Monográfico técnico

Anuncio
Sophos Security
Heartbeat
posibilita la sincronización de la
seguridad
Las organizaciones mejor protegidas de hoy en día despliegan múltiples capas de
productos de seguridad y protección en sus redes y estaciones de trabajo en un
esfuerzo por defenderse de las amenazas conocidas y emergentes. Mientras que
estas implantaciones de firewalls y hosts basados en red, inspectores de contenido,
analizadores de malware y administradores de eventos hacen un trabajo respetable
de defensa; hay una deficiencia fundamental en su implantación, básicamente
no logran que uno haga su trabajo mejor que otro. Nuestra industria describe la
condición subyacente como "ensilaje", dado que nuestros puntos de control y
aplicación funcionan de forma aislada en vez de compartiendo información de
manera rápida, práctica o con sentido. Tal falta de sincronización o comunicación
significa que a lo largo del tiempo nos hemos estado perdiendo la oportunidad de
hacer que nuestros firewalls fueran más inteligentes proporcionándoles información
contextual a nivel de procesos que únicamente nuestras estaciones de trabajo
pueden tener, o proporcionando a nuestros sistemas de protección de estaciones
de trabajo la posibilidad de evaluar objetivamente su estado de integridad o de
compromiso en base al contexto y actividad de la red. La oportunidad de mejorar
parece obvia y extensa.
Sophos Security Heartbeat posibilita la sincronización de la seguridad
La respuesta a esta reconocida debilidad ha sido añadir más tecnología y personal en vez de intentar
superar esta falta de comunicación entre las defensas de la red y las de las estaciones de trabajo. A
pesar de que los equipos de TI reciben cada día propuestas de multitud de herramientas tipo SIEM
para recabar información, alertas y eventos en un solo lugar de ambos mundos, el de protección de
redes y el de estaciones de trabajo, esta propuesta tiene 3 desafíos fundamentales. – En primer lugar,
ponen todo el esfuerzo en normalizar y estructurar los datos de eventos de fuentes dispares, y muy
poco en extraer información útil del mar de datos resultante. En segundo lugar, son herramientas de
investigación que van solamente detrás de los datos. Y en tercer lugar, incrementan las necesidades
de personal para ensamblar y supervisar las reglas de correlación frágiles y complejas sobre las que
dependen. E incluso entonces, para cuando un analista (siempre y cuando dispusiera de uno) hubiera
logrado dar sentido a todos los eventos, sus atacantes ya se habrían marchado con los datos que
buscaban.
Los productos para estaciones de trabajo y red de Sophos son simples pero poderosos, eficientes
y eficaces, pero también tenían el problema hasta ahora de que trabajaban de forma aislada, sin
comunicarse bien los unos con los otros. De hecho, hasta ahora, aunar la información proporcionada
por los productos a fin de actuar con eficacia en toda la organización era lento y tedioso y a menudo
poco práctico. Tras darnos cuenta de la existencia de este problema entre nuestros clientes, en
Sophos creamos una nueva y revolucionaria tecnología a la que hemos llamado Sophos Security
Heartbeat.
Una solución creada para funcionar en sincronía, posibilitando la comunicación entre los productos
dedicados a las estaciones de trabajo y a los de redes, y permitiendo así una comunicación coordinada
y automatizada, a la par que un pase a la acción, y todo sin crear otra capa de complejidad o costes
adicionales. Sophos Security Heartbeat ha sido diseñada para ofrecer un nuevo nivel de protección
para las empresas y sus equipos de seguridad informática escasos de personal. Este informe da a
conocer el diseño básico y el funcionamiento de Sophos Security Heartbeat, así como muestra cómo
ofrece una mayor y mejor protección gracias al concepto de seguridad sincronizada.
La seguridad sincronizada, una solución sencilla a un
problema difícil
Imagine que pone personal de seguridad en el exterior de su edificio pero no les entrega ningún
tipo de intercomunicador. Imagine que cada una de esas personas envía información a un sistema
centralizado en el que un humano tiene que analizar todos y cada uno de los datos recibidos buscando
cuál de ellos puede resultar útil para el resto de guardias individuales. Ahora imagine que hay un
montón de edificios con vallas y guardias a su alrededor y otros guardias en todas y cada una de las
habitaciones, y que todos ellos envían resúmenes de lo que ven a una autoridad central que tiene
que entender qué sentido tienen dichas señales. Ahora imagine qué ocurriría si los guardias en el
exterior trabajaran para un gestor distinto al que lo hacen los del interior. Y aún peor, qué ocurriría si
los identificadores de sus radios estuvieran cambiando constantemente, con lo que resultaría difícil
identificar quién está enviando cualquier mensaje. Y finalmente, sitúese en un entorno en el que los
intrusos están desafiando constantemente sus defensas con técnicas nuevas, innovadoras y sigilosas.
Sorprendentemente, esta es precisamente la situación que encaran hoy los equipos de seguridad.
Monográficos de Sophos. Octubre de 2015.
2
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Lidiar con estas amenazas y su complejidad ha creado desafíos casi insuperables para incluso las
organizaciones más grandes del mundo. Han desplegado decenas de analistas y nuevas tecnologías tales como
grandes almacenes de datos con sistemas de seguridad de la información y de gestión de eventos (Security
Information and Event Managers, SIEMs) para coordinar y dar sentido a este silo distribuido de soluciones para
estaciones de trabajo y de red. La implantación típica tiene el aspecto de la retratada en la figura 1.
Seguridad típica
Figura 1: Las soluciones típicas
intentan correlacionar y buscar
sentido a los datos y requieren
personal y un cierto nivel de
conocimientos
SIEM
Estación de trabajo
Gestión
Redes
Gestión
Estación de trabajo
Red
Y aunque esta forma de trabajar tiene su mérito, requiere muchísimos recursos, incluyendo a personal
altamente especializado, a fin de dar con problemas entre las señales que se reciben. Pero incluso en ese caso,
no hace nada para acelerar el proceso de respuesta ante nuevas amenazas. Dado que la gestión e implantación
de los productos para las redes y estaciones de trabajo sigue estando aislada, es altamente complejo y frágil
coordinar la actividad entre estos productos.
La mayoría de empresas de seguridad informática no puede contratar, o reaccionar con la suficiente rapidez,
como para protegerse a sí mismas mediante la implantación, mantenimiento y uso de estos productos
complejos y aislados en silos. Esto conlleva una gran ineficacia. Y cuando esto sucede, los atacantes suelen
ganar.
Ahora por primera vez, la protección de estaciones de trabajo y redes puede funcionar como si de un sistema
integrado se tratara, permitiendo a las organizaciones prevenir, detectar, investigar y remediar las amenazas de
forma más rápida y eficaz. Tal y como se muestra en la figura 2, surge un marco de trabajo de seguridad
sincronizada alternativo en el que se unifica la gestión, y que conecta las estaciones de trabajo y las soluciones
de seguridad directamente la una con la otra, permitiéndoles comunicarse mutuamente en tiempo real.
Seguridad sincronizada
Gestión unificada en la nube
Usuarios finales
Figura 2: La seguridad sincronizada
simplifica y unifica la comunicación y
la gestión
Redes
Security Heartbeat
Monográficos de Sophos. Octubre de 2015.
3
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Mediante el intercambio de inteligencia a través de un "pulso cardíaco de seguridad", este marco puede
descubrir y entender más rápidamente amenazas avanzadas y automatizar la correlación entre terminales
y redes, así como automatizar y ampliar la protección y acelerar la respuesta a incidentes. La gestión
simplificada hace que el marco de trabajo sea fácil de configurar y administrar sin necesidad de tener que
contar con analistas o gestores de eventos adicionales. En resumen, la seguridad sincronizada ofrece una
mejor protección con una mejor relación tiempo y dinero invertido que cualquier otra fórmula. El cuadro 1
resume la diferencia entre estos enfoques.
Seguridad sincronizada
Seguridad típica
Inteligencia
Compartida
Aislada
Correlación
Automatizada
Manual y parcialmente
Cuadro 1: Características de la
seguridad sincronizada frente a la
seguridad típica
automatizada
Detección de amenazas
Ayudada contextualmente
No ayudada
Respuesta ante incidentes
Altamente orientada
Imprecisa
Inversión adicional en productos
Ninguno
Significativa
Simple y unificada
Compleja y en silos
desconocidas
y personal
Administración
Sophos Security Hearbeat posibilita la sincronización de
la seguridad
Sophos Security Heartbeat conecta los clientes de Sophos Endpoint con las pasarelas de seguridad de red
Sophos Network Security Gateway, creando así un canal que permite intercambiar información en tiempo
real entre productos. Security Heartbeat es fácil de configurar y administrar, y se activa y gestiona desde
Sophos Cloud. Utiliza comunicaciones seguras para transmitir datos de inteligencia, eventos, información y
comandos entre las estaciones de trabajo y los firewalls de la red.
Figura 3: Sophos Security Heartbeat
conecta Sophos Next Generation
Endpoint y Network Protection
Tal y como se muestra en la figura 3, Sophos Security Heartbeat es una capacidad que está integrada
en los productos de seguridad Sophos Next Generation Enduser Security y Network Firewall. Sophos
Heartbeat permite a las soluciones de seguridad para redes y estaciones de trabajo de Sophos compartir
información significativa de forma continuada sobre comportamientos sospechosos o malignos en todo el
amplio ecosistema de TI de la organización.
Monográficos de Sophos. Octubre de 2015.
4
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Mediante la implantación de Sophos Security Heartbeat, las organizaciones pueden detectar antes
amenazas sofisticadas, identificar automáticamente los sistemas comprometidos, automatizar la
respuesta ante incidentes y ver en tiempo real el estado de seguridad de las estaciones de trabajo.
Configuración de Sophos Security Heartbeat, ¡solo
hay que registrarse y listo!
Configurar Sophos Heartbeat es rápido, sencillo y simple.
Solo tiene que introducir sus credenciales de Sophos Cloud en la interfaz de usuario de Sophos
Firewall y el firewall se identificará a sí mismo inmediatamente y se registrará en Sophos Cloud. A
partir de entonces, ya puede ver y acceder a todos los firewalls registrados desde la interfaz de usuario
de Sophos Cloud. Esto se muestra en las figuras 4 y 5.
Figura 4: Introduzca simplemente
sus credenciales de Sophos Cloud
para registrar un firewall en Security
Heartbeat
Figura 5: El firewall de Sophos está
ahora registrado con la nube de
Sophos
Monográficos de Sophos. Octubre de 2015.
5
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Tan pronto como se registre el primer firewall en Cloud, lo siguiente sucede automáticamente:
• Los equipos reciben información de seguridad que habilita una conexión mediante Heartbeat al firewall.
• El firewall recibe la información de seguridad que permite remitir un Heartbeat a los ordenadores.
• Cada ordenador comienza a enviar solicitudes de conexión a un firewall que pudiera protegerlo.
Los ordenadores se conectan al firewall registrado disponible más cercano (su puerta de enlace
predeterminada).
• Si el Firewall ve una solicitud de conexión, revisa la información de seguridad para confirmar que es una
de sus estaciones de trabajo y, si es válida, completa la conexión.
• El ordenador también valida que el firewall sea suyo consultando los datos de seguridad recibidos de
Sophos Cloud.
¡Eso es todo! Sin reglas, configuraciones o actualizaciones complejas. Ya está listo para ver Sophos
Heartbeat en acción.
Security Heartbeat en acción
Con los clientes de las estaciones de trabajo y el firewall ya conectados mediante Security Heartbeat, la
información sobre la salud del sistema ahora comienza a fluir desde las estaciones de trabajo conectadas al
firewall así como también al sistema de gestión Sophos Cloud.
Como se muestra en la figura 6, el panel de control de Sophos Firewall ahora muestra el número de
estados y la salud de todos los equipos conectados a dicho firewall. El estado de salud del cliente puede ser
rojo, amarillo o verde.
Figura 6: El panel de control del
firewall muestra la salud de las
estaciones de trabajo conectadas en
colores: rojo, amarillo o verde. En este
caso, 97 estaciones están en verde,
una en rojo y dos en amarillo.
Monográficos de Sophos. Octubre de 2015.
6
Sophos Security Heartbeat posibilita la sincronización de la seguridad
¿Qué te dice el estado de salud?
El cuadro 2 resume el significado de los indicadores de color verde, rojo y amarillo. Los indicadores de
color rojo indican emergencias que han de ser solventadas inmediatamente, mientras que las de color
amarillo indican riesgo pero no urgencia.
Posibles
Rojo
Amarillo
Verde
desencadenantes de
alertas
Aplicación maliciosa
X - activo
X - inactivo
detectada
Aplicaciones no
Cuadro 2: Las estaciones de
trabajo informan acerca de
su estado de salud a Sophos
Firewall y a Cloud siguiendo
unos protocolos simples pero
potentes, permitiendo así
alertar al personal y descubrir
y priorizar su seguimiento.
X - detectado
deseadas
Tráfico de red malicioso
X – Comunicación desde
una estación de trabajo
a un host malicioso o
sospechoso de serlo
El software de seguridad X - El sistema puede
de Sophos no funciona
carecer de protección
correctamente
No se detecta nada, el
X
software de seguridad
funciona correctamente
Además, el software de Sophos Endpoint utiliza a Security Heartbeat para enviar información detallada al
panel de control del firewall de red, permitiendo así al personal conocer los detalles tal y como se
muestra en la figura 7.
Figura 7: Al analizar en detalle el
panel de control de la salud del
cliente se ven detalles del estado de
salud y de los mecanismos de disparo
de alerta habilitados para cada cliente
Monográficos de Sophos. Octubre de 2015.
7
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Extendiendo la protección de la red mediante Security
Heartbeat y las políticas de firewall
Conocer el estado de salud del cliente es una cosa, pero actuar eficaz y rápidamente es otro tema. Sophos
Security Heartbeat permite a los administradores de Firewall configurar políticas sencillas pero altamente
eficaces para sacar partido a los conocimientos sobre la salud de cliente mientras se proporciona, a la vez y de
forma automática, una eficaz protección a la red de la organización.
Como se muestra en la figura 8, se pueden crear fácilmente reglas para el Firewall, aprovechándonos así de
esta visibilidad. Aquí hemos creado 2 reglas, la Ámbar y la Roja. La regla Ámbar permite el acceso a Internet a
aquellos sistemas que tengan un estado de salud rojo o amarillo, pero bloquea el acceso a Salesforce.com
como medida de precaución. La regla Roja bloquea el acceso a Internet de todos los clientes con estado rojo.
Cuando un sistema cambia de estado, estas reglas proporcionan protección a nivel de red antes de proceder a
arreglar el sistema, reduciendo así de forma considerable la posibilidad de que se produzcan pérdidas.
Figura 8: Se puede establecer
una política de firewall sencilla
para mejorar la protección y
para aprovechar la información
proporcionada por Sophos Security
Heartbeat.
La figura 9 muestra la pantalla de bloqueo que un usuario final recibirá después de que se aplique la regla
Ámbar desde Sophos Firewall.
Figura 9: Mensaje para el usuario final
después de aplicar la regla ámbar
Monográficos de Sophos. Octubre de 2015.
8
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Protección de amenazas avanzada y mejorada que
alerta y actúa gracias a Sophos Security Heartbeat
Sophos Security Heartbeat mejora la protección de amenazas avanzada (Advanced Threat Protection,
ATP) al remitir alertas a Sophos Firewall y Sophos Cloud, reduciendo así de forma considerable el
tiempo necesario para investigar problemas y automatizando la detección y solución de amenazas.
Digamos que la función de ATP en el firewall detecta el tráfico sospechoso. El firewall utilizará Security
Heartbeat para ver si el tráfico proviene de una estación de trabajo con un Heartbeat (o latido de
corazón) activo. Si este es el caso, el firewall utilizará Security Heartbeat para conseguir el nombre
de la máquina, el usuario conectado y el nombre el proceso que activó la protección de amenazas
avanzada en el firewall. Este paso únicamente podría demorar horas y días de trabajo manual en
entornos tradicionales que no tuvieran un Heartbeat en servicio.
Esta información se muestra a continuación en la pantalla de alertas del sistema de protección
avanzada, tal y como se muestra en la figura 10.
Figura 10: Alerta de protección de
amenazas avanzada en la interfaz del
usuario del firewall
Sin embargo, esto es solo el comienzo de los beneficios que aporta la sincronización de la seguridad
gracias a Security Heartbeat y Sophos Cloud. Tras enviar la solicitud de ATP al cliente, se pide
automáticamente al ordenador que informe de la alerta a Sophos Cloud, tal y como se muestra en la
figura 11.
Monográficos de Sophos. Octubre de 2015.
9
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Figura 11: Alerta de protección
de amenazas avanzada notificada
automáticamente en Sophos Cloud
Manager
Sophos Cloud indica entonces a la función HIPS del cliente de Sophos que busque si puede identificar
de forma positiva malware y arreglar la máquina. Dado que hay sospechas de malware activo en el
ordenador, su estado de salud se vuelve rojo. Sophos Firewall proporciona ahora protección adicional
al obligar la aplicación de políticas como la regla roja descrita anteriormente, eliminando cualquier
daño mientras tiene lugar el proceso de arreglo.
Resumen
El último ejemplo de protección de amenazas avanzada es una demostración sobresaliente del poder
y la simplicidad de la seguridad sincronizada mediante Sophos Security Heartbeat. Todo esto ocurre
sin intervención manual, sin realizar investigaciones ni procesos manuales, y ofreciendo a la par una
visibilidad total y una auditoría de actividades. Sin personal, sin líos, sin retrasos. Tan solo seguridad
sincronizada que logra una mayor y más rápida protección sin necesidad de contratar personal
adicional.
Las amenazas a las que se enfrentan las organizaciones hoy en día pueden dar miedo, y las respuestas
típicas requieren un nivel de recursos, conocimientos especializados y personal con el que no
siempre cuentan la mayoría de organizaciones. Synchronized Security cambia la dinámica de esto, al
proporcionar una mejor protección gracias a una gestión y unas comunicaciones simples pero potentes
entre soluciones anteriormente aisladas, y todo sin tener que añadir complejidades o personal. Las
organizaciones que implementan Sophos Security Heartbeat logran una visibilidad instantánea del
estado de salud de las estaciones de trabajo, localizan más rápidamente las amenazas avanzadas y
responden automáticamente a los incidentes.
Para obtener más información y ver cómo la seguridad sincronizada y Sophos Security Heartbeat
pueden ayudarle a ganar la batalla en el beligerante mundo de hoy día, visite Sophos.com/heartbeat.
Monográficos de Sophos. Octubre de 2015.
10
Sophos Security Heartbeat posibilita la sincronización de la seguridad
Sophos Security Heartbeat
Para obtener más información, visite sophos.
com/es-es/heartbeat
Ventas en España:
Tel.: (+34) 913 756 756
Correo electrónico: seusales@sophos.com
Oxford (Reino Unido) | Boston (EE. UU.)
© Copyright 2015. Sophos Ltd. Todos los derechos reservados.
Constituida en Inglaterra y Gales e inscrita con el N.º 2096520, en The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de
sus respectivos propietarios.
2015.10.26 WP-NA (GH)
Descargar