Sophos Security Heartbeat posibilita la sincronización de la seguridad Las organizaciones mejor protegidas de hoy en día despliegan múltiples capas de productos de seguridad y protección en sus redes y estaciones de trabajo en un esfuerzo por defenderse de las amenazas conocidas y emergentes. Mientras que estas implantaciones de firewalls y hosts basados en red, inspectores de contenido, analizadores de malware y administradores de eventos hacen un trabajo respetable de defensa; hay una deficiencia fundamental en su implantación, básicamente no logran que uno haga su trabajo mejor que otro. Nuestra industria describe la condición subyacente como "ensilaje", dado que nuestros puntos de control y aplicación funcionan de forma aislada en vez de compartiendo información de manera rápida, práctica o con sentido. Tal falta de sincronización o comunicación significa que a lo largo del tiempo nos hemos estado perdiendo la oportunidad de hacer que nuestros firewalls fueran más inteligentes proporcionándoles información contextual a nivel de procesos que únicamente nuestras estaciones de trabajo pueden tener, o proporcionando a nuestros sistemas de protección de estaciones de trabajo la posibilidad de evaluar objetivamente su estado de integridad o de compromiso en base al contexto y actividad de la red. La oportunidad de mejorar parece obvia y extensa. Sophos Security Heartbeat posibilita la sincronización de la seguridad La respuesta a esta reconocida debilidad ha sido añadir más tecnología y personal en vez de intentar superar esta falta de comunicación entre las defensas de la red y las de las estaciones de trabajo. A pesar de que los equipos de TI reciben cada día propuestas de multitud de herramientas tipo SIEM para recabar información, alertas y eventos en un solo lugar de ambos mundos, el de protección de redes y el de estaciones de trabajo, esta propuesta tiene 3 desafíos fundamentales. – En primer lugar, ponen todo el esfuerzo en normalizar y estructurar los datos de eventos de fuentes dispares, y muy poco en extraer información útil del mar de datos resultante. En segundo lugar, son herramientas de investigación que van solamente detrás de los datos. Y en tercer lugar, incrementan las necesidades de personal para ensamblar y supervisar las reglas de correlación frágiles y complejas sobre las que dependen. E incluso entonces, para cuando un analista (siempre y cuando dispusiera de uno) hubiera logrado dar sentido a todos los eventos, sus atacantes ya se habrían marchado con los datos que buscaban. Los productos para estaciones de trabajo y red de Sophos son simples pero poderosos, eficientes y eficaces, pero también tenían el problema hasta ahora de que trabajaban de forma aislada, sin comunicarse bien los unos con los otros. De hecho, hasta ahora, aunar la información proporcionada por los productos a fin de actuar con eficacia en toda la organización era lento y tedioso y a menudo poco práctico. Tras darnos cuenta de la existencia de este problema entre nuestros clientes, en Sophos creamos una nueva y revolucionaria tecnología a la que hemos llamado Sophos Security Heartbeat. Una solución creada para funcionar en sincronía, posibilitando la comunicación entre los productos dedicados a las estaciones de trabajo y a los de redes, y permitiendo así una comunicación coordinada y automatizada, a la par que un pase a la acción, y todo sin crear otra capa de complejidad o costes adicionales. Sophos Security Heartbeat ha sido diseñada para ofrecer un nuevo nivel de protección para las empresas y sus equipos de seguridad informática escasos de personal. Este informe da a conocer el diseño básico y el funcionamiento de Sophos Security Heartbeat, así como muestra cómo ofrece una mayor y mejor protección gracias al concepto de seguridad sincronizada. La seguridad sincronizada, una solución sencilla a un problema difícil Imagine que pone personal de seguridad en el exterior de su edificio pero no les entrega ningún tipo de intercomunicador. Imagine que cada una de esas personas envía información a un sistema centralizado en el que un humano tiene que analizar todos y cada uno de los datos recibidos buscando cuál de ellos puede resultar útil para el resto de guardias individuales. Ahora imagine que hay un montón de edificios con vallas y guardias a su alrededor y otros guardias en todas y cada una de las habitaciones, y que todos ellos envían resúmenes de lo que ven a una autoridad central que tiene que entender qué sentido tienen dichas señales. Ahora imagine qué ocurriría si los guardias en el exterior trabajaran para un gestor distinto al que lo hacen los del interior. Y aún peor, qué ocurriría si los identificadores de sus radios estuvieran cambiando constantemente, con lo que resultaría difícil identificar quién está enviando cualquier mensaje. Y finalmente, sitúese en un entorno en el que los intrusos están desafiando constantemente sus defensas con técnicas nuevas, innovadoras y sigilosas. Sorprendentemente, esta es precisamente la situación que encaran hoy los equipos de seguridad. Monográficos de Sophos. Octubre de 2015. 2 Sophos Security Heartbeat posibilita la sincronización de la seguridad Lidiar con estas amenazas y su complejidad ha creado desafíos casi insuperables para incluso las organizaciones más grandes del mundo. Han desplegado decenas de analistas y nuevas tecnologías tales como grandes almacenes de datos con sistemas de seguridad de la información y de gestión de eventos (Security Information and Event Managers, SIEMs) para coordinar y dar sentido a este silo distribuido de soluciones para estaciones de trabajo y de red. La implantación típica tiene el aspecto de la retratada en la figura 1. Seguridad típica Figura 1: Las soluciones típicas intentan correlacionar y buscar sentido a los datos y requieren personal y un cierto nivel de conocimientos SIEM Estación de trabajo Gestión Redes Gestión Estación de trabajo Red Y aunque esta forma de trabajar tiene su mérito, requiere muchísimos recursos, incluyendo a personal altamente especializado, a fin de dar con problemas entre las señales que se reciben. Pero incluso en ese caso, no hace nada para acelerar el proceso de respuesta ante nuevas amenazas. Dado que la gestión e implantación de los productos para las redes y estaciones de trabajo sigue estando aislada, es altamente complejo y frágil coordinar la actividad entre estos productos. La mayoría de empresas de seguridad informática no puede contratar, o reaccionar con la suficiente rapidez, como para protegerse a sí mismas mediante la implantación, mantenimiento y uso de estos productos complejos y aislados en silos. Esto conlleva una gran ineficacia. Y cuando esto sucede, los atacantes suelen ganar. Ahora por primera vez, la protección de estaciones de trabajo y redes puede funcionar como si de un sistema integrado se tratara, permitiendo a las organizaciones prevenir, detectar, investigar y remediar las amenazas de forma más rápida y eficaz. Tal y como se muestra en la figura 2, surge un marco de trabajo de seguridad sincronizada alternativo en el que se unifica la gestión, y que conecta las estaciones de trabajo y las soluciones de seguridad directamente la una con la otra, permitiéndoles comunicarse mutuamente en tiempo real. Seguridad sincronizada Gestión unificada en la nube Usuarios finales Figura 2: La seguridad sincronizada simplifica y unifica la comunicación y la gestión Redes Security Heartbeat Monográficos de Sophos. Octubre de 2015. 3 Sophos Security Heartbeat posibilita la sincronización de la seguridad Mediante el intercambio de inteligencia a través de un "pulso cardíaco de seguridad", este marco puede descubrir y entender más rápidamente amenazas avanzadas y automatizar la correlación entre terminales y redes, así como automatizar y ampliar la protección y acelerar la respuesta a incidentes. La gestión simplificada hace que el marco de trabajo sea fácil de configurar y administrar sin necesidad de tener que contar con analistas o gestores de eventos adicionales. En resumen, la seguridad sincronizada ofrece una mejor protección con una mejor relación tiempo y dinero invertido que cualquier otra fórmula. El cuadro 1 resume la diferencia entre estos enfoques. Seguridad sincronizada Seguridad típica Inteligencia Compartida Aislada Correlación Automatizada Manual y parcialmente Cuadro 1: Características de la seguridad sincronizada frente a la seguridad típica automatizada Detección de amenazas Ayudada contextualmente No ayudada Respuesta ante incidentes Altamente orientada Imprecisa Inversión adicional en productos Ninguno Significativa Simple y unificada Compleja y en silos desconocidas y personal Administración Sophos Security Hearbeat posibilita la sincronización de la seguridad Sophos Security Heartbeat conecta los clientes de Sophos Endpoint con las pasarelas de seguridad de red Sophos Network Security Gateway, creando así un canal que permite intercambiar información en tiempo real entre productos. Security Heartbeat es fácil de configurar y administrar, y se activa y gestiona desde Sophos Cloud. Utiliza comunicaciones seguras para transmitir datos de inteligencia, eventos, información y comandos entre las estaciones de trabajo y los firewalls de la red. Figura 3: Sophos Security Heartbeat conecta Sophos Next Generation Endpoint y Network Protection Tal y como se muestra en la figura 3, Sophos Security Heartbeat es una capacidad que está integrada en los productos de seguridad Sophos Next Generation Enduser Security y Network Firewall. Sophos Heartbeat permite a las soluciones de seguridad para redes y estaciones de trabajo de Sophos compartir información significativa de forma continuada sobre comportamientos sospechosos o malignos en todo el amplio ecosistema de TI de la organización. Monográficos de Sophos. Octubre de 2015. 4 Sophos Security Heartbeat posibilita la sincronización de la seguridad Mediante la implantación de Sophos Security Heartbeat, las organizaciones pueden detectar antes amenazas sofisticadas, identificar automáticamente los sistemas comprometidos, automatizar la respuesta ante incidentes y ver en tiempo real el estado de seguridad de las estaciones de trabajo. Configuración de Sophos Security Heartbeat, ¡solo hay que registrarse y listo! Configurar Sophos Heartbeat es rápido, sencillo y simple. Solo tiene que introducir sus credenciales de Sophos Cloud en la interfaz de usuario de Sophos Firewall y el firewall se identificará a sí mismo inmediatamente y se registrará en Sophos Cloud. A partir de entonces, ya puede ver y acceder a todos los firewalls registrados desde la interfaz de usuario de Sophos Cloud. Esto se muestra en las figuras 4 y 5. Figura 4: Introduzca simplemente sus credenciales de Sophos Cloud para registrar un firewall en Security Heartbeat Figura 5: El firewall de Sophos está ahora registrado con la nube de Sophos Monográficos de Sophos. Octubre de 2015. 5 Sophos Security Heartbeat posibilita la sincronización de la seguridad Tan pronto como se registre el primer firewall en Cloud, lo siguiente sucede automáticamente: • Los equipos reciben información de seguridad que habilita una conexión mediante Heartbeat al firewall. • El firewall recibe la información de seguridad que permite remitir un Heartbeat a los ordenadores. • Cada ordenador comienza a enviar solicitudes de conexión a un firewall que pudiera protegerlo. Los ordenadores se conectan al firewall registrado disponible más cercano (su puerta de enlace predeterminada). • Si el Firewall ve una solicitud de conexión, revisa la información de seguridad para confirmar que es una de sus estaciones de trabajo y, si es válida, completa la conexión. • El ordenador también valida que el firewall sea suyo consultando los datos de seguridad recibidos de Sophos Cloud. ¡Eso es todo! Sin reglas, configuraciones o actualizaciones complejas. Ya está listo para ver Sophos Heartbeat en acción. Security Heartbeat en acción Con los clientes de las estaciones de trabajo y el firewall ya conectados mediante Security Heartbeat, la información sobre la salud del sistema ahora comienza a fluir desde las estaciones de trabajo conectadas al firewall así como también al sistema de gestión Sophos Cloud. Como se muestra en la figura 6, el panel de control de Sophos Firewall ahora muestra el número de estados y la salud de todos los equipos conectados a dicho firewall. El estado de salud del cliente puede ser rojo, amarillo o verde. Figura 6: El panel de control del firewall muestra la salud de las estaciones de trabajo conectadas en colores: rojo, amarillo o verde. En este caso, 97 estaciones están en verde, una en rojo y dos en amarillo. Monográficos de Sophos. Octubre de 2015. 6 Sophos Security Heartbeat posibilita la sincronización de la seguridad ¿Qué te dice el estado de salud? El cuadro 2 resume el significado de los indicadores de color verde, rojo y amarillo. Los indicadores de color rojo indican emergencias que han de ser solventadas inmediatamente, mientras que las de color amarillo indican riesgo pero no urgencia. Posibles Rojo Amarillo Verde desencadenantes de alertas Aplicación maliciosa X - activo X - inactivo detectada Aplicaciones no Cuadro 2: Las estaciones de trabajo informan acerca de su estado de salud a Sophos Firewall y a Cloud siguiendo unos protocolos simples pero potentes, permitiendo así alertar al personal y descubrir y priorizar su seguimiento. X - detectado deseadas Tráfico de red malicioso X – Comunicación desde una estación de trabajo a un host malicioso o sospechoso de serlo El software de seguridad X - El sistema puede de Sophos no funciona carecer de protección correctamente No se detecta nada, el X software de seguridad funciona correctamente Además, el software de Sophos Endpoint utiliza a Security Heartbeat para enviar información detallada al panel de control del firewall de red, permitiendo así al personal conocer los detalles tal y como se muestra en la figura 7. Figura 7: Al analizar en detalle el panel de control de la salud del cliente se ven detalles del estado de salud y de los mecanismos de disparo de alerta habilitados para cada cliente Monográficos de Sophos. Octubre de 2015. 7 Sophos Security Heartbeat posibilita la sincronización de la seguridad Extendiendo la protección de la red mediante Security Heartbeat y las políticas de firewall Conocer el estado de salud del cliente es una cosa, pero actuar eficaz y rápidamente es otro tema. Sophos Security Heartbeat permite a los administradores de Firewall configurar políticas sencillas pero altamente eficaces para sacar partido a los conocimientos sobre la salud de cliente mientras se proporciona, a la vez y de forma automática, una eficaz protección a la red de la organización. Como se muestra en la figura 8, se pueden crear fácilmente reglas para el Firewall, aprovechándonos así de esta visibilidad. Aquí hemos creado 2 reglas, la Ámbar y la Roja. La regla Ámbar permite el acceso a Internet a aquellos sistemas que tengan un estado de salud rojo o amarillo, pero bloquea el acceso a Salesforce.com como medida de precaución. La regla Roja bloquea el acceso a Internet de todos los clientes con estado rojo. Cuando un sistema cambia de estado, estas reglas proporcionan protección a nivel de red antes de proceder a arreglar el sistema, reduciendo así de forma considerable la posibilidad de que se produzcan pérdidas. Figura 8: Se puede establecer una política de firewall sencilla para mejorar la protección y para aprovechar la información proporcionada por Sophos Security Heartbeat. La figura 9 muestra la pantalla de bloqueo que un usuario final recibirá después de que se aplique la regla Ámbar desde Sophos Firewall. Figura 9: Mensaje para el usuario final después de aplicar la regla ámbar Monográficos de Sophos. Octubre de 2015. 8 Sophos Security Heartbeat posibilita la sincronización de la seguridad Protección de amenazas avanzada y mejorada que alerta y actúa gracias a Sophos Security Heartbeat Sophos Security Heartbeat mejora la protección de amenazas avanzada (Advanced Threat Protection, ATP) al remitir alertas a Sophos Firewall y Sophos Cloud, reduciendo así de forma considerable el tiempo necesario para investigar problemas y automatizando la detección y solución de amenazas. Digamos que la función de ATP en el firewall detecta el tráfico sospechoso. El firewall utilizará Security Heartbeat para ver si el tráfico proviene de una estación de trabajo con un Heartbeat (o latido de corazón) activo. Si este es el caso, el firewall utilizará Security Heartbeat para conseguir el nombre de la máquina, el usuario conectado y el nombre el proceso que activó la protección de amenazas avanzada en el firewall. Este paso únicamente podría demorar horas y días de trabajo manual en entornos tradicionales que no tuvieran un Heartbeat en servicio. Esta información se muestra a continuación en la pantalla de alertas del sistema de protección avanzada, tal y como se muestra en la figura 10. Figura 10: Alerta de protección de amenazas avanzada en la interfaz del usuario del firewall Sin embargo, esto es solo el comienzo de los beneficios que aporta la sincronización de la seguridad gracias a Security Heartbeat y Sophos Cloud. Tras enviar la solicitud de ATP al cliente, se pide automáticamente al ordenador que informe de la alerta a Sophos Cloud, tal y como se muestra en la figura 11. Monográficos de Sophos. Octubre de 2015. 9 Sophos Security Heartbeat posibilita la sincronización de la seguridad Figura 11: Alerta de protección de amenazas avanzada notificada automáticamente en Sophos Cloud Manager Sophos Cloud indica entonces a la función HIPS del cliente de Sophos que busque si puede identificar de forma positiva malware y arreglar la máquina. Dado que hay sospechas de malware activo en el ordenador, su estado de salud se vuelve rojo. Sophos Firewall proporciona ahora protección adicional al obligar la aplicación de políticas como la regla roja descrita anteriormente, eliminando cualquier daño mientras tiene lugar el proceso de arreglo. Resumen El último ejemplo de protección de amenazas avanzada es una demostración sobresaliente del poder y la simplicidad de la seguridad sincronizada mediante Sophos Security Heartbeat. Todo esto ocurre sin intervención manual, sin realizar investigaciones ni procesos manuales, y ofreciendo a la par una visibilidad total y una auditoría de actividades. Sin personal, sin líos, sin retrasos. Tan solo seguridad sincronizada que logra una mayor y más rápida protección sin necesidad de contratar personal adicional. Las amenazas a las que se enfrentan las organizaciones hoy en día pueden dar miedo, y las respuestas típicas requieren un nivel de recursos, conocimientos especializados y personal con el que no siempre cuentan la mayoría de organizaciones. Synchronized Security cambia la dinámica de esto, al proporcionar una mejor protección gracias a una gestión y unas comunicaciones simples pero potentes entre soluciones anteriormente aisladas, y todo sin tener que añadir complejidades o personal. Las organizaciones que implementan Sophos Security Heartbeat logran una visibilidad instantánea del estado de salud de las estaciones de trabajo, localizan más rápidamente las amenazas avanzadas y responden automáticamente a los incidentes. Para obtener más información y ver cómo la seguridad sincronizada y Sophos Security Heartbeat pueden ayudarle a ganar la batalla en el beligerante mundo de hoy día, visite Sophos.com/heartbeat. Monográficos de Sophos. Octubre de 2015. 10 Sophos Security Heartbeat posibilita la sincronización de la seguridad Sophos Security Heartbeat Para obtener más información, visite sophos. com/es-es/heartbeat Ventas en España: Tel.: (+34) 913 756 756 Correo electrónico: seusales@sophos.com Oxford (Reino Unido) | Boston (EE. UU.) © Copyright 2015. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales e inscrita con el N.º 2096520, en The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. 2015.10.26 WP-NA (GH)