la red. La posibilidad de controlar la configuración de las actualizaciones automáticas también le permite minimizar el efecto de las actualizaciones en el rendimiento de la red. La configuración de los parámetros de suscripción del software le permite especificar qué versiones del software para estaciones de trabajo se descarga desde Sophos para cada plataforma. En la suscripción predeterminada se incluye el software más reciente para Windows 2000 y versiones posteriores. También puede regular el ancho de banda, para evitar que los ordenadores utilicen todo el ancho de banda para las actualizaciones cuando lo necesitan para otras tareas, por ejemplo para descargar correos electrónicos. 12 2 Una sola consola central automatizada Sophos Enterprise Console Políticas de antivirus e HIPS: virus, programas espía, PUA y prevención contra intrusiones El despliegue de nuestra protección antivirus también le ofrece un completo sistema de prevención de intrusiones en el host (HI PS) sin necesidad de una instalación y configuración complejas. Ofrece escaneado en tiempo de ejecución, protección contra desbordamientos del búfer y una protección previa a la ejecución exclusiva que permiten detectar de forma proactiva el malware y archivos y comportamientos sospechosos. La política le permite configurar un amplio abanico de opciones de escaneado para toda la red. Puede especificar los requisitos de escaneado en acceso, en demanda, programado y Web, y puede optar por excluir tipos de archivos específicos cuando se sabe que no representan ninguna amenaza. De forma predeterminada, los ordenadores utilizarán la siguiente política estándar: • Escanear todos los archivos que sean vulnerables a los programas maliciosos. • Denegar el acceso a cualquier archivo que contenga un virus, programas espía, etc. • Mostrar una alerta en el escritorio de los ordenadores en los que se detecte un virus o una PUA. Figura 6: Configuración de la política antivirus e HIPS 13 Guía de producto de Sophos Endpoint Security and Data Protection Políticas de control de aplicaciones Las aplicaciones como VoIP, mensajería instantánea y P2P son cada vez con mayor frecuencia la causa de problemas legales, de seguridad y de productividad en las empresas; por lo tanto, se solicita a los departamentos informáticos que controlen su instalación y uso no autorizados. Sophos integra la detección de dichas aplicaciones controladas junto con la detección de malware y PUA , lo que permite controlarlas sin necesidad de adquirir, instalar o gestionar un producto independiente. Todas las aplicaciones controladas están autorizadas de forma predeterminada, pero puede utilizar Enterprise Console para configurar políticas para grupos de estaciones de trabajo a fin de reflejar los requisitos de seguridad de ubicaciones o departamentos específicos. Por ejemplo, es posible restringir el uso de aplicaciones de VoIP en ordenadores de escritorio, pero permitirlo en ordenadores remotos. Para bloquear una aplicación, sólo tiene que mover la aplicación en cuestión a la columna de aplicaciones bloqueadas. La lista de aplicaciones controladas la suministra Sophos y se actualiza regularmente. No puede agregar aplicaciones nuevas a la lista, pero puede enviar una solicitud a Sophos para que se incluya una nueva aplicación legítima que desee controlar en su red. Para ver una lista completa de las aplicaciones que puede controlar, visite: http://www.sophos.com/security/analyses/controlled-applications/ Entre las aplicaciones controlables se incluyen: • VoIP • Mensajería instantánea • Software para intercambio de archivos • Proyectos de informática distribuida • Barras de herramientas con motor de búsqueda • Reproductores multimedia • Navegadores de Internet • Juegos (Windows y juegos de varios jugadores) • Aplicaciones de virtualización • Herramientas de administración remota • Aplicaciones de asignación • Programas de correo electrónico • Almacenamiento en línea • Herramientas de cifrado Figura 7: Control de las aplicaciones – control sencillo del software no autorizado 14 2 Una sola consola central automatizada Sophos Enterprise Console Políticas de control de dispositivos El control de dispositivos puede ayudar a reducir de forma significativa su exposición a las pérdidas accidentales de datos y limitar las posibilidades de los usuarios de introducir software y programas maliciosos desde el exterior del entorno de red. Integrado en el agente para estaciones de trabajo de Sophos, le permite controlar tres tipos de dispositivos: • Almacenamiento: Dispositivos de almacenamiento extraíbles (unidades de memoria USB, lectores de tarjeta de PC y unidades de disco duro externo), unidas ópticas (unidades de CD-ROM/DVD/Blu-ray), unidades de disquete y dispositivos de almacenamiento extraíbles seguros • Red: Módems y protocolos inalámbricos (interfaces Wi-Fi, estándar 802.11) • Corto alcance: interfaces Bluetooth y de infrarrojos (interfaces de infrarrojos IrDA) Figura 8: Control de dispositivos – control granular de dispositivos de almacenamiento extraíbles De forma predeterminada, el control de dispositivos está desactivado y se permiten todos los dispositivos. Si desea activar el control de dispositivos por primera vez, Sophos le recomienda que: • Seleccione los tipos de dispositivos que desea controlar. • Detecte los dispositivos sin bloquearlos. • Utilice los eventos de control de dispositivos para decidir qué tipos de dispositivos tiene que bloquear y qué dispositivos deben excluirse, si es necesario. • Detecte y bloquee los dispositivos o permita acceso de sólo lectura a los dispositivos de almacenamiento. Cada tipo de dispositivo admite excepciones de instancia y modelo de dispositivo. Ello significa que una unidad de memoria USB que pertenezca al departamento informático se puede excluir de la política de bloqueo de los dispositivos de almacenamiento extraíbles. Las excepciones se pueden gestionar con facilidad mediante el visor de eventos de control de dispositivos de Sophos Enterprise Console. Le permite filtrar y revisar rápidamente los eventos generados por la política de control de dispositivos y autorizar dispositivos mediante su exención de la política. 15 Guía de producto de Sophos Endpoint Security and Data Protection También puede reducir de forma significativa el riesgo de transición de red entre una red corporativa y una red no corporativa. El modo de transición bloqueada está disponible para tipos de dispositivos inalámbricos y de módem. Este modo funciona mediante la desactivación de los adaptadores de red inalámbricos o de módem cuando una estación de trabajo se conecta a una red física (normalmente por medio de una conexión Ethernet). Una vez que la estación de trabajo se desconecta de la red física, los adaptadores de red inalámbricos o de módem se vuelven a activar sin problemas. Figura 9: Control de dispositivos – prevención de la transición de red Políticas de control de datos El despliegue de una solución de DLP independiente para ofrecer protección contra la pérdida accidental de datos confidenciales puede ser laboriosa y costosa, y puede afectar de forma significativa el rendimiento del sistema de las estaciones de trabajo. Sophos elimina este problema mediante la integración del escaneado de información confidencial en el agente para estaciones de trabajo, lo que facilita las tareas de configuración, despliegue y gestión. Puede supervisar y controlar la transferencia de archivos a dispositivos de almacenamiento especificados (por ejemplo un dispositivo de almacenamiento extraíble o una unidad óptica) o por parte de aplicaciones de Internet especificadas (por ejemplo un cliente de correo electrónico, un navegador o una aplicación de mensajería instantánea) sin tener que desplegar una solución independiente y otro agente para estaciones de trabajo. Sophos proporciona una serie de normas de control de datos preconfiguradas que abarcan desde números de identificación nacionales hasta marcadores de documentos confidenciales. Puede utilizar estas reglas de forma inmediata o bien personalizarlas para satisfacer sus propias necesidades. 16 2 Una sola consola central automatizada Sophos Enterprise Console Hay dos tipos de norma de control de datos: • regla de identificación de archivos: especifica la acción que se lleva a cabo si el usuario intenta transferir un archivo con el nombre de archivo o del tipo de archivo especificado (categoría de tipo de archivo verdadero, por ejemplo una hoja de cálculo) al destino especificado, por ejemplo bloquear la transferencia de bases de datos a dispositivos de almacenamiento extraíbles. • regla de contenido: contiene una o más definiciones de datos y especifica la acción que se realiza si el usuario intenta transferir datos que coincidan con todas las definiciones de la regla al destino especificado. Figura 10: Control de datos – reglas de políticas preconfiguradas Para simplificar la creación de políticas, SophosLabs mantiene una amplia biblioteca de definiciones globales de datos confidenciales (listas de control de contenido) que abarca información de identificación personal (PII), como por ejemplo números de tarjeta de crédito, números de seguridad social, direcciones postales o direcciones de correo electrónico. Estas definiciones utilizan un amplio abanico de técnicas para garantizar una detección precisa. SophosLabs las perfecciona continuamente y en las actualizaciones mensuales de datos de las estaciones de trabajo se incluirán nuevas definiciones. Puede crear sus propias listas específicas para su organización, por ejemplo con números de referencia de clientes o marcadores específicos de documentos confidenciales. Figura 11: Control de datos – listas de control de contenido 17 Guía de producto de Sophos Endpoint Security and Data Protection Hay varias acciones que se pueden llevar a cabo cuando se produce una coincidencia con una regla de control de datos: • Permitir la transferencia de archivos y registrar el evento • Permitir la transferencia tras su aceptación por parte del usuario y registrar el evento • Bloquear la transferencia y registrar el evento De forma predeterminada, cuando se produce una coincidencia con una regla y la transferencia de archivos se bloquea o se necesita la confirmación del usuario para la misma, aparecerá un mensaje en el escritorio de la estación de trabajo. Puede añadir fácilmente sus propios mensajes personalizados a los mensajes estándar de confirmación de la transferencia de archivos por parte del usuario y de bloqueo de la transferencia de archivos. La acción de “autorizar la transferencia tras la aceptación del usuario” se puede utilizar para informar a los usuarios de que los datos que están transfiriendo pueden infringir una de las políticas de la empresa sin que ello evite la realización de su trabajo. La decisión de los usuarios finales se audita y se puede revisar más adelante. Figura 12: Control de datos – notificación de autorización del usuario final Cuando se produce un evento de control de datos, como por ejemplo la copia de un archivo con datos confidenciales a una unidad de memoria USB, el evento se envía a Enterprise Console y se puede visualizar en el visor de eventos de control de datos. El número de ordenadores con eventos de control de datos por encima de un umbral especificado en los últimos siete días también se mostrará en el panel de control. Políticas de cortafuegos De forma predeterminada, Sophos Client Firewall está activado para todos los ordenadores de todos los grupos y bloquea todo el tráfico no esencial. Se suministra con un conjunto de políticas seguras predeterminadas, que se pueden cambiar fácilmente para satisfacer sus requisitos empresariales concretos. Todos los aspectos de la configuración del cortafuegos se pueden gestionar de forma centralizada (consulte la sección 3 para obtener más información sobre Sophos Client Firewall). El modo de “sólo alerta” le permite implantar el cortafuegos en toda la infraestructura para recopilar información sobre todas las aplicaciones que se utilizan en la red. Esta información se enviará a la consola y podrá utilizarla para elaborar una política que no afecte la productividad de sus usuarios, antes de distribuir una política “activa”. 18 2 Una sola consola central automatizada Sophos Enterprise Console Puede configurar diferentes políticas de seguridad por ubicación para garantizar la protección de los ordenadores portátiles dentro y fuera de la oficina. La ubicación del ordenador portátil se detecta mediante DNS o la dirección MAC de la puerta de enlace. Figura 13: Cortafuegos según la ubicación Políticas de control de acceso a la red Las políticas de NAC se controlan mediante NAC Manager, que se abre desde el botón del menú NAC situado en la parte superior de la consola, o al hacer doble clic en una política de NAC. Endpoint Security and Data Protection viene preconfigurado con políticas para ordenadores gestionados y no gestionados. NAC Manager proporciona funciones adicionales de edición de políticas, generación de informes, control de acceso y configuración del sistema y está dividido en cuatro zonas principales de navegación funcional: Gestionar, Aplicar, Informe y Configurar sistema. Figura 14: La interfaz de usuario de gestión de NAC proporciona una vista resumida del cumplimiento en toda la red 19 Guía de producto de Sophos Endpoint Security and Data Protection • Gestionar: proporciona componentes para la edición y la gestión de políticas y para la gestión de ordenadores. • Aplicar: permite controlar el acceso a la red mediante plantillas de acceso y exenciones. • Informe: ofrece una serie de informes para solucionar los problemas de cumplimiento y acceso a la red. • Configurar: permite controlar los componentes necesarios para la gestión del sistema, la configuración y los parámetros de servidor. Después de iniciar sesión, puede acceder a una vista inmediata del cumplimiento global de la organización. La tabla de cumplimiento actual ofrece una vista instantánea del número de ordenadores de la red que cumplen la política de seguridad y cuántos la cumplen de forma parcial o no la cumplen. En una segunda tabla se muestra la tendencia de cumplimiento reciente. Políticas predefinidas para ordenadores gestionados y no gestionados Las políticas le ofrecen la posibilidad de controlar el acceso de grupos específicos a recursos de red en función de la evaluación de seguridad del ordenador individual de cada usuario. También determinan el cumplimiento del ordenador, los mensajes que se muestran, las acciones de corrección que se realizan y las acciones de cumplimiento que se llevan a cabo. Figura 15: Las políticas preconfiguradas permiten evaluar el cumplimiento de seguridad en los ordenadores 20 2 Una sola consola central automatizada Sophos Enterprise Console Hay tres políticas de NAC predefinidas: Importante • Predeterminada: la política predeterminada está pensada para poder evaluar y controlar los clientes gestionados rápidamente. Todos los grupos nuevos de Enterprise Console y todos los clientes a los que no se haya asignado una política, o que no puedan encontrar la política que se les haya asignado, adoptarán la política predeterminada. Esta política predeterminada cuenta con Sophos Anti-Virus, Sophos SafeGuard Encryption, Sophos Client Firewall, Microsoft/Windows Update y MS Windows Firewall XP SP2/Vista. Para evaluar por completo la funcionalidad de NAC de Sophos, descargue e instale el componente NAC Manager desde www.sophos.com/downloads/ (las credenciales de evaluación le darán acceso a esta zona). • Gestionada: la política gestionada es idéntica a la política predeterminada. De este modo puede modificar una de estas políticas y probarla antes de asignarla a los equipos. • No gestionada: la política no gestionada se aplica a los ordenadores que se incorporan a la red de forma temporal y se evalúan mediante el agente soluble basado en Java. Está preconfigurada para evaluar varios productos de seguridad de terceros, entre los que se incluyen aplicaciones muy utilizadas contra programas espía, antivirus y de cortafuegos, además de Windows o Microsoft Update. Entre los proveedores se incluyen Sophos, Microsoft, Trend Micro, McAfee, Symantec/Norton, F-Secure, Panda, Spybot y Ad-Aware, entre otros. retransmisión de mensajes Escalabilidad significativa Sophos Endpoint Security and Data Protection se ha creado para ofrecer una elevada escalabilidad, para que pueda gestionar decenas de miles de ordenadores desde una sola consola. Se consigue una escalabilidad todavía mayor mediante retransmisiones de mensajes que permiten que los ordenadores de la red actúen como retransmisores hacia Enterprise Console. Esta función reduce el tráfico de red y la carga en el servidor de gestión y permite que las organizaciones muy grandes puedan gestionar decenas de miles de ordenadores. informes Generación de informes personalizados y programados Una generación de informes en demanda, integrada y en toda la red es fundamental para mantener la seguridad. Enterprise Console ofrece varios informes con información textual y gráfica sobre diversos aspectos de la seguridad de la red. Estos informes se pueden utilizar de forma inmediata o se pueden configurar fácilmente para adaptarse a sus necesidades. Tipos de informe estándar: • Alertas por nombre de elemento • Alertas por ubicación • Alertas por hora • Historial de alertas • Resumen de alertas • Incumplimiento de las políticas de estaciones de trabajo • Protección gestionada de estaciones de trabajo • Jerarquía de actualización • Eventos por usuario 21 Guía de producto de Sophos Endpoint Security and Data Protection Los informes se pueden generar en forma de tabla y de gráfico, incluidos gráficos circulares, y se pueden exportar con varios formatos de archivo: PDF (Acrobat), HTML, MS Excel, MS Word, RTF, CSV y XML. Con Report Manager podrá crear rápidamente un informe basado en una plantilla existente, modificar la configuración de un informe existente y programar un informe para que se ejecute a una hora específica y con una frecuencia determinada (una vez, diaria, semanal, mensual), y hacer que los resultados se envíen por correo electrónico de forma automática a los destinatarios seleccionados. Figura 16: Programación de informes También puede generar informes adicionales que le permiten ver información sobre cualquier ordenador individual. Al hacer doble clic en el nombre del ordenador, aparecerá un cuadro de diálogo con información, como por ejemplo la dirección IP, el nombre de usuario y la fecha del último escaneado. administración basada en funciones Delegación de la gestión para reducir la carga administrativa La combinación de funciones configurables, derechos y subentornos en Endpoint Security and Data Protection ofrece flexibilidad en la administración de la seguridad en todo el entorno. Gracias a la administración basada en funciones, puede configurar el acceso a Enterprise Console, lo que le permite compartir la administración con equipos o personas específicos, por medio del uso de funciones preconfiguradas o la creación de sus propias reglas. Por ejemplo, un técnico del servicio de asistencia puede actualizar o limpiar ordenadores pero no puede configurar políticas, responsabilidad que corre a cargo de un administrador. Para configurar el acceso, simplemente tiene que configurar las funciones necesarias, agregar derechos específicos y asignar usuarios y grupos de Windows a las funciones relevantes. 22 2 Una sola consola central automatizada Sophos Enterprise Console Hay cuatro funciones preconfiguradas: Administrador de sistemas: función preconfigurada que dispone de todos los derechos para gestionar el software de seguridad de Sophos en la red y las funciones en Enterprise Console. La función de administrador de sistemas no se puede modificar ni suprimir. Administrador: función preconfigurada que dispone de derechos para gestionar el software de seguridad de Sophos en la red, pero que no permite gestionar las funciones en Enterprise Console. La función de administrador se puede cambiar de nombre, modificar o suprimir. Asistencia técnica: función preconfigurada que sólo dispone de derechos de corrección, por ejemplo para limpiar o actualizar ordenadores. La función de asistencia técnica se puede cambiar de nombre, modificar o suprimir. Invitado: función preconfigurada que dispone de acceso de sólo lectura a Enterprise Console. La función de invitado se puede cambiar de nombre, modificar o suprimir. Figura 17: Gestión de la administración basada en funciones Gestión del sub-entorno Mediante la división del entorno de TI en sub-entornos, también puede limitar los ordenadores y los grupos en los que los usuarios pueden realizar operaciones. Puede controlar el acceso a los sub-entornos mediante la asignación de usuarios y grupos de Windows a dichos entornos. Los usuarios sólo pueden ver los grupos y los equipos relevantes a su sub-entorno. Los informes también son específicos para el sub-entorno. Las políticas sólo serán aplicables al sub-entorno en el que se crearon, y los administradores no podrán modificar políticas que sean aplicables fuera de su sub-entorno. Para la generación de informes, los administradores sólo pueden configurar y generar informes aplicables a su propio sub-entorno. Un administrador de sistemas con derechos plenos puede generar informes en todo el entorno de TI. almacenamiento de información escalable ntegración con Microsoft SQL Server Enterprise Console se integra de forma estándar con MSDE (Microsoft SQL Server Desktop Engine) para almacenar información de gestión. Si su organización es grande, puede interesarle utilizar Microsoft SQL Server, que cuenta con una funcionalidad mejorada y una mayor escalabilidad para redes de grandes dimensiones. 23 Guía de producto de Sophos Endpoint Security and Data Protection Sophos Endpoint Security and Data Protection 3 Protección de ordenadores Windows Sophos Endpoint Security and Data Protection protege su red Windows con Sophos Endpoint Security and Control para Windows, Sophos NAC, SafeGuard Disk Encryption y Sophos Client Firewall. SEGURIDAD Y CONTROL DE ESTACIONES DE TRABAJO DE SOPHOS PARA WINDOWS Con productos concebidos para redes corporativas, Sophos ofrece mucho más que protección anti-malware, e incorpora nuestro sistema de prevención de intrusiones en el host (HIPS) junto con el control de dispositivos de almacenamiento extraíbles, aplicaciones no autorizadas y la transferencia de datos confidenciales. El agente único para estaciones de trabajo elimina la dependencia en distintos productos independientes y ofrece: • Antivirus e HIPS (que bloquea virus, programas espía y publicitarios, PUA y archivos y comportamientos sospechosos) • Control de aplicaciones (que evita la instalación y el uso de aplicaciones no autorizadas) • Control de dispositivos (que gestiona el uso de dispositivos de almacenamiento extraíbles y protocolos de redes inalámbricas) • Control de datos (que escanea la transferencia de datos confidenciales desde la estación de trabajo) • Cortafuegos (que protege contra los ciberdelincuentes y la comunicación no autorizada entre aplicaciones) Figura 18: El agente único para estaciones de trabajo reduce significativamente el efecto sobre el rendimiento del sistema 24 3 Protección de ordenadores Windows Sophos Anti-virus y Sophos Client Firewall Prevención de intrusiones Sophos Endpoint Security and Control para Windows cuenta con funciones completas de prevención de intrusiones (HIPS), que garantizan una protección reactiva sin tener que realizar la compleja instalación y configuración de un producto independiente. Se combinan varias tecnologías de detección preventiva para garantizar que la red esté protegida frente a las actuales amenazas mixtas y específicas de día cero: • La tecnologíaGenotype® proporciona protección de día cero y puede reconocer familias y variantes de virus conocidos, lo que permite bloquearlas de forma preventiva incluso antes de que haya disponible una detección específica • La protección Behavioral Genotype® protege automáticamente contra amenazas nuevas y específicas mediante el análisis del comportamiento antes de la ejecución del código • Las tecnologías de HIPS integradas, con detección de archivos sospechosos previa a la ejecución, análisis de comportamientos sospechosos en tiempo de ejecución y la protección contra desbordamientos del búfer, se combinan para detectar programas maliciosos y comportamientos y archivos sospechosos. Mayor velocidad de inspección con Decision Caching Decision Caching™ , la tecnología de escaneado en acceso de alto rendimiento de Sophos Endpoint Security and Control para Windows, optimiza el rendimiento, ya que se asegura de que los archivos nuevos o modificados sean los únicos que se escanean en busca de amenazas. Además, gracias a la tecnología de reconocimiento inteligente de archivos, sólo se escanean los archivos que pueden contener malware. Los usuarios remotos pueden realizar escaneados en demanda de archivos individuales o de todo el ordenador antes de volver a conectarse a la red principal, con lo que se proporciona un nivel de seguridad adicional. Quarantine Manager Quarantine Manager permite el traslado o la eliminación de archivos infectados y le permite bloquear PUA y aplicaciones controladas de forma selectiva. Figura 19: Quarantine Manager 25 Guía de producto de Sophos Endpoint Security and Data Protection Control de aplicaciones Mientras algunas aplicaciones pueden mejorar la eficacia, otras pueden distraer a los usuarios de sus tareas empresariales y hacer perder ancho de banda y potencia de procesamiento valiosos. Además, como resultado del rápido crecimiento de los ataques de malware basado en el intercambio de archivos y mensajería instantánea, y de las normativas que hacen que el mantenimiento y la protección de datos sea un requisito legal, la necesidad de controlar la instalación de aplicaciones no autorizadas es cada vez más importante. Sophos integra el control de aplicaciones en el agente para estaciones de trabajo, lo que le ofrece la opción de autorizar o bloquear aplicaciones de forma selectiva, a nivel central o de la estación. También puede bloquear o autorizar aplicaciones para diferentes grupos de ordenadores mediante la utilización de ActivePolicies en Sophos Enterprise Console (consulte el capítulo 2). Por ejemplo, puede bloquear la voz sobre IP para los ordenadores de la oficina, pero puede autorizarla en los ordenadores remotos. Control de dispositivos Nuestra tecnología de control de dispositivos le ayuda a reducir el riesgo de pérdida de datos y de infección causada por programas maliciosos, ya que le permite controlar los dispositivos de almacenamiento extraíbles y los protocolos de redes inalámbricas. Integrada en el agente único para estaciones de trabajo, no depende de ningún puerto específico y admite cualquier puerto que se utilice para la conexión de dispositivos, como por ejemplo las interfaces USB, FireWire, SATA y PCMIA. Inicialmente, la política de control de dispositivos se puede situar en un modo de sólo notificación que le permite visualizar el uso de dispositivos en todo el entorno sin bloquear ninguno de ellos, antes de configurar e desplegar una política de control en los grupos relevantes. Cada tipo de dispositivo se puede autorizar (parámetro predeterminado) o bloquear. Los dispositivos de almacenamiento también se pueden colocar en un modo de “sólo lectura”, que significa que se pueden leer datos desde el dispositivo pero que no se puede grabar información en el mismo. Este modo puede ser especialmente útil para unidades de memoria USB y unidades de CD/DVD. Para las interfaces de red, un modo de “Bloqueo de transición” evita la transición de red y desactiva la interfaz inalámbrica del ordenador cuando dicho ordenador se conecta a la red de forma física, por ejemplo mediante un cable Ethernet. Una vez que se desconecta el cable, la interfaz inalámbrica se activa. Control de datos Sophos es el primer proveedor que integra escaneado de contenido DLP en el agente para estaciones de trabajo, lo que reduce el efecto sobre el rendimiento del sistema con un solo agente que escanea en busca de datos confidenciales y malware, que además facilita las tareas de configuración, despliegue y gestión. Le ofrece la posibilidad de supervisar los casos en los que los usuarios transfieren datos confidenciales, por ejemplo información de identificación personal (PII) o documentos confidenciales de la empresa, a dispositivos de almacenamiento extraíbles o a aplicaciones de Internet, lo que le ayuda a evitar la pérdida accidental de datos. La configuración de políticas resulta muy fácil, gracias a una serie de reglas preconfiguradas de control de datos que puede utilizar de forma inmediata o que puede modificar para adaptarlas a sus propias necesidades. 26 3 Protección de ordenadores Windows Sophos Anti-virus y Sophos Client Firewall SophosLabs también mantiene una amplia biblioteca de definiciones globales de datos confidenciales (listas de control de contenido) que abarca información de identificación personal (PII), como por ejemplo números de tarjeta de crédito, números de seguridad social, direcciones postales o direcciones de correo electrónico, y que le ayuda a proteger sus datos confidenciales con mayor rapidez. Puede crear sus propias listas específicas para su organización, por ejemplo con números de referencia de clientes o marcadores específicos de documentos confidenciales. Sophos NAC Evaluación y control de sus estaciones de trabajo Windows Sophos NAC evalúa el cumplimiento de los ordenadores que intentan conectarse a la red en relación a una política de seguridad definida. La funcionalidad de cumplimiento de las estaciones de trabajo le permite asegurarse de que todos los ordenadores cuenten con una protección adecuada mediante: • La comprobación de que el antivirus y otras aplicaciones de seguridad estén correctamente configuradas y actualizadas. • La comprobación de que los service packs del sistema operativo Microsoft Windows estén actualizados. • La comprobación de que Microsoft Windows y/o Microsoft Update esté activo. • Incluye políticas independientes que se pueden configurar para ordenadores gestionados, invitados y de contratistas. Opciones de cumplimiento para controlar el acceso a la red Sophos NAC utiliza funciones de cumplimiento basadas en el agente para controlar los ordenadores gestionados e interactúa directamente con Microsoft DHCP para evitar que ordenadores no gestionados o no autorizados accedan a la red. La evaluación de las estaciones de trabajo corre a cargo de: • El agente de cuarentena de cumplimiento de Sophos NAC (residente en el cliente) • El agente soluble de cumplimiento de Sophos NAC (componente de Java descargable) El agente de cuarentena de cumplimiento de Sophos NAC, que se despliega desde Sophos Enterprise Console, permite evaluar y controlar los ordenadores gestionados, antes y durante una sesión de red, en un intervalo que se puede especificar. Este agente proporciona auto cuarentena para ordenadores que no cumplan las políticas. El agente soluble de cumplimiento de Sophos NAC proporciona la misma evaluación antes de acceder a la red para ordenadores no gestionados con conexión LAN. Está pensado para usuarios que no tienen o no pueden tener un agente instalado en la estación de trabajo pero que, a pesar de ello, tienen que acceder a recursos de red específicos, como por ejemplo contratistas o invitados. Sophos NAC se integra con Microsoft DHCP para proteger la red de ordenadores conectados a través de LAN mediante el uso de la infraestructura existente de Microsoft DHCP de la empresa, lo que permite que Sophos NAC pueda poner en cuarentena los ordenadores no autorizados o que no cumplan las políticas. 27 Guía de producto de Sophos Endpoint Security and Data Protection SOPHOS CLIENT FIREWALL Sophos Client Firewall se integra en el agente para estaciones de trabajo y facilita el despliegue, configuración, actualización y gestión desde Enterprise Console. Bloquea ordenadores de forma proactiva, protege redes contra amenazas conocidas y nuevas, como gusanos de Internet, ciberdelincuentes y comunicación entre aplicaciones no autorizada. Las funciones que previenen el control de aplicaciones y los ataques de suplantación garantizan que Sophos Client Firewall ofrezca una mejor protección que los simples cortafuegos que ofrecen muchos otros fabricantes de seguridad. Figura 20: Protección de día cero Protección de día cero contra amenazas conocidas y nuevas Sophos Client Firewall ofrece protección de día cero, es decir, bloquea la brecha de seguridad que existe entre una nueva amenaza emergente y la protección que se despliega. Protege todos los ordenadores de la empresa contra amenazas cada vez más complejas y más rápidas a la hora de propagarse, y previene los brotes víricos antes de que afecten la actividad de la empresa. Bloqueo proactivo Sophos Client Firewall ofrece protección contra los gusanos de red y de Internet, los ciberdelincuentes y el riesgo que representan los ordenadores no protegidos que se conectan a la red, ya que bloquea los ordenadores de forma proactiva, tanto los que están en la oficina como los ordenadores portátiles que se conectan a través de puntos de conexión inalámbrica y a través de conexiones de banda ancha de hoteles. Control y bloqueo de puertos para eliminar las amenazas Sophos Client Firewall detiene amenazas conocidas y nuevas, ya que controla puertos activos y cierra todos los puertos inactivos, lo que garantiza el bloqueo de gusanos de Internet y ciberdelincuentes. Tecnología de camuflaje: prevención de intrusiones de cibercriminales Los ciberdelincuentes utilizan el control de puertos para identificar y localizar ordenadores vulnerables con puertos abiertos. Lo realizan mediante el envío de solicitudes de conexión a través de Internet. La tecnología de camuflaje de Sophos evita que los ordenadores respondan a estas solicitudes, ya que esconden el ordenador y éste aparece inactivo para el mundo exterior. Esto proporciona un nivel adicional de protección, lo que garantiza la privacidad mediante la eliminación de la oportunidad para que identifiquen y localicen ordenadores vulnerables. 28 3 Protección de ordenadores Windows Sophos Anti-virus y Sophos Client Firewall Protección garantizada con conocimiento de la ubicación Sophos Client Firewall le permite configurar políticas diferentes para ubicaciones distintas según la ubicación en la que se utilicen los ordenadores, por ejemplo en la oficina (en la red) y fuera de la oficina. Enterprise Console aplicará parámetros de cortafuegos diferentes a los ordenadores en función de si se encuentran o no en la red. Esta configuración de ubicación doble es especialmente importante para equipos móviles, como por ejemplo ordenadores portátiles. Prevención de control de aplicaciones y ataques de suplantación El filtrado de aplicaciones se utiliza para controlar el comportamiento de la aplicación, ya que permite el acceso a Internet o a las redes solamente para las aplicaciones que cumplen con sus especificaciones. Sophos Client Firewall evita el control de aplicaciones, ya que supervisa las llamadas inapropiadas de las aplicaciones y del sistema, y el inicio de procesos escondidos. También utiliza un método de suma de verificación para evitar que los intentos de los programas espía y otros programas maliciosos se enmascaren como aplicaciones legítimas y, por lo tanto, evita el robo de información confidencial por Internet. El filtrado dinámico escanea paquetes de datos entrantes y salientes. Sophos Client Firewall utiliza el filtrado dinámico para mejorar la seguridad mediante el seguimiento de los paquetes para garantizar que sólo se permiten los paquetes legítimos. El seguimiento de los paquetes se realiza en orden para permitir una comunicación de respuesta limitada. Por ejemplo, si se envía un paquete saliente, sólo se permite el paso a través del cortafuegos de los paquetes entrantes procedentes del ordenador con el que se ha establecido comunicación (desde el puerto adecuado). Informe y registro centralizado El cortafuegos proporciona un informe centralizado a la consola de gestión. En este informe se incluyen las aplicaciones y el tráfico desconocidos, los procesos ocultos y los eventos de memoria modificados. De este modo se ofrece una forma sencilla de detectar los posibles puntos en los que podrían producirse problemas de seguridad. Además, el visor de registros del cortafuegos permite ver, filtrar y guardar los detalles de las conexiones que el cortafuegos ha permitido o bloqueado. Modo de sólo supervisión El cortafuegos se puede desplegar en todo el entorno en un modo de “sólo alerta”, y detectará todas las aplicaciones que se utilizan en la red (teniendo en cuenta cualquier configuración de LAN que haya realizado). Los resultados se envían a Enterprise Console. De este modo puede recopilar información sobre tráfico desconocido y perfeccionar las políticas de cortafuegos en consecuencia sin que ello afecte la productividad de los usuarios. Funcionamiento interactivo El cortafuegos puede funcionar en un modo de aprendizaje (interactivo), en el que solicita al usuario cómo debe gestionar el tráfico detectado. Si este modo está activado, el cortafuegos mostrará un mensaje emergente en la estación de trabajo cada vez que una aplicación o un servicio desconocido solicite acceso a la red. En el cuadro de diálogo de aprendizaje se pregunta al usuario si se debe permitir o bloquear el tráfico, o bien si se debe crear una regla para ese tipo de tráfico. 29 Guía de producto de Sophos Endpoint Security and Data Protection Sophos Anti-virus para Mac OS X, Linux y Unix 4 Protección de ordenadores que no utilizan Windows la necesidad de proteger ordenadores que no son de Windows Cada vez es más importante proteger ordenadores Mac, Linux, UNIX y de otros tipos. La capacidad que tienen los ordenadores que no son Windows para alojar y propagar virus para Windows, la aparición ocasional de virus dirigidos a Mac y Linux y los requisitos legales que exigen que todos los ordenadores estén protegidos colocan una carga cada vez más pesada en sus hombros. Sophos Anti‑Virus para Mac OS X, Sophos Anti‑Virus para Linux y Sophos AntiVirus para UNIX ofrecen una solución potente e intuitiva diseñada para servidores y ordenadores de escritorio y portátiles de empresas. SOPHOS ANTI-VIRUS PARA MAC OS X Sophos Anti-Virus para Mac OS X detecta virus, programas espía, troyanos y gusanos en tiempo real y a pedido, además de que limpia automáticamente el malware de Windows y Mac. Sophos Anti-virus para Mac OS X también detecta virus en archivos adjuntos comprimidos, entre ellos, archivos recursivos. Sophos Anti-virus para Mac OS X también detecta virus en archivos adjuntos comprimidos, entre ellos, archivos recursivos. Control de la gestión desde una plataforma Mac o Windows Sophos Anti-Virus para Mac se puede gestionar mediante Sophos Update Manager para Mac o Sophos Enterprise Console (Windows). No es necesario ejecutar ambas interfaces de administrador para garantizar que Sophos Anti-Virus para Mac OS X permanezca actualizado. Administración centralizada Enterprise Console permite configurar y gestionar la protección contra programas maliciosos para ordenadores Windows, Mac, Linux y UNIX de toda la red desde un punto central. Enterprise Console no necesita que haya un ordenador Windows disponible y ofrece una funcionalidad de gestión mejorada. Si utiliza una red formada únicamente por equipos Mac, Sophos Update Manager para Mac permite la actualización y configuración desde un solo ordenador Mac. Permite configurar las actualizaciones automáticas y elegir la forma de recepción de las notificaciones por correo electrónico. También puede determinar cómo se despliega el escaneado en ordenadores Mac de escritorio y portátiles, y posibilita la realización de una configuración centralizada y completa de los ajustes de escritorio. Actualización automática de SophosLabs Puede utilizar Sophos Enterprise Console o Sophos Update Manager para Mac OS X para gestionar la actualización del software y la protección. Puede especificar la dirección, el nombre de usuario y la contraseña necesarios para que los ordenadores se actualicen con los archivos de identidad de virus más recientes de SophosLabs. O bien, puede configurar los ordenadores para que se actualicen desde el CID (directorio de instalación central, que se configura en la red durante el proceso de instalación). 30 4 Protección de ordenadores que no son de Windows Sophos Anti-virus para Mac OS X, Linux y UNIX También puede permitir las actualizaciones a los usuarios remotos y móviles en cualquier ubicación mediante la red o Internet, ya sea desde el servidor principal, una copia de seguridad o directamente desde Sophos. Notificación automática de incidentes de virus El panel de control de seguridad de Enterprise Console muestra datos sobre riesgos de brotes y envía alertas por correo electrónico de forma automática cuando se producen brotes para que pueda tomar medidas con rapidez. Si utiliza Sophos Update Manager para Mac, también puede definir opciones de alerta basadas en los resultados del escaneado inmediato y del escaneado en acceso. Por supuesto puede seleccionar el destinatario del mensaje. Las alertas se almacenan si el remitente no está conectado y se reenvían cuando el remitente se conecta nuevamente a la red, de manera que ninguna se pierda. Gasto mínimo de recursos de escaneo Sophos Anti-Virus escanea archivos en demanda y en acceso, y reconoce de forma inteligente los tipos de archivos que no pueden infectarse para, de este modo, ahorrar recursos del sistema. Con Sophos Update Manager, es posible configurar una variedad de opciones de escaneo, por ejemplo, excluir ciertos archivos, y configurar las preferencias de las acciones a realizar si se encuentra una amenaza, por ejemplo, desinfectar o eliminar. SOPHOS ANTI-VIRUS FOR LINUX Sophos Anti-Virus para Linux ofrece un escaneo en acceso superior para los ordenadores de escritorio, portátiles y servidores de Linux, ya que presenta un excelente rendimiento, estabilidad y fiabilidad, además de soporte inmediato para la más amplia variedad de distribuciones de Linux. Administración central Los ordenadores Linux se pueden administrar desde Enterprise Console. El panel de control de seguridad muestra datos sobre riesgos de brotes y envía alertas por correo electrónico cuando los umbrales de seguridad están en peligro. Informa automáticamente sobre todos los incidentes víricos, lo que facilita aún más la administración diaria. Rápido despliegue en redes de Linux El sistema Red Hat Package Manager se puede usar para despliegues en entornos exclusivos de Linux, y la actualización y la configuración pueden realizarse, ya sea de forma remota desde la interfaz gráfica de usuario o de la interfaz de línea de comandos. Rendimiento, estabilidad y fiabilidad Talpa, el exclusivo módulo de interceptación de archivos de Sophos, ofrece una protección de gran calidad, ya que permite el escaneado en acceso, en demanda y programado de discos duros locales, unidades de medios, sistemas de archivos compartidos (como NFS y Samba) y sistemas de archivos distribuidos. Compatibilidad inmediata con la gama más amplia de kernels de Linux, incluidas las nuevas versiones de 64 bits. Esto permite cambiar, actualizar y compilar versiones cuando sea necesario, lo que garantiza la máxima protección. 31 Guía de producto de Sophos Endpoint Security and Data Protection Actualizaciones automáticas Las actualizaciones se descargan de forma automática y se distribuyen a través de Enterprise Console, en cascada desde los servidores web o directamente desde Sophos, lo que garantiza la protección total de todos los ordenadores de la red, incluidos los ordenadores portátiles remotos. SOPHOS ANTI-VIRUS FOR UNIX Sophos Anti-Virus para UNIX ofrece detección de virus y programas espía integrada y multiplataforma en servidores y equipos de escritorio y portátiles UNIX. El potente motor de detección analiza todos los puntos posibles de entrada para ofrecer una protección total de la red. Opciones de gestión sencillas Sophos Anti-Virus para UNIX puede gestionarse desde la línea de comandos o mediante Enterprise Console para Solaris 9 y 10 en SPARC e Intel (i386) y HPUX en Itanium 2, lo cual le otorga la flexibilidad necesaria. Escaneado de alto rendimiento El análisis y la desinfección pueden realizarse bajo demanda o de forma automática a intervalos programados, lo que implica un impacto mínimo en el rendimiento del sistema. La tecnología Decision CachingTM acelera el escaneado y minimiza el efecto en el rendimiento del sistema al comprobar sólo los archivos nuevos o modificados. Detección de amenazas de día cero antes de su ejecución La protección Behavioral Genotype® automáticamente protege contra amenazas desconocidas mediante el análisis del comportamiento de un programa antes de que se ejecute, con las ventajas de un sistema de prevención contra intrusiones (HIPS). Automatización y personalización de informes El administrador recibe informes sobre todos los incidentes víricos, lo que facilita aún más la gestión diaria. 32 Apéndice i Evaluación de Endpoint Security and Data Protection Apéndice i Evaluación de Endpoint Security and Data Queremos que esté totalmente convencido de que Sophos Endpoint Security and Data Protection protegerá mejor su red y le ofrecerá un mejor apoyo que cualquier otro proveedor de seguridad. Este apéndice contiene información sobre la documentación necesaria para evaluar nuestro software, sugiere una red de prueba y presenta una lista de comprobación integral para ayudarlo a considerar cada aspecto del software y el soporte que ofrecemos. Guía de inicio y manuales de usuario Antes de evaluar Sophos Endpoint Security and Data Protection, es necesario descargar la guía de inicio en red. Para obtenerla, vaya a: http://www.esp.sophos.com/support/docs/Endpoint_Security_Control-all.html Importante Si hay cualquier otro software antivirus instalado en la red de prueba, primero deberá desinstalarlo. Si tiene problemas para hacerlo, póngase en contacto con el departamento de asistencia técnica de Sophos. Los datos de contacto se pueden encontrar en www.sophos.com/support/queries RED DE PRUEBA Los productos de Sophos son compatibles con muchas plataformas, entre ellas UNIX, Linux y NetWare. Sin embargo, para evaluar las funciones de gestión centralizada de Enterprise Console necesitará como mínimo un ordenador Windows. Le sugerimos que incluya los siguientes elementos en la red de prueba: Una consola de gestión, es decir, un ordenador con Windows 2000/XP/2003. Al menos un cliente; recomendamos utilizar un ordenador de escritorio con Windows 2000/XP/2003/Vista/7. También será necesario contar con acceso a Internet. También puede interesarle incluir ordenadores que admitan plataformas Mac OS X, Linux y UNIX en la red de prueba, además de un ordenador independiente remoto para evaluar la función de actualización remota. 33 Guía de producto de Sophos Endpoint Security and Data Protection Requisitos del sistema Para más información, visite www.esp.sophos.com/products/all-sysreqs. html Requisitos del sistema de Enterprise Console Plataformas compatibles Windows 95/98/NT4/2000/XP/2003/ Vista/2008/7 Mac OS X Linux UNIX Hardware Mínimo: Pentium a 2.0 GHz o equivalente Servidor de administración Windows Server 2008 Windows Server 2003 y R2 Windows 2000 Server VMWare ESX VMWare Workstation VMWare Server Servidor de gestión de Sophos NAC Windows Server 2008 de 32 bits Windows Server 2003 y R2 de 32 bits Consola remota Windows Server 2008 Windows Server 2003 y R2 Vista Windows XP Professional Windows 2000 Professional o Server VMWare ESX VMWare Workstation VMWare Server Espacio en disco Mínimo: 150 MB MSDE: 2 GB SQL 2005: sin límite SQL 2008: sin límite SQL 2005 Express Edition: 4 GB SQL 2008 Express Edition: 4 GB SQL Server 2000: 2 GB Memoria Un mínimo de 512 MB Un mínimo de 1 GB si se ejecuta Sophos NAC Manager Requisitos del sistema del agente de cumplimiento de Sophos NAC Plataformas compatibles Windows 2000/XP/Vista Espacio en disco Mínimo: 20 MB Memoria Recomendada: 512 MB de RAM Requisitos del sistema de Sophos SafeGuard Disk Encryption Plataformas compatibles Windows 7/Vista/XP Espacio en disco Mínimo: 300 MB Memoria Windows 7/Vista: se recomienda 1 GB Windows XP: se recomiendan 512 MB 34 Apéndice i Evaluación de Endpoint Security and Data Protection Requisitos del sistema de Sophos Endpoint Security and Control para Windows Plataformas compatibles Windows Windows Windows Windows 95/98/NT4/2000 y 2000 Pro/XP Home y Pro/2003/Vista/2008/7 Netbooks XPe Embedded Standard WePOS VMWare ESX VMWare Workstation VMWare Server Espacio en disco Windows 2000/XP/2003/Vista/2008/7 Mínimo: 120 MB Windows Me/98/95/NT4 Mínimo: 90 MB Memoria Windows 2000/XP/2003/Vista/2008/7 Recomendada: 256 MB Windows Me/98/95 Recomendada: 64 MB Windows NT4 Recomendada: 256 MB Requisitos del sistema de Sophos Client Firewall Plataformas compatibles Windows 2000 Pro/XP Home y Pro/Vista/7 Espacio en disco Mínimo de 100 MB libres Memoria Recomendada: 320 MB de RAM Procesador Pentium class a 300 MHz Red de prueba para Sophos Anti-Virus para Mac OS X Tendrá que preparar una red de prueba con ordenadores con Mac OS X. También tendrá que designar a un ordenador que actuará como servidor y en el que se encontrará el directorio de instalación central (CID), una carpeta que se utiliza para descargar Sophos Anti‑Virus y desplegarlo en el resto de la red. El CID también alojará Sophos Update Manager, el cual mantiene actualizados los ordenadores de Mac OS X de la red con los archivos de identidad de virus (IDE) y configuraciones más recientes. Requisitos del sistema para Sophos Anti-Virus para Mac OS X Plataformas compatibles Mac OS X 10.2 o superior Espacio en disco Mínimo de 90 MB libres Memoria Recomendada: 128 MB de RAM Procesador Equipos Mac con procesadores Intel y PowerPC 35 Guía de producto de Sophos Endpoint Security and Data Protection Apéndice ii El “VIRUS” DE PRUEBA EICAR Acerca del archivo de prueba EICAR El archivo estándar EICAR* de prueba de antivirus es seguro para utilizar con fines de evaluación porque no es un virus y no incluye fragmentos de códigos de virus. Es un programa de DOS legítimo formado en su totalidad por caracteres ASCII imprimibles. El archivo permite simular de forma segura lo que sucede cuando Sophos Anti-Virus detecta un código malicioso. Cuando se intente ejecutar el archivo, será "detectado" como si fuera un virus real y se generarán mensajes de alerta (personalizables). Al utilizar el archivo EICAR, es posible observar los distintos tipos de informes que se pueden generar. Puede descargar una copia del archivo de prueba en www.eicar.org 36 Nota Dado que el archivo EICAR no es un virus real, Sophos Anti-Virus no puede limpiarlo y será necesario que suprima el archivo manualmente Apéndice i Evaluación de Endpoint Security and Data Protection Apéndice iii PRODUCTOS Y SERVICIOS DE SOPHOS Sophos Endpoint Security and Data Protection Sophos Email Security and Data Protection Sophos Email Security and Control ofrece una selección de soluciones de software y Email Appliances totalmente integradas que proporcionan una protección eficaz y inteligente contra virus, programas espía, troyanos, correo no deseado, contenido ofensivo y pérdida de datos. Sophos Web Security and Control Sophos Web Security and Control incluye el software requerido y una aplicación web totalmente integrada que protege contra la variedad completa de amenazas web, ya que presenta una infraestructura completa para una navegación segura por Internet y elimina la complejidad de una administración eficaz de la seguridad web. Sophos NAC Advanced Sophos NAC Advanced es una solución de software que le permite controlar las conexiones a la red. Sophos NAC Advanced está pensado para organizaciones que desean un control de políticas más avanzado que la funcionalidad de NAC que se obtiene con Endpoint Security and Data Protection. Sophos SafeGuard Enterprise SafeGuard Enterprise es una solución modular de control de la protección de datos que aplica una seguridad basada en políticas para ordenadores y dispositivos móviles en entornos mixtos. Es completamente transparente para los usuarios finales y es fácil de administrar desde una única consola central. SafeGuard Enterprise proporciona seguridad de datos de estaciones de trabajo en varios niveles al combinar el cifrado y la prevención de pérdidas de datos. SAV Interface SAV Interface™ permite que los proveedores de software, OEM, ISP y ASP integren funciones de detección de malware de Sophos en sus propios cortafuegos y puertas de enlace estándar del sector y en otras soluciones similares. Soluciones de Sophos para Pymes Las soluciones de Sophos para pymes proporcionan una protección galardonada contra virus, programas espía y correo no deseado a empresas con unos conocimientos informáticos mínimos o inexistentes. 37 Guía de producto de Sophos Endpoint Security and Data Protection Servicios de alerta de Sophos Servicio ZombieAlert™ de Sophos ofrece una alerta inmediatamente si ciberdelincuentes toman en control de algún ordenador de su empresa para enviar correo no deseado o iniciar ataques de denegación de servicio. www.sophos.com/products/enterprise/alert-services/zombiealert.html (en inglés) El servicio Sophos PhishAlert™ ofrece alertas rápidas, prácticamente en tiempo real, de campañas de suplantación de identidad, de manera que se puedan tomar las medidas necesarias para cerrar la imitación de un sitio web y proteger a los clientes de la empresa. www.sophos.com/products/enterprise/alert-services/zombiealert.html (en inglés) El servicio Sophos WebAlert™ proporciona una advertencia temprana si una página web de su dominio ha sido atacada por ciberdelincuentes o aloja programas maliciosos. www.sophos.com/products/enterprise/alert-services/zombiealert.html (en inglés) Servicios de asistencia técnica global de Sophos La asistencia técnica no se limita a la publicación de actualizaciones o a ofrecer ayuda con las instalaciones. También consiste en compartir nuestra experiencia para ofrecerle la mejor protección. Nuestro equipo de expertos en plantilla conoce las soluciones de Sophos y otras tecnologías de terceros. Cada vez que llame al servicio de asistencia técnica global de Sophos, le atenderá un empleado de Sophos totalmente cualificado, no un operador de un centro de llamadas en el extranjero. Soporte técnico Un equipo global de expertos de Sophos ofrece ayuda 24 horas todos los días del año para la instalación, configuración y actualización de los productos, y para resolver problemas técnicos. El soporte estándar de Sophos está disponible 24 horas, todos los días del año, y se incluye sin coste adicional en todas las licencias de suscripciones. En las licencias de por vida, el soporte estándar debe adquirirse por separado. El soporte Premium y el soporte Platino están disponibles por un coste adicional según la licencia y ofrecen acuerdos del nivel del servicio respaldados por sanciones. Servicios profesionales Los servicios profesionales de Sophos ofrecen los conocimientos necesarios para desplegar y mantener las soluciones de seguridad. Disponemos de servicios estándar y personalizados para ayudarle en lo que necesite. Nuestros servicios se pueden ofrecer in situ o de forma remota, y garantizan la mayor rentabilidad de la inversión de su organización en Sophos. Formación técnica Los cursos y talleres de formación técnica de Sophos en todo el mundo ayudan a las empresas a ocuparse de las amenazas en evolución y aumento. Los cursos tratan sobre la seguridad de estaciones, correo electrónico e Internet, y nuestros paquetes personalizados pueden ajustarse a sus necesidades. Para obtener más información, visite www.sophos.com/support/services 38 Appendix iiiOtros productos y servicios de Sophos Herramientas gratuitas Sophos ofrece varias herramientas que se pueden utilizar para reducir el número de vulnerabilidades y amenazas. Las descargas son gratuitas y utilizan nuestra tecnología e información más reciente. Sophos Computer Security Scan http://www.esp.sophos.com/products/free-tools/sophos-computer-security-scan.html Utilice el Sophos Computer Security Scan gratuito para ver las amenazas que el software de seguridad de su empresa no ha detectado. Detecte malware, dispositivos y aplicaciones no deseados que pueden provocar pérdidas de datos, como medios extraíbles o programas de intercambio de archivos, juegos, etc. Herramienta de evaluación de estaciones www.esp.sophos.com/products/free-tools/sophos-endpoint-assessment-test/ Utilice nuestra herramienta de evaluación de estaciones para evaluar su seguridad. Escanee un ordenador para ver si falta algún parche del sistema operativo y para comprobar si todas las aplicaciones de seguridad están actualizadas y activas. Herramienta de detección de aplicaciones www.sophos.com/products/enterprise/applicationdiscovery/eval (en inglés) Utilice la herramienta gratuita de detección de aplicaciones para identificar y localizar aplicaciones no autorizadas en su red que Sophos puede controlar. La herramienta funcionará junto con su software antivirus existente. Prueba de detección de amenazas de Sophos http://www.esp.sophos.com/products/free-tools/sophos-threat-detection-test.htm Utilice nuestra prueba de detección de amenazas para comprobar su protección antivirus existente. Esta herramienta escaneará y encontrará todos los virus, programas espía y publicitarios y amenazas de día cero que quizá su protección existente no haya detectado. La prueba puede ejecutarse sin desinstalar o desactivar el software antivirus que use actualmente. Sophos Anti-Rootkit http://www.esp.sophos.com/products/free-tools/sophos-anti-rootkit.hlm Utilice el software gratuito Sophos Anti-Rootkit para eliminar rootkits. Esta herramienta escanea, detecta y elimina todos los rootkits ocultos en el sistema mediante tecnología avanzada de detección de rootkits. Para obtener más información sobre las herramientas gratuitas, visite http://www.esp.sophos.com/products/free-tools/ 39 Guía de producto de Sophos Endpoint Security and Data Protection 40