20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 1 REDES PALO ALTO PCCET GUÍA DE ESTUDIO Agosto 2021 Página 2 https://translate.googleusercontent.com/translate_f 1/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Palo Alto Networks, Inc. www.paloaltonetworks.com © 2021 Palo Alto Networks, Inc. Apertura, Autoenfoque, GlobalProtect, Palo Alto Networks, PAN-OS, Panorama, Trampas, Cortex y WildFire son marcas comerciales de Palo Alto Networks, Inc. © 2021 Palo Alto Networks, Inc. 2 Página 3 Contenido Guía de estudio de Palo Alto Networks PCCET 13 Descripción general 13 Formato de examen 13 Cómo realizar este examen 13 Recursos de preparación 14 Dominio del examen 1 - Fundamentos de ciberseguridad 15 1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0 Referencias https://translate.googleusercontent.com/translate_f 15 21 2/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Verificación de conocimientos 1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados en puertos 22 23 Referencias 24 Verificación de conocimientos 24 1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube 25 Verificación de conocimientos 27 1.4 Identificar los riesgos de la aplicación SaaS 28 Referencias 30 Verificación de conocimientos 30 1.5 Reconocer las leyes y regulaciones de ciberseguridad 30 Verificación de conocimientos 33 1.6 Ejemplos de ciberataques de alto perfil 33 Referencias 35 Verificación de conocimientos 36 1.7 Identificar los perfiles y las motivaciones de los atacantes 36 Referencias 37 Verificación de conocimientos 37 1.8 Describir el ciclo de vida moderno de los ciberataques 38 Referencias 41 Verificación de conocimientos 41 1.9 Clasificar tipos de malware 42 Verificación de conocimientos 46 1.10 Enumere las diferencias entre vulnerabilidades y exploits 46 Referencias 48 Verificación de conocimientos 48 1.11 Categorizar los ataques de spam y phishing © 2021 Palo Alto Networks, Inc. 49 3 Página 4 Referencias 50 Verificación de conocimientos 50 1.12 Ingeniería social Verificación de conocimientos 1.13 Ataques de ciberseguridad 51 52 52 Botnets de spam 54 Botnets distribuidas de denegación de servicio 55 Botnets financieras 55 Referencias 56 Verificación de conocimientos 56 1.14 Definir las características de las amenazas persistentes avanzadas 57 Referencias 58 Verificación de conocimientos 58 1.15 Reconocer ataques comunes de Wi-Fi 59 Privacidad equivalente por cable 59 Acceso protegido Wi-Fi (WPA / WPA2 / WPA3) 59 Gemelo malvado 62 Jasager 63 SSLstrip 64 Emotet sesenta y cinco https://translate.googleusercontent.com/translate_f 3/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Referencias 66 Verificación de conocimientos 66 1.16 Definir la seguridad de la red basada en el perímetro 66 Verificación de conocimientos 68 1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust 69 Principios de diseño de Core Zero Trust 70 Arquitectura conceptual de Zero Trust 70 Criterios y capacidades clave de Zero Trust 72 Implementando un diseño Zero Trust 73 Verificación de conocimientos 73 1.18 Definir las capacidades de una cartera de productos eficaz 74 Verificación de conocimientos 77 1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks 77 Verificación de conocimientos © 2021 Palo Alto Networks, Inc. 79 4 Página 5 Dominio del examen 2: el mundo conectado 2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores 80 80 Referencias: 81 Verificación de conocimientos 81 2.2 Clasificar protocolos enrutados y de enrutamiento Verificación de conocimientos 2.3 Resumir topologías y redes de área Verificación de conocimientos 2.4 Explicar el propósito del sistema de nombres de dominio (DNS) Verificación de conocimientos 2.5 Identificar categorías de Internet de las cosas (IoT) 82 84 84 88 89 91 91 Referencias: 95 Verificación de conocimientos 95 2.6 Revisar la estructura de una dirección IPv4 / IPv6 Verificación de conocimientos 2.7 Describir el propósito de la división en subredes IPv4 Verificación de conocimientos 2.8 Revise los modelos OSI y TCP / IP Verificación de conocimientos 2.9 Explicar el proceso de encapsulación de datos Verificación de conocimientos 2.10 Clasifique varios tipos de firewalls de red 96 103 104 105 106 110 111 112 112 Cortafuegos de filtrado de paquetes 113 Cortafuegos de inspección de paquetes con estado 113 Cortafuegos de aplicaciones 113 Verificación de conocimientos 114 2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones 114 Verificación de conocimientos 115 2.12 Definir redes privadas virtuales 116 Protocolo de tunelización punto a punto 116 Protocolo de túnel de capa 2 116 Protocolo de túnel de socket seguro 117 https://translate.googleusercontent.com/translate_f 4/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Cifrado punto a punto de Microsoft 117 OpenVPN 117 Seguridad del protocolo de Internet 117 Capa de enchufes seguros 118 © 2021 Palo Alto Networks, Inc. 5 Página 6 Verificación de conocimientos 118 2.13 Explicar la prevención de pérdida de datos 119 Verificación de conocimientos 120 2.14 Describir la gestión unificada de amenazas 120 Verificación de conocimientos 121 2.15 Definir los conceptos básicos de seguridad de endpoints 121 Verificación de conocimientos 122 2.16 Comparar la protección contra malware basada en firmas y en contenedores 122 Software anti-malware basado en firmas 123 Protección de punto final basada en contenedor 125 Listas de aplicaciones permitidas 125 Detección de anomalías 125 Software anti-spyware 126 Referencias: 126 Verificación de conocimientos 126 2.17 Reconocer tipos de gestión de dispositivos móviles 127 Verificación de conocimientos 127 2.18 Explicar el propósito de la gestión de identificaciones y accesos 128 Directorio de Servicios 128 Verificación de conocimientos 129 2.19 Describir la gestión de la configuración 130 Verificación de conocimientos 130 2.20 Identificar las funciones y capacidades del firewall de próxima generación 131 Identificación de la aplicación 133 Tecnología de clasificación de tráfico App-ID 135 App-ID: abordar aplicaciones personalizadas o desconocidas 136 App-ID en acción: identificación de WebEx 138 Identificación de aplicaciones y control de políticas 138 Control de función de aplicación 139 Control de múltiples aplicaciones: filtros y grupos dinámicos 139 Identificación de usuario 140 ID de usuario: integración de la información del usuario y las políticas de seguridad 140 User-ID en acción 141 Visibilidad de la actividad de un usuario 145 Control de políticas basado en el usuario 145 © 2021 Palo Alto Networks, Inc. 6 Página 7 https://translate.googleusercontent.com/translate_f 5/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Optimizador de políticas 145 Identificación de contenido 146 Prevención de amenazas 146 Escaneo de malware basado en flujo 147 Prevención de intrusiones 148 Filtrado de archivos y datos 148 Correlación de registros e informes 148 Opciones de implementación de firewall de próxima generación 156 Aparatos físicos (serie PA) 156 Cortafuegos virtualizados (serie VM) 157 Serie K2 158 Sartén De Hierro 159 Expedición de Palo Alto Networks (herramienta de migración) 159 Implementación de Zero Trust con firewalls de próxima generación 160 Verificación de conocimientos 165 2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW 166 Servicio de seguridad DNS 166 Predecir y bloquear nuevos dominios maliciosos 167 Neutralizar la tunelización de DNS 168 Simplifique la seguridad con la automatización y reemplace las herramientas independientes 168 Servicio de filtrado de URL 169 Servicio de prevención de amenazas (antivirus, antispyware y protección contra vulnerabilidades) 170 Protección contra malware / antivirus 171 Protección de comando y control (software espía) 171 Protección de vulnerabilidad 171 Prevención de malware de día cero (WildFire) 172 Descubrimiento de ciberamenazas basado en el comportamiento 174 Prevención de amenazas con intercambio de inteligencia global 177 Registro, informes y análisis forenses integrados 177 Verificación de conocimientos 178 2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama) 178 Verificación de conocimientos © 2021 Palo Alto Networks, Inc. 184 7 Página 8 Dominio del examen 3: tecnologías en la nube 3.1 Definir los modelos de implementación y servicio en la nube del NIST 185 185 Modelos de servicios en la nube 185 Modelos de implementación en la nube 186 Verificación de conocimientos 186 3.2 Reconocer y enumerar los desafíos de seguridad en la nube Verificación de conocimientos 3.3 Definir el propósito de la virtualización en la computación en nube https://translate.googleusercontent.com/translate_f 188 192 193 6/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Maquinas virtuales 194 Máquinas virtuales delgadas 194 Verificación de conocimientos 195 3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones 195 Contenedores integrados en VM 196 Contenedores 197 Contenedores como servicio 198 Contenedores bajo demanda 199 Verificación de conocimientos 200 3.5 Discutir el propósito de la computación sin servidor 201 Verificación de conocimientos 202 3.6 Compare las diferencias entre DevOps y DevSecOps 203 Canalización de CI / CD 204 DevOps y seguridad 204 Verificación de conocimientos 204 3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS 205 Verificación de conocimientos 206 3.8 Describir las debilidades de las soluciones de seguridad de datos tradicionales 206 Verificación de conocimientos 207 3.9 Comparar la protección del tráfico este-oeste y norte-sur 208 Verificación de conocimientos 210 3.10 Reconocer las cuatro fases de la seguridad del centro de datos híbrido 211 3.11 Identificar los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud] 212 Cumplimiento y gobernanza de la nube 215 Seguridad informática 216 Protección de la red 217 Seguridad de la identidad 217 © 2021 Palo Alto Networks, Inc. 8 Página 9 Verificación de conocimientos 3.12 Describir la arquitectura SASE de Prisma Access 218 218 Capa de red como servicio 221 SD-WAN 222 Red privada virtual 222 Acceso a la red Zero Trust 223 Calidad de servicio 224 Capa de seguridad como servicio 224 Seguridad DNS 225 Cortafuegos como servicio 225 Prevención de amenazas 226 Pasarela web segura 226 Prevención de pérdida de datos 227 Agente de seguridad de acceso a la nube 227 Verificación de conocimientos 228 3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas 228 Prevención de amenazas de SaaS 230 Visibilidad de la exposición de datos 231 https://translate.googleusercontent.com/translate_f 7/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Control de exposición de datos contextuales 231 Clasificación de documentos avanzada 231 Política retroactiva 231 Verificación de conocimientos 232 Dominio del examen 4: elementos de las operaciones de seguridad 233 4.1 Los seis elementos esenciales de las operaciones de seguridad eficaces 233 Verificación de conocimientos 233 4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR 234 Orquestación, automatización y respuesta de seguridad 234 Verificación de conocimientos 236 4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad. Verificación de conocimientos 236 237 4.4 Describir las características de la tecnología de protección de terminales Cortex XDR 237 Detenga el malware y el ransomware 238 Inteligencia de amenazas WildFire 239 Análisis local y aprendizaje automático 239 © 2021 Palo Alto Networks, Inc. 9 Página 10 Protección contra amenazas conductuales 239 Inspección y análisis de WildFire 240 Bloquear exploits y amenazas sin archivos 241 Protección previa a la explotación 241 Prevención de exploits basada en técnicas 241 Prevención de exploits del kernel 242 Protección contra robo de credenciales 242 Investigar y responder a los ataques 243 Extendiendo la prevención más allá de los entornos Windows 244 Cortex XDR para macOS 244 Cortex XDR para Android 244 Cortex XDR para Linux 245 Control de dispositivos para un acceso USB seguro 245 Gestión sencilla de la seguridad de los terminales 246 Gestión basada en la nube 246 Interfaz intuitiva 246 Beneficios de una plataforma conectada 247 Integración nativa para una investigación y respuesta rápidas 247 Aplicación coordinada 249 Registro centralizado en toda la plataforma 249 Arquitectura técnica de Cortex XDR 249 Verificación de conocimientos 250 4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora la visibilidad del SOC 251 Verificación de conocimientos 4.6 Explicar cómo AutoFocus obtiene inteligencia sobre amenazas para el análisis y la respuesta de seguridad Apéndice A: Respuestas a las preguntas de verificación de conocimientos Dominio del examen 1 - Fundamentos de ciberseguridad https://translate.googleusercontent.com/translate_f 252 252 258 258 8/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0 258 1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados en puertos 258 1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube 259 1.4 Identificar la seguridad de la aplicación SaaS 259 1.5 Reconocer las leyes y regulaciones de ciberseguridad 260 1.6 Enumere ejemplos recientes de ciberataques de alto perfil 260 © 2021 Palo Alto Networks, Inc. 10 Página 11 1.7 Descubra los perfiles y las motivaciones de los atacantes 260 1.8 Describir el ciclo de vida moderno de los ciberataques 261 1.9 Clasificar tipos de malware 262 1.10 Enumere las diferencias entre vulnerabilidades y exploits 262 1.11 Categorizar los ataques de spam y phishing 263 1.12 Ingeniería social 263 1.13 Ataques de ciberseguridad 264 1.14 Definir las características de las amenazas persistentes avanzadas 264 1.15 Reconocer ataques comunes de Wi-Fi 264 1.16 Definir la seguridad de la red basada en el perímetro 265 1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust 265 1.18 Definir las capacidades de una cartera de productos eficaz 266 1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks 266 Dominio del examen 2: el mundo conectado 267 2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores 267 2.2 Clasificar protocolos enrutados y de enrutamiento 267 2.3 Resumir topologías y redes de área 267 2.4 Explicar el propósito del sistema de nombres de dominio (DNS) 268 2.5 Identificar categorías de Internet de las cosas (IoT) 268 2.6 Ilustre la estructura de una dirección IPv4 / IPv6 269 2.7 Describir el propósito de la división en subredes IPv4 270 2.8 Ilustre los modelos OSI y TCP / IP 270 2.9 Explicar el proceso de encapsulación de datos 271 2.10 Clasifique varios tipos de firewalls de red 271 2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones 272 2.12 Definir redes privadas virtuales 272 2.13 Explicar la prevención de pérdida de datos (DLP) 273 2.14 Describir la gestión unificada de amenazas 273 2.15 Definir los conceptos básicos de seguridad de endpoints 273 2.16 Comparar la protección contra malware basada en firmas y en contenedores 274 2.17 Reconocer tipos de gestión de dispositivos móviles 274 2.18 Explicar el propósito de la gestión de identificaciones y accesos 275 2.19 Describir la gestión de la configuración 276 © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 11 9/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Pagina 12 2.20 Identificar las funciones y capacidades del firewall de próxima generación 276 2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW 276 2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama). 277 Dominio del examen 3: tecnologías en la nube 277 3.1 Definir los modelos de implementación y servicio en la nube del NIST 277 3. 2 Reconocer y enumerar los desafíos de seguridad en la nube 278 3.3 Definir el propósito de la virtualización en la computación en nube 279 3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones 279 3.5 Discutir el propósito de la computación sin servidor 280 3.6 Compare las diferencias entre DevOps y DevSecOps 280 3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS 280 3.8 Ilustre las debilidades de las soluciones de seguridad de datos tradicionales 281 3.9 Comparar la protección del tráfico este-oeste y norte-sur 281 3.11 Enumere los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud] 282 3.12 Ilustre la arquitectura SASE de Prisma Access 282 3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas 283 Dominio del examen 4: elementos de las operaciones de seguridad 283 4.1 Enumere los seis elementos esenciales de las operaciones de seguridad eficaces 283 4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR 283 4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad. 284 4.4 Describir las características de la tecnología de protección de terminales Cortex XDR 284 4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora el SOC visibilidad 285 Apéndice B: Glosario © 2021 Palo Alto Networks, Inc. 286 12 Página 13 Guía de estudio de Palo Alto Networks PCCET Bienvenido a la Guía de estudio de PCCET de Palo Alto Networks . El propósito de esta guía es ayudar se prepara para su técnico de nivel de entrada certificado en ciberseguridad de Palo Alto Networks (PCCET) y obtenga su credencial PCCET. Descripción general https://translate.googleusercontent.com/translate_f 10/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La certificación PCCET valida los conocimientos necesarios para la seguridad de red de nivel de entrada. posiciones, cuyos requisitos técnicos cambian tan rápidamente como la tecnología sobre la que se establecido. Las personas certificadas por PCCET tienen un conocimiento detallado sobre las últimas tendencias en redes. ciberataques basados y sobre tecnologías de vanguardia disponibles para prevenir los ciberataques. Hay más información disponible en la página pública de Palo Alto Networks en: https://www.paloaltonetworks.com/services/education/certification Formato de examen El formato de la prueba es de 75 ítems de opción múltiple. Los candidatos tendrán 5 minutos para completar el NoAcuerdo de divulgación (NDA), 90 minutos (1 hora, 30 minutos) para completar las preguntas y 5 minutos para completar una encuesta al final del examen. Se muestra la distribución aproximada de los elementos por tema (dominio del examen) y las ponderaciones de los temas. en la siguiente tabla. Dominio del examen Peso (%) Fundamentos de la ciberseguridad El mundo conectado Tecnologías en la Nube Elementos de las operaciones de seguridad 15% 25% 30% 30% Total 100% Cómo realizar este examen El examen está disponible a través de la plataforma de pruebas de terceros Pearson VUE. Para registrarse en el examen, por favor visite https://home.pearsonvue.com/paloaltonetworks . © 2021 Palo Alto Networks, Inc. 13 Página 14 Recursos de preparación El documento es una recopilación de recursos clave para guiar la preparación del examen. Estos recursos cubrir el material designado por los objetivos del examen. Para estudiar de manera eficiente, céntrese en el temas sugeridos enumerados para cada recurso. Asegúrese de tener una clara y completa comprensión de estos temas antes de realizar el examen. https://translate.googleusercontent.com/translate_f 11/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 14 Página 15 Dominio del examen 1 - Fundamentos de ciberseguridad El panorama moderno de la ciberseguridad es un entorno hostil en rápida evolución lleno de amenazas avanzadas y actores de amenazas cada vez más sofisticados. Esta sección describe la informática tendencias que están dando forma al panorama de la ciberseguridad, los marcos de aplicación y los ataques (o amenaza ) vectores , los problemas de seguridad de cloud computing y SaaS de aplicaciones, información diversa regulaciones y estándares de seguridad y protección de datos, y algunos ejemplos recientes de ciberataques. Nota: Los términos "empresa" y "negocio" se utilizan en esta guía para describir organizaciones, redes y aplicaciones en general. El uso de estos términos no está destinado a excluir otros tipos de organizaciones, redes o aplicaciones, y debe entenderse que incluir no solo las grandes empresas y empresas, sino también las pequeñas y medianas empresas (PYMES), gobierno, empresas de propiedad estatal (EPE), servicios públicos, militares, atención médica y organizaciones sin fines de lucro, entre otras. Términos clave ● Un vector de ataque (o amenaza) es una ruta o herramienta que utiliza un atacante para atacar una red. 1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0 La naturaleza de la informática empresarial ha cambiado drásticamente durante la última década. Negocio principal Las aplicaciones ahora se instalan comúnmente junto con las aplicaciones Web 2.0 en una variedad de puntos finales , y Las redes que originalmente se diseñaron para compartir archivos e impresoras ahora se utilizan para recopilar volúmenes de datos, intercambiar información en tiempo real, realizar transacciones comerciales en línea y habilitar colaboración. Muchas aplicaciones Web 2.0 están disponibles como software como servicio (SaaS), basadas en la web o aplicaciones móviles. que los usuarios finales pueden instalar fácilmente o que se pueden ejecutar sin instalar ningún programa local o servicios en el punto final. El uso de aplicaciones Web 2.0 en la empresa a veces se denomina Enterprise 2.0 , aunque no todas las aplicaciones Web 2.0 se consideran aplicaciones Enterprise 2.0. Términos clave https://translate.googleusercontent.com/translate_f 12/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Web 2.0 es un término popularizado por Tim O'Reilly y Dale Dougherty que extraoficialmente se refiere a un nueva era de la World Wide Web, que se caracteriza por contenido dinámico o generado por el usuario, interacción y colaboración, y el crecimiento de las redes sociales. ● Un endpoint es un dispositivo informático, como una computadora de escritorio o portátil, un escáner de mano, dispositivo o sensor de Internet de las cosas (IoT) (como un vehículo autónomo, un dispositivo inteligente, medidor inteligente, TV inteligente o dispositivo portátil), terminal de punto de venta (POS), impresora, satélite radio, cámara de seguridad o videoconferencia, quiosco de autoservicio, teléfono inteligente, tableta o voz a través de un teléfono de Protocolo de Internet (VoIP). Aunque los puntos finales pueden incluir servidores y redes equipo, el término se utiliza generalmente para describir los dispositivos del usuario final. ● La Internet de las cosas (IoT) es la red de objetos inteligentes físicos que están integrados con electrónica, software, sensores y conectividad de red para recopilar y compartir datos. ● Voz sobre IP (VoIP), o telefonía IP, es una tecnología que proporciona comunicación de voz una (red basada en IP. © 2021 Palo Alto Networks, Inc. 15 Página 16 ● El software como servicio (SaaS) es una categoría de servicios de computación en la nube en la que el cliente se proporciona acceso a una aplicación alojada que es mantenida por el proveedor de servicios. ● Enterprise 2.0 es un término introducido por Andrew McAfee y definido como "el uso de plataformas de software social dentro de las empresas, o entre empresas y sus socios o clientes." Las aplicaciones comerciales centrales típicas incluyen: ● El software de contabilidad se utiliza para procesar y registrar datos y transacciones contables como como cuentas por pagar, cuentas por cobrar, nómina, balances de prueba y libro mayor (GL) entradas. Ejemplos de software de contabilidad incluyen Intacct, Microsoft Dynamics AX y GP, NetSuite, QuickBooks y Sage. ● El software de inteligencia empresarial (BI) y análisis empresarial consta de herramientas y técnicas utilizadas para sacar a la superficie grandes cantidades de datos no estructurados sin procesar de una variedad de fuentes (como almacenes de datos y mercados de datos). Software de análisis empresarial y BI realiza una variedad de funciones, incluida la gestión del rendimiento empresarial, datos minería, procesamiento de eventos y análisis predictivo. Ejemplos de software analítico y de BI incluyen IBM Cognos, MicroStrategy, Oracle Hyperion y SAP. ● Sistemas de gestión de contenido (CMS) y gestión de contenido empresarial (ECM) Los sistemas se utilizan para almacenar y organizar archivos desde una interfaz de administración central, con funciones como indexación, publicación, búsqueda, gestión del flujo de trabajo y control de versiones. Ejemplos de software CMS y ECM incluyen EMC Documentum, HP Autonomy, Microsoft SharePoint y OpenText. ● El software de gestión de relaciones con el cliente (CRM) se utiliza para gestionar información del cliente (o cliente) de la organización, incluida la validación de clientes potenciales, ventas pasadas, registros de comunicación e interacción e historial de servicio. Ejemplos de suites de CRM incluyen Microsoft Dynamics CRM, Salesforce.com, SugarCRM y ZOHO. ● Los sistemas de administración de bases de datos (DBMS) se utilizan para administrar bases de datos, incluido el esquemas, tablas, consultas, informes, vistas y otros objetos que componen una base de datos. Ejemplos de software DBMS incluyen Microsoft SQL Server, MySQL, NoSQL y Base de datos Oracle. ● Los sistemas de planificación de recursos empresariales (ERP) proporcionan una vista integrada de los Procesos comerciales como planificación de productos y costos, fabricación o prestación de servicios. gestión de inventarios, envío y pago. Ejemplos de software ERP incluyen NetSuite, JD Edwards EnterpriseOne y PeopleSoft de Oracle y SAP. ● El software de gestión de activos empresariales (EAM) se utiliza para gestionar los activos físicos a lo largo de todo su ciclo de vida, incluida la adquisición, actualización, mantenimiento, reparación, reemplazo, desmantelamiento y eliminación. EAM es comúnmente implementado como un módulo integrado de sistemas ERP. Ejemplos de software EAM incluyen IBM Maximo, Infor EAM y SAP. https://translate.googleusercontent.com/translate_f 13/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. dieciséis Página 17 ● El software de gestión de la cadena de suministro (SCM) se utiliza para gestionar las transacciones de la cadena de suministro, relaciones con proveedores y varios procesos comerciales, como el procesamiento de órdenes de compra, gestión de inventarios y gestión de almacenes. El software SCM es comúnmente integrado con sistemas ERP. Ejemplos de software SCM incluyen Fishbowl Inventory, Freightview, Infor Supply Chain Management y Sage X3. ● El software de administración de contenido web (WCM) se utiliza para administrar el contenido del sitio web, incluyendo administración, autoría, colaboración y publicación. Ejemplos de web El software de gestión de contenido incluye Drupal, IBM FileNet, Joomla y WordPress. Las aplicaciones y servicios Web 2.0 comunes (muchos de los cuales también son aplicaciones SaaS) incluyen: ● Los servicios de intercambio y sincronización de archivos se utilizan para administrar, distribuir y brindar acceso a contenido en línea, como documentos, imágenes, música, software y video. Ejemplos incluyen Apple iCloud, Box, Dropbox, Google Drive, Microsoft OneDrive, Spotify y YouTube. ● La mensajería instantánea (MI) se utiliza para intercambiar mensajes cortos en tiempo real. Ejemplos de incluyen Facebook Messenger, Skype, Snapchat y WhatsApp. ● Los servicios web de microblogging permiten a un suscriptor transmitir mensajes cortos a otros suscriptores. Los ejemplos incluyen Tumblr y Twitter. ● Las suites de productividad de Office constan de procesamiento de texto basado en la nube, hojas de cálculo y software de presentación. Los ejemplos incluyen Google Apps y Microsoft Office 365. ● El software de acceso remoto se utiliza para compartir y controlar de forma remota un punto final, normalmente para colaboración o resolución de problemas. Los ejemplos incluyen LogMeIn y TeamViewer. ● El software de reunión de equipo remoto se utiliza para conferencias de audio, videoconferencias y compartir pantalla. Los ejemplos incluyen Adobe Connect, Microsoft Teams y Zoom. ● La curación social comparte contenido colaborativo sobre temas particulares. Marcadores sociales es un tipo de curaduría social. Los ejemplos incluyen Cogenz, Instagram, Pinterest y Reddit. ● Las redes sociales se utilizan para compartir contenido con contactos comerciales o personales. Ejemplos de incluyen Facebook, Google+ y LinkedIn. ● El correo electrónico basado en web es un servicio de correo electrónico de Internet al que normalmente se accede a través de un navegador web. Los ejemplos incluyen Gmail, Outlook.com y Yahoo! Correo. ● Los wikis permiten a los usuarios contribuir, colaborar y editar el contenido del sitio. Ejemplos incluyen Socialtext y Wikipedia. © 2021 Palo Alto Networks, Inc. 17 Página 18 Según una investigación de McKinsey & Company y la Association for Information and Gestión de imágenes (AIIM), muchas organizaciones están reconociendo importantes beneficios de la uso de aplicaciones y tecnologías Enterprise 2.0, incluida una mejor colaboración, aumento intercambio de conocimientos y reducción de gastos (por ejemplo, para viajes, operaciones y https://translate.googleusercontent.com/translate_f 14/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS comunicaciones). Por tanto, las infraestructuras empresariales (sistemas, aplicaciones y redes) son convergiendo rápidamente con tecnologías y aplicaciones personales y Web 2.0, lo que hace que la definición de donde comienza Internet y termina la infraestructura empresarial es prácticamente imposible. Esta La convergencia está impulsada por varias tendencias importantes, que incluyen: ● Computación en la nube: la computación en la nube ahora es más omnipresente que nunca. De acuerdo con la RightScale 2019 State of the Cloud Informe de Flexera, nube pública y privada la adopción es ahora del 94 por ciento para empresas (más de 1000 empleados) y pymes (menos de 1000 empleados), y esas empresas ejecutan la mayoría de sus cargas de trabajo (alrededor de 79 por ciento) en la nube. Además, el 84 por ciento de las empresas y el 61 por ciento de las pymes tienen un estrategia multicloud que aprovecha un promedio de casi cinco nubes públicas y / o privadas. De manera similar, el informe RightScale del Enterprise Strategy Group encontró que el servidor de producción Las cargas de trabajo se ejecutan cada vez más en una combinación de arquitecturas listas para la nube, incluidas las máquinas (34 por ciento), contenedores (23 por ciento) y sin servidor (15 por ciento). ● Consumerización: el proceso de consumerización se produce cuando los usuarios finales encuentran cada vez más tecnología personal y aplicaciones que son más poderosas o capaces, más convenientes, menos costosas, más rápidas de instalar y más fáciles de usar que las soluciones de TI empresariales. ● Traiga su propio dispositivo (BYOD): una política muy relacionada con la consumerización está BYOD Tendencia en la que las organizaciones permiten que los usuarios finales utilicen sus propios dispositivos personales, principalmente teléfonos inteligentes y tabletas, para fines laborales. BYOD libera a las organizaciones de el costo de proporcionar equipos a los empleados, pero crea un desafío de gestión debido a la gran cantidad y tipo de dispositivos que deben ser compatibles. ● Traiga sus propias aplicaciones (BYOA): las aplicaciones Web 2.0 en dispositivos personales son cada vez más utilizado para fines relacionados con el trabajo. Como límite entre el trabajo y la vida personal. se vuelve menos distintivo, los usuarios finales prácticamente exigen que estas mismas aplicaciones sean disponible para ellos en sus lugares de trabajo. ● Computación móvil: el apetito por el acceso rápido y bajo demanda a aplicaciones y datos de en cualquier lugar, en cualquier momento, en cualquier dispositivo está creciendo. Hay aproximadamente más de 8 miles de millones de suscripciones móviles en todo el mundo y el tráfico de datos mensual total (incluido audio, intercambio de archivos, redes sociales, carga y descarga de software, video, web navegación y otras fuentes) es de unos 40 exabytes. ● Inalámbrico celular 5G: Cada nueva generación de conectividad inalámbrica ha impulsado a muchos innovaciones, y el paso a la quinta generación de telefonía celular inalámbrica (5G) está muy por debajo manera, con los operadores de redes móviles anunciando pruebas piloto de 5G y comercialización planes a medida que amplían sus huellas geográficas. Las últimas aplicaciones 5G son para consumidores impulsado, ayudar a los gobiernos a implementar 5G para implementaciones de ciudades inteligentes y brindar el servicio 5G experiencia al público al cubrir sin problemas los principales eventos deportivos, entre otros. El La promesa de conectividad inteligente impulsará la adopción masiva de Internet de las cosas. (IoT) y podría transformar industrias. Ahora estamos describiendo la empresa de las cosas: dispositivos industriales, sensores, redes y aplicaciones en red que conectan empresas. Como Las empresas de hoy se someten a una transformación digital, buscarán redes 5G para Impulsar la verdadera transformación de la Industria 4.0, aprovechando la automatización, la inteligencia artificial (IA), © 2021 Palo Alto Networks, Inc. 18 Página 19 e IoT. ● Redes de entrega de contenido (CDN): las empresas están utilizando redes de entrega de contenido como como redes Akamai, Amazon CloudFront y Limelight para distribuir sus productos web y servicios a clientes en todo el mundo. El uso de CDN se volverá aún más prominente a medida que la adopción de 5G continúa expandiéndose. Términos clave ● La nube pública es un modelo de implementación de computación en la nube que consta de una infraestructura en la nube. que está abierto al uso del público en general. ● La nube privada es un modelo de computación en la nube que consta de una infraestructura de nube que se utiliza exclusivamente por una sola organización. ● Multicloud es un entorno (o estrategia) de nube empresarial que consta de dos o más y / o nubes privadas. ● Una máquina virtual (VM) es una emulación de un sistema informático físico (hardware), que incluye CPU, memoria, disco, sistema operativo e interfaces de red. ● Un contenedor es un paquete de código de software ligero, ejecutable y estandarizado que contiene todos los componentes necesarios para ejecutar una determinada aplicación (o aplicaciones), incluido el código, https://translate.googleusercontent.com/translate_f 15/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS tiempo de ejecución, herramientas y bibliotecas del sistema, y ajustes de configuración, en un entorno aislado y virtualizado entorno para permitir la agilidad y portabilidad de las cargas de trabajo de la aplicación. ● Sin servidor generalmente se refiere a un modelo operativo en la computación en la nube en el que las aplicaciones confiar en servicios administrados que abstraen la necesidad de administrar, parchear y proteger infraestructura y máquinas virtuales. Las aplicaciones sin servidor se basan en una combinación de ofertas de servicios en la nube y funciones como servicio (FaaS). ● La inteligencia artificial (IA) es la capacidad de un sistema o aplicación para interactuar y aprender de su entorno, y para realizar automáticamente acciones en consecuencia, sin necesidad de programación explícita. ● Una red de entrega de contenido (CDN) es una red de servidores distribuidos que distribuye en caché páginas web y otro contenido estático a un usuario desde una ubicación geográfica más cercana físicamente al usuario. Web 3.0 transformará el panorama de la informática empresarial durante la próxima década y más allá. Web 3.0, tal como se define en ExpertSystem.com, se caracteriza por cinco características principales: ● Web semántica: “La web semántica mejora las tecnologías web para generar, compartir y conectarse a través de la búsqueda y el análisis basados en la capacidad de comprender el significado de palabras, en lugar de palabras clave y números ". ● Inteligencia artificial: "Las computadoras pueden comprender la información como los humanos para proporcionar resultados más rápidos y relevantes ". ● Gráficos 3D: el diseño 3D se "utiliza ampliamente en sitios web y servicios". ● Conectividad: “La información está más conectada gracias a los metadatos semánticos. Como resultado, la experiencia del usuario evoluciona a otro nivel de conectividad que aprovecha todo lo disponible información." ● Ubicuidad: " Varias aplicaciones pueden acceder al contenido, todos los dispositivos están conectados al web, [y] los servicios se pueden utilizar en todas partes ". © 2021 Palo Alto Networks, Inc. 19 Página 20 Términos clave ● Web 3.0 , como se define en ExpertSystem.com, se caracteriza por los siguientes cinco características: web semántica, inteligencia artificial, gráficos 3D, conectividad y ubicuidad. Para muchos, la visión de la Web 3.0 es devolver el poder de Internet a los usuarios individuales, en de la misma manera que se concibió la Web 1.0 original. Hasta cierto punto, la Web 2.0 ha ser moldeados y caracterizados, si no controlados, por gobiernos y grandes corporaciones dictar el contenido que se pone a disposición de las personas y plantear muchas preocupaciones sobre seguridad, privacidad y libertad individual. Tecnologías específicas que están evolucionando y comenzando a que forman los cimientos de la Web 3.0 incluyen: ● La inteligencia artificial y el aprendizaje automático son dos tecnologías relacionadas que permiten a los sistemas comprender y actuar sobre la información de la misma manera que un humano podría usarla. AI adquiere y aplica conocimientos para encontrar la solución, decisión o curso de acción más óptimo acción. El aprendizaje automático es un subconjunto de la IA que aplica algoritmos a grandes conjuntos de datos para descubrir patrones comunes en los datos que luego se pueden utilizar para mejorar el rendimiento de el sistema. ● Blockchain es esencialmente una estructura de datos que contiene registros transaccionales (almacenados como bloques) que garantiza la seguridad y la transparencia a través de un vasto y descentralizado peer-to-peer red sin una autoridad de control única. La criptomoneda , como Bitcoin, es una ejemplo de una aplicación blockchain. ● La minería de datos permite descubrir patrones en grandes conjuntos de datos mediante el uso de máquinas. aprendizaje, análisis estadístico y tecnologías de bases de datos. ● La realidad mixta incluye tecnologías como la realidad virtual (VR), la realidad aumentada (AR), y realidad extendida (XR) que ofrecen un entorno físico y digital inmersivo e interactivo experiencia sensorial en tiempo real. ● La búsqueda de lenguaje natural es la capacidad de comprender el lenguaje y el contexto hablados por humanos. para encontrar información, a diferencia de una búsqueda booleana , por ejemplo. https://translate.googleusercontent.com/translate_f 16/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Términos clave ● El aprendizaje automático es un subconjunto de la inteligencia artificial que aplica algoritmos a grandes conjuntos de datos para descubrir patrones comunes en los datos que luego se pueden utilizar para mejorar el rendimiento del sistema. ● Blockchain es esencialmente una estructura de datos que contiene registros transaccionales (almacenados como bloques). que garantiza la seguridad y la transparencia a través de una vasta red descentralizada peer-to-peer con ninguna autoridad de control única. La criptomoneda es un instrumento financiero basado en Internet que utiliza tecnología blockchain. ● La minería de datos permite descubrir patrones en grandes conjuntos de datos mediante el aprendizaje automático, análisis estadístico y tecnologías de bases de datos. ● La realidad mixta (MR) incluye tecnologías como la realidad virtual (VR), la realidad aumentada (AR) y realidad extendida (XR) que ofrecen un entorno físico y digital inmersivo e interactivo experiencia sensorial en tiempo real. La realidad virtual es una experiencia simulada. Realidad aumentada mejora un entorno del mundo real con objetos virtuales. La realidad extendida cubre ampliamente la espectro de la realidad física a la virtual con varios grados de experiencias sensoriales parciales para experiencias totalmente inmersivas. © 2021 Palo Alto Networks, Inc. 20 Página 21 ● La búsqueda de lenguaje natural es la capacidad de comprender el lenguaje hablado y el contexto humano para buscar información, a diferencia de una búsqueda booleana, por ejemplo. Booleano se refiere a un sistema de notación algebraica utilizada para representar proposiciones lógicas. Las organizaciones a menudo no están seguras de los posibles beneficios comerciales y los riesgos inherentes de los nuevos tendencias como Web 2.0 y Web 3.0, y por lo tanto: ● Permitir implícitamente tecnologías y aplicaciones personales simplemente ignorando su uso en el lugar de trabajo, o ● Prohibir explícitamente su uso, pero luego no pueden hacer cumplir efectivamente dichas políticas con firewalls tradicionales y tecnologías de seguridad Independientemente de si las tecnologías y aplicaciones personales están implícitamente permitidas (e ignoradas) o explícitamente prohibidos (pero no aplicados), los resultados adversos de políticas ineficaces incluyen: ● Pérdida de productividad porque los usuarios deben encontrar formas de integrar estos tecnologías y aplicaciones (cuando estén permitidas) con la infraestructura empresarial o aplicaciones de uso que no les son familiares o menos eficientes (cuando las tecnologías y aplicaciones personales son prohibido) ● Posible interrupción de las operaciones comerciales críticas debido a operaciones subterráneas o procesos de canal que se utilizan para realizar tareas específicas de flujo de trabajo o para eludir controles, y son conocidos por solo unos pocos usuarios y dependen completamente de su uso de tecnologías y aplicaciones personales ● Exposición a riesgos adicionales para la empresa debido a desconocidos y, por lo tanto, sin parches, vulnerabilidades en tecnologías y aplicaciones personales, y un juego perpetuo de esperar y ver entre empleados que eluden los controles (por ejemplo, con apoderados externos, túneles cifrados y aplicaciones de escritorio remoto) y equipos de seguridad que gestionan estos riesgos ● Se pueden imponer sanciones a las organizaciones por incumplimiento de las regulaciones de grupos como el Reglamento General de Protección de Datos de la UE (GDPR), el Departamento de Salud de EE. UU. Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) y la Industria de Tarjetas de Pago Estándar de seguridad de datos (PCI DSS). A medida que estas tendencias continúan desdibujando la distinción entre Internet y la red empresarial, Surgen nuevos desafíos y riesgos de seguridad, que incluyen: ● Nuevos vectores de amenazas de aplicaciones ● Turbulencia en la nube ● Riesgos de la aplicación SaaS Referencias ● “Informe sobre el estado de la nube de Flexera 2020”. https://www.flexera.com/2019-cloud-report. ● Cahill, Doug. "Aprovechamiento de DevSecOps para proteger las aplicaciones nativas de la nube". Empresa https://translate.googleusercontent.com/translate_f 17/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Grupo de estrategia. 9 de diciembre de 2019. https://www.esg-global.com/research/esg-master-survey-results-leveraging-devsecops-toaplicaciones nativas seguras en la nube . © 2021 Palo Alto Networks, Inc. 21 Página 22 ● "Informe de movilidad de Ericsson, noviembre de 2020". Ericsson. Noviembre de 2020. https://www.ericsson.com/en/mobility-report/reports/november-2019. ● Sistema experto. 2020. “Las 5 características principales de Web 3.0”. Consultado el 30 de abril de 2020. http://www.expertsystem.com/web-3-0/. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: el software de inteligencia empresarial (BI) consta de herramientas y técnicas utilizadas para sacar a la superficie grandes cantidades de datos no estructurados sin procesar para realizar una variedad de tareas, que incluyen minería de datos, procesamiento de eventos y análisis predictivo. 2. Verdadero o falso: el proceso en el que los usuarios finales encuentran tecnología personal y aplicaciones que son más potentes o capaces, más convenientes, menos costosos, más rápidos de instalar y Más fácil de usar que las soluciones de TI empresariales se conoce como consumerización . 3. ¿Qué acción está asociada con la Web 1.0? A. consultar el sitio web de CNN en busca de noticias B. publicar en Facebook C. agregar información a Wikipedia D. hacerle una pregunta a Siri de Apple 4. ¿Qué acción está asociada con Web 3.0? A. consultar el sitio web de CNN en busca de noticias B. publicar en Facebook C. agregar información a Wikipedia D. hacerle una pregunta a Siri de Apple 5. ¿A qué modelo de computación en la nube está asociado Gmail? A. SaaS B. PaaS C. IaaS D. DaaS © 2021 Palo Alto Networks, Inc. 22 Página 23 1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados en puertos https://translate.googleusercontent.com/translate_f 18/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La explotación de vulnerabilidades en las aplicaciones comerciales centrales ha sido durante mucho tiempo un ataque predominante vector, pero los actores de amenazas están desarrollando constantemente nuevas tácticas, técnicas y procedimientos (TTP). Equipos de seguridad empresarial que desean proteger eficazmente sus redes y la nube. El entorno no solo debe gestionar los riesgos asociados con un conjunto conocido y relativamente limitado de aplicaciones centrales, sino que también gestiona los riesgos asociados con un número cada vez mayor de y aplicaciones basadas en la nube desconocidas. El modelo de consumo de aplicaciones basado en la nube ha revolucionó la forma en que las organizaciones hacen negocios y aplicaciones como Microsoft Office 365 y Salesforce se están consumiendo y actualizando completamente en la nube. Clasificación de aplicaciones como "buenas" (permitidas) o "malas" (bloqueadas) de forma clara y de manera consistente también se ha vuelto cada vez más difícil. Muchas aplicaciones son claramente buenas (bajo riesgo, alta recompensa) o claramente malo (alto riesgo, baja recompensa), pero la mayoría están en algún lugar entre, dependiendo de cómo se esté utilizando la aplicación. Por ejemplo, muchas organizaciones utilizan aplicaciones de redes sociales como Facebook para funciones comerciales importantes como contratación, investigación y desarrollo, marketing y defensa del consumidor. Sin embargo, estas mismas aplicaciones se pueden utilizar para filtrar información confidencial. o causar daño a la imagen pública de una organización, ya sea de manera inadvertida o maliciosa. Muchas aplicaciones están diseñadas para eludir los firewalls tradicionales basados en puertos para que puedan ser Se instala y se accede fácilmente en cualquier dispositivo, en cualquier lugar y en cualquier momento, utilizando técnicas como: ● Salto de puerto , en el que los puertos y protocolos se cambian aleatoriamente durante una sesión. ● Usar puertos no estándar , como ejecutar Yahoo! Messenger a través del puerto TCP 80 (HTTP) en lugar del puerto TCP estándar para Yahoo! Messenger (5050). ● Túnel dentro de los servicios de uso común , como cuando se comparten archivos de igual a igual (P2P) o un cliente de mensajería instantánea (IM) como Meebo se ejecuta a través de HTTP. ● Ocultar dentro del cifrado SSL , que enmascara el tráfico de la aplicación, por ejemplo, sobre Puerto TCP 443 (HTTPS). Más de la mitad de todo el tráfico web ahora está encriptado. Muchas aplicaciones comerciales tradicionales cliente-servidor también se están rediseñando para uso web y Emplee estas mismas técnicas para facilitar la operación y minimizar las interrupciones. Por ejemplo, tanto la llamada a procedimiento remoto (RPC) como Microsoft SharePoint usan el salto de puerto porque es crítico para cómo funciona el protocolo o la aplicación (respectivamente), más que como un medio para evadir la detección o mejorar la accesibilidad. Términos clave ● La llamada a procedimiento remoto (RPC) es un protocolo de comunicación entre procesos (IPC) que permite una aplicación que se ejecutará en una computadora o red diferente, en lugar de la computadora local en que está instalado. © 2021 Palo Alto Networks, Inc. 23 Página 24 Las aplicaciones también pueden ser secuestradas y reutilizadas por actores malintencionados, como se hizo en el 2014 Ataque de Heartbleed. Según un artículo de Palo Alto Networks de abril de 2014: ▪ “[L] a historia del impacto de Heartbleed se ha centrado en el compromiso de HTTPSsitios web y aplicaciones web habilitados, como Yahoo !, Google, Dropbox, Facebook, banca en línea y los miles de otros objetivos vulnerables en la web. Estos son de enorme impacto, pero todos esos sitios se actualizarán rápidamente…. ▪ “Para los profesionales de la seguridad, [el ataque Heartbleed inicial] es solo la punta del iceberg. La vulnerabilidad pone las herramientas que antes estaban reservadas para amenazas verdaderamente avanzadas en manos de el atacante promedio, en particular, la capacidad de violar organizaciones y moverse lateralmente dentro de ellas. La mayoría de las empresas, incluso de tamaño moderado, no saben bien qué servicios que están ejecutando internamente mediante cifrado SSL. Sin esta línea de base conocimiento, es extremadamente difícil para los equipos de seguridad fortalecer su ataque interno superficie contra las credenciales y las herramientas de robo de datos que Heartbleed habilita. Todos los puntos de apoyo para el atacante con una red empresarial de repente tienen el mismo valor ". https://translate.googleusercontent.com/translate_f 19/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A medida que las nuevas aplicaciones están cada vez más habilitadas para la web y basadas en navegador, HTTP y HTTPS ahora representan aproximadamente dos tercios de todo el tráfico de red empresarial. Cortafuegos tradicionales basados en puertos y otra infraestructura de seguridad no puede distinguir si estas aplicaciones, que se basan en HTTP y HTTPS, se utilizan para fines comerciales legítimos. Referencias ● Simkin, Scott. “Impacto de Heartbleed en el mundo real (CVE-2014-0160): la Web es solo el Comienzo." Palo Alto Networks. Abril de 2014. https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve2014-0160-web-just-start. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué dos números de puerto están asociados con HTTP? (Escoge dos.) A. 80 B. 389 C. 8080 D. 25 2. ¿Qué número de puerto está asociado con HTTPS? A. 21 B. 23 C. 443 D. 53 3. ¿Qué puerto se utiliza para la comunicación cifrada? A. 22 B. 80 C. 389 D. 25 © 2021 Palo Alto Networks, Inc. 24 Página 25 4. ¿Qué dos protocolos distinguen entre aplicaciones que utilizan números de puerto? (Escoge dos.) A. TCP B. ICMP C. ESP D. UDP E. IPX 5. ¿Cómo evitan los atacantes que el software de monitoreo detecte los escaneos de puertos? A. Escanee puertos tan rápido que haya terminado antes de que pueda ser detectado y detenido B. escanear puertos tan lentamente que parece intentos aleatorios de conexión, en lugar de una concertada ataque C. escanear puertos desde un dispositivo interno D. escanear puertos a través de WiFi en lugar de Ethernet 6. ¿Qué atributo potencialmente riesgoso es el más grave? A. generalizado B. malware C. ancho de banda excesivo D. túneles 7. ¿Cuál de estas aplicaciones se puede utilizar como túnel para otras aplicaciones? A. Telnet B. SMTP C. HTTPS D. SSH 8. ¿Qué dos dispositivos o sistemas requieren la configuración de puertos no estándar para poder utilizar una aplicación en un puerto no estándar? (Escoge dos.) A. cortafuegos B. cliente C. servidor D. sistema operativo E. certificado https://translate.googleusercontent.com/translate_f 20/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube Las tecnologías de computación en la nube permiten a las organizaciones hacer evolucionar sus centros de datos desde un hardwarearquitectura céntrica donde las aplicaciones se ejecutan en servidores dedicados a un dinámico y automatizado entorno donde los grupos de recursos informáticos están disponibles bajo demanda, para respaldar cargas de trabajo de aplicaciones a las que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo. Sin embargo, muchas organizaciones se han visto obligadas a realizar compromisos importantes con respecto a sus entornos de nube pública y privada, función comercial, visibilidad y seguridad para simplificar, eficiencia y agilidad. Si una aplicación alojada en la nube no está disponible o no responde, la red Los controles de seguridad, que con demasiada frecuencia introducen retrasos e interrupciones, por lo general están "simplificados". fuera del diseño de la nube. Las compensaciones de seguridad en la nube a menudo incluyen: ● Sencillez o función ● Eficiencia o visibilidad ● Agilidad o seguridad © 2021 Palo Alto Networks, Inc. 25 Página 26 Muchas de las características que hacen que la computación en la nube sea atractiva para las organizaciones también son contrarias a mejores prácticas de seguridad de la red. Por ejemplo: ● La computación en la nube no mitiga los riesgos de seguridad de la red existentes: los riesgos de seguridad que amenazan su red hoy en día no desaparecen cuando se cambia a la nube. El compartido El modelo de responsabilidad define quién (cliente y / o proveedor) es responsable de qué (relacionado con la seguridad) en la nube pública. En términos generales, el proveedor de la nube es responsable para la seguridad de la nube, incluida la seguridad física de los centros de datos en la nube, y para servicios de virtualización, computación, almacenamiento y redes fundamentales. La nube el cliente es responsable de la seguridad en la nube, que está más delimitada por la nube modelo de servicio. Por ejemplo, en un modelo de infraestructura como servicio (IaaS), la nube El cliente es responsable de la seguridad de los sistemas operativos, middleware, tiempo de ejecución, aplicaciones y datos. En un modelo de plataforma como servicio (PaaS), el cliente de la nube responsable de la seguridad de las aplicaciones y los datos; el proveedor de la nube es responsable para la seguridad de los sistemas operativos, middleware y tiempo de ejecución. En un modelo SaaS, el El cliente de la nube es responsable solo de la seguridad de los datos, y el proveedor de la nube es responsable de la pila completa, desde la seguridad física de los centros de datos en la nube hasta el solicitud. ● La separación y la segmentación son fundamentales para la seguridad; la nube se basa en compartidos recursos: las mejores prácticas de seguridad dictan que las aplicaciones y los datos de misión crítica sean separados en segmentos seguros en la red, basados en principios de Confianza Cero. Confianza cero en una red física es relativamente sencilla, utilizando firewalls y políticas basadas en la aplicación y la identidad del usuario. En un entorno de nube, la comunicación directa entre Las máquinas virtuales (VM) dentro de un host de servidor ocurren constantemente, en algunos casos, a través de diversos niveles de confianza, lo que hace que la segmentación sea un desafío. Niveles mixtos de confianza, combinado con una falta de visibilidad del tráfico dentro del host mediante la seguridad basada en puertos virtualizados ofertas, pueden debilitar su postura de seguridad. ● Las implementaciones de seguridad están orientadas a procesos; Los entornos de computación en la nube son dinámico: la creación o modificación de sus cargas de trabajo en la nube a menudo se puede realizar en minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede tardar horas, días o semanas. Los retrasos de seguridad no están diseñados para ser onerosos; son el resultado de un proceso que es diseñado para mantener una postura de seguridad sólida. Los cambios de política deben ser aprobados, el Es necesario identificar los cortafuegos apropiados, y las actualizaciones de políticas relevantes deben ser determinado. Por el contrario, la nube es un entorno altamente dinámico, con cargas de trabajo añadido, eliminado y cambiado rápida y constantemente. El resultado es una desconexión entre políticas de seguridad y despliegues de cargas de trabajo en la nube, lo que conduce a una seguridad debilitada postura. Por lo tanto, las tecnologías y los procesos de seguridad deben poder escalar automáticamente para tomar ventaja de la elasticidad de la nube mientras se mantiene una sólida postura de seguridad. ● La infraestructura como código automatiza la capacidad de escalar rápidamente configuraciones seguras. y configuraciones incorrectas: las organizaciones están adoptando rápidamente la infraestructura como código (IaC) https://translate.googleusercontent.com/translate_f 21/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS mientras intentan automatizar más de sus procesos de construcción en la nube. IaC se ha convertido popular porque permite una infraestructura inmutable, que es la capacidad de estandarizar y congelar muchas partes de la infraestructura de la nube, por lo que los resultados son consistentes y predecibles cuando ejecutando código cada vez. Por ejemplo, si sabe que todos los nodos de su nube tienen la misma configuración de red virtual, sus posibilidades de tener una aplicación relacionada con la red los problemas disminuyen significativamente. Y aunque IaC ofrece a los equipos de seguridad una © 2021 Palo Alto Networks, Inc. 26 Página 27 forma de hacer cumplir los estándares de seguridad, esta poderosa capacidad permanece en gran parte sin aprovechar. El desafío para las organizaciones es garantizar que las configuraciones de IaC sean consistentes Se aplica en múltiples cuentas de nube pública, proveedores y desarrollo de software. oleoductos. ● Los datos pueden ser consumidos rápida y fácilmente por aplicaciones y usuarios en la nube. Sin embargo, las amenazas más sofisticadas y las nuevas regulaciones de privacidad han aumentado las apuestas en seguridad de los datos en todas partes, incluso en la nube. La prevención de pérdida de datos (DLP) proporciona visibilidad a través de toda la información sensible, en todas partes y en todo momento, lo que permite una fuerte acciones de protección para salvaguardar los datos de amenazas y violaciones de las políticas corporativas. Pero Las tecnologías DLP independientes heredadas no son eficientes para el mundo actual impulsado por la nube. El La tecnología se basa en motores de núcleo antiguo específicamente para entornos locales y tiene no ha cambiado significativamente en la última década. Los proveedores de DLP heredados se están adaptando a la nube iniciativas simplemente extendiendo sus soluciones existentes a entornos de nube, que crea una brecha en la visibilidad y la gestión y minimiza el control de políticas. Organizaciones que han invertido una enorme cantidad de tiempo y dinero en crear una arquitectura DLP personalizada para adaptarse a sus entornos de red ahora están luchando con la complejidad y la poca usabilidad como intentan "agregar" sus aplicaciones, datos e instancias de nube pública en la nube. Los equipos de seguridad también enfrentar el desafío de usar tecnologías DLP efectivas pero complejas mientras se equilibra el trabajo constante que viene con ellos, desde el ajuste continuo de políticas hasta el incidente agotador ciclos de triaje y decisiones de respuesta a incidentes. Estos equipos se están ahogando en demasiadas alertas - la mayoría de los cuales resultan ser falsos positivos y, a menudo, también responden a un incidente de datos tarde. Términos clave ● La infraestructura como código (IaC) es un proceso de DevOps en el que los desarrolladores o los equipos de operaciones de TI puede aprovisionar y administrar mediante programación la pila de infraestructura (como máquinas virtuales, redes y conectividad) para una aplicación en software. ● DevOps es la cultura y la práctica de una colaboración mejorada entre el desarrollo de aplicaciones y equipos de operaciones de TI. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Si es responsable de la seguridad de la aplicación, pero no del sistema operativo seguridad, ¿qué modelo de servicio de computación en la nube está utilizando? A. su propio centro de datos B. IaaS C. PaaS D. SaaS 2. ¿Qué tipo de seguridad es siempre responsabilidad del cliente de la nube? A. seguridad física B. seguridad de la red C. seguridad de la aplicación D. seguridad de los datos © 2021 Palo Alto Networks, Inc. 27 Página 28 https://translate.googleusercontent.com/translate_f 22/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 1.4 Identificar los riesgos de la aplicación SaaS Los datos se encuentran en todas partes en las redes empresariales actuales, incluso en muchas ubicaciones que están no bajo el control de la organización. Surgen nuevos desafíos de seguridad de datos para las organizaciones que Permitir el uso de SaaS en sus redes. Con las aplicaciones SaaS, los datos a menudo se almacenan donde reside la aplicación, en la nube. Por lo tanto, la los datos ya no están bajo el control de la organización y la visibilidad a menudo se pierde. Los proveedores de SaaS hacen hacen todo lo posible para proteger los datos en sus aplicaciones, pero en última instancia, no es su responsabilidad. Sólo como en cualquier otra parte de la red, el equipo de TI es responsable de proteger y controlar la datos, independientemente de su ubicación. Debido a la naturaleza de las aplicaciones SaaS, su uso es difícil de controlar o tiene visibilidad. en: después de que los datos abandonen el perímetro de la red. Esta falta de control presenta un importante desafío de seguridad: los usuarios finales ahora actúan como su propio departamento de TI "en la sombra", con control sobre las aplicaciones SaaS que usan y cómo las usan. Pero tienen poco o nada comprensión de la exposición de datos inherente y los riesgos de inserción de amenazas de SaaS, que incluyen: ● Forasteros maliciosos: la fuente más común de violaciones de las redes en general es también preocupación crítica por la seguridad de SaaS. La aplicación SaaS se convierte en un nuevo vector de amenazas y punto de distribución de malware utilizado por adversarios externos. Algunos malware incluso apuntar a las propias aplicaciones SaaS, por ejemplo, cambiando sus acciones a "públicas" para que cualquiera pueda recuperar los datos. ● Exposición accidental de datos: los usuarios finales bien intencionados a menudo no están capacitados y desconocen los riesgos que plantean sus acciones en entornos SaaS. Porque las aplicaciones SaaS están diseñadas Para facilitar el intercambio fácil, los datos a menudo quedan expuestos involuntariamente. Datos accidentales La exposición de los usuarios finales es sorprendentemente común e incluye: ▪ Compartir accidentalmente: un recurso compartido destinado a una persona en particular se envía accidentalmente al persona o grupo equivocado. Las acciones accidentales son comunes cuando un nombre se completa automáticamente o se mal escrito, lo que puede causar una dirección de correo electrónico antigua o un nombre, grupo o incluso una usuario externo para tener acceso al recurso compartido. ▪ Compartir promiscuo: se crea un recurso compartido legítimo para un usuario, pero ese usuario luego comparte con otras personas que no deberían tener acceso. Las acciones promiscuas a menudo resultan en Los datos se comparten públicamente porque pueden ir mucho más allá del control del original. dueño. ▪ Compartir fantasma (o obsoleto): un recurso compartido permanece activo para un empleado o proveedor que no ya está trabajando con la empresa, o ya no debería tener acceso. Si no hay visibilidad y control de las acciones, el seguimiento y la corrección de acciones para garantizar que siguen siendo válidos es difícil. ● Personas internas malintencionadas: el riesgo menos común pero real de las aplicaciones SaaS es el usuario interno. que comparte datos maliciosamente con fines de robo o venganza. Por ejemplo, un empleado que está dejando la empresa puede establecer los permisos para compartir una carpeta en "público" o compartirla con una dirección de correo electrónico externa para luego robar los datos de una ubicación remota. © 2021 Palo Alto Networks, Inc. 28 Página 29 El empleado promedio usa al menos ocho aplicaciones, pero a medida que los empleados agregan y usan más SaaS aplicaciones que se conectan a la red corporativa, el riesgo de que los datos confidenciales sean robados, expuestos o aumentos comprometidos. Debe considerar la seguridad de las aplicaciones, a qué datos tienen acceso y cómo los utilizan los empleados. A continuación, se muestran varias prácticas recomendadas para proteger los datos confidenciales. en aplicaciones SaaS: ● Descubra el uso que hacen los empleados de las aplicaciones SaaS no aprobadas. Como adopción de SaaS rápidamente se expande, el descubrimiento manual del uso de SaaS en la empresa se vuelve cada vez más insostenible. En cambio, para identificar rápidamente el riesgo y ampliar los controles de seguridad adecuados, su organización necesita una forma automatizada de descubrir continuamente todas las aplicaciones SaaS en uso por empleados. ● Proteja los datos confidenciales en aplicaciones SaaS . Implemente capacidades avanzadas de DLP usando https://translate.googleusercontent.com/translate_f 23/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS un enfoque basado en la interfaz de programación de aplicaciones (API) para buscar información almacenada en aplicaciones SaaS. En comparación con en línea, un enfoque basado en API proporciona un contexto más profundo y permite la corrección automática de violaciones de riesgo de datos. ● Asegure su eslabón más débil: los usuarios de SaaS . Empiece por la formación del usuario y el coaching interactivo para identificar y ayudar a cambiar el comportamiento de riesgo. Luego, brinde a su equipo de seguridad herramientas para ayudar ellos monitorean y gobiernan los permisos de las aplicaciones SaaS. Busque una solución con robustez controles de acceso, que incluyen: ▪ Autenticación multifactor (MFA) ▪ Control de acceso basado en roles (RBAC) ▪ Protección para cuentas administrativas ▪ Monitoreo de acceso de usuarios que puede detectar comportamientos maliciosos o riesgosos. ● Hacer cumplir los requisitos de cumplimiento en la nube. Crear y hacer cumplir un política de seguridad granular para el cumplimiento que cubre todas las aplicaciones SaaS utilizadas por su organización. La aplicación de la política de seguridad debe incluir la automatización del cumplimiento y informes para todos los requisitos normativos relevantes en todas sus aplicaciones SaaS. ● Reducir el riesgo de los dispositivos no administrados. Implemente un producto de seguridad que se diferencie acceso entre dispositivos administrados y no administrados para proteger contra el aumento de seguridad Riesgos inherentes a los dispositivos personales. Por ejemplo, puede permitir que las descargas se gestionen dispositivos, pero bloquéelos para dispositivos no administrados al tiempo que permite el acceso a la funcionalidad principal. ● Controlar el intercambio de datos desde aplicaciones SaaS. Utilice un enfoque en línea para ganar visibilidad en datos confidenciales que fluyen hacia aplicaciones no autorizadas de alto riesgo. Crear y hacer cumplir Políticas de DLP que controlan las actividades de intercambio de datos en las aplicaciones SaaS que utilizan los empleados. ● Detenga las amenazas de malware transmitidas por SaaS. Implementar tecnología de prevención de amenazas que funcione con su seguridad SaaS para bloquear el malware y evitar que las amenazas se propaguen a través de SaaS aplicaciones, eliminando así un nuevo punto de inserción para malware. Términos clave ● Una interfaz de programación de aplicaciones (API) es un conjunto de rutinas, protocolos y herramientas para creación de aplicaciones e integraciones de software. ● La autenticación multifactor (MFA) se refiere a cualquier mecanismo de autenticación que requiera dos o más de los siguientes factores: algo que sabe, algo que tiene, algo que son. ● El control de acceso basado en roles (RBAC) es un método para implementar controles de acceso discrecionales © 2021 Palo Alto Networks, Inc. 29 Página 30 en el que las decisiones de acceso se basan en la pertenencia al grupo, de acuerdo con la organización o roles funcionales. Referencias ● “Tendencias de SaaS 2019”. Dichosamente. 2019.https://blissfully.com/saas-trends/2019-annual/ . Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Dónde se almacenan normalmente sus datos en una aplicación SaaS? A. en su centro de datos, en una base de datos bajo su control B. en su centro de datos, en una base de datos controlada por el proveedor de SaaS C. en la nube, en una base de datos que controlas D. en la nube, en una base de datos controlada por el proveedor de SaaS 2. ¿Quién es responsable de la configuración de seguridad en una aplicación SaaS empresarial? (escoger la mejor respuesta) A. Proveedor de SaaS B. Administrador de TI de la organización del cliente C. usuario, normalmente un empleado de la organización del cliente. D. Tanto los administradores como los usuarios de TI 3. ¿Cuándo es imposible proteger los datos SaaS? A. cuando un usuario usa un dispositivo no administrado para acceder a una instancia de SaaS no autorizada B. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS no autorizada https://translate.googleusercontent.com/translate_f 24/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS C. cuando un usuario usa un dispositivo no administrado para acceder a una instancia de SaaS autorizada D. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS autorizada 1.5 Reconocer las leyes y regulaciones de ciberseguridad Un número cada vez mayor de organizaciones internacionales, multinacionales, federales, regionales, estatales y Las leyes y regulaciones locales exigen numerosos requisitos de ciberseguridad y protección de datos para empresas y organizaciones en todo el mundo. Varias directivas de la industria, como la tarjeta de pago Estándar de seguridad de datos de la industria (PCI DSS), también establece sus propios estándares de ciberseguridad y mejores prácticas para empresas y organizaciones que operan bajo su ámbito. Este complejo entorno regulatorio se complica aún más por el hecho de que muchas leyes y las regulaciones son obsoletas, ambiguas, no respaldadas de manera uniforme por las comunidades internacionales, y / o inconsistente (con otras leyes y regulaciones aplicables), lo que requiere interpretación para determinar la relevancia, intención y / o precedencia. Como resultado, las empresas y las organizaciones de todas las industrias luchan por lograr y mantener el cumplimiento. © 2021 Palo Alto Networks, Inc. 30 Página 31 Debe comprender que el cumplimiento y la seguridad no son lo mismo. Una organización puede Cumplir plenamente con las diversas leyes y regulaciones de seguridad cibernética que son aplicables para ese organización, pero aún no está segura. Por el contrario, una organización puede ser segura pero no estar completamente obediente. Como para subrayar este punto, las funciones de cumplimiento y seguridad en muchos las organizaciones están separadas. Ejemplos pertinentes (ni completos ni exhaustivos) de las leyes actuales de seguridad cibernética y las regulaciones incluyen: ● Principios de privacidad de Australia: la Ley de privacidad de 1988 establece estándares para recopilar y el manejo de información personal, lo que se conoce como los Principios de Privacidad de Australia (APP). ● Ley de privacidad del consumidor de California (CCPA): estos derechos de privacidad y protección del consumidor El estatuto para los residentes de California se promulgó en 2018 y entró en vigencia el 1 de enero de 2020. ● Ley de protección de la información personal y documentos electrónicos de Canadá (PIPEDA): PIPEDA define los derechos individuales con respecto a la privacidad de su información personal y rige la forma en que las organizaciones del sector privado recopilan, utilizan y divulgan información en el curso del negocio. ● Directiva de seguridad de la información y las redes de la UE (NIS): una directiva de la UE que impone requisitos de seguridad de la red y la información para bancos, empresas de energía, atención médica proveedores y proveedores de servicios digitales, entre otros. ● Reglamento general de protección de datos (RGPD) de la Unión Europea (UE): el RGPD se aplica a cualquier organización que haga negocios con residentes de la UE. Fortalece los datos protección para los residentes de la UE y aborda la exportación de datos personales fuera de la UE. ● Infraestructura crítica de North American Electric Reliability Corporation (NERC) Protección (CIP): NERC CIP define los estándares de ciberseguridad para proteger el entorno físico y activos cibernéticos necesarios para operar el sistema eléctrico a granel (BES) - la red eléctrica - en el Estados Unidos y Canadá. Los estándares son obligatorios para todas las instalaciones generadoras de BES. con diferentes criterios basados en un sistema de clasificación por niveles (alto, medio o bajo impacto). ● Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): PCI DSS se aplica a cualquier organización que transmite, procesa o almacena tarjetas de pago (como débito y crédito tarjetas) información. PCI DSS es un mandato y está administrado por los estándares de seguridad de PCI. Council (SSC) compuesto por Visa, MasterCard, American Express, Discover y JCB. ● Ley de mejora de la seguridad cibernética de EE. UU. De 2014: esta ley proporciona una asociación público-privada para mejorar la ciberseguridad y fortalecer la ciberseguridad investigación y desarrollo, desarrollo y educación de la fuerza laboral, y conciencia pública y preparación. https://translate.googleusercontent.com/translate_f 25/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Ley de intercambio de información sobre ciberseguridad de EE. UU. (CISA): esta ley mejora la información compartir sobre amenazas a la seguridad cibernética al permitir que se comparta información sobre el tráfico de Internet entre el gobierno de EE. UU. y las empresas de tecnología y fabricación. ● Ley de notificación de violación de datos de intercambio federal de EE. UU. De 2015: esta ley más fortalece la HIPAA al exigir que los intercambios de seguros médicos notifiquen a las personas cuyas la información personal se ha visto comprometida como resultado de una violación de datos tan pronto como posible, pero a más tardar 60 días después del descubrimiento de la infracción. © 2021 Palo Alto Networks, Inc. 31 Página 32 ● Ley Federal de Modernización de la Seguridad de la Información de EE. UU. (FISMA): conocida como Ley Federal Ley de Gestión de Seguridad de la Información antes de 2014, FISMA implementa una Marco integral para proteger los sistemas de información utilizados en el gobierno federal. agencias. ● Ley Gramm-Leach-Bliley de EE. UU. (GLBA): también conocida como Servicios financieros Ley de Modernización de 1999, las disposiciones relevantes de GLBA incluyen la Privacidad Financiera Regla y la Regla de salvaguardas, que requieren que las instituciones financieras implementen la privacidad y políticas de seguridad de la información para salvaguardar la información personal no pública de clientes y consumidores. ● Ley de Responsabilidad y Portabilidad de Seguros de Salud de EE. UU. (HIPAA): La HIPAA La Regla de Privacidad establece estándares nacionales para proteger los registros médicos y otra información de salud personal. Requiere salvaguardias adecuadas para proteger la salud. información (PHI) y se aplica a las entidades cubiertas y sus socios comerciales. ● Ley Nacional de Promoción de la Protección de la Ciberseguridad de EE. UU. De 2015: esta ley enmienda la Ley de Seguridad Nacional de 2002 para mejorar el intercambio de información relacionada con la seguridad cibernética pone en riesgo y refuerza la protección de la privacidad y las libertades civiles. ● Ley Sarbanes-Oxley (SOX) de EE. UU.: Esta ley se promulgó para restaurar la confianza del público tras varios escándalos contables corporativos de alto perfil, más notablemente Enron y Worldcom. SOX aumenta la gobernanza financiera y la responsabilidad en las empresas que cotizan en bolsa compañías. La Sección 404 de SOX aborda específicamente los controles internos, incluidos requisitos para salvaguardar la confidencialidad, integridad y disponibilidad de los sistemas de TI. Términos clave ● La HIPAA define la información médica protegida (PHI) como información sobre la estado de salud, prestación de atención médica o pago por atención médica que incluya identificadores como como nombres, identificadores geográficos (más pequeños que un estado), fechas, números de teléfono y fax, correo electrónico direcciones, números de seguro social, números de historia clínica y fotografías. ● La HIPAA define una entidad cubierta como un proveedor de atención médica que transmite electrónicamente FI. Estas entidades incluyen médicos, clínicas, psicólogos, dentistas, quiroprácticos, enfermería. hogares, farmacias, un plan de salud (como una compañía de seguros de salud, mantenimiento de la salud organización, plan de salud de la empresa o programa gubernamental, incluidos Medicare, Medicaid, atención médica para militares y veteranos), o una cámara de compensación de atención médica. ● Una amenaza de día cero es la ventana de vulnerabilidad que existe desde el momento en que una nueva (desconocida) La amenaza se libera hasta que los proveedores de seguridad publiquen un archivo de firma o un parche de seguridad para la amenaza. ● La información de identificación personal (PII) está definida por el Instituto Nacional de Estándares y tecnología (NIST) como "cualquier información sobre un individuo mantenida por un agencia, incluida (1) cualquier información que pueda utilizarse para distinguir o rastrear la identidad ... y (2) cualquier otra información que esté vinculada o vinculable a un individuo ... " Los ejemplos de PII incluyen: ▪ Nombre (como nombre completo, apellido de soltera, apellido de soltera de la madre o alias) ▪ Número de identificación personal (como número de seguro social, número de pasaporte, número de licencia y número de cuenta financiera o número de tarjeta de crédito) ▪ Información de dirección (como dirección postal o dirección de correo electrónico) ▪ Números de teléfono (como números móviles, comerciales y personales) ▪ Características personales (como fotografías, radiografías, huellas dactilares y datos biométricos) © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 32 26/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 33 ▪ Información sobre la propiedad de propiedad personal (como el número de registro del vehículo y el título información) ▪ Información que está vinculada o que se puede vincular a cualquiera de los ejemplos de PII anteriores (como fecha de nacimiento, lugar de nacimiento y religión, y registros laborales, médicos, educativos y financieros) Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso . Una organización puede cumplir con todas las medidas de seguridad y las regulaciones de privacidad para su industria aún no son seguras. 2. ¿Qué tres campos de datos se consideran información de identificación personal (PII)? (Seleccione Tres) A. número de identificación único (como el número de licencia de conducir) B. honorífico (Sr., Sra., Dr., etc.) C. número de teléfono D. presión arterial (cuando no está conectada a otros campos) E. huellas dactilares 3. ¿Qué riesgo se elimina en una organización que cumple al 100%? A. hacer pública la información confidencial B. tener una amenaza persistente avanzada que cambie su información C. hacer que el regulador lo castigue por no cumplir D. hacer que personas internas malintencionadas roben información 1.6 Ejemplos de ciberataques de alto perfil Cada día se cometen miles de ciberataques contra las redes empresariales. Desafortunadamente, muchos más de estos ataques tienen éxito de lo que normalmente se informa en los medios de comunicación. Para organizaciones que son víctimas de tales ataques, el daño financiero y de reputación puede ser devastador. Algunas infracciones pasadas de alto perfil que continúan sirviendo como ejemplos de advertencia, muchos años después incluyen: ● Target: a finales de 2013, Target descubrió que los datos de tarjetas de crédito y de débito de 40 millones de sus clientes, y la información personal de otros 70 millones de sus clientes, habían sido sustraídos durante un período de aproximadamente 19 días, desde el 27 de noviembre hasta 15 de diciembre de 2013. Los atacantes pudieron infiltrarse en el punto de venta (POS) de Target sistemas mediante la instalación de malware (que se cree que es una variante de la botnet financiera ZeuS) en un Sistemas informáticos del contratista HVAC (calefacción, ventilación y aire acondicionado) para recolectar credenciales para un portal en línea utilizado por los proveedores de Target. 2016 anual de Target El informe reveló que el costo total de la infracción fue de 292 millones de dólares. ● Home Depot: en septiembre de 2014, Home Depot sufrió una filtración de datos que pasó desapercibida. durante unos cinco meses. Al igual que con la filtración de datos de Target (consulte el ejemplo de ataque anterior), los atacantes utilizaron las credenciales de un proveedor y explotaron una amenaza de día cero , basada en un Vulnerabilidad de Windows, para acceder a la red de Home Depot. Raspado de memoria Luego, se instaló malware en más de 7500 terminales POS de autoservicio para recopilar 56 millones de números de tarjetas de crédito de clientes en los Estados Unidos y Canadá. Casa El informe anual de Depot de 2016 reveló que el costo total de la infracción fue de 298 millones de dólares estadounidenses. © 2021 Palo Alto Networks, Inc. 33 Página 34 ● Anthem: en febrero de 2015, Anthem reveló que se habían violado sus servidores y que la PII incluidos nombres, números de seguro social, fechas de nacimiento, direcciones e información sobre ingresos por cerca de 80 millones de clientes habían sido robados. La infracción se produjo el 10 de diciembre de 2014, cuando los atacantes comprometieron una base de datos de Anthem mediante el uso de una base de datos credenciales de administrador. La violación no se encontró hasta el 27 de enero de 2015, cuando el El administrador de la base de datos descubrió que se estaba ejecutando una consulta cuestionable con sus credenciales. ● Oficina de Gestión de Personal de EE. UU. (OPM): se han descubierto dos filtraciones de datos independientes en abril de 2015 y junio de 2015 resultó en el compromiso de la información personal, incluyendo nombres, números de seguro social, fechas de nacimiento y otra información confidencial de aproximadamente 24 https://translate.googleusercontent.com/translate_f 27/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS millones de empleados federales actuales y potenciales (junto con sus cónyuges y socios). Se cree que las infracciones se han relacionado con la infracción de datos de Anthem (consulte el artículo de Anthem ejemplo) y puede haberse originado en China ya en marzo de 2014. Según algunas estimaciones, el costo total de la infracción podría superar los mil millones de dólares durante la próxima década. ● Yahoo !: Mientras estaba en negociaciones para venderse a Verizon en septiembre de 2016, Yahoo! anunció que había sido víctima de una violación de datos en 2014, probablemente por un actor." El ataque comprometió los nombres, direcciones de correo electrónico, fechas de nacimiento y teléfono. cifras de unos 500 millones de usuarios. Yahoo! dijo la gran mayoría de las contraseñas involucrado había sido hash utilizando el algoritmo bcrypt robusto. Como resultado directo de la incumplimiento, Yahoo! redujo su precio de venta a Verizon en 350 millones de dólares. ● Equifax: en julio de 2017, Equifax descubrió una filtración de datos que había aprovechado una vulnerabilidad de seguridad (Apache Struts CVE-2017-5638, publicado el 10 de marzo de 2017). Desde De mediados de mayo a julio de 2017, los ciberdelincuentes comprometieron varios datos personales de casi 148 millones de consumidores estadounidenses, incluidos los datos de pasaportes y licencias de conducir, y Números de seguro social. El costo total de la infracción a fines de 2017 fue de US $ 439 millón. Varios ejemplos más recientes de ataques e infracciones incluyen: ● Under Armour: en marzo de 2018, Under Armour informó que la información personal de aproximadamente 150 millones de usuarios de su aplicación de alimentación y nutrición MyFitnessPal habían sido comprometidos. La violación incluyó nombres de usuario, direcciones de correo electrónico y contraseñas con hash, pero no incluyó información de pago, que se recopila y procesa por separado. ● Marriott: en noviembre de 2018, Marriott informó sobre una filtración de datos que podría involucrar al información de tarjetas de crédito, números de pasaporte y otros datos personales de hasta 500 millones huéspedes de hoteles de más de 6.700 propiedades en sus marcas de hoteles Starwood (Aloft, Element, Four Points, Le Méridien, The Luxury Collection, St. Regis, Sheraton, W Hotels y Westin) durante un período de cuatro años desde 2014 a 2018. La naturaleza sensible de la los datos incluían direcciones postales, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, género, fechas de reserva y fechas / horas de llegada y salida, e introduce una amplia gama de posibles actividades delictivas más allá del fraude con tarjetas de crédito y el robo de identidad. ● Quest Diagnostics: en mayo de 2019, uno de sus encargados de facturación notificó a Quest Diagnostics proveedores de servicios de cobranza, American Medical Collection Agency (AMCA), que un un usuario no autorizado había accedido potencialmente a más de 12 millones de registros de pacientes, incluidos registros de pacientes individuales, datos financieros, números de seguro social y otros información. © 2021 Palo Alto Networks, Inc. 34 Página 35 ● Ciudad de Baltimore: la ciudad estadounidense de Baltimore, Maryland, fue afectada por un ataque de ransomware. en mayo de 2019, exigiendo el pago de $ 72,000 en bitcoins. Aunque la ciudad apropiadamente se negó a pagar el rescate, presupuestó $ 18.2 millones para reparar el daño asociado con el ataque. Baltimore es solo un ejemplo: 82 ciudades y municipios de EE. UU. Se vieron afectados por ataques de ransomware en 2019. ● Capital One: en julio de 2019, Capital One anunció una filtración de datos que afectó a más de 100 millones de clientes individuales en los Estados Unidos y Canadá, lo que resultó de una individuo explotando una vulnerabilidad de configuración. Aunque la brecha no comprometer los números de tarjetas de crédito o las credenciales de inicio de sesión de la cuenta, expuso la PII y otros información confidencial, incluidos nombres, direcciones, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, algunos números de seguro social, ingresos autoinformados, puntajes de crédito, límites de crédito y saldos, historial de pagos y datos de transacciones. ● Gekko Group: en noviembre de 2019, Gekko Group, una subsidiaria de Accor, con sede en Francia Hoteles, sufrió una violación de datos en una base de datos que contiene más de 1 terabyte de datos. El incumplimiento potencialmente expuso la información del cliente de las marcas del Grupo Gekko (600.000 hoteles en todo el mundo), sus clientes y sitios web y plataformas externos conectados (como Booking.com), incluida la PII, las reservas de hotel y transporte, y la información de la tarjeta de crédito. ● Escuelas de EE. UU .: Los ataques de ransomware se dirigieron a 72 distritos escolares de EE. UU. Desde el 1 de enero hasta 1 de diciembre de 2019, impactando a 867 escuelas y más de 10,000 estudiantes. Las lecciones importantes que se pueden aprender de estos ataques incluyen: https://translate.googleusercontent.com/translate_f 28/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Un ciberataque “bajo y lento” puede pasar desapercibido durante semanas, meses o incluso años. ● Un atacante no necesita necesariamente ejecutar un exploit sofisticado contra un sistema para infiltrarse en una organización objetivo. A menudo, un atacante apuntará a un sistema auxiliar u otro punto final vulnerable, luego gire el ataque hacia el objetivo principal. ● Las vulnerabilidades sin parchear son un vector de ataque comúnmente explotado. ● Los costos financieros directos e indirectos de una infracción pueden ser devastadores tanto para el objetivo organización y personas cuya información personal y financiera es robada o comprometidos. Referencias ● Mayes, Michael. "Las 10 mejores historias de ransomware de 2019". Revista CPO. 27 de diciembre 2019. https://www.cpomagazine.com/cyber-security/top-10-ransomware-stories-of2019 / . © 2021 Palo Alto Networks, Inc. 35 Página 36 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué significa CVE? A. Vulnerabilidades informáticas y sus vulnerabilidades B. Vulnerabilidades y exposiciones informáticas C. Vulnerabilidades comunes y sus hazañas D. Vulnerabilidades y exposiciones comunes 2. ¿Cuál es la diferencia entre CVE y CVSS? A. CVE le dice cuáles son las vulnerabilidades. CVSS otorga a las vulnerabilidades una puntuación (010) para evaluar su gravedad. B. CVE está en una escala de bajo, medio, alto, crítico. CVSS está en una escala de 0 a 100. C. CVSS le dice cuáles son las vulnerabilidades. CVE otorga a las vulnerabilidades una puntuación (010) para evaluar su gravedad. D. CVE está en una escala de 0 a 100. CVSS está en una escala de 0 a 10. 1.7 Identificar los perfiles y las motivaciones de los atacantes En la guerra cibernética moderna, debe comprender las fortalezas, debilidades, estrategias y tácticas de su adversario, incluidos sus medios y motivaciones. Términos clave ● El término pirata informático se usó originalmente para referirse a cualquier persona con informática altamente especializada. habilidades, sin connotar buenos o malos propósitos. Sin embargo, el mal uso común del término ha redefinió a un pirata informático como alguien que elude la seguridad informática con intenciones maliciosas, como como ciberdelincuente, ciberterrorista o hacktivista, pirata y / o sombrero negro. ● Un niño con guiones es alguien con habilidades limitadas de piratería o programación que utiliza programas (malware) escritos por otros para atacar una computadora o red. Los ciberataques modernos son perpetrados por adversarios mucho más sofisticados y peligrosos, motivado por propósitos mucho más siniestros: ● Ciberdelincuentes: los ciberdelincuentes cometen delitos actuando de forma independiente o como parte de un organización criminal para cometer actos de robo de datos, malversación, fraude y / o extorsión https://translate.googleusercontent.com/translate_f 29/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS para obtener beneficios económicos. Según la Corporación RAND, "En ciertos aspectos, el negro el mercado [del delito cibernético] puede ser más rentable que el tráfico ilegal de drogas ”, y para muchos Según estimaciones, el ciberdelito es ahora una industria rentable. ● Grupos afiliados al estado: estas organizaciones están patrocinadas o afiliadas a países estados y tienen los recursos para lanzar ataques muy sofisticados y persistentes, han gran profundidad técnica y enfoque, y están bien financiados. A menudo tienen militares y / o objetivos estratégicos como la capacidad de desactivar o destruir la infraestructura crítica, incluyendo redes eléctricas, suministros de agua, sistemas de transporte, respuesta a emergencias y sistemas médicos e industriales. Informes del Centro de Estudios Estratégicos e Internacionales que "A nivel de estado-nación, Rusia, Irán y Corea del Norte están utilizando métodos coercitivos ciberataques para aumentar su esfera de influencia, mientras que China, Rusia e Irán han © 2021 Palo Alto Networks, Inc. 36 Página 37 llevó a cabo un reconocimiento de las redes críticas para el funcionamiento de la red eléctrica de EE. UU. y otra infraestructura crítica sin penalización ". ● Hacktivistas: los grupos hacktivistas (como Anonymous) están motivados por motivos políticos o sociales. Causa y normalmente ejecuta ataques de denegación de servicio (DoS) contra una organización objetivo. desfigurando sus sitios web o inundando sus redes con tráfico. ● Ciberterroristas: las organizaciones terroristas utilizan Internet para reclutar, capacitar, instruir y comunicarse y difundir el miedo y el pánico para promover sus ideologías. a diferencia de otros actores de amenazas, los ciberterroristas son en gran medida indiscriminados en sus ataques, y su Los objetivos incluyen daño físico, muerte y destrucción. Los actores de amenazas externas incluyen el crimen organizado, grupos afiliados al estado, activistas, ex empleados y otros atacantes no afiliados o desconocidos y representan la mayoría de violaciones de datos. Referencias ● Lillian Ablon, Martin Libicki y Andrea Golay. “Mercados de herramientas y Datos robados ". Corporación RAND, División de Investigación de Seguridad Nacional. 2014. https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_R R610.pdf. ● Zheng, Denise E. "Global Forecast 2016: Disrupting the Cyber Status Quo". Centro para Estudios estratégicos e internacionales. 16 de noviembre de 2015. https://www.csis.org/analysis/disrupting-cyber-status-quo. ● “Informe de investigaciones de filtración de datos de 2019”. Soluciones empresariales de Verizon. 2019. https://www.enterprise.verizon.com/resources/reports/dbir/. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso. Los actores de amenazas externas han representado la mayoría de las filtraciones de datos En los últimos cinco años. 2. ¿Qué grupo es probable que ataque indiscriminadamente, si usted es un objetivo valioso o ¿no? A. hacktivistas B. ciberdelincuentes C. ciberterroristas D. grupos afiliados al estado 3. ¿Qué grupo está principalmente motivado por el dinero? A. hacktivistas B. ciberdelincuentes C. ciberterroristas D. grupos afiliados al estado © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 37 30/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 38 1.8 Describir el ciclo de vida moderno de los ciberataques La estrategia moderna de ciberataque ha evolucionado a partir de un ataque directo contra un servidor o activo de alto valor. ("Shock and awe") a un paciente proceso de varios pasos que combina exploits, malware, sigilo y evasión en un ataque de red coordinado (“bajo y lento”). El ciclo de vida del ciberataque (consulte la Figura 1-1) ilustra la secuencia de eventos que atraviesa un atacante para infiltrarse en una red y exfiltrar (o robar) datos valiosos. Bloqueo de un solo paso rompe la cadena y puede defender eficazmente la red y los datos de una organización contra un ataque. Figura 1-1: El ciclo de vida del ciberataque 1. Reconocimiento: al igual que los delincuentes comunes, los atacantes planifican meticulosamente sus ciberataques. Investigan, identifican y seleccionan objetivos, a menudo extrayendo información pública de perfiles de redes sociales de empleados específicos o de sitios web corporativos, que pueden ser útiles para esquemas de ingeniería social y phishing. Los atacantes también buscarán redes vulnerabilidades, servicios y aplicaciones que pueden explotar mediante el uso de herramientas como: ● Analizadores de red (también conocidos como analizadores de paquetes, analizadores de protocolos o rastreadores) se utilizan para monitorear y capturar el tráfico de red sin procesar (paquetes). Ejemplos de incluyen tcpdump y Wireshark (anteriormente Ethereal). ● Los escáneres de vulnerabilidades de red suelen constar de un conjunto de herramientas que incluyen crackers de contraseñas, escáneres de puertos y escáneres de vulnerabilidades y se utilizan para probar un red en busca de vulnerabilidades (incluidos errores de configuración) que puedan explotarse. Los ejemplos incluyen Nessus y SAINT. ● Los crackers de contraseñas se utilizan para realizar ataques de diccionario de fuerza bruta contra hashes de contraseña. Los ejemplos incluyen John the Ripper y THC Hydra. ● Los escáneres de puertos se utilizan para sondear puertos TCP o UDP abiertos (incluido ICMP) en un punto final. Los ejemplos incluyen Nmap ("mapeador de red") y Nessus. ● Los escáneres de vulnerabilidades de aplicaciones web se utilizan para escanear aplicaciones web en busca de vulnerabilidades tales como secuencias de comandos entre sitios, inyección SQL y cruce de directorios. Los ejemplos incluyen Burp Suite y OWASP Zed Attack Proxy (ZAP). ● Los escáneres de vulnerabilidades de Wi-Fi se utilizan para escanear redes inalámbricas en busca de vulnerabilidades. (incluidos los puntos de acceso abiertos y mal configurados) para capturar el tráfico de la red inalámbrica y descifrar contraseñas inalámbricas. Los ejemplos incluyen Aircrack-ng y Wifite. © 2021 Palo Alto Networks, Inc. 38 Página 39 Romper el ciclo de vida de un ciberataque en esta fase de un ataque comienza con un proceso proactivo y formación eficaz de concienciación sobre la seguridad del usuario final que se centra en temas como las redes sociales técnicas de ingeniería (por ejemplo, suplantación de identidad (phishing), transporte a cuestas y navegación lateral), redes sociales medios de comunicación (por ejemplo, cuestiones de seguridad y privacidad) y políticas de seguridad de la organización (para ejemplo, requisitos de contraseña, acceso remoto y seguridad física). Otro importante La contramedida es el monitoreo e inspección continuos de los flujos de tráfico de la red para detectar https://translate.googleusercontent.com/translate_f 31/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS y evitar exploraciones de puertos y vulnerabilidades no autorizadas, exploraciones de host y otros actividad. Los procesos efectivos de gestión de cambios y configuración ayudan a garantizar que Las aplicaciones y los puntos finales recién implementados están configurados correctamente (por ejemplo, desactivando puertos y servicios innecesarios) y mantenido. 2. Armamento: a continuación, los atacantes determinan qué métodos utilizar para comprometer un objetivo. punto final. Pueden optar por incrustar código intruso en archivos aparentemente inocuos como como un documento PDF o Microsoft Word o un mensaje de correo electrónico. O, para ataques altamente dirigidos, Los atacantes pueden personalizar los entregables para que coincidan con los intereses específicos de un individuo. dentro de la organización objetivo. Romper el ciclo de vida del ciberataque en esta fase de un ataque es un desafío porque El armamentismo ocurre típicamente dentro de la red del atacante. Sin embargo, el análisis de Los artefactos (tanto malware como armamentistas) pueden proporcionar información importante sobre amenazas a habilite la protección efectiva de día cero cuando se intente la entrega (el siguiente paso). 3. Entrega: siguiente intento de los atacantes de entregar su carga útil armada a un punto final objetivo, por ejemplo, por correo electrónico, mensajería instantánea (IM), descarga automática (la web de un usuario final El navegador se redirige a una página web que descarga automáticamente malware en el endpoint. en segundo plano) o archivos compartidos infectados. Romper el ciclo de vida del ciberataque en esta fase de un ataque requiere visibilidad de todos tráfico de red (incluidos dispositivos móviles y remotos) para bloquear de manera efectiva sitios web, aplicaciones y direcciones IP de riesgo, y evitando conocidos y desconocidos malware y exploits. 4. Explotación: después de que una carga útil armada se entrega a un punto final objetivo, debe motivado. Un usuario final puede activar involuntariamente un exploit, por ejemplo, al hacer clic en un enlace malicioso o abrir un archivo adjunto infectado en un correo electrónico, o un atacante puede desencadenar un exploit contra una vulnerabilidad conocida del servidor en la red de destino. Romper el ciclo de vida del ciberataque en esta fase de un ataque, como durante el Reconocimiento fase, comienza con una formación proactiva y eficaz de concienciación sobre la seguridad del usuario final que se centra en temas como la prevención de malware y la seguridad del correo electrónico. Otra seguridad importante las contramedidas incluyen la gestión de vulnerabilidades y parches; detección de malware y prevención; inteligencia de amenazas (incluidas amenazas conocidas y desconocidas); bloqueo arriesgado, aplicaciones y servicios no autorizados o innecesarios; administrar archivo o directorio permisos y privilegios de administrador o root; y red de registro y monitoreo actividad. © 2021 Palo Alto Networks, Inc. 39 Página 40 5. Instalación: a continuación, un atacante escalará los privilegios en el punto final comprometido, por por ejemplo, estableciendo acceso remoto a shell e instalando rootkits u otro malware. Con acceso remoto al shell, el atacante tiene el control del punto final y puede ejecutar comandos en modo privilegiado desde una interfaz de línea de comandos (CLI) como si estuviera sentado físicamente delante del punto final. El atacante luego se moverá lateralmente a través de la red del objetivo, ejecutar código de ataque, identificar otros objetivos de oportunidad y comprometer puntos finales adicionales para establecer la persistencia. La forma de romper el ciclo de vida del ciberataque en esta fase de un ataque es limitar o restringir el movimiento lateral de los atacantes dentro de la red. Utilice la segmentación de la red y un cero Modelo de confianza que monitorea e inspecciona todo el tráfico entre zonas o segmentos, y granular control de las aplicaciones permitidas en la red. 6. Mando y control: los atacantes establecen canales de comunicación encriptados a servidores de comando y control (C2) en Internet para que puedan modificar su ataque Los objetivos y métodos como objetivos adicionales de oportunidad se identifican dentro de la víctima. red, o para evadir cualquier nueva contramedida de seguridad que la organización pueda intentar https://translate.googleusercontent.com/translate_f 32/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS desplegar si se descubren ataque. La comunicación es esencial para un ataque. porque permite al atacanteartefactos dirigir el de ataque de forma remota y ejecutarlo objetivos. Por lo tanto, el tráfico C2 debe ser resistente y sigiloso para que un ataque tenga éxito. El tráfico de comunicaciones de ataque suele estar oculto con diversas técnicas y herramientas. incluso: ● Cifrado con SSL, SSH (Secure Shell) o algún otro personalizado o patentado cifrado ● Elusión mediante proxies, herramientas de acceso remoto o tunelización. En algunos casos, utilice de las redes celulares permite la elusión completa de la red objetivo para el ataque Tráfico C2. ● Evasión de puertos utilizando anonimizadores de red o salto de puerto para atravesar cualquier puertos abiertos disponibles ● Fast Flux (o DNS dinámico) para proxy a través de múltiples puntos finales infectados o múltiples servidores C2 en constante cambio para redirigir el tráfico y determinar la verdadero destino o fuente de ataque difícil ● La tunelización de DNS se utiliza para comunicaciones C2 e infiltración de datos (por ejemplo, enviar código malicioso, comandos o archivos binarios a una víctima) y exfiltración de datos. Romper el ciclo de vida del ciberataque en esta fase de un ataque requiere una inspección de todos tráfico de red (incluidas las comunicaciones cifradas), bloqueo de C2 saliente comunicaciones con firmas anti-C2 (junto con cargas de patrones de datos y archivos), bloquear todas las comunicaciones salientes a URL y direcciones IP maliciosas conocidas, bloqueo de nuevas técnicas de ataque que emplean métodos de evasión de puertos, prevención del uso de anonimizadores y proxies en la red, monitoreando DNS en busca de dominios maliciosos y contrarrestar con el sumidero de DNS o el envenenamiento de DNS, y redirigir los mensajes de salida maliciosos comunicaciones a honeypots para identificar o bloquear puntos finales comprometidos y analizar © 2021 Palo Alto Networks, Inc. 40 Página 41 Atacar el tráfico. 7. Acciones sobre el objetivo: los atacantes suelen tener varios objetivos de ataque diferentes. incluido el robo de datos; destrucción o modificación de sistemas, redes y datos críticos; y denegación de servicio (DoS). Esta última etapa del ciclo de vida del ciberataque también se puede utilizar por un atacante para avanzar en las primeras etapas del ciclo de vida del ciberataque contra otro objetivo. El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2018 describe este estrategia como un motivo secundario en el que “[las aplicaciones web] están comprometidas para ayudar y cómplice en el ataque de otra víctima ". Por ejemplo, un atacante puede comprometer un extranet de la empresa para violar a un socio comercial que es el objetivo principal. El atacante pivota el ataque contra la red de víctimas inicial a una red de víctimas diferente, por lo tanto convirtiendo a la víctima inicial en cómplice involuntario. Referencias ● “Informe de investigaciones sobre filtraciones de datos de 2018, undécima edición. Soluciones empresariales de Verizon. 2018. https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: El ciclo de vida del ciberataque es un proceso de siete pasos. 2. Verdadero o falso: un atacante debe tener éxito en ejecutar solo un paso del ciclo de vida del ciberataque para infiltrarse en una red, mientras que un defensor debe tiempo ”y romper cada paso de la cadena para evitar un ataque. 3. Verdadero o falso : la clave para romper el ciclo de vida del ciberataque durante la instalación La fase es implementar la segmentación de la red, un modelo de confianza cero y control granular. de aplicaciones para limitar o restringir el movimiento lateral de un atacante dentro de la red. 4. ¿Qué etapa del ciclo de vida del ciberataque se puede identificar mediante análisis de puertos desde ¿fuentes? A. Reconocimiento https://translate.googleusercontent.com/translate_f 33/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. Armamento y entrega C. Explotación D. Instalación 5. ¿Qué etapa del ciclo de vida del ciberataque implica consultar bases de datos públicas y probando exploits en la red interna del atacante? A. Reconocimiento B. Armamento y entrega C. Explotación © 2021 Palo Alto Networks, Inc. 41 Página 42 6. ¿Qué paso implica hacer que el malware se ejecute en el interior del objetivo? ¿organización? A. Armamento y entrega B. Explotación e instalación C. Mando y control D. Acciones sobre el objetivo 7. ¿En qué etapa del ciclo de vida del ciberataque identificaría una comunicación inusual? entre una base de datos interna que no debería acceder a Internet y un servidor externo? A. Explotación B. Instalación C. Mando y control D. Acciones sobre el objetivo 1.9 Clasificar tipos de malware El malware es software o código malicioso que normalmente toma el control, recopila información de, o daña un endpoint infectado. El malware incluye ampliamente: ● Virus: un virus es un software malicioso que se replica automáticamente, pero que primero debe infectar un programa host y ser ejecutado por un usuario o proceso. ● Gusanos: un gusano es un software malicioso que suele atacar una red informática al replicarse. para extenderse rápidamente. A diferencia de los virus, los gusanos no necesitan infectar otros programas y no debe ser ejecutado por un usuario o proceso. ● Caballos de Troya: un caballo de Troya es malware que se disfraza de programa inofensivo pero en realidad le da al atacante control total y privilegios elevados de un punto final cuando instalado. A diferencia de otros tipos de malware, los troyanos normalmente no se replican automáticamente. ● Ransomware: el ransomware es malware que bloquea una computadora o dispositivo (Locker ransomware) o cifra los datos (Crypto ransomware) en un endpoint infectado con un clave de cifrado que solo el atacante conoce, lo que hace que los datos sean inutilizables hasta que la víctima paga un rescate (generalmente criptomonedas, como Bitcoin). Reveton y LockeR son dos ejemplos de ransomware Locker. Locky, TeslaCrypt / EccKrypt, Cryptolocker y Cryptowall son ejemplos de ransomware Crypto. ● Anti-AV: Anti-AV es malware que desactiva el software antivirus instalado legítimamente en el punto final comprometido, evitando así la detección automática y eliminación de otros malware. ● Bombas lógicas: una bomba lógica es un malware que se activa por una condición específica, como una fecha determinada o una cuenta de usuario en particular que se deshabilita. ● Puertas traseras: una puerta trasera es software malicioso que permite a un atacante eludir la autenticación para obtener acceso a un sistema comprometido. ● Root kits: un root kit es malware que proporciona acceso privilegiado (nivel de raíz) a una computadora. Los kits raíz se instalan en el BIOS de una máquina, lo que significa nivel de sistema operativo las herramientas de seguridad no pueden detectarlos. ● Kits de inicio: un kit de inicio es malware que es una variante en modo kernel de un kit raíz, comúnmente https://translate.googleusercontent.com/translate_f 34/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS utilizado para atacar equipos que están protegidos por cifrado de disco completo. © 2021 Palo Alto Networks, Inc. 42 Página 43 ● Software espía y software publicitario: el software espía y el software publicitario son tipos de software malicioso que recopilan información, como el comportamiento de navegación en Internet, las credenciales de inicio de sesión y la información de la cuenta financiera en un punto final infectado. El software espía cambia a menudo la configuración del navegador y de otros programas, y ralentiza la velocidad de la computadora y de Internet en un punto final infectado. El adware es un software espía que muestra anuncios molestos en un endpoint infectado, a menudo como pancartas emergentes. El malware temprano generalmente consistía en virus que mostraban errores molestos pero relativamente benignos, mensajes o gráficos. El primer virus informático fue Elk Cloner, escrito en 1982 por un estudiante de noveno grado de secundaria. cerca de Pittsburgh, Pensilvania. Elk Cloner era un virus del sector de arranque relativamente benigno que mostró un poema en la quincuagésima vez que se insertó un disquete infectado en un Apple II computadora. El primer virus de PC fue un virus del sector de arranque, escrito en 1986, llamado Brain. El cerebro también estaba relativamente benigno y muestra un mensaje con la información de contacto real de los creadores del virus. Brain fue escrito por dos hermanos paquistaníes que crearon el virus para poder rastrear la piratería. de su software médico. Términos clave ● Un virus del sector de arranque se dirige al sector de arranque o al registro de arranque maestro (MBR) de un endpoint unidad de almacenamiento u otro medio de almacenamiento extraíble. ● Un sector de arranque contiene código de máquina que se carga en la memoria de un endpoint por firmware. durante el proceso de inicio, antes de que se cargue el sistema operativo. ● Un registro de arranque maestro (MBR) contiene información sobre cómo las particiones lógicas (o el archivo sistemas) están organizados en los medios de almacenamiento y un cargador de arranque ejecutable que inicia el sistema operativo instalado. ● Un disquete es un medio de almacenamiento magnético extraíble que se usa comúnmente desde mediados de la década de 1970. hasta aproximadamente 2007, cuando fue reemplazado en gran medida por discos compactos y almacenamiento USB extraíble dispositivos. Los disquetes normalmente estaban disponibles en tamaños de 8 pulgadas, 5¼ pulgadas y 3½ pulgadas con capacidades desde 90 kilobytes hasta 200 megabytes. Uno de los primeros gusanos informáticos que ganó una gran notoriedad fue el gusano Morris, escrito por un El estudiante de posgrado de Harvard y la Universidad de Cornell, Robert Tappan Morris, en 1988. El gusano explotó contraseñas débiles y vulnerabilidades conocidas en varios programas Unix y propagó rápidamente a través de Internet (el gusano infectó hasta un 10 por ciento estimado de todos los sistemas Unix máquinas conectadas a Internet en ese momento, o alrededor de 6,000 computadoras), a veces infectando un computadora en numerosas ocasiones hasta el punto de que se volvió inútil, un ejemplo de un DoS temprano ataque. La Oficina de Responsabilidad del Gobierno de EE. UU. (GAO) estimó el daño causado por la Gusano Morris entre US $ 100.000 y US $ 10 millones. © 2021 Palo Alto Networks, Inc. 43 Página 44 Desafortunadamente, más de 35 años desde estos primeros ejemplos de malware, el malware moderno ha evolucionado y se utiliza para propósitos mucho más siniestros. Entre los ejemplos de malware moderno se incluyen: ● WannaCry: en un período de solo 24 horas en mayo de 2017, el ataque de ransomware WannaCry https://translate.googleusercontent.com/translate_f 35/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS infectó más de 230,000 computadoras Windows vulnerables endescubrimiento más de 150 países Mundial. Aunque el ataque se detuvo rápidamente después del de un "interruptor automático", el daño económico total se estima entre cientos de millones de dólares estadounidenses hasta hasta US $ 4 mil millones, a pesar de que los perpetradores cobraron solo 327 pagos de rescate por un total de unos 130.000 dólares EE.UU. ● HenBox: HenBox generalmente se hace pasar por aplicaciones legítimas del sistema Android y VPN, ya veces suelta e instala versiones legítimas de otras aplicaciones como señuelo. El primario El objetivo de las aplicaciones HenBox parece ser espiar a quienes las instalan. Usando rasgos similar a aplicaciones legítimas, por ejemplo, iconografía de imitación y nombres de aplicaciones o paquetes, HenBox atrae a las víctimas para que descarguen e instalen aplicaciones maliciosas de terceros, tiendas de aplicaciones que no pertenecen a Google Play y que a menudo tienen menos procedimientos de seguridad y aplicaciones que alojan. Como ocurre con otros programas maliciosos de Android, algunas aplicaciones también pueden disponible en foros o sitios para compartir archivos, o incluso puede enviarse a las víctimas como correo electrónico archivos adjuntos. ● TeleRAT: Telegram Bots son cuentas especiales que no requieren un teléfono adicional. número para configurar y generalmente se utilizan para enriquecer los chats de Telegram con contenido de servicios externos o para recibir notificaciones y noticias personalizadas. TeleRAT abusa de Telegram Bot API para C2 y exfiltración de datos. ● Rarog: Rarog es un troyano de minería de criptomonedas que se ha vendido en varios foros clandestinos desde junio de 2017 y ha sido utilizado por innumerables delincuentes desde entonces. Rarog se ha utilizado principalmente para extraer la criptomoneda Monero. Sin embargo, puede minar otros. Viene equipado con varias funciones, que incluyen proporcionar estadísticas de minería para usuarios, configurando varias cargas de procesador para el minero en ejecución, la capacidad de infectar USB dispositivos y la capacidad de cargar bibliotecas de enlaces dinámicos (DLL) adicionales en la víctima dispositivo. Rarog proporciona una forma asequible para que los nuevos delincuentes obtengan acceso mediante este tipo particular de malware. Otros ejemplos de mineros de criptomonedas incluyen Coinhive, JSE-Coin, Crypto-Loot y CoinImp. Términos clave ● Una biblioteca de vínculos dinámicos (DLL) es un tipo de archivo que se usa en los sistemas operativos de Microsoft que permite que múltiples programas compartan simultáneamente instrucciones de programación contenidas en un archivo único para realizar funciones específicas. El malware moderno suele ser sigiloso y evasivo, y ahora desempeña un papel central en un proceso coordinado. ataque contra un objetivo. El malware avanzado aprovecha las redes para ganar potencia y resistencia, y se puede actualizar, simplemente como cualquier otra aplicación de software, para que un atacante pueda cambiar de rumbo y profundizar en el red o realizar cambios y adoptar contramedidas. © 2021 Palo Alto Networks, Inc. 44 Página 45 Este malware avanzado es un cambio fundamental en comparación con los tipos anteriores de malware, que generalmente eran agentes independientes que simplemente se infectaban y se replicaban. Avanzado El malware se ha convertido cada vez más en una aplicación en red y coordinada de forma centralizada. En mucho el de la misma manera que Internet cambió lo que era posible en la informática personal, ubicua el acceso a la red está cambiando lo que es posible en el mundo del malware. Ahora todo el malware del mismo tipo pueden trabajar juntos hacia un objetivo común, con cada endpoint infectado expandiendo el ataque de apoyo y aumentando el daño potencial a la organización. Las características y capacidades importantes del malware avanzado incluyen: ● Arquitectura distribuida y tolerante a fallas: el malware avanzado aprovecha al máximo las resiliencia integrada en la propia Internet. El malware avanzado puede tener múltiples controles servidores distribuidos por todo el mundo con múltiples opciones de respaldo, y también pueden aprovechar otros puntos finales infectados como canales de comunicación, proporcionando así un número casi infinito de rutas de comunicación para adaptarse a las condiciones cambiantes o actualizar el código según sea necesario. ● Multifuncionalidad: las actualizaciones de los servidores C2 también pueden cambiar completamente funcionalidad de malware avanzado. Esta capacidad multifuncional permite a un atacante https://translate.googleusercontent.com/translate_f 36/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS utilizar varios puntos finales estratégicamente para realizar tareas específicas deseadas, como robar números de tarjetas de crédito, envío de correo no deseado que contenga otras cargas útiles de malware (como software espía), o instalar ransomware con el propósito de extorsión. ● Polimorfismo y metamorfismo: algunos programas maliciosos avanzados tienen secciones completas de código que no tiene otro propósito que cambiar la firma del malware, por lo tanto producir una cantidad infinita de hashes de firmas únicas incluso para el malware más pequeño programas. Se utilizan técnicas como el polimorfismo y el metamorfismo para evitar detección mediante herramientas y software anti-malware tradicionales basados en firmas. Por ejemplo, un el cambio de un solo carácter o parte del archivo o código fuente cambia completamente el firma hash del malware. ● Ofuscación: el malware avanzado suele utilizar técnicas de ofuscación comunes para ocultar ciertas cadenas binarias que se utilizan de forma característica en el malware y, por lo tanto, se pueden detectado por firmas anti-malware, o para ocultar un programa de malware completo. Términos clave ● El polimorfismo altera parte del código de malware con cada iteración, como la clave de cifrado. o rutina de descifrado, pero la carga útil del malware permanece sin cambios. ● El metamorfismo utiliza técnicas más avanzadas que el polimorfismo para alterar el código de malware con cada iteración. Aunque la carga útil del malware cambia con cada iteración (por ejemplo, por usando una estructura o secuencia de código diferente o insertando código innecesario para cambiar el archivo size), el comportamiento fundamental de la carga útil del malware permanece sin cambios. ● Una firma hash es una representación criptográfica de un archivo completo o del código fuente de un programa. ● La ofuscación es una técnica de programación utilizada para hacer que el código sea ilegible. Puede ser implementado mediante el uso de un cifrado de sustitución simple, como una operación exclusiva o (XOR), en que la salida es verdadera solo cuando las entradas son diferentes (por ejemplo, VERDADERO y VERDADERO es igual a FALSO, pero VERDADERO y FALSO es igual a VERDADERO), o usando más sofisticados algoritmos de cifrado, como el estándar de cifrado avanzado (AES). Un empacador también puede ser utilizado para comprimir un programa de malware para su entrega y luego descomprimirlo en la memoria en tiempo de ejecución. © 2021 Palo Alto Networks, Inc. 45 Página 46 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué dos tipos de malware se replican automáticamente? (Escoge dos.) A. bomba lógica B. puerta trasera C. virus D. caballo de Troya E. gusano 2. ¿Cuáles son los dos tipos de malware que probablemente dejará un empleado descontento? (Escoger dos.) A. bomba lógica B. puerta trasera C. virus D. caballo de Troya E. gusano 3. ¿Qué tres tipos de malware requieren canales de comunicación externos? (Elige tres.) A. rootkit B. puerta trasera C. ransomware D. software espía E. adware F. bomba lógica 4. ¿Cuál es el término para un programa de acceso remoto no autorizado? F. bomba lógica https://translate.googleusercontent.com/translate_f 37/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS G. puerta trasera H. virus Caballo de Troya 1.10 Enumere las diferencias entre vulnerabilidades y exploits Un exploit es un tipo de malware que se aprovecha de una vulnerabilidad en el endpoint instalado o software de servidor, como un navegador web, Adobe Flash, Java o Microsoft Office. Un atacante crea un exploit que tiene como objetivo una vulnerabilidad de software, lo que hace que el software realice funciones o ejecutar código en nombre del atacante. Las vulnerabilidades se descubren rutinariamente en el software a un ritmo alarmante. Pueden existir vulnerabilidades en el software cuando el software se desarrolla y se lanza inicialmente, o las vulnerabilidades pueden ser creado inadvertidamente, o incluso reintroducido, cuando las actualizaciones de versiones posteriores o la seguridad los parches están instalados. © 2021 Palo Alto Networks, Inc. 46 Página 47 Los proveedores de software desarrollan los parches de seguridad lo más rápido posible después de una vulnerabilidad. ha sido descubierto en su software. Sin embargo, un atacante puede descubrir una vulnerabilidad y comenzar a explotarlo antes de que el proveedor de software se dé cuenta de la vulnerabilidad o tenga una oportunidad desarrollar un parche. Este retraso entre el descubrimiento de una vulnerabilidad y el desarrollo y La publicación de un parche se conoce como amenaza de día cero (o exploit). Pueden pasar meses o años antes de que La vulnerabilidad se anuncia públicamente. Una vez que un parche de seguridad está disponible, el tiempo inevitablemente es necesario para que las organizaciones prueben e implementen correctamente el parche en todos los sistemas afectados. Durante esta vez, un sistema que ejecuta el software vulnerable corre el riesgo de ser explotado por un atacante (vea la Figura 1-2). Figura 1-2: Las vulnerabilidades pueden explotarse desde el momento en que se implementa el software hasta que se parcheado. Los exploits se pueden incrustar en archivos de datos aparentemente inocuos (como Microsoft Word documentos, archivos PDF y páginas web) o pueden apuntar a servicios de red vulnerables. Exploits son particularmente peligrosos porque a menudo están empaquetados en archivos legítimos que no activan software anti-malware (o antivirus) y, por lo tanto, no se detectan fácilmente. La creación de un archivo de datos de explotación es un proceso de dos pasos. El primer paso es incrustar una pequeña pieza de código malicioso dentro del archivo de datos. Sin embargo, el atacante aún debe engañar a la aplicación para que ejecutando el código malicioso. Por lo tanto, la segunda parte del exploit generalmente involucra memoria técnicas de corrupción que permiten insertar el código del atacante en el flujo de ejecución del software vulnerable. Después de que eso suceda, una aplicación legítima, como un visor de documentos o navegador web, realizará acciones en nombre del atacante, como establecer comunicación y proporcionar la capacidad de cargar malware adicional en el punto final de destino. Porque el La aplicación que se explota es una aplicación legítima, un antivirus tradicional basado en firmas y El software de lista de permitidos prácticamente no tiene eficacia contra estos ataques. Aunque hay muchos miles de exploits, todos se basan en un pequeño conjunto de técnicas básicas. que cambian con poca frecuencia. Por ejemplo, un heap spray es un intento de insertar el código del atacante. en múltiples ubicaciones dentro del montón de memoria con la esperanza de que una de esas ubicaciones sea llamado por el proceso y ejecutado. Por lo general, se deben utilizar de tres a cinco técnicas básicas para explotar una aplicación. Independientemente del ataque o su complejidad, para que el ataque tenga éxito el atacante debe ejecutar una serie de estas técnicas centrales de explotación en secuencia, como navegar por un laberinto para alcanzar su objetivo (ver Figura 1-3). Términos clave ● Heap spray es una técnica que se utiliza para facilitar la ejecución de código arbitrario mediante la inyección de una determinada secuencia de bytes en la memoria de un proceso de destino. https://translate.googleusercontent.com/translate_f 38/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 47 Página 48 Figura 1-3: Los exploits se basan en una serie de técnicas de ataque básicas para tener éxito. Referencias ● "Informe de amenazas a la seguridad en Internet, volumen 23". Symantec. 2018. https://www.symantec.com/security-center/threat-report. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas en el Apéndice A. 1. ¿Qué afirmación es correcta? R. Un investigador de seguridad podría escribir una vulnerabilidad para demostrar un exploit. B. Un investigador de seguridad podría escribir un exploit para demostrar una vulnerabilidad. C. Los exploits a menudo son el resultado de programadores mal entrenados. D. Los exploits siempre son responsabilidad del proveedor. 2. ¿Qué tipo de vulnerabilidad utiliza un exploit de día cero? A. uno que aún no ha sido descubierto por nadie B. uno que no ha sido revelado al proveedor (o publicado) C. uno que el proveedor conoce, pero que no ha lanzado un parche para D. uno que tiene un parche, pero el parche aún no se ha instalado en todas partes © 2021 Palo Alto Networks, Inc. 48 Página 49 3. ¿Qué intervalo de tiempo describe una "ventana de vulnerabilidad"? https://translate.googleusercontent.com/translate_f 39/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A. entre el momento en que se descubre una vulnerabilidad y el momento en que se publica un parche B. entre el momento en que se publica un parche y el momento en que se instala en su sistema C. entre el momento en que se descubre una vulnerabilidad y el momento en que se instala el parche en tu sistema D. entre el momento en que se descubre una vulnerabilidad y el momento en que se revela al proveedor 1.11 Categorizar los ataques de spam y phishing Los correos electrónicos no deseados y de suplantación de identidad (phishing) son los métodos de entrega más comunes para el malware. El volumen de El correo electrónico no deseado como porcentaje del tráfico de correo electrónico global total varía mucho de un mes a otro. típicamente del 45 al 75 por ciento. Aunque la mayoría de los usuarios finales de hoy pueden identificar fácilmente el spam correos electrónicos y son más inteligentes para no hacer clic en enlaces, abrir archivos adjuntos o responder a correos electrónicos no deseados, El spam sigue siendo un vector de infección popular y eficaz para la propagación de malware. Los ataques de phishing, a diferencia del spam, son cada vez más sofisticados y difíciles de identificar. Spear phishing es una campaña de phishing dirigida que les parece más creíble a sus víctimas al recopilar información específica sobre el objetivo y, por lo tanto, tiene una mayor probabilidad de éxito. A El correo electrónico de spear phishing puede suplantar a una organización (como una institución financiera) o un individuo que el destinatario realmente sabe y hace negocios con, y puede contener información muy específica (como el nombre del destinatario, en lugar de solo una dirección de correo electrónico). Según Symantec's Informe de 2018 sobre amenazas a la seguridad en Internet , “Los correos electrónicos de suplantación de identidad (spear-phishing) surgieron como los utilizó un vector de infección, empleado por el 71 por ciento de los [140 grupos de ataques dirigidos conocidos] ". La caza de ballenas es un tipo de ataque de spear phishing que está dirigido específicamente a altos ejecutivos o otros objetivos de alto perfil dentro de una organización. Un correo electrónico de caza de ballenas generalmente pretende ser un citación, queja del cliente u otro asunto serio. Los ataques de spear phishing y phishing en general no siempre se realizan por correo electrónico. Un enlace lo es todo que se requiere, como un enlace en Facebook o en un tablero de mensajes, o una URL abreviada en Gorjeo. Estos métodos son particularmente efectivos en ataques de spear phishing porque permiten atacante para recopilar mucha información sobre los objetivos y luego atraerlos a través de enlaces peligrosos en un lugar donde los usuarios se sientan cómodos. Los ataques de abrevadero comprometen los sitios web que probablemente sean visitados por una víctima objetivo, por Por ejemplo, un sitio web de una compañía de seguros que los proveedores de atención médica pueden visitar con frecuencia. El sitio web comprometido normalmente infectará a los visitantes desprevenidos con malware (conocido como "Descarga directa"). Los ataques de abrevadero son el segundo vector de infección más popular para grupos de ataque dirigidos, según Symantec. Un ataque de pharming redirige el tráfico de un sitio web legítimo a un sitio falso, normalmente modificando un archivo de hosts locales del endpoint o comprometiendo un servidor DNS ("envenenamiento de DNS"). © 2021 Palo Alto Networks, Inc. 49 Página 50 Términos clave ● Spear phishing es un ataque de phishing altamente dirigido que utiliza información específica sobre el target para que el intento de phishing parezca legítimo. ● La caza de ballenas es un tipo de ataque de spear phishing que está dirigido específicamente a altos ejecutivos o otros objetivos de alto perfil dentro de una organización. ● Los ataques de abrevadero comprometen los sitios web que probablemente sean visitados por una víctima objetivo para entregar malware a través de una descarga automática . Una descarga drive-by es una descarga de software, típicamente malware, que ocurre sin el conocimiento o permiso del usuario. ● Pharming es un tipo de ataque que redirige el tráfico de un sitio web legítimo a un sitio falso. Referencias ● "Informe de amenazas a la seguridad en Internet, volumen 23". Symantec. 2018. https://translate.googleusercontent.com/translate_f 40/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS https://www.symantec.com/security-center/threat-report. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas en el Apéndice A. 1. ¿Qué tipo de ataque incluiría un anuncio por correo electrónico de un servicio de tintorería? A. spam B. phishing C. spear phishing D. caza de ballenas 2. ¿Qué tipo de ataque incluiría un correo electrónico con un archivo adjunto not-a-trojan.exe? A. spam B. phishing C. spear phishing D. caza de ballenas 3. ¿Qué tipo de ataque incluiría un correo electrónico con su nombre que dice ser de su banco y le dice que haga clic en el enlace https://chase.bankofamerica.mysite.ru.? A. spam B. phishing C. spear phishing D. caza de ballenas 4. Su CFO recibe un correo electrónico con su nombre que dice ser el banco de la empresa y le dice que haga clic en el enlace https: //chase.bankofamerica.mysite.ru. ¿Qué tipo de ataque es? ¿esta? A. spam B. phishing C. spear phishing D. caza de ballenas © 2021 Palo Alto Networks, Inc. 50 Página 51 1.12 Ingeniería social El término "ingeniería social" significa el uso de diversas técnicas de manipulación para causar error para acceder a un sistema. El tipo más común de ataque de ingeniería social es el phishing. El hacker envía un correo electrónico que parece provenir de una fuente legítima. Este correo electrónico puede incluir un enlace a un sitio que solicita al usuario credenciales, un archivo adjunto que instala malware en la computadora del usuario, etc. ejemplos: ● En abril de 2013, la cuenta de Twitter de Associated Press (AP) se vio comprometida y publicó tweets que claramente eran falsos. Un empleado hizo clic en un enlace a una página que solicitó los datos de inicio de sesión de la cuenta de Twitter de AP e inició sesión. ● En 2013, Target perdió los datos de los clientes. A finales de 2015, la empresa anunció una pérdida de $ 162 millones debido a esta violación de datos, que sucedió porque Target proporcionó un HVAC proveedor de acceso remoto a su red interna. Un empleado de ese proveedor abrió una adjunto, que instaló malware que permitió al pirata informático ingresar a ese red y hacerse cargo de algunos dispositivos de punto de venta (POS). ● En 2016 se publicaron correos electrónicos pertenecientes al Comité Nacional Demócrata (DNC). El hacker envió un correo electrónico, supuestamente de Google, diciéndole a la gente que sus cuentas habían ha sido comprometido y les pide que restablezcan sus contraseñas. Desafortunadamente, el correo electrónico incluía un enlace a un formulario proporcionado por el pirata informático que solicitaba información (para "Verificación") y luego restablecer la contraseña. Esta acción permitió al pirata informático conocer el corrija la contraseña y úsela para acceder a los correos electrónicos. El requisito básico para que funcione la ingeniería social es asegurarse de que el usuario no se dé cuenta que algo anda mal. Por lo general, un ataque de ingeniería social exitoso se logra https://translate.googleusercontent.com/translate_f 41/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS a través de una rutina que el usuario realiza habitualmente (por ejemplo, iniciar sesión en la cuenta de Twitter) o despertando las emociones del usuario para que anulen el pensamiento racional normal. Por ejemplo, un El hacker puede llamar a la mesa de ayuda, hacerse pasar por vicepresidente de la empresa e inmediatamente exigir su contraseña o el representante de la mesa de ayuda será despedido. © 2021 Palo Alto Networks, Inc. 51 Página 52 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas en el Apéndice A. 1. ¿Cuáles son las dos técnicas que utilizan los "ingenieros sociales" para distraer a sus objetivos? lo que quiera el atacante? (Escoge dos.) A. piloto automático, que solicita una acción que el usuario realiza automáticamente sin pensar B. phishing, envío de correo electrónico que solicita acciones específicas C. disfrazado de caballo de Troya D. infectar programas con virus 2. ¿Quién es el objetivo más probable de la ingeniería social? A. dirección ejecutiva, porque tiene la mayor cantidad de permisos B. ingenieros superiores de TI, porque el atacante espera que desactiven la seguridad infraestructura C. personas jóvenes, porque son más fáciles de estresar y probablemente no están tan bien entrenados D. el departamento de contabilidad, porque puede transferir dinero directamente a la oficina del atacante cuenta 1.13 Ataques de ciberseguridad Los atacantes utilizan una variedad de técnicas y tipos de ataques para lograr sus objetivos. Malware y Los exploits son parte integral de la estrategia moderna de ciberataque. El spam y el phishing son comúnmente empleó técnicas para enviar malware y exploits a un punto final a través de un ejecutable de correo electrónico o un enlace web a un sitio web malicioso. Una vez que un punto final se ve comprometido, un atacante normalmente instala puertas traseras, troyanos de acceso remoto y otro malware para garantizar la persistencia. Comprometidos los puntos finales ("bots") bajo el control de un atacante a menudo se utilizan para perpetrar a una escala mucho mayor ataques contra otras organizaciones o redes como parte de una botnet. Términos clave ● Los bots (o zombis ) son puntos finales individuales que están infectados con malware avanzado que permite que un atacante tome el control del punto final comprometido. ● Una botnet es una red de bots (a menudo, decenas de miles o más) que trabajan juntos bajo la control de atacantes utilizando numerosos servidores. Los bots y las redes de bots son muy difíciles de detectar para las organizaciones y de defenderse contra el uso soluciones anti-malware tradicionales. https://translate.googleusercontent.com/translate_f 42/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 52 Página 53 En una botnet, el malware avanzado trabaja en conjunto hacia un objetivo común, con cada bot aumentando el poder y la destructividad de la botnet en general. La botnet puede evolucionar para perseguir nuevos objetivos o adaptarse a medida que se implementan diferentes contramedidas de seguridad. Comunicación entre los bots individuales y la botnet más grande a través de servidores C2 brindan resistencia en la botnet (ver Figura 1-4). La flexibilidad y capacidad de las redes de bots para evadir las defensas presenta una amenaza significativa para Organizaciones. El impacto final de una botnet se deja en gran medida en manos del atacante, desde el envío spam un día para robar datos de tarjetas de crédito al día siguiente y mucho más allá porque muchos ciberataques van sin ser detectado durante meses o incluso años. Figura 1-4: La infraestructura C2 distribuida de una botnet Las propias botnets son dudosas fuentes de ingresos para los ciberdelincuentes. Las botnets son creadas por ciberdelincuentes para recolectar recursos informáticos (bots). Control de botnets (a través de servidores C2) luego puede venderse o alquilarse a otros ciberdelincuentes. La clave para "derribar" o "decapitar" una botnet es separar los bots (puntos finales infectados) de sus cerebros (servidores C2). Si los bots no pueden acceder a sus servidores, no pueden obtener nuevos instrucciones, cargar datos robados o hacer cualquier cosa que haga que las botnets sean tan únicas y peligrosas. Aunque este enfoque puede parecer sencillo, por lo general se requieren grandes recursos para mapear la infraestructura C2 distribuida de una botnet, y este enfoque casi siempre requiere una enorme cantidad de investigación, experiencia y coordinación entre numerosas industrias, organizaciones de seguridad y aplicación de la ley en todo el mundo. © 2021 Palo Alto Networks, Inc. 53 Página 54 https://translate.googleusercontent.com/translate_f 43/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La desactivación de los servidores C2 a menudo requiere tanto la incautación física de los servidores como la toma de posesión del dominio y / o rango de direcciones IP asociado con los servidores. Equipos técnicos, equipos legales, y las fuerzas del orden deben coordinarse estrechamente para desactivar la infraestructura C2 de una botnet. Muchos Las botnets tienen servidores C2 en todo el mundo y funcionarán específicamente en países que tienen poca o ninguna aplicación de la ley por delitos de Internet. Para complicar aún más los esfuerzos de eliminación está el hecho de que una botnet casi nunca se basa en un solo C2 servidor, sino que utiliza varios servidores C2 con fines de redundancia. Cada servidor también suele aislado por una variedad de intermediarios para ocultar la verdadera ubicación del servidor. Estos Los intermediarios incluyen redes P2P, blogs y sitios de redes sociales, e incluso comunicaciones que se transmiten a través de otros bots infectados. Estas técnicas de evasión simplifican encontrar servidores C2 es un desafío considerable. La mayoría de las redes de bots también están diseñados para soportar la pérdida de un servidor C2, lo que significa que la entera La infraestructura de la botnet C2 debe desactivarse casi al mismo tiempo. Si se puede acceder a cualquier servidor C2 o cualquiera de las opciones de respaldo sobrevive, los bots podrán obtener actualizaciones y poblar rápidamente un un conjunto completamente nuevo de servidores C2, y la botnet se recuperará rápidamente. Por lo tanto, incluso un solo C2 que el servidor permanezca funcional incluso por un período pequeño de tiempo puede dar a un atacante la ventana necesario para actualizar los bots y recuperar toda la botnet. Según un informe de amenazas de botnet de 2019, Spamhaus Malware Labs identificó y emitió Listados de listas de bloqueo de Spamhaus (SBL) para 17.602 servidores botnet C2 en 1.210 redes diferentes. Términos clave ● La denegación de servicio distribuida (DDoS) es un tipo de ciberataque en el que Los volúmenes de tráfico de la red, como paquetes, datos o transacciones, se envían a la víctima objetivo. red para hacer su red y sistemas (como un sitio web de comercio electrónico u otro sitio web aplicación) no disponible o inutilizable. Los servidores Botnet C2 se utilizan para controlar los puntos finales infectados (bots) y para exfiltrar personal y / o datos valiosos de bots. Las botnets se pueden escalar fácilmente para enviar grandes volúmenes de spam, difundir ransomware, lanzar ataques distribuidos de denegación de servicio (DDoS), cometer fraude de clics campañas y / o minar criptomonedas (como Bitcoin). Botnets de spam Las redes de bots más grandes a menudo se dedican a enviar spam. La premisa es sencilla: la El atacante intenta infectar tantos puntos finales como sea posible, y los puntos finales pueden usarse para enviar mensajes de correo electrónico no deseado sin el conocimiento de los usuarios finales. El impacto relativo de este tipo de bot en una organización puede parecer bajo inicialmente, pero un endpoint infectado que envía spam podría consumir ancho de banda adicional y, en última instancia, reducir la productividad de los usuarios e incluso la propia red. Quizás más trascendente es el hecho de que el dominio de correo electrónico de la organización y Las direcciones IP también podrían aparecer fácilmente en varias listas de agujeros negros en tiempo real (RBL), por lo que hacer que los correos electrónicos legítimos sean etiquetados como spam y bloqueados por otras organizaciones, y dañando la reputación de la organización. © 2021 Palo Alto Networks, Inc. 54 Página 55 La botnet Rustock es un ejemplo de botnet de spam. Podría enviar hasta 25.000 correos electrónicos no deseados. mensajes por hora de un bot individual y, en su punto máximo, envió un promedio de 192 correos electrónicos no deseados por minuto por bot. Se estima que Rustock ha infectado a más de 2,4 millones de ordenadores. Mundial. En marzo de 2011, la Oficina Federal de Investigaciones (FBI) de EE. UU., En colaboración con Microsoft y otros, eliminaron la botnet Rustock, que había operado durante más de cinco años y en ese momento era responsable de enviar hasta el 60 por ciento del spam del mundo. Botnets distribuidas de denegación de servicio Un ataque DDoS es un tipo de ciberataque en el que volúmenes extremadamente altos de tráfico de red, como https://translate.googleusercontent.com/translate_f 44/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS a medida que se envían paquetes, datos o transacciones a la red de la víctima objetivo para crear su red y sistemas (como un sitio web de comercio electrónico u otra aplicación web) no disponibles o inutilizables. A La botnet DDoS utiliza bots como parte de un ataque DDoS, abrumando a un servidor o red objetivo con tráfico de una gran cantidad de bots. En tales ataques, los propios bots no son el objetivo del ataque. En cambio, los bots se utilizan para inundar algún otro objetivo remoto con tráfico. El atacante aprovecha la escala masiva de la botnet para generar tráfico que abruma la red y recursos del servidor del destino. A diferencia de otros tipos de ciberataques, un ataque DDoS no suele emplear un enfoque sigiloso. En cambio, un ataque DDoS suele ser un ataque de fuerza bruta muy visible que destinado a causar rápidamente daños a la red y la infraestructura de sistemas de la víctima y a su negocio y reputación. Los ataques DDoS a menudo tienen como objetivo organizaciones específicas por razones personales o políticas, o para extorsionar a un pago de rescate a cambio de detener el ataque DDoS. Los ataques DDoS a menudo son utilizados por hacktivistas para promover o protestar contra una agenda política o causa social en particular. Los ataques DDoS también puede utilizarse con fines de extorsión criminal para extraer un pago de rescate a cambio de poner fin el ataque. Las botnets DDoS representan un riesgo doble para las organizaciones: la propia organización puede ser el objetivo de un ataque DDoS. E incluso si la organización no es el objetivo final, cualquier endpoint infectado participar en el ataque consumirá valiosos recursos de la red y facilitará un acto delictivo, aunque sin saberlo. Un ataque DDoS también se puede utilizar como parte de una estrategia dirigida para un ataque posterior. Mientras la victima la organización está ocupada defendiéndose contra el ataque DDoS y restaurando la red y los sistemas, el atacante puede entregar un exploit a la red de la víctima (por ejemplo, provocando un búfer desbordamiento en una base de datos SQL) que permitirá una infección de malware y establecerá un punto de apoyo en el red. El atacante puede regresar más tarde para expandir el ataque (sigiloso) y extraer los datos robados. Ejemplos de ataques DDoS recientes incluyen ataques contra World of Warcraft Classic y Wikipedia en septiembre de 2019. Botnets financieras © 2021 Palo Alto Networks, Inc. 55 Página 56 Las botnets financieras, como ZeuS y SpyEye, son responsables del robo directo de fondos de todos tipos de empresas. Estos tipos de redes de bots no suelen ser tan grandes como el spam o los ataques DDoS. botnets, que crecen lo más posible para un solo atacante. En cambio, las botnets financieras a menudo son vendidos como kits que permiten a los atacantes obtener licencias del código y crear sus propias redes de bots. El impacto de un La brecha financiera puede ser enorme, incluida la brecha financiera y de consumidores sensibles. información, lo que genera un daño financiero, legal y de marca significativo. Según lo informado por Tech Republic: "Se utilizó una variante de la botnet Mirai en ataques contra al menos una empresa del sector financiero en Enero de 2018: posiblemente la primera vez que se observa el uso de una botnet de IoT en un ataque DDoS desde que la botnet Mirai derribó varios sitios web en 2017, según un informe del jueves de Futuro grabado ". Referencias ● "Informe de amenazas de redes de bots de Spamhaus de 2019". Laboratorios de malware Spamhaus. Enero de 2020. https://www.spamhaus.org/news/article/793/spamhaus-botnet-threat-report-2019. ● Oleg Kuprev, Ekaterina Badovskaya y Alexander Gutnikov. "Los ataques DDoS en el tercer trimestre 2019 ". Kaspersky. 11 de noviembre de 2019.https://securelist.com/ddos-report-q32019/94958 /. ● Rayome, Alison DeNisco. “La variante de botnet Mirai lanza ataques DDoS de IoT en sector." Tech Republic. 5 de abril de 2018.https://www.techrepublic.com/article/miraivariant-botnet-lanza-iot-ddos-ataques-en-el-sector-financiero /. https://translate.googleusercontent.com/translate_f 45/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas en el Apéndice A. 1. En el ciclo de vida del ciberataque, ¿qué significa C2? A. Configuración y comunicación B. Control de configuración C. Mando y control D. Control de comunicación 2. Un servidor que tiene un error que permite que una sola transacción lo desconecte es susceptible a que tipo de ataque? A. Denegación de servicio (DoS) B. Denegación de servicio distribuida (DDoS) C. caballos de Troya D. gusanos 3. ¿Qué dos ataques suelen utilizar una botnet? (Escoge dos.) A. ingeniería social B. DoS C. DDoS D. enviar spam a una larga lista de distribución E. spear phishing © 2021 Palo Alto Networks, Inc. 56 Página 57 1.14 Definir las características de las amenazas persistentes avanzadas Las amenazas persistentes avanzadas (APT) son una clase de amenazas que son mucho más deliberadas y potencialmente devastador que otros tipos de ciberataques. Como su nombre lo indica, una APT tiene tres definir características. Una APT es: ● Avanzado: los atacantes utilizan exploits y malware avanzado y, por lo general, también tienen las habilidades y recursos necesarios para desarrollar herramientas y técnicas de ciberataque adicionales, y tener acceso a sofisticados equipos de vigilancia electrónica, imágenes satelitales e incluso activos de inteligencia humana. ● Persistente: una APT puede tener lugar durante un período de varios años. Los atacantes persiguen objetivos específicos y utilice un enfoque "lento y lento" para evitar la detección. Los atacantes están bien organizados y, por lo general, tienen acceso a un respaldo financiero sustancial, como un estado-nación u organización delictiva organizada, para financiar sus actividades. ● Amenaza: una APT es deliberada y enfocada, en lugar de oportunista. Las APT están diseñadas causar un daño real, incluida una pérdida financiera significativa, la destrucción de sistemas y infraestructura, daños físicos y pérdida de vidas. Los actores de amenazas de APT recientes incluyen: ● Lázaro (también conocido como APT38, Apóstoles de Dios, Discípulos de Dios, Guardianes de la Paz, ZINC, Whois Team y Hidden Cobra). El grupo Lazarus APT es un actor de amenazas vinculado a Corea del Norte y se cree que está detrás de los ataques contra más de 16 organizaciones en 11 países, incluido el atraco cibernético de Bangladesh (81 millones de dólares transferidos subrepticiamente desde la cuenta del Banco de la Reserva Federal de Nueva York de Bangladesh en febrero de 2016), la Operación Troya (ataques contra Corea del Sur infraestructura en 2013), la Operación DarkSeoul (ataques basados en malware que borraron decenas de de miles de discos duros pertenecientes a cadenas de televisión y bancos de Corea del Sur en Marzo de 2013) y el truco de Sony Picture (correos electrónicos e información personal de los empleados). incluyendo sueldos, direcciones y números de seguro social revelados, películas inéditas publicado en sitios para compartir archivos y los sistemas informáticos internos se cerraron en 2014). ● Fancy Bear (también conocido como APT28, Sofacy, Sednit y Tsar Team). Fancy Bear es un Actor de amenazas APT con sede en Rusia que ha estado operando desde 2010. Objetivos recientes y Los ataques han incluido los ataques del Think Tank alemán (2019), las elecciones alemanas (2017), Ataque de la Agencia Mundial Antidopaje (2016), incumplimiento del Comité Nacional Demócrata de EE. UU. (2016) y Operación “Pawn Storm” (2014). ● MONSOON (también conocido como Patchwork, APT -C-09, Chinastrats, Dropping Elephant y https://translate.googleusercontent.com/translate_f 46/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Tigre acolchado). MONSOON es un actor de amenazas APT que parece haber comenzado en 2014. Según Forcepoint Security Labs, "La campaña general parece apuntar tanto Ciudadanos chinos de diferentes industrias y agencias gubernamentales en el sur de Asia ... Los componentes de malware que se utilizan en MONSOON normalmente se distribuyen a través de documentos [armados] enviados por correo electrónico a objetivos específicamente elegidos. Temas de Estos documentos suelen ser de naturaleza política y están extraídos de publicaciones recientes sobre asuntos de actualidad de actualidad. En esta operación se han utilizado varios componentes de malware Incluyendo Unknown Logger Public, TINYTYPHON, BADNEWS y AutoIt [3] puerta trasera." © 2021 Palo Alto Networks, Inc. 57 Página 58 Referencias ● "Los 25 principales actores de amenazas - Edición de 2019". Ciberseguridad de SBS. 12 de diciembre de 2019. https://sbscyber.com/resources/top-25-threat-actors-2019-edition. ● Paganini, Pierluigi. “Estados Unidos culpa a Corea del Norte por los 81 millones de dólares robo." Asuntos de seguridad. 24 de marzo de 2017.http://securityaffairs.co/wordpress/57396/cybercrime / bangladesh-cyber-heist.html. ● Paganini, Pierluigi. "Los piratas informáticos que atacaron a Corea del Sur también difundieron software espía para robar misterios." Asuntos de seguridad. 9 de julio de 2013. http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-stealsecretos-militares.html. ● Weisman, Aly. "Una cronología de los locos sucesos del escándalo de piratería informática de Sony". Negocio Persona enterada. 9 de diciembre de 2014.http://www.businessinsider.com/sony-cyber-hack-timeline2014-12. ● "Los 25 principales actores de amenazas - Edición de 2019". Ciberseguridad de SBS. 12 de diciembre de 2019. https://sbscyber.com/resources/top-25-threat-actors-2019-edition. ● "Grupos de amenazas persistentes avanzados". FireEye. 2020.https://www.fireeye.com/currentamenazas / apt-groups.html. ● "Los 25 principales actores de amenazas - Edición de 2019". Ciberseguridad de SBS. 12 de diciembre de 2019. https://sbscyber.com/resources/top-25-threat-actors-2019-edition. ● Settle, Andy, Nicholas Griffin y Abel Toro. "Monzón: análisis de una APT Campaña: Espionaje y pérdida de datos al amparo de la actualidad. Forcepoint Laboratorios de seguridad. 2016. ● https://www.forcepoint.com/sites/default/files/resources/files/forcepoint-security-labsinforme-de-análisis-del-monzón.pdf. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas en el Apéndice A. 1. ¿Qué opción es menos probable que sea el propósito de una amenaza persistente avanzada? A. transferir dinero a una cuenta bancaria en el extranjero B. robar información clasificada C. expandir una botnet para enviar más spam D. ser capaz de destruir la infraestructura de un enemigo en caso de guerra 2. ¿Qué comportamiento utiliza una amenaza persistente avanzada para eludir la detección? A. hacer todo por la noche, cuando nadie está monitoreando B. depender exclusivamente de personas con información privilegiada con acceso privilegiado C.Haga todo rápidamente con secuencias de comandos para que el efecto de la amenaza se logre mediante la hora en que se detecta D. use un enfoque bajo y lento para evitar disparar alarmas © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 58 47/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 59 1.15 Reconocer ataques comunes de Wi-Fi Con el crecimiento explosivo en la cantidad de dispositivos móviles durante la última década, la tecnología inalámbrica (WiFi) las redes ahora están en todas partes. Por supuesto, como profesional de la seguridad, su primera preocupación al intentar conectarse es: "¿Cómo ¿Es segura esta red Wi-Fi? " Pero para el usuario medio, la desafortunada realidad es que Wi-Fi la conectividad se trata más de conveniencia que de seguridad. Por lo tanto, el desafío no es solo asegurar sus redes Wi-Fi, sino también proteger el móvil. dispositivos que los empleados de su organización utilizan para realizar trabajos y acceder a dispositivos potencialmente sensibles datos, independientemente de dónde se encuentren o en qué red se encuentren. La seguridad de Wi-Fi comienza y termina con la autenticación. Si no puede controlar quién tiene acceso a su red inalámbrica, entonces no puede proteger su red. Privacidad equivalente por cable El protocolo Wired Equivalent Privacy (WEP) fue el primer intento de la industria inalámbrica de seguridad. Como su nombre lo indica falsamente, WEP estaba destinado a proporcionar confidencialidad de datos. equivalente a la seguridad de una red cableada. Sin embargo, WEP tenía muchos reconocidos y reconocidos debilidades publicitadas, como su valor aleatorio débil, o vector de inicialización (IV), y clavealgoritmo de generación, y no fue eficaz para establecer una red inalámbrica segura. Acceso protegido Wi-Fi (WPA / WPA2 / WPA3) WPA se publicó como estándar provisional en 2003, seguido rápidamente por WPA2 en 2004. WPA / WPA2 contiene mejoras para proteger contra los defectos inherentes a WEP. Estos las mejoras incluyen cambios en el cifrado para evitar muchos de los problemas que plagaron WEP. WPA2 se puede implementar de diferentes formas. WPA2-Enterprise, también conocido como WPA2-802.1x modo, utiliza el Protocolo de autenticación extensible (EAP) y el acceso telefónico de autenticación remota Servicio de usuario (RADIUS) para autenticación. Numerosos tipos de EAP también están disponibles para su uso en WPA2-Enterprise. Sin embargo, una clave precompartida (PSK) es, con mucho, el uso más común, particularmente en hogares, pequeños empresas y redes Wi-Fi para invitados. WPA2-PSK se puede implementar solo con el AP y el cliente; ni un servidor de autenticación 802.1x de terceros ni cuentas de usuario individuales son requerido. Términos clave ● El Protocolo de autenticación extensible (EAP) es un marco de autenticación ampliamente utilizado que incluye alrededor de 40 métodos de autenticación diferentes. ● El servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un protocolo cliente-servidor y © 2021 Palo Alto Networks, Inc. 59 Página 60 software que permite que los servidores de acceso remoto se comuniquen con un servidor central para autenticar usuarios y autorizar el acceso a un sistema o servicio. ● Una clave precompartida (PSK) es un secreto compartido, que se utiliza en la criptografía de clave simétrica, que se ha intercambiado entre dos partes que se comunican a través de un canal cifrado. WPA2-PSK admite claves de 256 bits, que requieren 64 caracteres hexadecimales. Porque El requisito de que los usuarios ingresen una clave de 64 caracteres hexadecimales no es práctico, WPA2 incluye una https://translate.googleusercontent.com/translate_f 48/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS función que genera clave de bits basadade enconjunto una frasededeservicios contraseña mucho creada porsal el administrador de la una red Wi-Fi y el256 identificador (SSID) delmás AP corta utilizado como para la función hash unidireccional . En WPA2, el nombre del SSID se usa para la sal. Una forma sencilla de hacer que su seguridad Wi-Fi más fuerte (y hacer que los ataques de tabla de arco iris no sean prácticos) es cambiar su SSID a algo que no es común o fácil de adivinar. Para ejecutar un ataque a una frase de contraseña WPA2, un atacante debe poder probar una gran cantidad de candidatos a frases de contraseña. Entonces, aunque WPA2 permanece criptográficamente seguro (la clave no recuperable mediante la simple observación del tráfico, como con WEP), existen métodos para probar frases de contraseña fuera de línea mediante la recopilación de los paquetes de protocolo de enlace entre el AP y un usuario legítimo. Para recopilar los paquetes necesarios para descifrar una frase de contraseña WPA2, un atacante podría recopilar pasivamente tráfico cuando un usuario legítimo se une a la red. Este método requiere tiempo, sin embargo, porque el atacante no sabe cuándo se unirá alguien a la red. Para un atacante impaciente, la solución es emplear un ataque activo. Si un usuario legítimo es ya en línea, el atacante puede obligar al dispositivo cliente del usuario a desconectarse del AP con paquetes de desautenticación falsificados. Una vez desconectado el dispositivo cliente, automáticamente intentar reconectarse, proporcionando así al atacante los paquetes de protocolo de enlace necesarios para desconectarse análisis de frase de contraseña. Por lo tanto, a diferencia de WEP, los ataques a WPA2 se pueden realizar sin gastar un una cantidad significativa de tiempo en la proximidad de la red de destino, después de los paquetes de protocolo de enlace han sido capturados. Términos clave ● Un identificador de conjunto de servicios (SSID) es un identificador alfanumérico de 32 caracteres que distingue entre mayúsculas y minúsculas que identifica de forma única una red Wi-Fi. ● Una función hash unidireccional es una función matemática que crea una representación única (una valor hash) de un conjunto más grande de datos de una manera que sea fácil de calcular en una dirección (entrada para salida) pero no en sentido inverso (salida a entrada). La función hash no puede recuperar el texto original del valor hash. Sin embargo, un atacante podría intentar adivinar el texto original. y vea si produce un valor hash coincidente. ● Una tabla de arco iris es una tabla precalculada que se utiliza para encontrar el valor original de un hash criptográfico. función. © 2021 Palo Alto Networks, Inc. 60 Página 61 A continuación, el atacante debe recuperar (o encontrar) la frase de contraseña en sí, lo que requiere lo siguiente: ● Una prueba para verificar millones de posibles contraseñas hasta que encuentre la contraseña correcta. Para evitar la detección, un atacante no puede utilizar el objetivo real, porque la víctima podría ver esta actividad de ataque. La alternativa es utilizar un método de prueba fuera de línea que utilice el paquetes de apretón de manos. ● Una metodología para adivinar contraseñas. El peor de los casos es aplicar la "fuerza bruta" al frase de contraseña, probando todas las combinaciones posibles de números y caracteres hasta obtener una se encuentra el valor. Este esfuerzo puede producir un resultado correcto si se le da suficiente tiempo y computación. energía. Sin embargo, un método mucho más rápido es tomar conjeturas fundamentadas sin tener que recurrir a la fuerza bruta. Un atacante que utiliza conjeturas fundamentadas sobre una posible frase de contraseña. los candidatos pueden intentar una lista mucho más corta. Este proceso básico para recuperar frases de contraseña de Wi-Fi es similar a descifrar las contraseñas de los usuarios. En el los primeros días del descifrado de contraseñas, un atacante podría tener conocimiento del sistema de destino unidireccional función hash y una lista de los valores hash de la contraseña de usuario del sistema. Sin embargo, el atacante no descifrar la contraseña, porque el texto original no se puede recuperar de un hash. Pero por cifrar una lista de palabras con la misma función hash unidireccional (un ataque de diccionario), un atacante luego puede comparar los valores hash resultantes con los valores hash almacenados para los distintos usuarios cuentas en el sistema. Entonces, aunque la contraseña en sí no está descifrada, una entrada determinada que produce un resultado dado, como una coincidencia de contraseña. Con la adición de más https://translate.googleusercontent.com/translate_f 49/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS poder de cómputo, un atacante podría probar listas de palabras más largas y un mayor número de variaciones de cada palabra. El proceso para atacar frases de contraseña WPA2 es similar. WPA3 se publicó en 2018 e introduce mejoras de seguridad, como una tecnología bruta más robusta. Forzar protección contra ataques, seguridad mejorada de acceso de invitados y puntos de acceso, integración más sencilla con dispositivos que tienen una interfaz de usuario limitada o nula (como dispositivos IoT) y un paquete de seguridad de 192 bits. Los enrutadores Wi-Fi y los dispositivos cliente más nuevos probablemente admitirán WPA2 y WPA3 para garantizar compatibilidad con versiones anteriores en entornos mixtos. Según Wi-Fi Alliance, las características de WPA3 incluyen seguridad mejorada para dispositivos IoT como como bombillas inteligentes, electrodomésticos inalámbricos, parlantes inteligentes y otros dispositivos sin pantalla que hacen las tareas diarias más fáciles. Se espera que Wi-Fi Alliance admita un sistema de configuración de un toque que hará dispositivos sin pantallas (como dispositivos IoT y altavoces inteligentes como Google Home y Amazon Echo) más fácil de conectar. Será similar al Wi-Fi Protected existente. Protocolo de configuración, que implica presionar un botón en el enrutador para conectar un dispositivo. Según un artículo reciente de VentureBeat , WPA3 también “admite un cifrado mucho más fuerte algoritmo que WPA2 ... destinado a aplicaciones industriales, de defensa y gubernamentales en lugar de que hogares y oficinas. Específicamente, incluye un paquete de seguridad de 192 bits que está alineado con el Conjunto de algoritmos de seguridad nacional comercial (CNSA), una característica solicitada por el Comité on National Security Systems (CNSS), una parte de la Agencia de Seguridad Nacional de los Estados Unidos [NSA] ". © 2021 Palo Alto Networks, Inc. 61 Página 62 WPA3 proporciona protección contra ataques de diccionario de fuerza bruta mediante la implementación de apretón de manos [llamado protocolo Dragonfly, también conocido como autenticación simultánea de Equals] que no es vulnerable a exploits inalámbricos como KRACK, y refuerza la seguridad en ese momento cuando la clave de red se intercambia entre un dispositivo y el punto de acceso ". WPA3 también reduce la eficacia de los ataques de diccionario comunes al limitar el número de intentos de contraseña de red por usuario. Un atacante puede engañar a las víctimas para que se conecten a una red inalámbrica que el atacante controla. en lugar de irrumpir en una red inalámbrica. Estas técnicas son parte de un conjunto más amplio de ataques. conocidos como ataques man-in-the-middle. Con un exploit man-in-the-middle implementado en una red Wi-Fi red, un atacante puede producir o mostrar prácticamente cualquier contenido, por ejemplo: ● Si un usuario intenta descargar un archivo legítimo, el atacante puede enviar malware móvil en lugar de. ● Cuando un usuario intenta visitar una página web legítima, el atacante puede alterar el contenido para explotar una vulnerabilidad que existe en el navegador del dispositivo, permitiendo así al atacante escalar aún más un ataque. ● Las direcciones de correo electrónico y la información de la cuenta financiera se pueden obtener de los endpoint, lo que permite a un atacante crear un phishing muy específico y convincente ataque para engañar a más usuarios en una red para que revelen información confidencial. Gemelo malvado Quizás la forma más fácil para que un atacante encuentre una víctima para explotar es configurar un acceso inalámbrico punto que sirve como puente hacia una red real. Un atacante inevitablemente puede cebar a algunas víctimas con "Acceso gratuito a Wi-Fi". El principal problema con este enfoque es que requiere que una víctima potencial tropiece con el punto de acceso y conectar. El atacante no puede apuntar fácilmente a una víctima específica, porque el ataque depende de que la víctima inicie la conexión. Una ligera variación de este enfoque es utilizar un nombre más específico que imite un punto de acceso real. normalmente se encuentra en un lugar en particular, el Evil Twin. Por ejemplo, si su aeropuerto local ofrece Servicio de Wi-Fi y lo llama "Aeropuerto Wi-Fi", el atacante podría crear un punto de acceso con el https://translate.googleusercontent.com/translate_f 50/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS mismo nombre usando un punto de acceso que tiene dos radios. Los usuarios promedio no pueden discernir fácilmente cuándo están conectados al punto de acceso real o falso, por lo que este enfoque capturaría una mayor número de usuarios que un método que intenta atraer víctimas al azar. Aún así, el usuario debe seleccionar la red, por lo que hay un poco de suerte al intentar llegar a un objetivo en particular. La principal limitación del ataque Evil Twin es que el atacante no puede elegir a la víctima. en un lugar abarrotado, el atacante podrá hacer que muchas personas se conecten a la red inalámbrica red para exponer sin saberlo sus nombres de cuenta y contraseñas. Sin embargo, no es un enfoque eficaz si el objetivo es apuntar a los empleados de una organización específica. © 2021 Palo Alto Networks, Inc. 62 Página 63 Jasager Si desea comprender un enfoque más específico que el ataque de Evil Twin, piense en lo que sucede cuando devuelve su dispositivo inalámbrico a una ubicación que ha visitado anteriormente. Por ejemplo, cuando lleva su computadora portátil a casa, no tiene que elegir a qué punto de acceso utilizar, porque su dispositivo recuerda los detalles de las redes inalámbricas a las que ha conectado. La misma práctica se aplica cuando visita la oficina o su cafetería favorita. Su dispositivo móvil detecta cuando está cerca de una red inalámbrica previamente conocida mediante enviar una baliza para descubrir si una red preferida está dentro del alcance. Por debajo de lo normal condiciones, cuando un dispositivo inalámbrico envía una baliza, los puntos de acceso que no coinciden la ignoran. La baliza no recibe respuesta, excepto cuando se acerca a la ubicación preferida. red. El ataque Jasager adopta un enfoque más activo hacia las solicitudes de balizas. Jasager (alemán para "El sí-hombre") responde a todas las solicitudes de balizas, adoptando así un enfoque muy permisivo hacia quién puede conectarse. El usuario no tiene que elegir manualmente el punto de acceso del atacante. En lugar de, el atacante pretende ser el punto de acceso al que el usuario se conecta normalmente (consulte la Figura 1-5). En lugar de intentar que las víctimas se conecten al azar, ahora el atacante simplemente necesita estar dentro proximidad del objetivo. Figura 1-5: Jasager pretende ser cualquier punto de acceso solicitado por la baliza del cliente. Este proceso intercepta la comunicación de computadoras portátiles, teléfonos móviles y tabletas. Muchos si no la mayoría de los dispositivos móviles 3G / 4G / LTE cambian automáticamente a Wi-Fi cuando reconocen que están cerca de una red que conocen. Un atacante puede utilizar el mismo método para capturar paquetes de protocolo de enlace WPA2 para desconectar a los usuarios. desde una red Wi-Fi mediante el uso de paquetes de desautenticación falsificados. Usuarios que se vuelven a conectar sin saberlo, se conectará al punto de acceso modificado. A diferencia del ataque de Evil Twin, el atacante no tiene que esperar a que la víctima se conecte al punto de acceso modificado; con este enfoque, todos los que se encuentren en las inmediaciones se conectarán automáticamente y se convertirán en víctimas potenciales. https://translate.googleusercontent.com/translate_f 51/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 63 Página 64 Jasager se ejecuta en cualquier número de dispositivos, pero quizás sea una de las formas más efectivas de emplearlo. es con el punto de acceso de Pineapple. La piña es simplemente un punto de acceso con modificaciones firmware que incorpora varias herramientas para pruebas de "penetración" inalámbrica. También tiene varios accesorios tales como soporte para tarjetas USB celulares para proporcionar conectividad de red cuando es de lo contrario, no estarán disponibles en la ubicación de destino, y paquetes de baterías para operar como una unidad independiente. Es También se oculta fácilmente porque se puede disfrazar dentro de cualquier número de carcasas que normalmente se encuentran enchufado en la oficina. Una vez que el atacante tiene a la víctima conectada a un punto de acceso malicioso, el intermediario El ataque puede continuar, y el atacante no solo puede observar y capturar el tráfico de la red, sino también modificarlo. SSLstrip Después de que un usuario se conecta a una red Wi-Fi que se ha visto comprometida o al Wi-Fi de un atacante red disfrazada de red legítima, el atacante puede controlar el contenido que el la víctima ve. El atacante simplemente intercepta el tráfico web de la víctima, redirige el navegador a un servidor web que controla, y sirve cualquier contenido que desee el atacante. Se puede usar un ataque de intermediario para robar la banca en línea o el correo electrónico corporativo de una víctima. Credenciales de cuenta. Normalmente, este tipo de tráfico se consideraría seguro porque la página web normalmente utiliza el cifrado Secure Sockets Layer (SSL). Sin embargo, el usuario medio que piensa candado en algún lugar de la barra de direcciones significa que su navegador es seguro no es correcto. Pero el candado aparece de manera diferente, en diferentes ubicaciones, en diferentes navegadores. Cómo aparece el candado en Internet Explorer? ¿Qué pasa con Mozilla Firefox, Google Chrome y Apple Safari? Y también aparece de manera diferente en diferentes teléfonos inteligentes y tabletas. No es de extrañar que los usuarios finales típicos e incluso muchos profesionales de la seguridad pueden ser engañados fácilmente. SSLstrip elimina el cifrado SSL de una sesión "segura". Cuando un usuario se conecta a un red Wi-Fi comprometida intenta iniciar una sesión SSL, el punto de acceso modificado intercepta la solicitud SSL (consulte la Figura 1-6). El punto de acceso modificado luego completa el SSL sesión en nombre del dispositivo de la víctima. Luego, el túnel SSL entre el dispositivo de la víctima y el servidor web seguro legítimo se termina y se descifra en el acceso modificado punto, permitiendo así al atacante ver las credenciales de la víctima y otra información sensible en Borrar texto. © 2021 Palo Alto Networks, Inc. 64 Página 65 https://translate.googleusercontent.com/translate_f 52/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 1-6: Man-in-the-middle con SSLstrip Con SSLstrip, el punto de acceso modificado muestra un candado falso en el navegador web de la víctima. Las páginas web pueden mostrar un pequeño icono llamado favicon junto a la dirección de un sitio web en el navegador Barra de dirección. SSLstrip reemplaza el favicon con un candado que parece SSL para un desprevenido usuario. Términos clave ● Un favicon ("icono favorito") es un archivo pequeño que contiene uno o más iconos pequeños asociados con un sitio web o página web en particular. Emotet Emotet es un troyano, identificado por primera vez en 2014, que se ha utilizado durante mucho tiempo en redes de bots de spam y ataques de ransomware. Las variantes de Emotet utilizan módulos esparcidores de Wi-Fi para escanear redes Wi-Fi y Busque dispositivos vulnerables para infectar. El módulo esparcidor de Wi-Fi escanea las redes Wi-Fi cercanas en un dispositivo infectado y luego intenta conectarse a redes Wi-Fi vulnerables a través de una ataque de fuerza. Después de que Emotet se conecta con éxito a una red Wi-Fi, busca comparte e intenta otro ataque de fuerza bruta para adivinar nombres de usuario y contraseñas en otros dispositivos conectados a la red. Luego instala su carga útil de malware y establece C2 comunicaciones en dispositivos recientemente infectados. © 2021 Palo Alto Networks, Inc. sesenta y cinco Página 66 Referencias ● Wiggers, Kyle. "¿Qué es WPA3, por qué es importante y cuándo puede esperarlo?" VentureBeat. 19 de mayo de 2018.https://venturebeat.com/2018/05/19/what-is-wpa3-why¿-importa-y-cuando-puedes-esperar-que-. ● Quinn, James. "Emotet evoluciona con el nuevo esparcidor de Wi-Fi". Defensa binaria. 7 de febrero 2020. https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué dos tipos de comportamiento podrían permitirle a alguien espiar una red WiFi? (Escoge dos.) A. pasivo B. inactivo C. ceder D. activo https://translate.googleusercontent.com/translate_f 53/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS E. ágil 2. ¿Cuál es el nombre del ataque en el que el atacante consigue que la víctima se conecte a un punto de acceso que controla el ataque? A. persona en el medio B. hombre en el medio C. punto de acceso en el medio D. enmascaramiento del punto de acceso 3. ¿Cuál es el nombre del método de "autenticación" que permite a cualquiera que tenga la contraseña acceder a una red WiFi? A. Clave precompartida (PSK) B. Autenticación de contraseña (PA) C.Protocolo de autenticación extensible (EAP) D. identificador de conjunto de servicios (SSID) 1.16 Definir la seguridad de la red basada en el perímetro Los modelos de seguridad de red basados en el perímetro datan de la era del mainframe (alrededor de fines de la década de 1950), cuando las grandes computadoras centrales se ubicaban en "salas de máquinas" físicamente seguras que podían ser accedido por sólo un número relativamente limitado de terminales "tontos" de entrada de trabajo remoto (RJE) que se conectaron directamente al mainframe y también se ubicaron en áreas físicamente seguras. De hoy Los centros de datos son el equivalente moderno de las salas de máquinas, pero la seguridad física basada en el perímetro ya no es suficiente por varias razones obvias pero importantes: ● Las computadoras mainframe son anteriores a Internet. De hecho, las computadoras centrales son anteriores a ARPANET, que es anterior a Internet. Hoy en día, un atacante utiliza Internet para obtener acceso, en lugar de violar físicamente el perímetro del centro de datos. ● En la actualidad, millones de dispositivos terminales remotos acceden de forma remota a los centros de datos desde en cualquier lugar y en cualquier momento. A diferencia de los RJE de la era del mainframe, los terminales modernos © 2021 Palo Alto Networks, Inc. 66 Página 67 (incluidos los dispositivos móviles) son mucho más potentes que muchos de los primeros mainframe computadoras y ellos mismos son objetivos. ● El valor principal de la computadora central era su poder de procesamiento. El relativamente Los datos limitados que se producían se almacenaban típicamente en medios casi en línea, como una cinta. Hoy, los datos son el objetivo. Los datos se almacenan en línea en centros de datos y en la nube, y es un objetivo de alto valor para cualquier atacante. El problema principal con una estrategia de seguridad de red basada en el perímetro en la que las contramedidas se implementan en un puñado de puntos de entrada y salida bien definidos de la red es que el La estrategia se basa en el supuesto de que se puede confiar en todos los elementos de la red interna. Sin embargo, esta suposición ya no es segura, dadas las condiciones comerciales modernas y entornos informáticos donde: ● Los empleados remotos, los usuarios móviles y las soluciones de computación en la nube desdibujan la distinción entre "interno" y "externo" ● Tecnologías inalámbricas, la proliferación de conexiones de socios y la necesidad de brindar soporte Los usuarios invitados introducen innumerables vías adicionales en las sucursales de la red que puede estar ubicado en países o regiones que no son de confianza ● Los iniciados, ya sean intencionalmente malintencionados o simplemente descuidados, pueden presentar una seguridad muy real amenaza ● Las estrategias de enfoque basadas en el perímetro no tienen en cuenta: ● El potencial de las ciberamenazas sofisticadas para penetrar las defensas del perímetro, en las que caso de que tuvieran paso libre en la red interna ● Escenarios en los que los usuarios malintencionados pueden obtener acceso a la red interna y recursos mediante el uso de credenciales robadas de usuarios de confianza ● La realidad de que las redes internas rara vez son homogéneas, sino que incluyen bolsillos. de usuarios y recursos con niveles inherentemente diferentes de confianza o sensibilidad que idealmente deberían estar separados en cualquier caso (por ejemplo, investigación y desarrollo y sistemas financieros versus servidores de archivos o de impresión) Un modelo de confianza roto no es el único problema con los enfoques centrados en el perímetro para la seguridad de la red. https://translate.googleusercontent.com/translate_f 54/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Otro factor que contribuye es que los dispositivos y tecnologías de seguridad tradicionales (como los puertos cortafuegos) comúnmente utilizados para construir perímetros de red permiten demasiado tráfico no deseado mediante. Las deficiencias típicas a este respecto incluyen la incapacidad para: ● Distinguir definitivamente las aplicaciones buenas de las malas (lo que lleva a configuración de control de acceso permisivo) ● Tener en cuenta adecuadamente el tráfico de aplicaciones cifradas. ● Identificar y controlar con precisión a los usuarios (independientemente de dónde se encuentren o qué dispositivos que están usando) ● Filtre el tráfico permitido no solo para las amenazas conocidas transmitidas por aplicaciones, sino también para las desconocidas. unos © 2021 Palo Alto Networks, Inc. 67 Página 68 El resultado neto es que rediseñar las defensas de una manera que cree una confianza interna generalizada fronteras es, en sí mismo, insuficiente. También debe asegurarse de que los dispositivos y tecnologías utilizados para implementar estos límites, realmente proporcione la visibilidad, el control y la inspección de amenazas capacidades necesarias para habilitar de forma segura aplicaciones comerciales esenciales sin dejar de frustrar malware moderno, ataques dirigidos y la exfiltración no autorizada de datos confidenciales. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué es una zona desmilitarizada de red (DMZ)? A. la parte más segura de la red, utilizada para la infraestructura de seguridad B. la parte de la red que no protege, por ejemplo, un segmento de red utilizado para visitantes para acceder a internet C. la zona de gestión de la base de datos D. la zona de la red donde colocas los servidores que sirven al exterior, para limitar la exposición 2. ¿Qué tipo de tráfico fluye entre la Internet pública y la DMZ privada? A. norte-sur B. este-oeste C. arriba-abajo D. tráfico de salida 3. ¿Qué tipo de tráfico fluye dentro de un centro de datos? A. norte-sur B. este-oeste C. arriba-abajo D. tráfico de salida 4. ¿Cuál es el nombre del dispositivo que se utiliza para proteger el perímetro de una red? Un interruptor B. hub C. módem D. cortafuegos https://translate.googleusercontent.com/translate_f 55/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 68 Página 69 1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust Forrester Research presentó el modelo de seguridad Zero Trust. Aborda algunos de los limitaciones de las estrategias de seguridad de red basadas en el perímetro al eliminar el supuesto de confianza. Con Zero Trust, las capacidades de seguridad esenciales se implementan de una manera que proporciona políticas aplicación y protección para todos los usuarios, dispositivos, aplicaciones y recursos de datos, y tráfico de comunicaciones entre ellos, independientemente de su ubicación. En particular, con Zero Trust no hay confianza predeterminada para ninguna entidad, incluidos usuarios, dispositivos, aplicaciones y paquetes, independientemente de lo que sea y su ubicación en la empresa o en relación con ella red. Verificación de que las entidades autorizadas siempre están haciendo solo lo que se les permite hacer Además, ya no es opcional en un modelo Zero Trust: ahora es obligatorio. Estos cambios implican las siguientes necesidades: ● La necesidad de establecer límites de confianza que compartimenten eficazmente los distintos segmentos del entorno informático interno. La idea general es mover la seguridad. funcionalidad más cercana a los bolsillos de recursos que requieren protección. De este modo, La seguridad siempre se puede hacer cumplir independientemente del punto de origen de los asociados. tráfico de comunicaciones. ● La necesidad de límites de confianza para hacer más que solo la autorización inicial y el control de acceso. aplicación. "Verificar siempre" también requiere una supervisión e inspección continuas de tráfico de comunicaciones asociado para actividades subversivas (como amenazas). Los beneficios de implementar una red Zero Trust incluyen: ● Eficacia claramente mejorada para mitigar la pérdida de datos con visibilidad y habilitación segura. de aplicaciones, y detección y prevención de ciberamenazas ● Mayor eficiencia para lograr y mantener el cumplimiento de la seguridad y la privacidad. mandatos, utilizando límites de confianza para segmentar aplicaciones, sistemas y datos confidenciales ● Capacidad mejorada para habilitar de forma segura iniciativas de TI transformadoras, como la movilidad de los usuarios, traiga su propio dispositivo (BYOD) y traiga su propio acceso (BYOA), infraestructura virtualización y computación en la nube ● Menor costo total de propiedad (TCO) con un producto consolidado y completamente integrado plataforma, en lugar de una variedad dispar de productos de puntos de seguridad en silos y especialmente diseñados © 2021 Palo Alto Networks, Inc. 69 Página 70 Principios de diseño de Core Zero Trust Los principios básicos de Zero Trust que definen los objetivos operativos de Zero Trust https://translate.googleusercontent.com/translate_f 56/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS la implementación incluye: ● Asegúrese de que se acceda a todos los recursos de forma segura, independientemente de la ubicación. Este principio sugiere no solo la necesidad de múltiples límites de confianza, sino también un mayor uso de seguridad acceso para la comunicación hacia o desde los recursos, incluso cuando las sesiones se limitan al "red interna. También significa asegurarse de que los únicos dispositivos que tengan acceso a la la red tiene el estado y la configuración correctos, tiene un cliente VPN aprobado y contraseñas y no ejecutan malware. ● Adopte una estrategia de privilegios mínimos y aplique estrictamente el control de acceso. La meta es Minimizar el acceso permitido a los recursos como un medio para reducir las vías disponibles para malware y atacantes para obtener acceso no autorizado y, posteriormente, propagarse lateralmente y / o infiltrarse en datos sensibles. ● Inspeccione y registre todo el tráfico. Este principio reitera la necesidad de "verificar siempre" mientras También reforzando que una protección adecuada requiere más que la mera aplicación estricta de control de acceso. También se debe prestar atención cercana y continua a exactamente qué Las aplicaciones "permitidas" realmente funcionan, y la única forma de lograr estos objetivos es para inspeccionar el contenido en busca de amenazas. Arquitectura conceptual de Zero Trust En Zero Trust, identifica una superficie protegida . La superficie de protección está formada por la red los datos, activos, aplicaciones y servicios (DAAS) más críticos y valiosos. Las superficies protegidas son único para cada organización. Debido a que la superficie de protección contiene solo lo más crítico para una operaciones de la organización, es órdenes de magnitud más pequeñas que la superficie de ataque, y es siempre conocible. Con la superficie protegida identificada, puede identificar cómo se mueve el tráfico en la organización en relación con la superficie protegida. La única forma de determinar y hacer cumplir la política que garantiza la seguridad El acceso a sus datos es para comprender quiénes son los usuarios, qué aplicaciones están utilizando y cómo se están conectando. Con una comprensión de las interdependencias entre los DAAS, infraestructura, servicios y usuarios, debe establecer controles lo más cerca posible de la superficie de protección como sea posible, creando así un microperímetro a su alrededor. Este microperímetro se mueve con el proteger la superficie, donde sea que vaya. Términos clave ● El principio de privilegio mínimo en la seguridad de la red requiere que solo el permiso o el acceso se otorgan los derechos necesarios para realizar una tarea autorizada. ● Una superficie protegida consta de los datos, activos, aplicaciones y servicios (DAAS) en una red. © 2021 Palo Alto Networks, Inc. 70 Página 71 Los componentes principales de una arquitectura conceptual Zero Trust (que se muestra en la Figura 1-7) incluyen: ● Plataforma de segmentación Zero Trust. Se refiere a la Plataforma de Segmentación Zero Trust como puerta de enlace de segmentación de red de Forrester Research. Es el componente utilizado para definir los límites de confianza internos. Es decir, la plataforma proporciona la mayor parte de la seguridad funcionalidad necesaria para cumplir con los objetivos operativos de Confianza Cero, incluida la habilidad para: ▪ Habilite el acceso seguro a la red ▪ Controle de forma granular el flujo de tráfico hacia y desde los recursos ▪ Monitorear continuamente las sesiones permitidas para detectar cualquier actividad de amenaza. https://translate.googleusercontent.com/translate_f 57/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 1-7: Arquitectura conceptual Zero Trust Aunque la Figura 1-7 muestra la plataforma de segmentación de confianza cero como un solo componente en un ubicación física única, en la práctica, debido al rendimiento, la escalabilidad y limitaciones: una implementación efectiva es más probable que implique múltiples instancias distribuidas a lo largo de la red de una organización. La solución también se designa como una "plataforma" para reflejar que es una agregación de múltiples tecnologías de seguridad distintas (y potencialmente distribuidas) que operan como parte de un marco de protección integral contra amenazas para reducir la superficie de ataque y correlacionar la información sobre las amenazas que se encuentran. ● Zonas de confianza: Forrester Research se refiere a una zona de confianza como un micro núcleo y perímetro. (MCAP). Una zona de confianza es un bolsillo distinto de infraestructura donde los recursos de los miembros no solo operan con el mismo nivel de confianza, sino que también comparten una funcionalidad similar. Funcionalidad tales como protocolos y tipos de transacciones deben compartirse porque es necesario para minimizar el número de vías permitidas de entrada y salida de una zona determinada y, a su vez, minimizar la posibilidad de que personas internas malintencionadas y otros tipos de amenazas obtengan acceso no autorizado a recursos sensibles. © 2021 Palo Alto Networks, Inc. 71 Página 72 Ejemplos de zonas de confianza que se muestran en la Figura 1-7 son la zona de usuario (o campus), una zona para el acceso de invitados, una zona de datos de titulares de tarjetas, bases de datos y zonas de aplicación para varios niveles servicios y una zona para aplicaciones web de cara al público. Recuerde que una zona de confianza no pretende ser un "bolsillo de confianza" donde los sistemas (y por lo tanto, las amenazas) dentro de la zona pueden comunicarse libre y directamente entre sí. Para una implementación completa de Zero Trust, la red se configuraría para garantizar que todos El tráfico de comunicaciones, incluido el tráfico entre dispositivos en la misma zona, es intermediada por la correspondiente Plataforma de Segmentación Zero Trust. ● Infraestructura de administración: las capacidades de administración centralizada son cruciales para permitiendo una administración eficiente y un seguimiento continuo, especialmente para implementaciones que involucran múltiples plataformas distribuidas de segmentación Zero Trust. A La red de adquisición de datos también proporciona una forma conveniente de complementar la capacidades de seguimiento y análisis para una plataforma de segmentación de confianza cero. Registros de sesiones que se han reenviado a una red de adquisición de datos, entonces pueden ser procesados por cualquier número de herramientas y tecnologías de análisis fuera de banda destinadas, por ejemplo, a promover mejore la visibilidad de la red, detecte amenazas desconocidas o respalde los informes de cumplimiento. Criterios y capacidades clave de Zero Trust El núcleo de cualquier arquitectura de seguridad de red Zero Trust es la segmentación Zero Trust Plataforma, por lo que debes elegir la solución correcta. Criterios y capacidades clave a considerar cuando La selección de una plataforma de segmentación de confianza cero incluye: ● Acceso seguro: se proporciona conectividad IPsec segura constante y VPN SSL para todos empleados, socios, clientes e invitados dondequiera que se encuentren (por ejemplo, en oficinas remotas o sucursales, en la red local o por Internet). Políticas a determinar qué usuarios y dispositivos pueden acceder a aplicaciones y datos confidenciales se pueden definir en función en la aplicación, el usuario, el contenido, el dispositivo y el estado del dispositivo. https://translate.googleusercontent.com/translate_f 58/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Inspección de todo el tráfico: la identificación de la aplicación identifica y clasifica con precisión todo tráfico, independientemente de los puertos y protocolos, y tácticas evasivas como salto de puerto o cifrado. La identificación de la aplicación elimina los métodos que el malware puede utilizar para ocultarse desde la detección y proporciona un contexto completo en aplicaciones, contenido asociado y amenazas. ● Control de acceso con privilegios mínimos: la combinación de aplicación, usuario y contenido La identificación ofrece un modelo de control positivo que permite a las organizaciones controlar interacciones con recursos basados en una amplia gama de atributos relevantes para el negocio, incluyendo la aplicación específica y las funciones individuales que se utilizan, usuario y grupo identidad, y los tipos específicos o piezas de datos a los que se accede (como tarjeta de crédito o Números de seguro social). El resultado es un control de acceso verdaderamente granular que permite las aplicaciones correctas para los conjuntos correctos de usuarios al tiempo que previene automáticamente que el tráfico no deseado, no autorizado y potencialmente dañino acceda al red. © 2021 Palo Alto Networks, Inc. 72 Página 73 ● Protección contra ciberamenazas: una combinación de antimalware, prevención de intrusiones y Las tecnologías de prevención de ciberamenazas brindan una protección integral contra amenazas conocidas y desconocidas, incluidas las amenazas en dispositivos móviles. Soporte para un cerradobucle, defensa altamente integrada también asegura que los dispositivos de aplicación en línea y otros Los componentes del marco de protección contra amenazas se actualizan automáticamente. ● Cobertura para todos los dominios de seguridad: los dispositivos virtuales y de hardware establecen y límites de confianza rentables en toda la red de una organización, incluyendo en oficinas remotas o sucursales, para usuarios móviles, en el perímetro de Internet, en la nube, en puntos de entrada en todo el centro de datos y para áreas individuales dondequiera que puedan existe. Implementando un diseño Zero Trust La implementación de un modelo de seguridad de red Zero Trust no requiere una revisión importante de un la red y la infraestructura de seguridad de la organización. Una arquitectura de diseño Zero Trust puede ser implementado de una manera que requiere solo modificaciones incrementales a la red existente y es completamente transparente para sus usuarios. Ventajas de una implementación tan flexible y no disruptiva enfoque incluyen minimizar el impacto potencial en las operaciones y ser capaz de difundir el requirió inversión y esfuerzo de trabajo a lo largo del tiempo. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿En qué principio de seguridad se basa un modelo de seguridad de red Zero Trust? A. debida diligencia B. privilegio mínimo C. no repudio D. control negativo 2. ¿Qué significa Zero Trust? A. Los sistemas nunca confían en la información que obtienen de otros sistemas B. Los sistemas no confían unos en otros implícitamente. C. Los sistemas no confían entre sí de forma explícita. D. Los sistemas solo confían entre sí dentro del mismo centro de datos. 3. En una arquitectura Zero Trust completa, ¿se pueden comunicar dos dispositivos excepto a través de un ¿punto de seguridad? R. Sí, pero solo si están en la misma zona de confianza. B. Sí, pero solo si el nivel de la zona de confianza del cliente es superior al del servidor. C. No, a menos que pertenezcan a la misma aplicación. D. No, todo el tráfico debe estar protegido. https://translate.googleusercontent.com/translate_f 59/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 73 Página 74 Para comenzar, puede configurar una plataforma de segmentación de confianza cero en modo de solo escucha para obtener una vista detallada de los flujos de tráfico a través de la red, incluyendo dónde, cuándo y para en qué medida los usuarios específicos están utilizando aplicaciones y recursos de datos específicos. Una vez que tenga una comprensión detallada de los flujos de tráfico de red en el entorno, el siguiente El paso es definir las zonas de confianza y establecer gradualmente los límites de confianza correspondientes en función de riesgo relativo y / o sensibilidad de los datos involucrados: ● Implementar dispositivos en ubicaciones adecuadas para establecer límites de confianza internos para zonas de confianza ● Configure las políticas de inspección y aplicación adecuadas para poner cada límite de confianza "en línea" A continuación, puede establecer progresivamente zonas de confianza y límites para otros segmentos del entorno informático en función de su grado relativo de riesgo. Ejemplos de donde asegurar la confianza Las zonas que se pueden establecer son: ● Redes y sistemas de gestión de TI (donde una infracción exitosa podría resultar en compromiso de toda la red) ● Recursos y conexiones de socios (de empresa a empresa o B2B) ● Conexiones y recursos de alto perfil orientados al cliente (de empresa a consumidor o B2C) ● Sucursales en países o regiones de riesgo, seguidas de todas las demás sucursales. ● Redes de acceso de invitados (tanto inalámbricas como cableadas) ● Redes de campus Los principios y conceptos de Zero Trust deben implementarse en los principales puntos de acceso a Internet. Tendrá que reemplazar o aumentar los dispositivos de seguridad de red heredados con Zero Trust Plataforma de segmentación en esta etapa de implementación para obtener todas las capacidades necesarias y beneficios de un modelo de seguridad Zero Trust. 1.18 Definir las capacidades de una cartera de productos eficaz El ciberdelito y los tipos de amenazas a la seguridad continúan evolucionando, desafiando así a las organizaciones para mantenerse actualizado a medida que se expanden los límites de la red y las superficies de ataque. Violaciones de seguridad y La pérdida de propiedad intelectual puede tener un gran impacto en las organizaciones. Enfoques actuales para La seguridad, que se centra principalmente en la detección y reparación, es inadecuada para abordar suficientemente el aumento del volumen y la sofisticación de los ataques. Los ciberdelincuentes aprovechan la automatización y el análisis de big data para ejecutar ataques cada vez más efectivos contra sus objetivos. Los ciberdelincuentes no son la única amenaza: Los empleados a menudo pueden infringir sin saberlo el cumplimiento corporativo y exponer datos críticos en ubicaciones como la nube pública. Debido a la rápida evolución de las aplicaciones que se trasladan a la nube, la descentralización de TI infraestructura y el panorama de amenazas cada vez mayor, las organizaciones han perdido visibilidad y control. Los dispositivos están proliferando y el perímetro de la red prácticamente ha desaparecido, dejando a la empresa © 2021 Palo Alto Networks, Inc. 74 Página 75 https://translate.googleusercontent.com/translate_f 60/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS equipos de seguridad que luchan por habilitar y proteger de manera segura sus negocios, clientes y usuarios. Debido a que las nuevas amenazas crecen en número y sofisticación, las organizaciones están descubriendo que Los productos y enfoques de seguridad tradicionales son cada vez menos capaces de proteger sus redes contra ciberataques avanzados. Los equipos de desarrollo de aplicaciones y operaciones de TI también están acelerando la entrega de nuevos aplicaciones para impulsar el crecimiento empresarial mediante la adopción de herramientas y metodologías DevOps, la nube y tecnologías de contenedores, análisis de big data y automatización y orquestación. Mientras tanto, las aplicaciones son cada vez más accesibles. El resultado es una red increíblemente compleja que introduce un riesgo empresarial significativo. Las organizaciones deben minimizar este riesgo sin ralentizarse el negocio. Se necesita un enfoque diferente de la seguridad. Los defensores deben reemplazar los productos puntuales en silos con innovaciones de seguridad que están estrechamente integradas. La seguridad requiere simplicidad. El Palo Alto La cartera de productos de redes consta de un sistema estrechamente integrado de componentes y servicios, incluido un ecosistema de socios, que ofrece seguridad constante en toda la red, terminales, y nube. La cartera de productos es un sistema totalmente integrado que simplifica la seguridad al aprovechar la información, la automatización, el aprendizaje automático y los datos consolidados de inteligencia sobre amenazas analítica (consulte la Figura 1-8). Figura 1-8: Cartera de productos de Palo Alto Networks © 2021 Palo Alto Networks, Inc. 75 Página 76 La cartera de productos está diseñada para que los equipos de seguridad puedan operar de manera simple y eficiente para proteger sus organizaciones. La plataforma previene ataques exitosos y detiene los ataques en curso. al tiempo que proporciona una protección constante para proteger la empresa, la nube y el futuro. El La cartera de productos se basa en la prevención y está diseñada y construida específicamente para contrarrestar ataques. antes de que puedan violar el entorno de una organización. La arquitectura de prevención de la cartera de productos permite a las organizaciones reducir la exposición a amenazas al primero habilitando aplicaciones para todos los usuarios o dispositivos en cualquier ubicación y luego previniendo las amenazas dentro de los flujos de aplicaciones, asociando el uso de las aplicaciones a las identidades de los usuarios en entornos físicos, en la nube entornos basados en software como servicio (SaaS). Para permitir la prevención de ataques cibernéticos exitosos, la cartera de productos ofrece cuatro https://translate.googleusercontent.com/translate_f 61/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS capacidades: 1. Proporcionar visibilidad completa: para que los administradores de red y los profesionales de la seguridad comprender el contexto completo de un ataque, se proporciona visibilidad de todos los usuarios y dispositivos en las aplicaciones de red, endpoint, nube y SaaS de la organización. 2. Reducir la superficie de ataque: las mejores tecnologías que se integran de forma nativa proporcionan una arquitectura de prevención que reduce inherentemente la superficie de ataque. Este tipo de La arquitectura permite a las organizaciones ejercer un control positivo basado en aplicaciones, usuarios, y contenido, con soporte para comunicación abierta, orquestación y visibilidad. 3. Evite todas las amenazas conocidas, rápidamente: una plataforma de seguridad coordinada representa el alcance de un ataque, a través de los diversos controles de seguridad que componen la postura de seguridad, permitiendo así a las organizaciones identificar y bloquear rápidamente amenazas conocidas. 4. Detecte y prevenga amenazas nuevas y desconocidas con la automatización: seguridad que simplemente detecta amenazas y requiere una respuesta manual es demasiado poco, demasiado tarde. Creación automatizada y entrega de protecciones casi en tiempo real contra nuevas amenazas a los distintos sistemas de seguridad. Las soluciones en los entornos de la organización permiten actualizaciones dinámicas de políticas. Estos Las actualizaciones están diseñadas para permitir que las empresas escalen las defensas con tecnología, en lugar de personas. La seguridad no debe ser una barrera para la adopción de nueva movilidad, SaaS, nube pública o privada. tecnologías que permiten la productividad. Organizaciones que tienen una prevención integrada de forma nativa La primera plataforma de seguridad implementada puede adoptar de forma segura productos innovadores que mejoran la productividad. aplicaciones y tecnologías, todo mientras se mantiene una prevención integral y consistentepostura de seguridad empresarial orientada. © 2021 Palo Alto Networks, Inc. 76 Página 77 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué componente de una plataforma operativa de seguridad puede identificar un troyano que no no usas la red? A. seguridad de la red B. seguridad en la nube C. Protección avanzada de endpoints D. Servicio de registro SaaS 2. El servicio de registro almacena datos en la nube en una instancia que su organización hace no controla y, por lo tanto, proporciona protección contra qué? A. caballos de Troya B. virus C. gusanos D. amenaza interna 1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks Palo Alto Networks está ayudando a abordar los mayores desafíos de seguridad del mundo con innovación continua que aprovecha los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y empoderar a un ecosistema de socios, Palo Alto Networks está a la vanguardia en la protección de decenas de miles de organizaciones en nubes, redes y dispositivos móviles. https://translate.googleusercontent.com/translate_f 62/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS El amplio portafolio de tecnologías y soluciones de seguridad de Palo Alto Networks aborda tres áreas esenciales de la estrategia de ciberseguridad: ● Asegurar la empresa (estratos): ▪ Cortafuegos de próxima generación de las series PA, VM y K2 de Palo Alto Networks son la piedra angular de la seguridad de la red empresarial. Estos cortafuegos funcionan con PANOS® y aproveche App-ID, User-ID y Content-ID para proporcionar visibilidad y control de las aplicaciones en uso en todos los usuarios, dispositivos y ubicaciones. ▪ Servicios de suscripción basados en la nube , que incluyen seguridad de DNS, filtrado de URL, amenazas La prevención y la prevención de malware WildFire® brindan predicciones avanzadas en tiempo real. análisis, inteligencia artificial y aprendizaje automático, protección contra amenazas de exploits / malware / C2 y global inteligencia de amenazas a la cartera de productos de Palo Alto Networks. ▪ La gestión de seguridad de la red de Panorama permite el control centralizado, la recopilación de registros y automatización del flujo de trabajo de políticas en todos sus firewalls de próxima generación (escalable a decenas de miles de firewalls) desde una única consola central. © 2021 Palo Alto Networks, Inc. 77 Página 78 ● Proteger la nube (Prisma): ▪ Prisma® Cloud es el sistema de protección, gobernanza y oferta de cumplimiento. Descubre dinámicamente recursos en la nube y datos confidenciales en AWS, GCP y Azure para detectar configuraciones de riesgo e identificar amenazas de red, comportamiento de usuario sospechoso, malware, fuga de datos y vulnerabilidades del host. Elimina puntos ciegos en sus entornos de nube y proporciona protección continua con un combinación de políticas de seguridad basadas en reglas y aprendizaje automático. ▪ Prisma Access (SASE) ayuda a su organización a brindar seguridad constante a su redes remotas y usuarios móviles. Es un paso adelante generacional en la seguridad en la nube, utilizando una arquitectura entregada en la nube para conectar a todos los usuarios a todas las aplicaciones. Toda su los usuarios, ya sea en su sede, en sucursales o en la carretera, se conectan a Prisma Acceso para utilizar de forma segura las aplicaciones del centro de datos y la nube, e Internet. Acceso Prisma inspecciona constantemente todo el tráfico en todos los puertos y proporciona software bidireccional redes definidas de área amplia (SD-WAN) para habilitar sucursal a sucursal y sucursal a tráfico de la sede. ▪ Prisma SaaS funciona como un agente de seguridad de acceso a la nube (CASB) multimodo, que ofrece Protección en línea y basada en API que trabajan juntas para minimizar la gama de riesgos de la nube que puede dar lugar a infracciones. Con un enfoque de CASB totalmente proporcionado en la nube, puede asegurar sus aplicaciones SaaS mediante el uso de protecciones en línea para salvaguardar el tráfico en línea con visibilidad profunda de aplicaciones, segmentación, acceso seguro y prevención de amenazas, y Protecciones basadas en API para conectarse directamente a aplicaciones SaaS para clasificación de datos, datos prevención de pérdidas y detección de amenazas. ● Asegurar el futuro (Cortex ® ): ▪ Cortex XDR rompe los silos de la detección y respuesta tradicionales al integrar de forma nativa datos de red, endpoint y nube para detener ataques sofisticados. Cortex XDR toma ventaja del aprendizaje automático y los modelos de inteligencia artificial en todas las fuentes de datos al identificar Amenazas desconocidas y altamente evasivas de dispositivos administrados y no administrados. ▪ Cortex XSOAR es la única orquestación, automatización y respuesta de seguridad (SOAR) plataforma que combina orquestación de seguridad, gestión de incidentes e interactiva investigación para servir a los equipos de seguridad durante todo el ciclo de vida del incidente. ▪ Cortex Data Lake permite innovaciones basadas en inteligencia artificial para la ciberseguridad con la industria único enfoque para normalizar los datos de su empresa. Recopila, integra, y normaliza los datos en toda su infraestructura de seguridad. El servicio basado en la nube está listo escalar desde el principio, eliminando así la necesidad de computación o almacenamiento local y Brindar garantía en la seguridad y privacidad de sus datos. ▪ El servicio de inteligencia de amenazas contextual AutoFocus acelera su capacidad para analizar amenazas https://translate.googleusercontent.com/translate_f 63/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS y responder a los ciberataques. Acceso instantáneo a datos de amenazas basados en la comunidad desde WildFire, mejorado con contexto profundo y atribución de la Unidad de Palo Alto Networks 42 equipo de investigación de amenazas, ahorra tiempo. Sus equipos de seguridad obtienen información detallada sobre los ataques con etiquetas Unit 42 prediseñadas que identifican familias de malware, adversarios, campañas, comportamientos maliciosos y exploits sin la necesidad de un equipo de investigación dedicado. © 2021 Palo Alto Networks, Inc. 78 Página 79 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el centro de datos? A. Strata B. Prisma C. Corteza D. WildFire 2. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el acceso remoto y la nube nativa? tecnologías? A. Strata B. Prisma C. Corteza D. WildFire 3. ¿Qué paquete de productos de Palo Alto Networks se utiliza para administrar alertas? Obtenga información adicional. información y orquestar respuestas? A. Strata B. Prisma C. Corteza D. WildFire © 2021 Palo Alto Networks, Inc. 79 Página 80 https://translate.googleusercontent.com/translate_f 64/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Dominio del examen 2: el mundo conectado Con más de 4.500 millones de usuarios de Internet en todo el mundo en 2020, lo que representa más de la mitad del población mundial, Internet conecta empresas, gobiernos y personas de todo el mundo. Nuestra dependencia de Internet seguirá creciendo, con casi 30 mil millones de dispositivos y "cosas": incluidos los vehículos autónomos, los electrodomésticos y la tecnología portátil, que se conectan a Internet de las cosas (IoT) y casi 9 mil millones de suscripciones de teléfonos inteligentes en todo el mundo utilizando un total de 160 exabytes (EB) de datos mensuales para 2025. 2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores En la década de 1960, la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU. (DARPA) creó ARPANET, el precursor de la Internet moderna. ARPANET fue el primer paquete conmutado red. Una red de paquetes conmutados divide los datos en pequeños bloques (paquetes), transmite cada paquete individual de nodo a nodo hacia su destino, y luego vuelve a ensamblar el individuo paquetes en el orden correcto en el destino. Cientos de millones de enrutadores ofrecen Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) que utilizan varios protocolos de enrutamiento (discutidos en la tarea 2.2) en el área local redes (LAN) y redes de área amplia. El sistema de nombres de dominio (DNS, analizado en tarea 2.4) habilita direcciones de Internet, como www.paloaltonetworks.com , para traducir al direcciones IP enrutables. Los enrutadores son dispositivos físicos o virtuales que envían paquetes de datos a las redes de destino a lo largo de un ruta de red utilizando direcciones lógicas (discutido en la tarea 2.6). Los enrutadores utilizan varios enrutamiento protocolos para determinar la mejor ruta a un destino, en función de variables como ancho de banda, costo, retraso y distancia. Un enrutador inalámbrico combina la funcionalidad de un enrutador y un enrutador inalámbrico punto de acceso (AP) para proporcionar enrutamiento entre una red cableada e inalámbrica. Un AP es una red dispositivo que se conecta a un enrutador o red cableada y transmite una señal Wi-Fi para que la conexión inalámbrica Los dispositivos pueden conectarse a una red inalámbrica (o Wi-Fi). Un repetidor inalámbrico retransmite señal inalámbrica de un enrutador inalámbrico o AP para ampliar el alcance de una red Wi-Fi. Un hub (o concentrador ) es un dispositivo de red que conecta varios dispositivos, como computadoras de escritorio. computadoras, estaciones de conexión para computadoras portátiles e impresoras en una LAN. Tráfico de red que se envía a un concentrador se difunde desde todos los puertos del concentrador, lo que puede crear congestión en la red e introduce posibles riesgos de seguridad (los datos de transmisión pueden ser interceptados). Un conmutador es esencialmente un concentrador inteligente que utiliza direcciones físicas para reenviar paquetes de datos a dispositivos en una red. A diferencia de un concentrador, un conmutador está diseñado para reenviar paquetes de datos solo al puerto que corresponde al dispositivo de destino. Este método de transmisión (denominado microsegmentación) crea segmentos de red separados y aumenta efectivamente la transmisión de datos tarifas disponibles en los segmentos individuales de la red. Además, se puede utilizar un interruptor para implementar LAN virtuales (VLAN), que segregan lógicamente una red y limitan los dominios de difusión y dominios de colisión . © 2021 Palo Alto Networks, Inc. 80 Página 81 Términos clave ● Un enrutador es un dispositivo de red que envía paquetes de datos a una red de destino a lo largo de una red. sendero. ● Un repetidor inalámbrico retransmite la señal inalámbrica desde un enrutador inalámbrico o AP para extender la rango de una red Wi-Fi. ● Un hub (o concentrador ) es un dispositivo que se utiliza para conectar varios dispositivos en red en un local. red de área (LAN). ● Un conmutador es un concentrador inteligente que reenvía paquetes de datos solo al puerto asociado con el dispositivo de destino en una red. https://translate.googleusercontent.com/translate_f 65/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Una LAN virtual ( VLAN ) es una red lógica que se crea dentro de una LAN física. ● Un dominio de transmisión es la parte de una red que recibe paquetes de transmisión enviados desde un nodo en el dominio. ● Un dominio de colisión es un segmento de red en el que los paquetes de datos pueden colisionar entre sí. durante la transmisión. Referencias: "Informe de movilidad de Ericsson, noviembre de 2019". Ericsson. Noviembre de 2019. https://www.ericsson.com/en/mobility-report. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué dispositivo no procesa direcciones? Un concentrador B. cambiar C. Punto de acceso WiFi D. enrutador 2. ¿Qué dispositivo procesa direcciones lógicas? Un concentrador B. cambiar C. Punto de acceso WiFi D. enrutador 3. ¿En qué dispositivo configura las VLAN? A. repetidor inalámbrico B. hub C. interruptor D. enrutador © 2021 Palo Alto Networks, Inc. 81 Página 82 2.2 Clasificar protocolos enrutados y de enrutamiento Los protocolos enrutados, como el Protocolo de Internet (IP), direccionan paquetes con información de enrutamiento que permite que esos paquetes se transporten a través de redes utilizando protocolos de enrutamiento . Términos clave ● Una dirección de Protocolo de Internet (IP) es un identificador de 32 o 128 bits asignado a un dispositivo para comunicaciones en la capa de red del modelo OSI o la capa de Internet del Modelo TCP / IP. Los protocolos de enrutamiento se definen en la capa de red del modelo OSI y especifican cómo los enrutadores comunicarse entre sí en una red. Los protocolos de enrutamiento pueden ser estáticos o dinámicos. Un protocolo de enrutamiento estático requiere que las rutas se creen y actualicen manualmente en un enrutador o otro dispositivo de red. Si una ruta estática está inactiva, el tráfico no se puede desviar automáticamente a menos que Se ha configurado una ruta alternativa. Además, si la ruta está congestionada, el tráfico no puede ser desviado sobre la ruta alternativa menos congestionada. El enrutamiento estático es práctico solo en muy pequeños redes o para escenarios de enrutamiento de casos especiales muy limitados (por ejemplo, un destino que es se utiliza como ruta de respaldo o solo se puede acceder a ella a través de un solo enrutador). Sin embargo, el enrutamiento estático tiene bajas requisitos de ancho de banda (la información de enrutamiento no se transmite a través de la red) y algunos en seguridad (los usuarios pueden enrutar solo a destinos especificados en rutas definidas estáticamente). https://translate.googleusercontent.com/translate_f 66/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Un protocolo de enrutamiento dinámico puede aprender automáticamente rutas nuevas (o alternativas) y determinar la la mejor ruta a un destino. La tabla de enrutamiento se actualiza periódicamente con el enrutamiento actual. información. Los protocolos de enrutamiento dinámico se clasifican además como: ● Vector de distancia : un protocolo de vector de distancia toma decisiones de enrutamiento basadas en dos factores: la distancia (recuento de saltos u otra métrica) y el vector (la interfaz del enrutador de salida). Eso informa periódicamente a sus pares y / o vecinos de los cambios de topología. La convergencia es la tiempo necesario para que todos los enrutadores de una red actualicen sus tablas de enrutamiento con la mayor información actual (como cambios de estado del enlace), y puede ser un problema importante para protocolos de vector de distancia. Sin convergencia, algunos enrutadores de una red pueden desconoce los cambios de topología, lo que hace que el enrutador envíe tráfico a una destino. Durante la convergencia, la información de enrutamiento se intercambia entre enrutadores y la red se ralentiza considerablemente. La convergencia puede tardar varios minutos en las redes que utilizan protocolos de vector de distancia. El protocolo de información de enrutamiento (RIP) es un ejemplo de un protocolo de enrutamiento por vector de distancia que utiliza el recuento de saltos como métrica de enrutamiento. Para evitar bucles de enrutamiento, en los que los paquetes se atascan rebotando entre varios nodos del enrutador, RIP implementa un límite de salto de 15, que limita el tamaño de las redes que puede admitir RIP. Después de que un paquete de datos cruza 15 enrutadores nodos (saltos) entre un origen y un destino, el destino se considera inalcanzable. Además de los límites de salto, RIP emplea otros cuatro mecanismos para evitar bucles de enrutamiento: © 2021 Palo Alto Networks, Inc. 82 Página 83 ▪ Horizonte dividido: evita que un enrutador anuncie una ruta de regreso a través de la misma interfaz de la que se aprendió la ruta ▪ Actualizaciones activadas: cuando se detecta un cambio, la actualización se envía inmediatamente en lugar de después del retardo de 30 segundos que normalmente se requiere para enviar una actualización RIP. ▪ Envenenamiento de ruta: establece el recuento de saltos en una ruta incorrecta en 16, lo que efectivamente anuncia la ruta como inalcanzable ▪ Temporizadores de espera: hacen que un enrutador inicie un temporizador cuando el enrutador recibe por primera vez información de que un destino es inalcanzable. Actualizaciones posteriores sobre ese destino no se aceptará hasta que expire el temporizador. Este temporizador también ayuda a evitar problemas asociado con el aleteo. El aleteo ocurre cuando una ruta (o interfaz) cambia repetidamente estado (arriba, abajo, arriba, abajo) durante un corto período de tiempo. ● Estado de enlace: un protocolo de estado de enlace requiere que cada enrutador calcule y mantenga un mapa completo, o tabla de enrutamiento, de toda la red. Enrutadores que usan un estado de enlace el protocolo transmite periódicamente actualizaciones que contienen información sobre conexiones, o estados de enlace, a todos los demás enrutadores de la red. Los protocolos de estado de enlace son intensivos en computación, pero pueden calcular la ruta más eficiente a un destino. Ellos considerar numerosos factores, como la velocidad del enlace, el retraso, la carga, la confiabilidad y el costo (un peso o métrica asignados arbitrariamente). La convergencia ocurre muy rápidamente (en segundos) con protocolos de estado de enlace. Open Shortest Path First (OSPF) es un ejemplo de un protocolo de enrutamiento de estado de enlace que a menudo es utilizado en grandes redes empresariales. OSPF enruta el tráfico de la red dentro de una única sistema (AS). Las redes OSPF se dividen en áreas identificadas por identificadores de área de 32 bits. Los identificadores de área pueden (pero no es obligatorio) corresponder a direcciones IP de red y pueden direcciones IP duplicadas sin conflictos. ● Vector de ruta: un protocolo de vector de ruta es similar a un protocolo de vector de distancia pero sin los problemas de escalabilidad asociados con los recuentos de saltos limitados en los protocolos de vector de distancia. Cada entrada de la tabla de enrutamiento en un protocolo de vector de ruta contiene información de ruta que se obtiene actualizado dinámicamente. Border Gateway Protocol (BGP) es un ejemplo de un protocolo de vector de ruta utilizado entre sistemas autónomos separados. BGP es el protocolo principal utilizado por los proveedores de servicios de Internet. (ISP) y proveedores de servicios de red (NSP), y en redes IP privadas muy grandes. Términos clave https://translate.googleusercontent.com/translate_f 67/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● La convergencia es el tiempo necesario para que todos los enrutadores de una red actualicen sus tablas de enrutamiento con la información de enrutamiento más actualizada sobre la red. ● El recuento de saltos generalmente se refiere a la cantidad de nodos de enrutador por los que debe pasar un paquete. llegar a su destino. ● Un sistema autónomo (AS) es un grupo de rangos de direcciones IP contiguos bajo el control de un entidad única de internet. A los sistemas autónomos individuales se les asigna un AS de 16 o 32 bits número (ASN) que identifica de forma exclusiva la red en Internet. Los ASN son asignados por el Autoridad de Números Asignados de Internet (IANA). © 2021 Palo Alto Networks, Inc. 83 Página 84 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué es un protocolo enrutado? A. Abra primero la ruta más corta (OSPF) B. Protocolo de Internet (IP) C.Protocolo de puerta de enlace fronteriza (BGP) D. Protocolo de información de enrutamiento (RIP) 2. ¿Qué tipo de dispositivo utiliza protocolos de enrutamiento para intercambiar información? A. interruptores B. hubs C. enrutadores D. servidores 3. ¿Cuál es el propósito principal de la información intercambiada por los protocolos de enrutamiento? A. enrutamiento dinámico B. enrutamiento estático C. facturación por acceso a la red D. publicidad de direcciones MAC 2.3 Resumir topologías y redes de área La mayoría de las redes informáticas se clasifican en términos generales como redes de área local (LAN) o redes de amplio espectro. redes de área (WAN). Una red de área local (LAN) es una red informática que conecta dispositivos de usuario final como computadoras portátiles y de escritorio, servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos, Los archivos, el almacenamiento de archivos y otros recursos en red se pueden compartir entre usuarios autorizados en el LAN. Una LAN opera en un área geográfica relativamente pequeña (como un piso, un edificio o un grupo de edificios), normalmente a velocidades de hasta 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet), 1,000 Mbps (o 1 Gbps - Gigabit Ethernet) en redes cableadas y 11 Mbps (802.11b), 54 Mbps (802.11ayg), 450Mbps (802.11n), 1.3Gbps (802.11ac) y 14Gbps (802.11ax - teórico) en redes inalámbricas. Una LAN puede ser cableada, inalámbrica o una combinación de cableada e inalámbrica. Ejemplos de equipos de red comúnmente utilizados en LAN incluyen puentes , concentradores, repetidores , conmutadores y puntos de acceso inalámbricos (AP). En las LAN se utilizan comúnmente dos topologías de red básicas (con muchas variaciones): ● Estrella: cada nodo de la red está conectado directamente a un conmutador, concentrador o concentrador, y todas las comunicaciones de datos deben pasar a través del conmutador, concentrador o concentrador. El conmutador, hub o concentrador, por lo tanto, puede convertirse en un cuello de botella de rendimiento o un solo punto de falla en la red. Una topología en estrella es ideal para entornos de prácticamente cualquier tamaño y es la topología LAN básica más utilizada. ● Malla: todos los nodos están interconectados para proporcionar múltiples rutas a todos los demás recursos. A La topología de malla se puede utilizar en toda la red o solo para la red más crítica. componentes, como enrutadores, conmutadores y servidores, para eliminar los cuellos de botella en el rendimiento y puntos únicos de falla. © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 84 68/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 85 Términos clave ● Una red de área local (LAN) es una red de computadoras que conecta una computadora portátil y una computadora de escritorio. computadoras, servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos, archivos y archivos el almacenamiento y otros recursos en red se pueden compartir en un área geográfica relativamente pequeña, como un piso, un edificio o un grupo de edificios. ● Un puente es un dispositivo de red alámbrico o inalámbrico que extiende una red o se une por separado segmentos de red. ● Un repetidor es un dispositivo de red que aumenta o retransmite una señal para extender físicamente el rango de una red cableada o inalámbrica. ● En una topología de anillo , todos los nodos están conectados en un bucle cerrado que forma un anillo continuo y todos la comunicación viaja en una sola dirección alrededor del anillo. Las topologías de anillo eran comunes en redes token ring. ● En una topología de bus (o bus lineal) , todos los nodos están conectados a un solo cable (la red troncal) que se termina en ambos extremos. En el pasado, las redes de bus se usaban comúnmente para muy pequeños redes porque eran económicas y relativamente fáciles de instalar. Otras topologías de red que alguna vez fueron populares, como anillo y bus, rara vez se encuentran en redes. Una red de área amplia (WAN) es una red informática que conecta varias LAN u otras WAN en un área geográfica relativamente grande, como una ciudad pequeña, una región o un país, o un red empresarial global. Una WAN conecta redes utilizando circuitos de telecomunicaciones y tecnologías como conmutación de etiquetas multiprotocolo (MPLS), cable de banda ancha , línea de abonado digital (DSL), fibra óptica, portadora óptica (por ejemplo, OC-3) y portadora T (por ejemplo, T-1) a varias velocidades normalmente van desde 256 Kbps hasta varios cientos de megabits por segundo. Ejemplos de Los equipos de red comúnmente utilizados en las WAN incluyen servidores de acceso, unidades de servicio de canal (CSU) y unidades de servicio de datos (DSU), firewalls, módems, enrutadores, red privada virtual (VPN) pasarelas y conmutadores WAN. Términos clave ● T-carrier es un sistema de transmisión digital full-duplex que utiliza varios pares de cables de cobre para transmitir señales eléctricas a través de una red. Por ejemplo, un circuito T-1 consta de dos pares de alambre de cobre - un par transmite, el otro par recibe - que se multiplexan para proporcionar un un total de 24 canales, cada uno de los cuales entrega 64 Kbps de datos, para un ancho de banda total de 1.544 Mbps. ● La conmutación de etiquetas multiprotocolo (MPLS) es una tecnología de red que enruta el tráfico mediante el ruta más corta basada en "etiquetas", en lugar de direcciones de red, para manejar el reenvío redes privadas de área amplia. ● El cable de banda ancha es un tipo de acceso a Internet de alta velocidad que ofrece diferentes cargas y descargar velocidades de datos a través de un medio de red compartido. La velocidad general varía según la carga de tráfico de la red de todos los suscriptores en el segmento de la red. ● La línea de suscriptor digital (DSL) es un tipo de acceso a Internet de alta velocidad que ofrece diferentes velocidades de carga y descarga de datos. La velocidad general depende de la distancia desde la casa o © 2021 Palo Alto Networks, Inc. 85 Página 86 ubicación comercial a la oficina central del proveedor (CO). ● La tecnología de fibra óptica convierte las señales de datos eléctricos en luz y proporciona datos constantes. velocidades en las direcciones de carga y descarga a través de un medio de cable de fibra óptica dedicado. Fibra La tecnología óptica es mucho más rápida y segura que otros tipos de tecnología de red. ● Portadora óptica es una especificación para el ancho de banda de transmisión de señales digitales en Redes de fibra óptica de redes ópticas sincrónicas (SONET). Transmisión de portadora óptica las tasas se designan por el valor entero del múltiplo de la tasa base (51,84 Mbps). Para https://translate.googleusercontent.com/translate_f 69/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ejemplo, OC-3 designa una xred de 155.52 Mbps (3 x 51.84) y OC-192 designa una Red de 9953,28 Mbps (192 51,84). Las WAN tradicionales se basan en enrutadores físicos para conectar a los usuarios remotos o de sucursales a las aplicaciones. alojado en centros de datos. Cada enrutador tiene un plano de datos, que contiene la información y un control plano, que le dice a los datos a dónde ir. Donde los flujos de datos normalmente están determinados por una red ingeniero o administrador que escribe reglas y políticas, a menudo manualmente, para cada enrutador en el red, un proceso que puede llevar mucho tiempo y ser propenso a errores. Una red de área amplia definida por software (SD-WAN) separa el control y la gestión procesos desde el hardware de red subyacente, haciéndolos disponibles como software que se puede configurar e implementar fácilmente. Una consola de control centralizada significa red Los administradores pueden escribir nuevas reglas y políticas, y luego configurarlas e implementarlas en un toda la red a la vez. SD-WAN facilita la gestión y la dirección del tráfico a través de una red. Con tradicional Enfoques de redes como MPLS, el tráfico creado en la sucursal se devuelve o "backhauled", a un punto de seguridad de Internet centralizado en un centro de datos de la sede. El retroceso del tráfico puede menor rendimiento de la aplicación, lo que se traduce en una reducción de la productividad y una mala experiencia del usuario. Dado que las redes MPLS son redes privadas creadas para una organización determinada, son considerados fiables y seguros, pero son caros. Además, MPLS no está diseñado para manejar los altos volúmenes de tráfico WAN que resultan del software como servicio (SaaS) aplicaciones y adopción de la nube. En comparación con las WAN tradicionales, las SD-WAN pueden administrar varios tipos de conexiones, incluidas MPLS, banda ancha, evolución a largo plazo (LTE) y otros, y aplicaciones de soporte alojadas en centros de datos, nubes públicas y privadas y servicios SaaS. SD-WAN puede enrutar el tráfico de aplicaciones sobre el mejor camino en tiempo real. En el caso de la nube, SD-WAN puede reenviar enlaces a Internet y tráfico vinculado a la nube directamente desde la sucursal sin backhauling. © 2021 Palo Alto Networks, Inc. 86 Página 87 SD-WAN ofrece muchos beneficios a organizaciones distribuidas geográficamente, que incluyen: ● Sencillez: porque cada dispositivo se administra de forma centralizada, con enrutamiento basado en la aplicación políticas, los administradores de WAN pueden crear y actualizar reglas de seguridad en tiempo real como red los requisitos cambian. Además, cuando SD-WAN se combina con aprovisionamiento sin intervención, un característica que ayuda a automatizar los procesos de implementación y configuración, organizaciones puede reducir aún más la complejidad, los recursos y los gastos operativos necesarios para poner en marcha nuevos sitios. ● Rendimiento mejorado: al permitir un acceso eficiente a los recursos basados en la nube sin la necesidad de trasladar el tráfico a ubicaciones centralizadas, las organizaciones pueden proporcionar una mejor experiencia de usuario. ● Costos reducidos: los administradores de red pueden complementar o sustituir los costosos MPLS con banda ancha y otras opciones de conectividad. Términos clave ● Una red de área amplia definida por software (SD-WAN) separa el control de red y procesos de gestión del hardware subyacente en una red de área amplia y los hace disponible como software. ● Long-Term Evolution (LTE) es un tipo de conexión celular 4G que brinda conectividad rápida principalmente para uso de Internet móvil. https://translate.googleusercontent.com/translate_f 70/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS El modelo de internetworking jerárquico es un diseño de red de mejores prácticas, propuesto originalmente por Cisco, que comprende tres capas: ● Acceso: los servidores y los puntos finales de los usuarios se conectan a la red en esta capa, normalmente a través de conmutadores de red. Los conmutadores de esta capa pueden realizar algunas funciones de la Capa 3 y también puede proporcionar energía eléctrica a través de puertos Power over Ethernet (PoE) a otros equipos conectados a la red, como puntos de acceso inalámbricos o teléfonos VoIP. ● Distribución: esta capa realiza todas las funciones de conmutación y enrutamiento con uso intensivo de cómputo. en la red, como enrutamiento complejo, filtrado y calidad de servicio (QoS). Interruptores en esta capa puede haber conmutadores de capa 7 y conectarse a conmutadores de capa de acceso de extremo inferior y conmutadores de capa de núcleo de gama alta. ● Núcleo: esta capa es responsable del enrutamiento y la conmutación de alta velocidad. Enrutadores y los conmutadores de esta capa están diseñados para el enrutamiento y reenvío de paquetes de alta velocidad. Términos clave ● Power over Ethernet (PoE) es un estándar de red que proporciona energía eléctrica a ciertos dispositivos de red a través de cables Ethernet. ● La calidad de servicio (QoS) es el rendimiento general de aplicaciones o servicios específicos en un red, incluida la tasa de error, la tasa de bits, el rendimiento, el retardo de transmisión, la disponibilidad y la fluctuación. Las políticas de QoS se pueden configurar en determinadas redes y dispositivos de seguridad para priorizar determinadas tráfico (como voz o video) sobre otro tráfico de menor rendimiento. © 2021 Palo Alto Networks, Inc. 87 Página 88 Además de las LAN y WAN, se utilizan muchos otros tipos de redes de área para diferentes propósitos: ● Las redes de área de campus (CAN) y las redes de área de campus inalámbricas (WCAN) se conectan varios edificios en una red de alta velocidad (por ejemplo, en una empresa o universidad instalaciones). ● Redes de área metropolitana (MAN) y redes de área metropolitana inalámbrica (WMAN) extender las redes en un área relativamente grande, como una ciudad. ● Las redes de área personal (PAN) y las redes de área personal inalámbricas (WPAN) se conectan los dispositivos electrónicos de un individuo, como computadoras portátiles, teléfonos inteligentes, tabletas, asistentes personales (por ejemplo, Amazon Alexa, Apple Siri, Google Assistant y Microsoft Cortana) y tecnología portátil entre sí o en una red más grande. ● Las redes de área de almacenamiento (SAN) conectan los servidores a un dispositivo de almacenamiento físico separado (normalmente una matriz de discos). ● Las redes de valor agregado (VAN) son un tipo de extranet que permite a las empresas dentro de una industria para compartir información o integrar procesos comerciales compartidos. ● Las redes virtuales de área local (VLAN) segmentan los dominios de transmisión en una LAN, generalmente en grupos lógicos (como departamentos comerciales). Las VLAN se crean en la red interruptores. ● Las redes inalámbricas de área local (WLAN), también conocidas como redes Wi-Fi, utilizan puntos de acceso (AP) para conectar dispositivos inalámbricos a una LAN cableada. ● Las redes inalámbricas de área amplia (WWAN) extienden la cobertura de la red inalámbrica a una gran área, como una región o un país, que normalmente utiliza tecnología celular móvil. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: Internet es un ejemplo de una red de área amplia (WAN). 2. ¿Qué tecnología de red se utiliza para las WAN? A. Ethernet B. anillo simbólico C. línea de abonado digital (DSL) D. FDDI https://translate.googleusercontent.com/translate_f 71/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 3. ¿Qué dispositivo crea un dominio de colisión que incluye todas las interfaces a las que está ¿conectado? Un concentrador B. cambiar C. enrutador D. servidor web 4. ¿Qué requisito debe cumplirse para que un dispositivo cliente utilice un servidor DHCP, asumiendo ¿No hay agentes de retransmisión DHCP? A. estar en el mismo dominio de colisión B. estar en el mismo dominio de transmisión C. tienen una latencia inferior a 20 ms D. tener la misma máscara de subred © 2021 Palo Alto Networks, Inc. 88 Página 89 5. ¿Qué tipo de red es más probable que utilice enlaces punto a punto? A. LAN B. WAN C. SD WAN (solo) D. WAN (solo si no es SD WAN) 2.4 Explicar el propósito del sistema de nombres de dominio (DNS) El Sistema de nombres de dominio (DNS) es una base de datos de Internet jerárquica y distribuida que se asigna completamente nombres de dominio calificados (FQDN) para computadoras, servicios y otros recursos, como un sitio web dirección (también conocida como un localizador uniforme de recursos, o URL) a direcciones IP, similar a cómo un La lista de contactos en un teléfono inteligente asigna los nombres de empresas e individuos a números de teléfono. Si desea crear un nuevo nombre de dominio que será accesible a través de Internet, debe registrarse su nombre de dominio único con un registrador de nombres de dominio , como GoDaddy o Network Soluciones. Este registro es similar a incluir un nuevo número de teléfono en un directorio telefónico. DNS es fundamental para el funcionamiento de Internet. Un servidor de nombres raíz es el servidor de nombres autorizado para una zona raíz DNS. En todo el mundo, 13 root Los servidores de nombres (en realidad, 13 redes que comprenden cientos de servidores de nombres raíz) están configurados. Se denominan a.root-servers.net a través de m.root-servers.net. Los servidores DNS suelen ser configurado con un archivo de sugerencias raíz que contiene los nombres y direcciones IP de los servidores raíz. Términos clave ● Un nombre de dominio completo (FQDN) es el nombre de dominio completo para una computadora específica, servicio o recurso conectado a Internet o una red privada. ● Un registrador de nombres de dominio es una organización acreditada por un dominio de nivel superior (TLD). registro para gestionar los registros de nombres de dominio. ● Un dominio de nivel superior (TLD) es el dominio de nivel más alto en DNS, representado por la última parte de un FQDN (por ejemplo, .com y .edu). Los TLD más utilizados son genéricos de nivel superior. dominios (gTLD) (como .com, edu, .net y .org) y dominios de nivel superior con código de país (ccTLD) (como .ca y .us). ● Un servidor DNS autorizado es el sistema de registro de un dominio determinado. Un host (como un navegador web en una computadora de escritorio) en una red que necesita conectarse a otro host (como un servidor web en Internet) primero debe traducir el nombre del destino host de su URL a una dirección IP. El host de conexión (el cliente DNS) envía una solicitud de DNS a la dirección IP del servidor DNS que se especifica en la configuración de red del cliente DNS. Si el servidor DNS tiene autoridad para el dominio de destino, el servidor DNS resuelve la IP dirección del host de destino y responde a la solicitud de DNS del cliente DNS. Por ejemplo, está intentando conectarse a un servidor de intranet en su red interna desde el escritorio computadora en su oficina. Si la dirección del servidor DNS que está configurada en su computadora es una servidor DNS interno que tiene autoridad para su dominio de intranet, el servidor DNS resuelve la IP dirección del servidor de intranet. Su computadora luego encapsula la IP de destino resuelta dirección en el Protocolo de transferencia de hipertexto (HTTP) o Protocolo de transferencia de hipertexto Seguro (HTTPS) solicita paquetes que se envían al servidor de la intranet. https://translate.googleusercontent.com/translate_f 72/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 89 Página 90 Si un servidor DNS no tiene autoridad para el dominio de destino (por ejemplo, un sitio web de Internet dirección), el servidor DNS realiza una consulta recursiva (si está configurado para realizar consultas) para obtener la dirección IP del servidor DNS autorizado y luego envía el DNS original solicitud al servidor DNS autorizado. Este proceso es un proceso descendente en el que el DNS El servidor primero consulta su archivo de sugerencias raíz y consulta a un servidor de nombres raíz para identificar la autoridad Servidor DNS para el dominio de nivel superior (TLD; por ejemplo, .com) asociado con la consulta DNS. El servidor DNS luego consulta al servidor TLD para identificar el servidor autorizado para el dominio que se está consultando (por ejemplo, paloaltonetworks.com). Este proceso continúa hasta se identifica y consulta el servidor autorizado para el FQDN. El servidor DNS recursivo entonces responde la solicitud del cliente DNS original con la información de DNS del DNS autorizado servidor. DNS sobre HTTPS (DoH) es una implementación más segura del protocolo DNS que usa HTTPS para cifrar datos entre el cliente DNS y la resolución de DNS. Los tipos de registros DNS básicos son los siguientes: ● A (IPv4) o AAAA (IPv6) (Dirección): asigna un dominio o subdominio a una dirección IP o múltiples direcciones IP ● CNAME (nombre canónico): asigna un dominio o subdominio a otro nombre de host ● MX (Intercambiador de correo): especifica el nombre de host o los nombres de host de los servidores de correo electrónico para un dominio ● PTR (puntero): apunta a un CNAME; de uso común para búsquedas de DNS inversas que mapean una dirección IP a un host en un dominio o subdominio ● SOA (inicio de autoridad): especifica información autorizada sobre una zona DNS, como servidor de nombre principal, dirección de correo electrónico del administrador del dominio y número de serie del dominio número ● NS (servidor de nombres): el registro NS especifica un servidor de nombres autorizado para un host determinado. ● TXT (texto): almacena información basada en texto Términos clave ● Una intranet es una red privada que proporciona información y recursos, como una empresa. directorio, políticas y formularios de recursos humanos, archivos de departamento o equipo, y otros información a los usuarios de una organización. Al igual que Internet, una intranet utiliza HTTP y / o Protocolos HTTPS, pero el acceso a una intranet normalmente está restringido a los usuarios. Microsoft SharePoint es un ejemplo popular de software de intranet. ● El Protocolo de transferencia de hipertexto (HTTP) es un protocolo de aplicación que se utiliza para transferir datos entre servidores web y navegadores web. ● El Protocolo de transferencia de hipertexto seguro (HTTPS) es una versión segura de HTTP que utiliza Secure Encriptación de capa de sockets (SSL) o seguridad de la capa de transporte (TLS). ● Se realiza una consulta DNS recursiva (si el servidor DNS permite consultas recursivas) cuando un DNS el servidor no tiene autoridad para un dominio de destino. El servidor DNS no autorizado obtiene la dirección IP del servidor DNS autorizado para el dominio de destino y envía el original Solicitud de DNS a ese servidor para ser resuelta. © 2021 Palo Alto Networks, Inc. 90 Página 91 ● DNS sobre HTTPS (DOH) utiliza el protocolo HTTPS para cifrar el tráfico DNS. Verificación de conocimientos https://translate.googleusercontent.com/translate_f 73/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv4 de un host? A. A B. AAAA C. PTR D. MX 2. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv6 de un host? A. A B. AAAA C. PTR D. MX 3. Un sitio web se llama www.amazing.co.uk. ¿Qué significa eso? R. El sitio web está alojado en el Reino Unido por una empresa llamada Amazing. B. El sitio web se puede alojar en cualquier lugar, pero la empresa debe estar ubicada en los Estados Unidos. Reino. C. El sitio web se puede alojar en cualquier lugar y la empresa decidió parecer británica. D. La empresa decidió parecer británica y el sitio web está alojado en los Estados Unidos. Reino. 2.5 Identificar categorías de Internet de las cosas (IoT) En 2019, había casi 27 mil millones de dispositivos activos de Internet de las cosas (IoT) en todo el mundo, incluidos máquina a máquina (M2M), IoT de área amplia, IoT de corto alcance, IoT masivo y crítico, y dispositivos de computación de borde de acceso múltiple (MEC) (fuente: https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020). Términos clave ● Los dispositivos de máquina a máquina (M2M) son dispositivos en red que intercambian datos y pueden realizar acciones sin interacción humana manual. ● La informática de borde de acceso múltiple (MEC) está definida por la European Telecommunications Standards Institute (ETSI) como un entorno “caracterizado por una latencia ultrabaja y alta ancho de banda, así como acceso en tiempo real a la información de la red de radio que puede ser aprovechado por aplicaciones ". © 2021 Palo Alto Networks, Inc. 91 Página 92 Las tecnologías de conectividad de IoT se clasifican en términos generales de la siguiente manera: ● Celular: ▪ 2G / 2.5G: la conectividad 2G sigue siendo una opción de conectividad de IoT prevalente y viable debido a el bajo costo de los módulos 2G, la duración relativamente larga de la batería y la gran base instalada de 2G sensores y aplicaciones M2M. ▪ 3G: los dispositivos IoT con módulos 3G utilizan el acceso múltiple por división de código de banda ancha (W-CDMA) o acceso evolucionado a paquetes de alta velocidad (HSPA + y HSPA + avanzado) para Logre tasas de transferencia de datos de 384 Kbps a 168 Mbps. ▪ 4G / Evolución a largo plazo (LTE): las redes 4G / LTE permiten casos de uso de IoT en tiempo real, como los vehículos autónomos, con 4G LTE Advanced Pro que ofrece velocidades superiores a 3Gbps y menos de 2 milisegundos de latencia. ▪ 5G. La tecnología celular 5G proporciona mejoras significativas en comparación con 4G / LTE redes y está respaldado por latencia ultrabaja, conectividad masiva y escalabilidad para IoT dispositivos, uso más eficiente del espectro con licencia y corte de red para aplicaciones priorización del tráfico. https://translate.googleusercontent.com/translate_f 74/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Satélite: ▪ Banda C : el satélite de banda C opera en el rango de 4 a 8 gigahercios (GHz). Se usa en algunos Dispositivos Wi-Fi y teléfonos inalámbricos, y en sistemas de vigilancia y radares meteorológicos. ▪ Banda L : el satélite de banda L opera en el rango de 1 a 2 GHz. Se usa comúnmente para radar, sistemas de posicionamiento global (GPS), aplicaciones de radio y telecomunicaciones. ● Inalámbrico de corto alcance: ▪ Adaptive Network Technology + (ANT +): ANT + es una tecnología inalámbrica de multidifusión patentada tecnología de red de sensores utilizada principalmente en dispositivos portátiles personales, como deportes y Sensores de fitness. ▪ Bluetooth / Bluetooth de baja energía (BLE): Bluetooth es un dispositivo de corto alcance y bajo consumo. tecnología de comunicaciones diseñada principalmente para comunicaciones punto a punto entre dispositivos inalámbricos en una topología de concentrador y radio. BLE (también conocido como Bluetooth Los dispositivos inteligentes o Bluetooth 4.0+) consumen mucha menos energía que Bluetooth dispositivos y puede acceder a Internet directamente a través de la conectividad 6LoWPAN. ▪ Protocolo de Internet versión 6 (IPv6) sobre un área personal inalámbrica de bajo consumo Redes (6LoWPAN): 6LoWPAN permite que el tráfico IPv6 se transmita a través de redes de malla inalámbricas. 6LoWPAN está diseñado para nodos y aplicaciones que requieren Conectividad inalámbrica a Internet a velocidades de datos relativamente bajas en factores de forma pequeños, como bombillas inteligentes y medidores inteligentes. © 2021 Palo Alto Networks, Inc. 92 Página 93 ▪ Wi-Fi / 802.11: El Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) define el Estándares de protocolo LAN 802. 802.11 es el conjunto de estándares utilizados para las redes Wi-Fi. normalmente opera en las bandas de frecuencia de 2,4 GHz y 5 GHz. Los más comunes las implementaciones actuales incluyen: - 802.11n (etiquetado como Wi-Fi 4 por Wi-Fi Alliance), que funciona tanto en 2,4 GHz y bandas de 5GHz en rangos de 54Mbps a 600Mbps - 802.11ac (Wi-Fi 5), que opera en la banda de 5 GHz en rangos de 433 Mbps a 3,46 Gbps - 802.11ax (Wi-Fi 6), que funciona en las bandas de 2,4 GHz y 5 GHz (y todas bandas entre 1 y 6 GHz, cuando estén disponibles para el uso de 802.11) en rangos de hasta 11 Gbps ▪ Z-Wave: Z-Wave es un protocolo de red de malla inalámbrica de baja energía que se utiliza principalmente para Aplicaciones de domótica como electrodomésticos inteligentes, control de iluminación, seguridad. sistemas, termostatos inteligentes, ventanas y cerraduras y puertas de garaje. ▪ Zigbee / 802.14: Zigbee es un protocolo de red de malla inalámbrica de bajo costo y bajo consumo en el estándar IEEE 802.15.4. Zigbee es el protocolo dominante en el bajo consumo mercado de redes, con una gran base instalada en entornos industriales y hogares inteligentes productos. ● WAN de bajo consumo (LP-WAN) y otras WAN inalámbricas (WWAN): ▪ IoT de banda estrecha (NB-IoT): NB-IoT ofrece bajo costo, batería de larga duración y alta densidad de conexión para aplicaciones de interior. Utiliza un subconjunto del estándar LTE en el 200 rango de kilohercios (kHz). ▪ LoRa: LoRa Alliance está impulsando la red de área amplia de largo alcance (LoRaWAN) Protocolo como el estándar global abierto para áreas amplias de baja potencia de IoT de grado de operador seguro (LPWA), principalmente para redes públicas a gran escala con un solo operador. ▪ Sigfox: Sigfox proporciona conectividad LPWA celular global basada en suscripción para IoT dispositivos. La red Sigfox se basa en la modulación de banda ultra estrecha (UNB) y opera https://translate.googleusercontent.com/translate_f 75/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS en bandas de frecuencia sub-GHz sin licencia. ▪ Interoperabilidad mundial para acceso por microondas (WiMAX): WiMAX es una familia de Estándares de comunicaciones de banda ancha inalámbrica basados en los estándares IEEE 802.16. Las aplicaciones WiMAX incluyen conectividad de banda ancha móvil portátil, redes inteligentes y medición y conmutación por error de Internet para la continuidad del negocio. © 2021 Palo Alto Networks, Inc. 93 Página 94 Identity of Things (IDoT) se refiere a las soluciones de gestión de acceso e identidad (IAM) para IoT. Estas soluciones deben poder administrar persona a dispositivo, dispositivo a dispositivo y / o dispositivo al servicio / sistema IAM por: ● Establecimiento de un sistema de nombres para dispositivos IoT. ● Determinar un ciclo de vida de identidad para los dispositivos de IoT, asegurando que se pueda modificar para cumplir con la vida útil proyectada de los dispositivos de IoT ● Crear un proceso bien definido para registrar dispositivos IoT. El tipo de datos que El dispositivo estará transmitiendo y recibiendo debe dar forma al proceso de registro. ● Definición de salvaguardas de seguridad para flujos de datos desde dispositivos de IoT. ● Describir procesos de autorización y autenticación bien definidos para el acceso local de administrador. a los dispositivos conectados ● Crear salvaguardas para proteger diferentes tipos de datos, asegurándose de crear privacidad. salvaguardas para la información de identificación personal (PII) Aunque IoT presenta nuevos enfoques y servicios innovadores en todas las industrias, también presenta nuevos riesgos de ciberseguridad. Según una investigación realizada por la Unidad 42 de Palo Alto Networks equipo de inteligencia de amenazas, la postura de seguridad general de los dispositivos de IoT está disminuyendo, dejando organizaciones vulnerables al nuevo malware dirigido a IoT y a técnicas de ataque más antiguas que los equipos de TI Lo he olvidado durante mucho tiempo. Los hallazgos clave incluyen: ● Los dispositivos de IoT no están cifrados ni seguros: el 98% de todos los dispositivos de IoT. el tráfico no está encriptado, exponiendo así datos personales y confidenciales en la red. Los atacantes que han superado con éxito la primera línea de defensa (con mayor frecuencia a través de ataques de phishing) y el C2 establecido puede escuchar el tráfico de red no cifrado, recopilar información personal o confidencial, y luego explotar esos datos con fines de lucro en la web oscura. El cincuenta y siete por ciento de los dispositivos de IoT son vulnerables a ataques de gravedad media o alta, lo que convierte a IoT en la “fruta madura” para los atacantes. Debido al parche generalmente bajo nivel de activos de IoT, los ataques más frecuentes son exploits a través de vulnerabilidades conocidas desde hace mucho tiempo. y ataques de contraseña utilizando contraseñas de dispositivo predeterminadas. ● Los dispositivos de Internet de las cosas médicas (IoMT) están ejecutando software obsoleto: en 2019, El 83 por ciento de los dispositivos de imágenes médicas se ejecutan en sistemas operativos no compatibles, lo cual es un Aumento del 56 por ciento con respecto a 2018, como resultado de que el sistema operativo Windows 7 alcanzó su fin de la vida. Este declive general en la postura de seguridad presenta oportunidades para nuevos ataques, como el cryptojacking (que aumentó del 0 por ciento en 2017 al 5 por ciento en 2019) y trae de vuelta ataques olvidados como Conficker, cuyos entornos de TI previamente había sido inmune durante mucho tiempo. Los dispositivos de IoMT con más problemas de seguridad son los sistemas de imágenes, que representan un parte fundamental del flujo de trabajo clínico. Para las organizaciones sanitarias, el 51 por ciento de las amenazas Involucrar dispositivos de imágenes, interrumpir la calidad de la atención y permitir que los atacantes se filtren datos del paciente almacenados en estos dispositivos. ● Las organizaciones de atención médica muestran una higiene deficiente de la seguridad de la red: setenta y dos por ciento de las VLAN de atención médica combinan activos de TI y de IoT, lo que permite que el malware se propague desde https://translate.googleusercontent.com/translate_f 76/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS computadoras de los usuarios a dispositivos IoT vulnerables en la misma red. Hay un 41 por ciento tasa de ataques que explotan las vulnerabilidades de los dispositivos, a medida que los ataques transmitidos por TI escanean dispositivos conectados a la red en un intento de aprovechar las debilidades conocidas. Estamos viendo un © 2021 Palo Alto Networks, Inc. 94 Página 95 pasar de las redes de bots de IoT que realizan ataques de denegación de servicio a ataques más sofisticados apuntar a identidades de pacientes, datos corporativos y ganancias monetarias a través de ransomware. ● Los ciberataques centrados en IoT tienen como objetivo protocolos heredados: hay una evolución de amenazas dirigidas a dispositivos de IoT utilizando nuevas técnicas, como peer-to-peer C2 comunicaciones y características parecidas a gusanos para la autopropagación. Los atacantes reconocen vulnerabilidad de protocolos de tecnología operativa heredada (OT) de décadas de antigüedad, como Comunicaciones e imágenes digitales en medicina (DICOM) y puede interrumpir funciones comerciales en la organización. Zingbox IoT Guardian es una oferta de seguridad de IoT de Palo Alto Networks que automatiza la orquestación del ciclo de vida de IoT para proporcionar seguridad, gestión y optimización de todos los activos. Zingbox IoT Guardian utiliza un enfoque único basado en la personalidad de IoT para proteger y administrar los dispositivos de IoT con seguridad de IoT integrada basada en el aprendizaje automático a lo largo de todos sus ciclos de vida, desde el descubrimiento hasta la jubilación. Permite a los clientes automatizar la detección de amenazas y la respuesta para su TI e IoT. infraestructuras de un solo sistema. Referencias: Maya, Gilad David. "El resumen de IoT para 2020: estadísticas, riesgos y soluciones". Seguridad hoy. 13 de enero de 2020. https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué dispositivos es M2M (máquina a máquina)? A. TV conectada a Internet B. alarma de casa que llama a la policía para responder C. GPS para coche D. sensor de temperatura conectado a un sistema de extinción de incendios 2. Los sensores para un campo cultivado deben informar los resultados una vez al día. Estos sensores son alimentado por baterías que necesitan durar años. ¿Qué forma de conectividad utilizas? A. Bluetooth B. Wi-Fi C. LoRaWAN D. Banda C satelital 3. ¿Qué dos ventajas hacen que 2G sea una opción popular para los dispositivos IoT celulares? (Escoge dos.) A. baja latencia B. latencia alta C. bajo costo de hardware D. ancho de banda alto E. bajo consumo de energía 4. ¿Por qué los dispositivos de IoT son a menudo inseguros? A. desarrollo apresurado B. ciclos prolongados de liberación y parche C. tiempo insuficiente para garantizar la calidad D. bajo presupuesto de desarrollo © 2021 Palo Alto Networks, Inc. 95 Página 96 2.6 Revisar la estructura de una dirección IPv4 / IPv6 https://translate.googleusercontent.com/translate_f 77/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS El direccionamiento físico, lógico y virtual en redes informáticas requiere una comprensión básica de numeración decimal (base10), binaria (base2) y hexadecimal (base16) (consulte la Tabla 2-1). El sistema de numeración decimal (base10) comprende los números del 0 al 9. Los seres humanos usan el sistema de numeración decimal porque tenemos diez dedos, por lo que un sistema de numeración de base10 es más fácil para que los humanos lo entiendan. Decimal Hexadecim Alabama Binario 0 0 0000 1 1 0001 2 2 0010 3 3 0011 4 4 0100 5 5 0101 6 6 0110 7 7 0111 8 8 1000 9 9 1001 10 A 1010 11 B 1011 12 C 1100 13 D 1101 14 mi 1110 15 F 1111 Tabla 2-1: Notación decimal, hexadecimal y binaria Un sistema de numeración binario (base2) consta de solo dos dígitos: 1 ("encendido") y 0 ("apagado"). Binario La numeración se usa en computadoras y redes porque usan transistores eléctricos (en lugar de que los dedos) para contar. La función básica de un transistor es una puerta: cuando la corriente eléctrica es presente, la puerta está cerrada (“1” o “encendida”). Cuando no hay corriente eléctrica, la puerta está abierta ("0" o "desactivado"). Con solo dos dígitos, un sistema de numeración binario aumenta a la siguiente posición con más frecuencia que un sistema de numeración decimal. Por ejemplo, el número decimal uno es representado en binario como "1", el número dos se representa como "10", el número tres se representa como "11" y el número cuatro se representa como "100". Un sistema de numeración hexadecimal (base16) consta de 16 dígitos (del 0 al 9 y de la A a la F). Se utiliza la numeración hexadecimal porque es más conveniente representar un byte (que consiste en de 8 bits) de datos como dos dígitos en hexadecimal, en lugar de ocho dígitos en binario. El decimal los números del 0 al 9 se representan como en hexadecimal "0" a "9", respectivamente. Sin embargo, © 2021 Palo Alto Networks, Inc. 96 Página 97 el número decimal 10 se representa en hexadecimal como "A", el número 11 se representa como "B", el número 12 se representa como "C", el número 13 se representa como "D", el número 14 es representado como "E", y el número 15 se representa como "F" El número 16 luego se incrementa a la siguiente posición numérica, representada como "10" La dirección física de un dispositivo de red, conocida como dirección de control de acceso a medios (MAC) (también denominada dirección incorporada [BIA] o dirección de hardware), se utiliza para reenviar el tráfico en un segmento de red local. La dirección MAC es un identificador único de 48 bits asignado a la red. adaptador de un dispositivo. Si un dispositivo tiene varias NIC, cada NIC debe tener una dirección MAC única. La dirección MAC generalmente la asigna el fabricante del dispositivo y se almacena en el dispositivo. memoria de solo lectura (ROM) o firmware. Las direcciones MAC normalmente se expresan en hexadecimal. formato con dos puntos o guion que separan cada sección de 8 bits. Un ejemplo de una dirección MAC de 48 bits es: https://translate.googleusercontent.com/translate_f 78/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● 00: 40: 96: 9d: 68: 16 La dirección lógica de un dispositivo de red, como una dirección IP, se utiliza para enrutar el tráfico desde una red a otra. Una dirección IP es una única de 32 bits o 128 bits (IPv4 e IPv6, respectivamente) dirección asignada a la NIC de un dispositivo. Si un dispositivo tiene varias NIC, cada NIC puede asignada una dirección IP única, o varias NIC pueden tener asignada una dirección IP virtual para habilitar capacidades de agregación de ancho de banda o conmutación por error. Las direcciones IP son estáticas o dinámicamente (la mayoría comúnmente usando el Protocolo de configuración dinámica de host , o DHCP) asignado, generalmente por un administrador de red o proveedor de servicios de red (NSP). Las direcciones IPv4 generalmente se expresan en notación decimal con puntos con un punto que separa cada sección decimal (conocida como octeto ). Un ejemplo de una dirección IPv4 es: ● 192.168.0.1 Las direcciones IPv6 normalmente se expresan en formato hexadecimal (32 números hexadecimales agrupados en ocho bloques) con dos puntos que separan cada bloque de cuatro dígitos hexadecimales (conocido como hexteto ). Un ejemplo de una dirección IPv6 es: ● 2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a El direccionamiento IPv4 e IPv6 se explica más adelante. El Protocolo de resolución de direcciones (ARP) traduce una dirección lógica, como una dirección IP, a una dirección MAC física. El Protocolo de resolución de dirección inversa (RARP) traduce una MAC física dirección a una dirección lógica. © 2021 Palo Alto Networks, Inc. 97 Página 98 Términos clave ● Una dirección de control de acceso a medios (MAC) es un identificador único de 48 o 64 bits asignado a un tarjeta de interfaz de red (NIC) para comunicaciones en la capa de enlace de datos del modelo OSI. ● El Protocolo de configuración dinámica de host (DHCP) es un protocolo de administración de red que asigna dinámicamente (arrendamiento) direcciones IP y otros parámetros de configuración de red (como puerta de enlace predeterminada e información de DNS) a los dispositivos de una red. ● Una puerta de enlace predeterminada es un dispositivo de red, como un enrutador o un conmutador, al que un punto final envía tráfico de red cuando una aplicación o una aplicación no especifica una dirección IP de destino específica servicio, o cuando el punto final no sabe cómo llegar a un destino específico. ● Un octeto es un grupo de 8 bits en una dirección IPv4 de 32 bits. ● Un hexteto es un grupo de cuatro dígitos hexadecimales de 4 bits en una dirección IPv6 de 128 bits. ● El Protocolo de resolución de direcciones (ARP) traduce una dirección lógica, como una dirección IP, a una dirección MAC física. El Protocolo de resolución de dirección inversa (RARP) traduce un Dirección MAC a una dirección lógica. DHCP es un protocolo de gestión de red que se utiliza para asignar direcciones IP a los dispositivos de forma dinámica. que no tienen una dirección IP asignada estáticamente (configurada manualmente) en una red TCP / IP. Bootstrap Protocol (BOOTP) es un protocolo de administración de red similar que se usa comúnmente en redes Unix y Linux TCP / IP. Cuando un dispositivo conectado a la red que no tiene La dirección IP asignada estáticamente está encendida, el software cliente DHCP en el dispositivo transmite un mensaje DHCPDISCOVER en el puerto UDP 67. Cuando un servidor DHCP en la misma subred (o un subred diferente si se configura un DHCP Helper o DHCP Relay Agent) cuando el cliente recibe la Mensaje DHCPDISCOVER, reserva una dirección IP para el cliente y envía un DHCPOFFER mensaje al cliente en el puerto UDP 68. El mensaje DHCPOFFER contiene la dirección MAC de el cliente, la dirección IP que se ofrece, la máscara de subred, la duración de la concesión y la IP dirección del servidor DHCP que realizó la oferta. Cuando el cliente recibe DHCPOFFER, https://translate.googleusercontent.com/translate_f 79/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS transmite un DHCPREQUEST en elDHCPOFFER puerto UDP 67, la dirección Ofrecido. Unmensaje cliente puede recibir mensajes de solicitando varios servidores DHCPIPenque unasesubred pero solo puede aceptar una oferta. Cuando se transmite el mensaje DHCPREQUEST, el otro DHCP servidores que enviaron una oferta que no fue solicitada (en efecto, aceptada) en el DHCPREQUEST mensaje retirará sus ofertas. Finalmente, cuando el servidor DHCP correcto recibe la Mensaje DHCPREQUEST, envía un mensaje DHCPACK (reconocimiento) en el puerto UDP 68, y se completa el proceso de configuración de IP (consulte la Figura 2-1). © 2021 Palo Alto Networks, Inc. 98 Página 99 Figura 2-1: Funcionamiento DHCP La traducción de direcciones de red (NAT) virtualiza las direcciones IP al mapear una IP privada no enrutable direcciones que se asignan a dispositivos de red internos a direcciones IP públicas cuando Se requiere comunicación a través de Internet. NAT comúnmente se implementa en firewalls y enrutadores para conservar direcciones IP públicas. Los paquetes de datos se enrutan a través de un Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) red utilizando información de direccionamiento IP. IPv4, que es la versión de IP más implementada, consta de una dirección IP lógica de 32 bits. Los primeros cuatro bits de un octeto se conocen como orden superior bits el primer bit del octeto se denomina bit más significativo . Los últimos cuatro bits de un octeto se conocen como bits de orden inferior; el último bit del octeto se denomina bit menos significativo . Términos clave ● La traducción de direcciones de red (NAT) virtualiza las direcciones IP mediante la asignación de direcciones privadas, no enrutables. https://translate.googleusercontent.com/translate_f 80/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Direcciones IP asignadas a dispositivos de red internos a direcciones IP públicas. ● Los primeros cuatro bits de un octeto de dirección IPv4 de 32 bits se denominan bits de orden superior . ● Los últimos cuatro bits de un octeto de dirección IPv4 de 32 bits se denominan bits de orden inferior. ● El primer bit de un octeto de dirección IPv4 de 32 bits se denomina bit más significativo . ● El último bit de un octeto de dirección IPv4 de 32 bits se denomina bit menos significativo . © 2021 Palo Alto Networks, Inc. 99 Página 100 Como se muestra en la Tabla 2-2, cada posición de bit representa su valor si el bit está "activado" (1); de lo contrario, el el valor del bit es cero ("desactivado" o 0). Bits de orden superior 128 64 32 Bits de bajo orden dieciséis 8 4 2 1 Tabla 2-2: Valores de posición de bit en una dirección IPv4 Cada octeto contiene un número de 8 bits con un valor de 0 a 255. La Tabla 2-3 muestra una lista parcial de valores de octetos en notación binaria. Decima l Decimal binario Binario Decim Binario Alabama 255 1111 1111 172 1010 1100 64 0100 0000 254 1111 1110 170 1010 1010 32 0010 0000 253 1111 1101 160 1010 0000 dieciséis 0001 0000 252 1111 1100 150 1001 0110 8 0000 1000 251 1111 1011 140 1000 1100 7 0000 0111 250 1111 1010 130 1000 0010 6 0000 0110 249 1111 1001 128 1000 0000 5 0000 0101 248 1111 1000 120 0111 1000 4 0000 0100 224 1110 0000 110 0110 1110 3 0000 0011 200 1100 1000 100 0110 0100 2 0000 0010 192 1100 0000 96 0110 0000 1 0000 0001 180 1011 0100 90 0101 1010 0 0000 0000 Tabla 2-3: Notación binaria de valores de octetos © 2021 Palo Alto Networks, Inc. 100 Página 101 https://translate.googleusercontent.com/translate_f 81/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Las cinco clases de direcciones IPv4 (indicadas por los bits de orden superior) se muestran en la Tabla 2-4. Clas s A B Propósito Alto orden Bits Grandes redes Talla mediana Rango de direcciones Max. # de Hospedadores 0 1 hasta 126 16.777.214 10 128 hasta 191 65.534 110 192 hasta 223 254 1110 224 al 239 ─ 1111 240 hasta 254 ─ redes C D mi Pequeñas redes Multidifusión Experimental Tabla 2-4: Clases de direcciones IP El rango de direcciones 127.0.0.1 a 127.255.255.255 es una red de bucle invertido utilizada para pruebas y solución de problemas. Los paquetes enviados a una dirección de loopback (o localhost) como 127.0.0.1 son inmediatamente enrutado de regreso al dispositivo fuente. Una máscara de subred es un número que oculta la porción de red de una dirección IPv4, dejando solo el porción de host de la dirección IP. La porción de red de una máscara de subred está representada por bits contiguos "on" (1) que comienzan con el bit más significativo. Por ejemplo, en la máscara de subred 255.255.255.0, los primeros tres octetos representan la porción de red y el último octeto representa el porción de host de una dirección IP. Recuerde que el número decimal 255 se representa en binario. notación como 1111 1111 (ver Tabla 2-2). Términos clave ● Una máscara de subred es un número que oculta la parte de red de una dirección IPv4, dejando solo el porción de host de la dirección IP. Las máscaras de subred predeterminadas (o estándar) para las redes de Clase A, B y C son: ● Clase A: 255.0.0.0 ● Clase B: 255.255.0.0 ● Clase C: 255.255.255.0 Varios rangos de direcciones IPv4 están reservados para su uso en redes privadas y no se pueden enrutar en el Internet, que incluye: ● 10.0.0.0–10.255.255.255 (Clase A) ● 172.16.0.0–172.31.255.255 (Clase B) ● 192.168.0.0–192.168.255.255 (Clase C) © 2021 Palo Alto Networks, Inc. 101 Página 102 El espacio de direcciones de 32 bits de una dirección IPv4 limita el número total de direcciones IP públicas únicas a alrededor de 4,3 mil millones. El uso generalizado de NAT retrasó el inevitable agotamiento de IPv4 direcciones, pero, a partir de 2018, el grupo de direcciones IPv4 disponibles que se pueden asignar a las organizaciones están oficialmente agotadas. (Cada uno ha reservado un pequeño grupo de direcciones IPv4 registro regional de Internet para facilitar la transición a IPv6.) Direcciones IPv6, que utilizan un espacio de direcciones hexadecimal que proporciona aproximadamente 3.4 x 10 38 (340 cientos de undecillion) IP única direcciones, se creó para reemplazar IPv4 cuando se agotó el espacio de direcciones IPv4. Las direcciones IPv6 constan de 32 números hexadecimales agrupados en ocho hextetos de cuatro dígitos hexadecimales, separados por dos puntos. Un dígito hexadecimal está representado por 4 bits (consulte la Tabla 2-1), por lo que cada hexteto es de 16 bits (cuatro dígitos hexadecimales de 4 bits) y ocho hextetos de 16 bits equivalen a 128 bits. https://translate.googleusercontent.com/translate_f 82/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Una dirección IPv6 se divide a su vez en dos segmentos de 64 bits: el primero (también conocido como "Superior" o "superior") 64 bits representan la parte de red de la dirección, y el último (también denominado como "inferior" o "inferior") 64 bits representan el nodo o la parte de interfaz de la dirección. El La parte de la red se subdivide en una dirección de red global de 48 bits y una subred de 16 bits. El nodo o interfaz parte de la dirección se basa en la dirección MAC del nodo o interfaz. El formato básico para una dirección IPv6 es: ● xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx donde x representa un dígito hexadecimal (0 – f). Este es un ejemplo de una dirección IPv6: ● 2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a El Grupo de trabajo de ingeniería de Internet (IETF) ha definido varias reglas para simplificar un IPv6 habla a: ● Se pueden omitir los ceros iniciales en un hexteto individual, pero cada hexteto debe tener al menos un dígito hexadecimal, excepto como se indica en la siguiente regla. Aplicación de esta regla a la El ejemplo anterior produce este resultado: 2001: db8: 0: 0: 8: 800: 200c: 417a. ● Se pueden usar dos dos puntos (: :) para representar uno o más grupos de 16 bits de ceros, y ceros iniciales o finales en una dirección; los dos dos puntos (: :) pueden aparecer solo una vez en una Dirección IPv6. La aplicación de esta regla al ejemplo anterior produce este resultado: 2001: db8 :: 8: 800: 200c: 417a. ● En entornos mixtos de IPv4 e IPv6, se puede utilizar el formato x: x: x: x: x; x: dddd, en el que x representa los seis hextetos de 16 bits de alto orden de la dirección yd representa los cuatro Ordene los octetos de 8 bits (en notación estándar IPv4) de la dirección. Por ejemplo, 0db8: 0: 0: 0: 0: FFFF: 129.144.52.38 es una dirección IPv6 válida. Aplicación de la anterior dos reglas para este ejemplo producen este resultado: db8 :: ffff: 129.144.52.38. Las funciones de seguridad de IPv6 se especifican en Solicitud de comentarios (RFC) 7112 e incluyen técnicas para prevenir vulnerabilidades de fragmentación en encabezados IPv6 e implementación de Internet Protocolo de seguridad (IPsec) en la capa de red del modelo OSI. © 2021 Palo Alto Networks, Inc. 102 Página 103 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué opción es un ejemplo de dirección lógica? A. PI B. hardware C. MAC D. quemado 2. ¿Cuántos bytes hay en una dirección IPv6? A. 4 B. 8 C. 16 D. 32 3. ¿Qué dos componentes están en una dirección IPv4? (Escoge dos.) Una red B. dirección MAC C. anfitrión D. tipo de dispositivo E. número de ruta 4. ¿En qué dos escenarios la traducción de direcciones de red (NAT) reduce el número de direcciones IP necesarias? (Escoge dos.) A. los dispositivos son clientes, NAT dinámica que los esconde detrás de una única IP B. los dispositivos son servidores, NAT dinámica para el equilibrio de carga que los hace parecer un dispositivo único https://translate.googleusercontent.com/translate_f 83/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS C. los dispositivos son clientes, NAT estática para permitirles compartir una dirección IP D. los dispositivos son servidores, NAT estática para permitirles compartir una dirección IP 5. ¿Cómo traduce ARP las direcciones lógicas? A. Direcciones lógicas IPv6 a IPv4 B. Direcciones lógicas IPv4 a IPv6 C. IPv4 a direcciones MAC D. IPv6 a direcciones MAC 6. ¿Cuál es el propósito del NDP? A. Direcciones lógicas IPv6 a IPv4 B. Direcciones lógicas IPv4 a IPv6 C. IPv4 a direcciones MAC D. IPv6 a direcciones MAC © 2021 Palo Alto Networks, Inc. 103 Página 104 2.7 Describir el propósito de la división en subredes IPv4 La división en subredes es una técnica que se utiliza para dividir una red grande en subredes múltiples más pequeñas por segmentar una dirección IP en dos partes: la red y el host. La división en subredes se puede utilizar para Limitar el tráfico de red o limitar la cantidad de dispositivos que son visibles o pueden conectarse a cada otro. Los enrutadores examinan las direcciones IP y los valores de subred (llamados máscaras) y determinan si deben reenviar paquetes entre redes. Con el direccionamiento IP, la máscara de subred es un elemento obligatorio. Términos clave ● La división en subredes es una técnica que se utiliza para dividir una red grande en subredes más pequeñas. Para una dirección IPv4 de Clase C, hay 254 direcciones de nodo (o host) posibles (2 8 o 256 direcciones, pero pierde dos direcciones para cada red: una para la dirección de red base y la otro para la dirección de transmisión). Una red de clase C típica utiliza una máscara de subred predeterminada de 24 bits (255.255.255.0). Este valor de máscara de subred identifica la porción de red de una dirección IPv4, con los primeros tres octetos son todos unos (11111111 en notación binaria, 255 en notación decimal). El máscara muestra el último octeto como cero (00000000 en notación binaria). Para una dirección IPv4 de clase C con la máscara de subred predeterminada, el último octeto es donde los valores específicos del nodo de la dirección IPv4 son asignados. Por ejemplo, en una red con una dirección IPv4 de 192.168.1.0 y un valor de máscara de 255.255.255.0, la porción de red de la dirección es 192.168.1 y 254 direcciones de nodo (192.168.1.1 a 192.168.1.254) están disponibles. Recuerde, la primera dirección (192.168.1.0) es la red base y la última dirección (192.168.1.255) es la dirección de transmisión. Las direcciones IPv4 de Clase A y Clase B utilizan valores de máscara más pequeños y admiten un mayor número de nodos que las direcciones IPv4 de Clase C para sus asignaciones de direcciones predeterminadas. Las redes de clase A utilizan un máscara de subred predeterminada de 8 bits (255.0.0.0), que proporciona un total de más de 16 millones (256 x 256 x 256) direcciones de nodo IPv4 disponibles. Las redes de clase B utilizan una subred predeterminada de 16 bits (255.255.0.0) máscara, que proporciona un total de 65.534 (256 x 256, menos la dirección de red y la transmisión dirección) direcciones de nodo IPv4 disponibles. A diferencia de la división en subredes, que divide una dirección IPv4 en una dirección arbitraria (predeterminada) de 8 bits con clase. límite (8 bits para una red de clase A, 16 bits para una red de clase B, 24 bits para una red de clase C red), el enrutamiento entre dominios sin clases (CIDR) asigna espacio de direcciones en cualquier bit de dirección límite (conocido como enmascaramiento de subred de longitud variable o VLSM). Por ejemplo, usando CIDR, un https://translate.googleusercontent.com/translate_f 84/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A la red de clase A se le puede asignar una máscara de 24 bits (255.255.255.0, en lugar del predeterminado de 8 bits 255.0.0.0) para limitar la subred a solo 254 direcciones, o una máscara de 23 bits (255.255.254.0) para limite la subred a 512 direcciones. © 2021 Palo Alto Networks, Inc. 104 Página 105 CIDR se utiliza para reducir el tamaño de las tablas de enrutamiento en los enrutadores de Internet agregando múltiples prefijos de red contigua (conocidos como superredes ). Términos clave ● El enrutamiento entre dominios sin clases (CIDR) es un método para asignar direcciones IP y enrutamiento IP que reemplaza el direccionamiento IP con clase (por ejemplo, redes de Clase A, B y C) con IP sin clase direccionamiento. ● El enmascaramiento de subred de longitud variable (VLSM) es una técnica que permite que los espacios de direcciones IP sean dividido en diferentes tamaños. ● La creación de superredes agrega varias redes contiguas más pequeñas en una red más grande para permitir enrutamiento de Internet más eficiente. Una dirección IP se puede representar con su valor de máscara de subred, utilizando la notación "netbit" o CIDR. A El valor de netbit representa el número de unos en la máscara de subred y se muestra después de una IP. dirección, separada por una barra diagonal. Por ejemplo, 192.168.1.0/24 representa una máscara de subred que consta de 24 unidades: ● 11111111.11111111.11111111.00000000 (en notación binaria) o ● 255.255.255.0 (en notación decimal) Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué es la máscara de subred para la red 10.2.0.0/20? A. 255.0.0.0 B. 255.255.0.0 C. 255.255.240.0 D. 255.255.255.0 2. ¿Qué dos redes son subredes de 10.2.0.0/20? (Seleccione dos) A. 10.2.0.0/19 B. 10.2.5.0/24 C. 10.2.20.0/24 D. 10.2.14.0/28 E. 10.2.0.0/16 3. ¿Cuál es el número máximo teórico de dispositivos en una clase B? A.2 ^ 24-2 = 16777214 B.2 ^ 20-2 = 1048574 C. 2 ^ 16-2 = 65534 D. 2 ^ 8-2 = 254 4. ¿Cuántas subredes / 28 caben en una clase C? A. 2 B. 4 C. 8 D. 16 © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 105 85/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 106 2.8 Revise los modelos OSI y TCP / IP El Protocolo de Interconexión de Sistemas Abiertos (OSI) y el Protocolo de Control de Transmisión / Protocolo de Internet Los modelos (TCP / IP) definen protocolos estándar para la comunicación de red y la interoperabilidad. Utilizando un enfoque en capas, los modelos OSI y TCP / IP: ● Aclarar las funciones generales de los procesos de comunicación. ● Reducir los complejos procesos de redes a subcapas y componentes más simples. ● Promover la interoperabilidad a través de interfaces estándar. ● Permitir que los proveedores cambien características individuales en una sola capa en lugar de reconstruir el pila de protocolos completa ● Facilitar la resolución de problemas lógicos El modelo OSI está definido por la Organización Internacional de Normalización (ISO, no una acrónimo pero el nombre organizacional adoptado del griego isos , que significa "igual") y consta de siete capas: ● Aplicación (Capa 7 o L7): esta capa identifica y establece la disponibilidad de socios de comunicación, determina la disponibilidad de recursos y sincroniza comunicación. Los protocolos que funcionan en la capa de aplicación incluyen: ▪ Protocolo de transferencia de archivos (FTP): se utiliza para copiar archivos de un sistema a otro en TCP puertos 20 (el puerto de datos) y 21 (el puerto de control) ▪ Protocolo de transferencia de hipertexto (HTTP): se utiliza para la comunicación entre servidores web y navegadores web en el puerto TCP 80 ▪ Protocolo seguro de transferencia de hipertexto (HTTPS): se utiliza para cifrado SSL / TLS comunicaciones entre servidores web y navegadores web en el puerto TCP 443 (y otros puertos, como 8443) ▪ Protocolo de acceso a mensajes de Internet (IMAP): un correo electrónico de almacenamiento y reenvío Protocolo que permite a un cliente de correo electrónico acceder, administrar y sincronizar el correo electrónico de forma remota. servidor de correo en el puerto TCP y UDP 143 ▪ Protocolo de oficina postal versión 3 (POP3): un protocolo de recuperación de correo electrónico que permite cliente de correo electrónico para acceder al correo electrónico en un servidor de correo remoto en el puerto TCP 110 ▪ Protocolo simple de transferencia de correo (SMTP): se utiliza para enviar y recibir correo electrónico a través de Internet en el puerto TCP / UDP 25 ▪ Protocolo simple de administración de red (SNMP): se utiliza para recopilar información de la red mediante mesas de votación y envío de trampas (o alertas) a una estación de administración en TCP / UDP puertos 161 (agente) y 162 (administrador) ▪ Telnet. Proporciona emulación de terminal para acceso remoto a los recursos del sistema en TCP / UDP puerto 23 © 2021 Palo Alto Networks, Inc. 106 Página 107 ● Presentación (capa 6 o L6): esta capa proporciona funciones de codificación y conversión (como representación de datos, conversión de caracteres, compresión de datos y datos cifrado) para garantizar que los datos enviados desde la capa de aplicación de un sistema compatible con la capa de aplicación del sistema de recepción. Protocolos que funcionan en la capa de presentación incluye: ▪ Código estándar americano para el intercambio de información (ASCII): un carácter esquema de codificación basado en el alfabeto inglés, que consta de 128 caracteres ▪ Código de intercambio decimal codificado en binario extendido (EBCDIC): un carácter de 8 bits esquema de codificación utilizado principalmente en computadoras mainframe y de rango medio https://translate.googleusercontent.com/translate_f 86/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ▪ Formato de intercambio de gráficos (GIF): un formato de imagen de mapa de bits que permite hasta 256 colores y es adecuado para imágenes o logotipos (pero no fotografías) ▪ Grupo conjunto de expertos en fotografía (JPEG): método de compresión fotográfica utilizado almacenar y transmitir fotografías ▪ Motion Picture Experts Group (MPEG): un método de compresión de audio y video utilizado para almacenar y transmitir archivos de audio y video ● Sesión (Capa 5 o L5): esta capa administra las sesiones de comunicación (solicitudes de servicio y respuestas de servicio) entre sistemas en red, incluido el establecimiento de la conexión, transferencia de datos y liberación de conexión. Los protocolos que funcionan en la capa de sesión incluyen: ▪ Sistema de archivos de red (NFS): facilita el acceso transparente de los usuarios a los recursos remotos en un Red TCP / IP basada en Unix ▪ Llamada a procedimiento remoto (RPC): un protocolo de redirección de red cliente-servidor ▪ Secure Shell (SSH): establece un túnel cifrado entre un cliente y un servidor ▪ Protocolo de inicio de sesión (SIP): un estándar de protocolo de señalización abierto para establecer, administrar y finalizar comunicaciones en tiempo real (como voz, video y texto) a través de grandes redes basadas en IP ● Transporte (Capa 4 o L4): esta capa proporciona transporte de datos transparente y confiable y control de transmisión de extremo a extremo. Las funciones específicas de la capa de transporte incluyen: ▪ Control de flujo: gestiona la transmisión de datos entre dispositivos asegurándose de que el dispositivo de transmisión no envía más datos de los que el dispositivo de recepción puede procesar ▪ Multiplexación: permite que los datos de varias aplicaciones se transmitan simultáneamente a través de un solo enlace físico ▪ Gestión de circuitos virtuales: establece, mantiene y finaliza circuitos virtuales. ▪ Comprobación y recuperación de errores : detecta errores de transmisión y resuelve cualquier error que ocurrir, como solicitar que los datos sean retransmitidos Los números de puerto TCP y UDP asignados a aplicaciones y servicios se definen en el capa. Los protocolos que funcionan en la capa de transporte incluyen: ▪ Protocolo de control de transmisión (TCP): orientado a la conexión (una conexión directa entre dispositivos de red se establece antes de que se transfieran los segmentos de datos) protocolo que proporciona una entrega confiable (los segmentos recibidos se reconocen y la retransmisión de segmentos faltantes o dañados) de datos. Se establecen conexiones TCP mediante un apretón de manos de tres vías . La sobrecarga adicional asociada con la conexión El establecimiento, el reconocimiento y la corrección de errores significa que TCP generalmente es más lento que los protocolos sin conexión como el Protocolo de datagramas de usuario (UDP). © 2021 Palo Alto Networks, Inc. 107 Página 108 ▪ Protocolo de datagramas de usuario (UDP): sin conexión (una conexión directa entre los dispositivos de red no se establecen antes de que se transfieran los datagramas ) protocolo que proporciona una entrega con el mejor esfuerzo (los datagramas recibidos no se reconocen y faltan o no se solicitan datagramas corruptos) de datos. UDP no tiene gastos generales asociados con establecimiento de conexión, reconocimiento, secuenciación o verificación y recuperación de errores. UDP es ideal para datos que requieren una entrega rápida, si esos datos no son sensibles a la pérdida de paquetes y no necesita estar fragmentado. Las aplicaciones que usan UDP incluyen el nombre de dominio Sistema (DNS), Protocolo simple de administración de red (SNMP) y transmisión de audio o video. ▪ Protocolo de transmisión de control de flujo (SCTP): un protocolo orientado a mensajes (similar a UDP) que asegura un transporte en secuencia confiable con control de congestión (similar a TCP). ● Red (Capa 3 o L3): esta capa proporciona enrutamiento y funciones relacionadas que permiten datos a ser transportados entre sistemas en la misma red o en interconectados redes. Los protocolos de enrutamiento se definen en esta capa. Direccionamiento lógico de dispositivos en la red se logra en esta capa utilizando protocolos enrutados como el Protocolo de Internet (IP). Los enrutadores operan en la capa de red del modelo OSI. ● Enlace de datos (capa 2): esta capa garantiza que los mensajes se envíen al dispositivo adecuado a través de un enlace de red físico. Esta capa también define el protocolo de red (para ejemplo, Ethernet) que se utiliza para enviar y recibir datos entre dispositivos y formatos individuales mensajes de las capas en marcos para su transmisión, maneja punto a punto https://translate.googleusercontent.com/translate_f 87/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS sincronización y control de errores, puede realizar el cifrado demulticapa enlaces. Interruptores operan en la Capa 2 del modelo OSIy(aunque los conmutadores que operan entípicamente también existen diferentes capas). La capa de enlace de datos se divide en dos subcapas: ▪ Control de enlace lógico (LLC): la subcapa LLC proporciona una interfaz para el MAC subcapa gestiona el control, la secuenciación y el reconocimiento de las tramas que se pasan hasta la capa de red o hasta la capa física; y gestiona el tiempo y el flujo control . ▪ Control de acceso a medios (MAC): la subcapa MAC es responsable de la estructura y realiza el control de errores mediante una verificación de redundancia cíclica (CRC), identifica MAC direcciones y controla el acceso a los medios. ● Física (Capa 1 o L1): esta capa envía y recibe bits a través del medio de red. (cableado o enlaces inalámbricos) de un dispositivo a otro. Especifica la eléctrica, requisitos mecánicos y funcionales de la red, incluida la topología de la red, cableado y conectores, y tipos de interfaz, y el proceso para convertir bits a señales eléctricas (o luminosas) que se pueden transmitir a través del medio físico. © 2021 Palo Alto Networks, Inc. 108 Página 109 Términos clave ● En TCP, se utiliza un protocolo de enlace de tres vías para establecer una conexión. Por ejemplo, una PC inicia una conexión con un servidor mediante el envío de un paquete TCP SYN (Sincronizar). El servidor responde con un paquete SYN ACK (Sincronizar acuse de recibo). Finalmente, la PC envía un ACK o SYNPaquete ACK-ACK que reconoce el reconocimiento del servidor y la comunicación de datos comienza. ● Un datagrama UDP es una PDU definida en la capa de transporte del modelo OSI. ● El control de flujo supervisa el flujo de datos entre dispositivos para garantizar que un dispositivo receptor, que no necesariamente esté operando a la misma velocidad que el dispositivo transmisor, no descartar paquetes. ● Una verificación de redundancia cíclica (CRC) es una suma de verificación que se utiliza para crear un perfil de mensaje. El CRC es recalculado por el dispositivo receptor. Si el CRC recalculado no coincide con el CRC recibido, el paquete se descarta y se transmite una solicitud para reenviar el paquete al dispositivo que envió el paquete. El modelo TCP / IP fue desarrollado por el Departamento de Defensa de EE. UU. (DoD) y en realidad precedió al modelo OSI. Considerando que el modelo OSI es un modelo teórico utilizado para lógicamente describir los procesos de red, el modelo TCP / IP define los requisitos de red reales, para por ejemplo, para la construcción de marcos. El modelo TCP / IP consta de cuatro capas (consulte la Figura 2-2): ● Aplicación (Capa 4 o L4): esta capa consta de aplicaciones y procesos de red, y corresponde vagamente a las Capas 5 a 7 del modelo OSI. ● Transporte (Capa 3 o L3): esta capa proporciona una entrega de un extremo a otro y corresponde a la Capa 4 del modelo OSI. ● Internet (Capa 2 o L2): esta capa define el datagrama IP y el enrutamiento, y corresponde a la Capa 3 del modelo OSI. ● Acceso a la red (capa 1 o L1): también denominada capa de enlace, esta capa contiene rutinas para acceder a redes físicas, y corresponde a las Capas 1 y 2 del OSI modelo. https://translate.googleusercontent.com/translate_f 88/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 109 Página 110 Figura 2-2: El modelo OSI y el modelo TCP / IP Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿El modelo OSI consta de cuántas capas? A. cuatro B. seis C. siete D. nueve 2. ¿Qué dos protocolos funcionan en la capa de transporte del modelo OSI? (Escoge dos.). A. Protocolo de control de transmisión (TCP) B. Protocolo de Internet (IP) C.Protocolo de datagramas de usuario (UDP) D. Protocolo de transferencia de hipertexto (HTTP) 3. ¿Qué cuatro capas componen el modelo TCP / IP? (Elija cuatro). A. Aplicación B. Transporte C. Físico D. Internet E. Acceso a la red © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 110 89/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 111 4. ¿Qué opción muestra las capas ISO en el orden correcto (de la capa inferior a la superior)? A. Físico, transporte, red, sesión, enlace de datos, presentación, aplicación B. Físico, enlace de datos, red, aplicación, presentación, transporte, sesión C.Físico, enlace de datos, transporte, sesión, presentación, red, aplicación D. Físico, enlace de datos, red, transporte, sesión, presentación, aplicación 5. ¿Ethernet y WiFi incluyen elementos de cuáles dos capas? (Escoge dos.) Una sesión B. Transporte C. Red D. Enlace de datos E. Físico 6. ¿El protocolo de Internet en sí proporciona la funcionalidad de qué capa? A. Transporte B. Red C. Enlace de datos D. Físico 7. Cuando HTTP se usa directamente en las páginas web del servidor, ¿es un protocolo de qué capa? A. Aplicación B. Presentación C. Sesión D. Transporte 8. Cuando se usa HTTP para enviar solicitudes REST, ¿es un protocolo de qué capa? A. Aplicación B. Presentación C. Sesión D. Transporte 2.9 Explicar el proceso de encapsulación de datos En una red con conmutación de circuitos, se establece, mantiene y mantiene una ruta de circuito físico dedicada. termina entre el remitente y el receptor a través de una red para cada sesión de comunicaciones. Antes del desarrollo de Internet, la mayoría de las redes de comunicaciones, como las telefónicas redes de la empresa, estaban conmutadas por circuitos. Internet es una red de paquetes conmutados que comprende cientos de millones de enrutadores y miles de millones de servidores y terminales de usuario. En un paquete de conmutación red, los dispositivos comparten ancho de banda en los enlaces de comunicaciones para transportar paquetes entre un remitente y receptor a través de una red. Este tipo de red es más resistente a errores y congestión que las redes de conmutación de circuitos. Una aplicación que necesita enviar datos a través de la red (por ejemplo, de un servidor a un cliente computadora) primero crea un bloque de datos y lo envía a la pila TCP en el servidor. La pila de TCP coloca el bloque de datos en un búfer de salida en el servidor y determina el máximo tamaño de segmento (MSS) de bloques TCP individuales ( segmentos ) permitidos por el servidor operativo sistema. La pila de TCP luego divide los bloques de datos en segmentos de tamaño apropiado (por ejemplo, 1460 bytes), agrega un encabezado TCP y envía el segmento a la pila de IP en el servidor. La pila de IP agrega direcciones IP de origen (remitente) y destino (receptor) al segmento TCP (que ahora se llama paquete IP) y notifica al sistema operativo del servidor que tiene un © 2021 Palo Alto Networks, Inc. 111 Página 112 mensaje saliente que está listo para enviarse a través de la red. Cuando el sistema operativo del servidor está listo, el paquete IP se envía al adaptador de red, que convierte el paquete IP a bits y envía el mensaje a través de la red. Los paquetes que se dirigen a la computadora de destino generalmente atraviesan varias redes y dispositivos de seguridad. dispositivos (como conmutadores, enrutadores y cortafuegos) antes de llegar a la computadora de destino, https://translate.googleusercontent.com/translate_f 90/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS donde se invierte el proceso de encapsulación descrito. Términos clave ● En una red de conmutación de circuitos, se establece, se mantiene y se terminado entre el remitente y el receptor a través de una red para cada comunicación sesión. ● En una red de conmutación de paquetes , los dispositivos comparten ancho de banda en los enlaces de comunicaciones para transportar paquetes entre el remitente y el receptor a través de una red. ● Un segmento TCP es una unidad de datos de protocolo (PDU) definida en la capa de transporte del modelo OSI. ● Una unidad de datos de protocolo (PDU) es una unidad de datos autónoma (que consta de datos de usuario o control información y direccionamiento de red). Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. En un paquete TCP enviado a través de Ethernet, ¿cuál es el orden de los datos? A. Encabezado de Ethernet, encabezado de TCP y luego datos de TCP B. Encabezado IP, encabezado TCP y luego datos TCP C. Encabezado de Ethernet, encabezado de IP, encabezado de TCP y luego datos de TCP D. Encabezado de Ethernet, encabezado de IP, datos de IP, encabezado de TCP y luego datos de TCP 2. ¿Qué encabezado no aparece en todos los paquetes de una transferencia de archivos HTTP a través de Ethernet? A. Ethernet B. PI C. TCP D. HTTP 2.10 Clasifique varios tipos de firewalls de red Los cortafuegos han sido una piedra angular de la seguridad de la red desde los primeros días de Internet. A El firewall es una plataforma de hardware y / o software que controla el flujo de tráfico entre un red (como una LAN corporativa) y una red que no es de confianza (como Internet). © 2021 Palo Alto Networks, Inc. 112 Página 113 Cortafuegos de filtrado de paquetes Los cortafuegos de filtrado de paquetes de primera generación (también conocidos como basados en puertos ) tienen las siguientes caracteristicas: ● Operan hasta la capa 4 (capa de transporte) del modelo OSI e inspeccionan encabezados de paquetes para determinar la dirección IP de origen y destino, el protocolo (TCP, UDP, ICMP) y número de puerto. ● Coinciden con la dirección IP de origen y destino, el protocolo y la información del número de puerto. contenido dentro de cada encabezado de paquete a una regla correspondiente en el firewall que designa si el paquete debe permitirse, bloquearse o descartarse. ● Ellos inspeccionan y manejan cada paquete individualmente, sin información sobre el contexto o sesión. Cortafuegos de inspección de paquetes con estado Firewall de inspección de paquetes de estado de segunda generación (también conocido como filtrado dinámico de paquetes ) tienen las siguientes características: ● Operan hasta la capa 4 (capa de transporte) del modelo OSI y mantienen el estado información sobre las sesiones de comunicación que se han establecido entre hosts en las redes confiables y no confiables. https://translate.googleusercontent.com/translate_f 91/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Inspeccionan los encabezados de los paquetes individuales para determinar la dirección IP de origen y destino, protocolo (TCP, UDP e ICMP) y el número de puerto (solo durante el establecimiento de la sesión) para determinar si la sesión debe permitirse, bloquearse o descartarse en función de reglas de firewall configuradas. ● Después de que se establece una conexión permitida entre dos hosts, el firewall crea y elimina las reglas de firewall para conexiones individuales, según sea necesario, creando así un túnel que permite que el tráfico fluya entre los dos hosts sin una inspección adicional de paquetes individuales durante la sesión. ● Este tipo de firewall es muy rápido, pero está basado en puertos y depende en gran medida de la confiabilidad de los dos hosts porque los paquetes individuales no se inspeccionan después de la Se establece la conexión. Cortafuegos de aplicaciones Aplicación de tercera generación (también conocida como puertas de enlace de capa de aplicación , basadas en proxy y Los cortafuegos de proxy inverso ) tienen las siguientes características: ● Operan hasta la capa 7 (capa de aplicación) del modelo OSI y controlan el acceso a aplicaciones y servicios específicos en la red. ● Representan el tráfico de la red en lugar de permitir la comunicación directa entre hosts. Las solicitudes se envían desde el host de origen a un servidor proxy, que analiza el contenido de los paquetes de datos y, si se permite, envía una copia de los paquetes de datos originales al host de destino. © 2021 Palo Alto Networks, Inc. 113 Página 114 Inspeccionan el tráfico de la capa de aplicación y, por lo tanto, pueden identificar y bloquear contenido específico, malware, exploits, sitios web y aplicaciones o servicios que utilizan técnicas de ocultación como cifrado y puertos no estándar. Los servidores proxy también se pueden utilizar para implementar un usuario fuerte autenticación y filtrado de aplicaciones web y para enmascarar la red interna de no confiables redes. Sin embargo, los servidores proxy tienen un impacto negativo significativo en el rendimiento general. de la red. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: filtrado dinámico de paquetes (también conocido como inspección de paquetes con estado) El cortafuegos solo inspecciona los encabezados de los paquetes individuales durante el establecimiento de la sesión para Determine si el firewall debe permitir, bloquear o eliminar el tráfico. Una vez establecida una sesión, los paquetes individuales que forman parte de la sesión no se inspeccionado. 2. ¿Qué tipo de firewall de red proporciona traducción de direcciones de cliente de forma predeterminada? A. filtrado de paquetes B. inspección de paquetes con estado C. aplicación D. próxima generación 3. ¿Qué tipo de firewall requiere la menor cantidad de RAM por conexión? A. filtrado de paquetes B. inspección de paquetes con estado C. aplicación D. próxima generación 2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) proporcionan información en tiempo real Monitorear el tráfico de la red y realizar una inspección y un análisis de paquetes profundos de la red. actividad y datos. A diferencia de los firewalls tradicionales de filtrado de paquetes y de inspección de paquetes examinar solo la información del encabezado del paquete, un IDS / IPS examina tanto el encabezado del paquete como el https://translate.googleusercontent.com/translate_f 92/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS carga útil del tráfico de la red. El IDS / IPS intenta hacer coincidir patrones conocidos-malos o maliciosos (o firmas) que se encuentran dentro de los paquetes inspeccionados. Por lo general, se implementa un IDS / IPS para detectar y bloquear explotaciones de vulnerabilidades de software en redes objetivo. La principal diferencia entre un IDS y un IPS es que un IDS se considera un pasivo. sistema, mientras que un IPS es un sistema activo. Un IDS monitorea y analiza la actividad de la red y proporciona alertas sobre posibles ataques y vulnerabilidades en la red, pero no realiza ninguna acción preventiva para detener un ataque. Un IPS, sin embargo, realiza todas las mismas funciones que un IDS, pero también bloquea o elimina automáticamente la actividad sospechosa de coincidencia de patrones en la red en tiempo real. Sin embargo, un IPS tiene algunas desventajas, que incluyen: ● Debe colocarse en línea a lo largo de un límite de red y, por lo tanto, es directamente susceptible a atacarse a sí mismo. ● Las falsas alarmas deben identificarse y filtrarse correctamente para evitar el bloqueo inadvertido. © 2021 Palo Alto Networks, Inc. 114 Página 115 usuarios autorizados y aplicaciones. Un falso positivo ocurre cuando el tráfico legítimo es identificado incorrectamente como tráfico malicioso. Se produce un falso negativo cuando el tráfico malicioso se identifica incorrectamente como tráfico legítimo. ● Puede usarse para implementar un ataque de denegación de servicio (DoS) inundando el IPS, por lo que provocando que bloquee las conexiones hasta que no haya ninguna conexión o ancho de banda disponible. Los IDS y los IPS también se pueden clasificar como basados en el conocimiento (o basados en firmas) o basados en el comportamiento. (o basados en anomalías estadísticas): ● Un sistema basado en el conocimiento utiliza una base de datos de vulnerabilidades conocidas y perfiles de ataque. para identificar intentos de intrusión. Estos tipos de sistemas tienen tasas de falsas alarmas más bajas que sistemas basados en el comportamiento, pero deben actualizarse continuamente con nuevas firmas de ataque para ser eficaz. Un sistema basado en el comportamiento utiliza una línea de base de la actividad normal de la red para identificar patrones inusuales. o niveles de actividad de la red que pueden ser indicativos de un intento de intrusión. Estos tipos de Los sistemas son más adaptables que los sistemas basados en el conocimiento y, por lo tanto, pueden ser más efectivos. en la detección de vulnerabilidades y ataques previamente desconocidos, pero tienen un nivel de falsificación mucho mayor tasa positiva que los sistemas basados en el conocimiento. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué tipo de medida de seguridad proporciona el sistema de detección de intrusos? A. preventivo B. detective C. correctivo D. auditivo 2. ¿Qué tipo de ataque puede habilitar un sistema de prevención de intrusiones? A. malware de tipo caballo de Troya B. exfiltración de datos C. mando y control D. denegación de servicio 3. ¿Qué tipo de sistema puede cegarse con un enfoque lento y lento? A. detección de intrusos B. prevención de intrusiones C. basado en firma D. basado en el comportamiento 4. ¿Qué tipo de sistema no puede identificar las vulnerabilidades de día cero? A. detección de intrusos B. prevención de intrusiones C. basado en firma D. basado en el comportamiento https://translate.googleusercontent.com/translate_f 93/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 115 Página 116 2.12 Definir redes privadas virtuales Una red privada virtual (VPN) crea una conexión (o túnel) segura y cifrada a través del Internet de vuelta a la red de una organización. El software de cliente VPN generalmente se instala en dispositivos móviles terminales, como computadoras portátiles y teléfonos inteligentes, para extender una red más allá de lo físico límites de la organización. El cliente VPN se conecta a un servidor VPN, como un firewall, enrutador o dispositivo VPN (o concentrador). Una vez establecido un túnel VPN, un usuario remoto puede acceder a recursos de red como servidores de archivos, impresoras y teléfonos de voz sobre IP (VoIP) en el de la misma manera que si estuvieran ubicados físicamente en la oficina. Protocolo de tunelización punto a punto El protocolo de túnel punto a punto (PPTP) es un protocolo VPN básico que utiliza Puerto 1723 del Protocolo de control (TCP) para establecer la comunicación con el par VPN y luego crea un túnel de encapsulación de enrutamiento genérico (GRE) que transporta encapsulado punto a Paquetes de protocolo de puntos (PPP) entre los pares VPN. Aunque PPTP es fácil de configurar y es Considerado muy rápido, es quizás el menos seguro de los varios protocolos VPN. Eso comúnmente se usa con el Protocolo de autenticación de contraseña (PAP), Desafío Protocolo de autenticación de protocolo de enlace (CHAP) o Autenticación de protocolo de enlace de desafío de Microsoft Versiones de protocolo 1 y 2 (MS-CHAP v1 / v2), todos los cuales tienen seguridad conocida vulnerabilidades, para autenticar el tráfico PPP tunelizado. El protocolo de autenticación extensible Transport Layer Security (EAP-TLS) proporciona un protocolo de autenticación más seguro para PPTP pero requiere una infraestructura de clave pública (PKI) y, por lo tanto, es más difícil de configurar. Términos clave ● La encapsulación de enrutamiento genérico (GRE) es un protocolo de tunelización desarrollado por Cisco Systems que puede encapsular varios protocolos de capa de red dentro de enlaces virtuales punto a punto. ● El protocolo punto a punto (PPP) es un protocolo de capa 2 (enlace de datos) que se utiliza para establecer una conexión entre dos nodos. ● El Protocolo de autenticación de contraseña (PAP) es un protocolo de autenticación utilizado por PPP para validar a los usuarios con una contraseña no cifrada. ● El Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP) se utiliza para autenticar estaciones de trabajo basadas en Microsoft Windows, utilizando un mecanismo de desafío-respuesta para autenticar conexiones PPTP sin enviar contraseñas. ● La seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS) es una Estándar abierto de Engineering Task Force (IETF) que utiliza Transport Layer Security (TLS) Protocolo en redes Wi-Fi y conexiones PPP. ● La infraestructura de clave pública (PKI) es un conjunto de roles, políticas y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar la clave pública cifrado. Protocolo de túnel de capa 2 El protocolo de túnel de capa 2 (L2TP) es compatible con la mayoría de los sistemas operativos (incluidos los dispositivos). Aunque no proporciona cifrado por sí mismo, se considera seguro cuando se usa en conjunto con IPsec. © 2021 Palo Alto Networks, Inc. 116 Página 117 Protocolo de túnel de socket seguro Secure Socket Tunneling Protocol (SSTP) es un túnel VPN creado por Microsoft para transportar PPP https://translate.googleusercontent.com/translate_f 94/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS o tráfico L2TP a través de un canal SSL 3.0. SSTP se utiliza principalmente para clientes remotos seguros Acceso VPN, en lugar de túneles VPN de sitio a sitio. Cifrado punto a punto de Microsoft El cifrado punto a punto de Microsoft (MPPE) cifra los datos en conexiones de acceso telefónico basadas en PPP o Conexiones VPN PPTP. MPPE utiliza el algoritmo de cifrado RSA RC4 para proporcionar datos confidencialidad y admite claves de sesión de 40 y 128 bits. OpenVPN OpenVPN es una implementación de VPN de código abierto y altamente segura que utiliza cifrado SSL / TLS para intercambio de claves. OpenVPN utiliza un cifrado de hasta 256 bits y puede ejecutarse a través de TCP o UDP. Aunque no es compatible de forma nativa con la mayoría de los sistemas operativos principales, se ha adaptado a la mayoría de los principales sistemas operativos, incluidos los sistemas operativos de dispositivos móviles. Seguridad del protocolo de Internet IPsec es un protocolo de comunicaciones seguro que autentica y cifra los paquetes IP en un sesión de comunicación. Una VPN IPsec requiere la instalación de un software cliente VPN compatible en el dispositivo de punto final. Se requiere una contraseña o clave de grupo para la configuración. Servidor de cliente Las VPN IPsec generalmente requieren la acción del usuario para iniciar la conexión, como iniciar el cliente. software e iniciando sesión con un nombre de usuario y contraseña. Una asociación de seguridad (SA) en IPsec define cómo dos o más entidades se comunicarán de forma segura a través de la red usando IPsec. Se establece una única SA de intercambio de claves de Internet (IKE) entre entidades comunicantes para iniciar el túnel VPN IPsec. A continuación, se establecen SA de IPsec independientes para cada dirección de comunicación en una sesión VPN. Se puede configurar una VPN IPsec para forzar todo el tráfico de Internet del usuario a través de un firewall de la organización, proporcionando así una protección óptima con seguridad de nivel empresarial pero con alguna pérdida de rendimiento. O se puede configurar el túnel dividido para permitir el tráfico de Internet desde el dispositivo para ir directamente a Internet, mientras que otros tipos específicos de tráfico enrutan a través de IPsec túnel, para una protección aceptable con una degradación del rendimiento mucho menor. Si se utiliza el túnel dividido, se debe configurar y activar un firewall personal en el puntos finales de la organización porque una configuración de túnel dividido puede crear una "puerta lateral" en el red de la organización. Los atacantes esencialmente pueden conectarse a sí mismos a través de Internet, a través de el punto final del cliente y en la red a través del túnel IPsec. © 2021 Palo Alto Networks, Inc. 117 Página 118 Capa de enchufes seguros Secure Sockets Layer (SSL) es un protocolo de cifrado asimétrico que se utiliza para proteger la comunicación. sesiones. SSL ha sido reemplazado por Transport Layer Security (TLS), aunque SSL sigue siendo el terminología más utilizada. Una VPN SSL se puede implementar como una conexión basada en un navegador o basada en un agente. Un SSL VPN sin agente requiere que los usuarios solo inicien un navegador web, abra un portal o una página web de VPN utilizando el protocolo HTTPS e inicie sesión en la red con sus credenciales de usuario. Un agente El cliente SSL se usa dentro de la sesión del navegador, que persiste solo mientras la conexión está activa y se quita cuando se cierra la conexión. Este tipo de VPN puede resultar especialmente útil para usuarios remotos que se conectan desde un dispositivo de punto final que no poseen ni controlan, como un quiosco del hotel, donde no se puede instalar el software VPN de cliente completo. La tecnología SSL VPN se ha convertido en el método estándar y preferido de facto para conectarse dispositivos terminales remotos de vuelta a la red empresarial, e IPsec se usa más comúnmente en conexiones VPN de sitio a sitio o de dispositivo a dispositivo, como la conexión de la red de una sucursal https://translate.googleusercontent.com/translate_f 95/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS una red de ubicación de la sede o un centro de datos. Términos clave ● Secure Sockets Layer (SSL) es un protocolo criptográfico para administrar la autenticación y comunicación cifrada entre un cliente y un servidor para proteger la confidencialidad y integridad de los datos intercambiados en la sesión. ● Transport Layer Security (TLS) es el sucesor de SSL (aunque todavía se le conoce comúnmente como SSL). Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué tecnología VPN se considera el método preferido para conectar de forma segura un dispositivo de punto final remoto de vuelta a una red empresarial? A. Protocolo de túnel punto a punto (PPTP) B. Protocolo de túnel de socket seguro (SSTP) C. Capa de sockets seguros (SSL) D. Seguridad del protocolo de Internet (IPsec) 2. ¿Cuál es la VPN de empresa a consumidor (B2C) más común? A. SSL / TLS B. IPsec C. SSH D. APP 3. ¿Qué significa PKI? A. Identificación de contraseña / clave B. Identificación de clave pasiva C. Infraestructura de clave pública D. Infraestructura de clave privada © 2021 Palo Alto Networks, Inc. 118 Página 119 4. ¿Qué VPN esperaría ver en uso entre dos de los datos de una organización? centros? A. SSL / TLS B. IPsec C. SSH D. APP 5. ¿Qué protocolo de tunelización puede utilizar para conectar dos segmentos Ethernet en uno? A. PPP B. L2TP C. IPsec (sin L2TP) D. DESLIZAMIENTO 6. ¿Cuál es el método de autenticación que utiliza nombres de usuario y contraseñas? A. PAP B. CHAP C. MS-CHAP D. SAP 2.13 Explicar la prevención de pérdida de datos Las soluciones de prevención de pérdida de datos de red (DLP) inspeccionan los datos que salen o salen de un red (por ejemplo, a través de correo electrónico, transferencia de archivos o cargas de Internet, o copiando a un dispositivo USB drive) y evitar que ciertos datos confidenciales basados en políticas definidas abandonen la red. Los datos sensibles pueden incluir: ● Información de identificación personal (PII), como nombres, direcciones, fechas de nacimiento, Números de seguridad, registros médicos (incluidos registros médicos electrónicos o EMR, y registros de salud electrónicos , o HCE) y datos financieros (como números de cuentas bancarias y números de tarjetas de crédito) ● Materiales clasificados (como información militar o de seguridad nacional) ● Propiedad intelectual, secretos comerciales y otra empresa confidencial o patentada. información https://translate.googleusercontent.com/translate_f 96/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Una solución de seguridad DLP evita que los datos confidenciales sean transmitidos fuera de la red por un usuario, ya sea de forma inadvertida o maliciosa. Una solución DLP robusta puede detectar la presencia de ciertos patrones de datos incluso si los datos están encriptados. Sin embargo, estas soluciones introducen una nueva vulnerabilidad potencial en la red porque tener visibilidad y la capacidad de descifrar todos los datos de la red. Otros métodos se basan en el descifrado ocurre en otro lugar, como en un dispositivo de seguridad web u otro intermediario motor de descifrado. © 2021 Palo Alto Networks, Inc. 119 Página 120 Términos clave ● Según lo define HealthIT.gov, un registro médico electrónico (EMR) "contiene el estándar datos médicos y clínicos recopilados en el consultorio de un proveedor ". ● Según lo define HealthIT.gov, un registro de salud electrónico (EHR) “va más allá de los datos recopilados en el consultorio del proveedor e incluyen un historial más completo del paciente. HCE Los datos pueden ser creados, administrados y consultados por proveedores autorizados y personal de todo el mundo. más de una organización sanitaria ". Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿En qué formato deben estar los datos para que DLP funcione? A. ASCII B. texto sin cifrar C. sin comprimir D. cifrado 2. ¿DLP funciona en qué capa del modelo ISO? A.7, capa de aplicación B.5, capa de sesión C. 4, capa de transporte D. 3, capa de red 2.14 Describir la gestión unificada de amenazas Los dispositivos de gestión unificada de amenazas (UTM) combinan numerosas funciones de seguridad en una sola aparato, que incluye: ● Anti-malware ● Anti-spam ● filtrado de contenido ● DLP ● Cortafuegos (inspección de estado) ● IDS / IPS ● VPN Los dispositivos UTM no necesariamente realizan ninguna de estas funciones de seguridad mejor que sus contrapartes independientes, pero no obstante tienen un propósito en la pequeña y mediana empresa redes como una solución conveniente y económica que brinda a una organización un todo en uno dispositivo de seguridad. Las desventajas típicas de UTM incluyen: ● A veces tienen conjuntos de funciones reducidos para que sean más asequibles. ● Todas las funciones de seguridad utilizan el mismo procesador y recursos de memoria. Habilitación de todos https://translate.googleusercontent.com/translate_f 97/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS las funciones de un UTM pueden resultar en una caída de hasta un 97 por ciento en el rendimiento y rendimiento, en comparación con el rendimiento de gama alta sin las funciones de seguridad habilitadas. © 2021 Palo Alto Networks, Inc. 120 Página 121 A pesar de las numerosas funciones de seguridad que se ejecutan en la misma plataforma, los motores individuales operan en silos con poca o ninguna integración o cooperación entre ellos. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué tres funciones de seguridad están integradas con un dispositivo UTM? (Elige tres.) A. agente de seguridad de acceso a la nube (CASB) B. Aislamiento remoto del navegador (RBI) C. cortafuegos D. Sistema de detección de intrusiones (IDS) E. anti-spam 2. ¿Qué dos recursos se comparten entre las diferentes funciones de un dispositivo UTM? (Escoge dos.) A. RAM B. información de alerta C. CPU D. firmas de ataque E. estado del cortafuegos 2.15 Definir los conceptos básicos de seguridad de endpoints La seguridad de endpoint tradicional abarca numerosas herramientas de seguridad, como anti-malware software, software anti-spyware, firewalls personales, sistemas de prevención de intrusiones basados en host (HIPS) y software de gestión de dispositivos móviles (MDM). La seguridad de los endpoints también requiere implementación de las mejores prácticas de seguridad de endpoints efectivas, incluida la administración de parches y gestión de la configuración. La mayoría de las organizaciones implementan varios productos de seguridad para proteger sus puntos finales, incluidos cortafuegos personales, HIPS, MDM, gestión de aplicaciones móviles (MAM), DLP y antivirus software. Sin embargo, las infracciones cibernéticas continúan aumentando en frecuencia, variedad y sofisticación. La cantidad y los tipos de puntos finales, incluidos los dispositivos móviles y de IoT, también tienen creció exponencialmente y aumentó la superficie de ataque. Nuevas variantes de Gafgyt, Mirai y Las botnets de Muhstik, entre otras, se dirigen específicamente a dispositivos de IoT y a nuevos motores de búsqueda como Shodan (Shodan.io) puede automatizar la búsqueda de puntos finales vulnerables conectados a Internet. Las soluciones de seguridad de endpoint tradicionales y los antivirus ya no pueden evitar las infracciones de seguridad en el punto final en el panorama de amenazas que cambia rápidamente. La seguridad de los terminales es un elemento esencial de la ciberseguridad porque el firewall de la red no puede proteja completamente los hosts de los ataques de día cero. Los exploits de día cero apuntan a un objetivo desconocido vulnerabilidades en el sistema operativo y el software de aplicación en las máquinas host. Cortafuegos de red Es posible que no pueda bloquear la entrega por parte de un atacante de un exploit de día cero hasta que haya una nueva firma. La identificación del ataque de día cero se ha desarrollado y enviado al firewall. © 2021 Palo Alto Networks, Inc. 121 Página 122 Los firewalls de red también pueden tener restricciones para descifrar todo el tráfico debido a regulaciones y https://translate.googleusercontent.com/translate_f 98/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS leyes. Esta restricción proporciona una ventana de oportunidad para que los atacantes eludan los protección y explotar una máquina host, por lo que se necesita protección de seguridad de punto final. Punto final La protección de seguridad la proporciona una aplicación que se ejecuta en la máquina host. Eficaz La seguridad del endpoint debe poder detener el malware, las vulnerabilidades y el ransomware antes de que puedan comprometer el host, brindar protección mientras los puntos finales están en línea y fuera de línea, y detectar amenazas y automatización de la contención para minimizar el impacto. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué dos opciones son puntos finales? (Escoge dos.) A. computadora portátil B. combinación de enrutador / módem / punto de acceso para una red doméstica C. servidor de base de datos físico D. teléfono inteligente utilizado para consultar el correo electrónico del trabajo 2. ¿Qué método para identificar ransomware que utiliza un exploit de día cero está disponible en protección de endpoint, pero no en el firewall? A. firmas de ataque B. análisis de comportamiento C. observación de los efectos del ataque D. descifrado de datos 3. ¿Qué opción no forma parte de una solución de protección de terminales? A. cortafuegos B. antivirus C. descifrado de intermediario D. detección de intrusos 2.16 Comparar la protección contra malware basada en firmas y en contenedores La protección contra malware (más específicamente, el software antivirus) ha sido una de las primeras y más principios básicos de la seguridad de la información desde principios de la década de 1980. Desafortunadamente, todo este esfuerzo ganado experiencia no significa necesariamente que los mecanismos de protección contra malware estén garantizados detectar todos los ataques al instante. Por ejemplo, el Informe de seguridad global de 2019 de Trustwave encontró que desde la infección hasta la detección de malware "en la naturaleza" se tarda una media de 55 días. Curiosamente, webLos ataques de día cero basados, en promedio, permanecen "en la naturaleza" hasta cuatro veces más que el correo electrónico. amenazas basadas en factores que incluyen la conciencia del usuario sobre las amenazas transmitidas por correo electrónico, la disponibilidad y el uso de soluciones de seguridad de correo electrónico (como anti-spam y antivirus), y el uso preferido de la web como vector de amenaza para los desarrolladores de malware. Esta baja "tasa de captura" se debe a varios factores. Algunos programas maliciosos pueden mutar o actualizarse a Evite la detección mediante firmas anti-malware tradicionales. Además, el malware avanzado es cada vez más especializado hasta el punto en que un atacante puede desarrollar malware personalizado que se dirige contra un individuo u organización específicos. © 2021 Palo Alto Networks, Inc. 122 Página 123 El software anti-malware tradicional utiliza varios enfoques para detectar y responder al malware amenazas, incluidas listas de permisos de aplicaciones basadas en firmas, basadas en contenedores y basadas en anomalías técnicas. Nota: Con la proliferación de malware avanzado, como los troyanos de acceso remoto (RAT), antiAV y rootkits / boot kits, los proveedores de seguridad han rebautizado en gran medida sus soluciones antivirus como "Anti-malware" y ampliaron sus protecciones contra malware para abarcar el malware más amplio clasificaciones. Software anti-malware basado en firmas El software antivirus (o antimalware) basado en firmas es el más antiguo y el más utilizado enfoque para detectar e identificar malware en endpoints. Este enfoque requiere seguridad proveedores para recopilar continuamente muestras de malware, crear archivos de firmas coincidentes para aquellos https://translate.googleusercontent.com/translate_f 99/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS muestras y distribuya esos archivos de firmas como actualizaciones para sus productos de seguridad de punto final a todos de sus clientes. La implementación de software antivirus basado en firmas requiere la instalación de un motor que normalmente tiene acceso a nivel de kernel a los recursos del sistema de un punto final. Software antivirus basado en firmas escanea el disco duro y la memoria de un endpoint, según una programación predefinida y en tiempo real cuando se accede a un archivo. Si se detecta una firma de malware conocida, el software realiza una acción predefinida, como: ● Cuarentena: aísla el archivo infectado para que no pueda infectar el endpoint u otros archivos. ● Eliminar: elimina el archivo infectado. ● Alerta: notifica al usuario (o al administrador del sistema) que se ha detectado software malicioso. Las firmas actualizadas deben descargarse con regularidad y frecuencia del proveedor de seguridad y instalado en los puntos finales de la organización. Descarga y procesamiento de archivos de firmas en este manera puede causar degradaciones notables del rendimiento en las redes y puntos finales en los que están corriendo. Aunque el enfoque basado en firmas es muy popular, su eficacia es limitada. Por diseño, es una contramedida reactiva porque no se puede crear un archivo de firma para nuevo malware y entregado hasta que el malware ya esté "en estado salvaje", tiempo durante el cual las redes y los puntos finales están ciegos a la amenaza: la notoria amenaza (o ataque) de día cero. La etiqueta "día cero" es engañoso, sin embargo, porque el número de días desde la liberación hasta la detección promedia de 5 a 20 días (vea la Figura 2-3). © 2021 Palo Alto Networks, Inc. 123 Página 124 Figura 2-3: Tiempo promedio de detección por vector de aplicación Primero se debe capturar e identificar una muestra de tráfico sospechoso nuevo o desconocido antes de Los proveedores de seguridad pueden crear una firma de detección. La nueva firma entonces debe ser descargado e instalado en los puntos finales de una organización para brindar protección. Este proceso significa que algunos usuarios y redes serán violados con éxito por nuevo malware. hasta que se cree, descargue e instale una nueva firma de detección. Este modelo reactivo crea una ventana de oportunidad para los atacantes, dejando los puntos finales vulnerables, a veces durante semanas o incluso meses, hasta que se sospeche, recopile, analice e identifique un nuevo malware. Durante esto https://translate.googleusercontent.com/translate_f 100/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS tiempo, los atacantes pueden infectar redes y puntos finales. Otro desafío para el enfoque basado en firmas es que millones de nuevas variaciones de malware se crean cada año (en promedio alrededor de 20.000 formularios nuevos al día), para los cuales firmas únicas deben escribirse, probarse e implementarse después de que se descubra y muestree la nueva variación de malware. A pesar de que el 70 por ciento de estos millones de variaciones de malware se basan en un número limitado de "familias" de malware que ascendían a solo siete en 2005 y aumentaban a solo 20 Durante la última década, este enfoque reactivo no es eficaz para proteger los puntos finales contra amenazas de malware moderno. Además, el malware avanzado utiliza técnicas como el metamorfismo y el polimorfismo para tomar ventaja de las debilidades inherentes de la detección basada en firmas para evitar ser descubierto en el salvaje y eludir las firmas que ya se han creado. © 2021 Palo Alto Networks, Inc. 124 Página 125 Protección de punto final basada en contenedor La protección de punto final basada en contenedores envuelve una barrera virtual protectora alrededor de los procesos mientras se ejecutan. Si un proceso es malicioso, el contenedor lo detecta y lo cierra hacia abajo, evitando así que dañe otros procesos o archivos legítimos en el endpoint. Sin embargo, el enfoque basado en contenedores generalmente requiere una cantidad significativa de computación sobrecarga de recursos, y se han demostrado ataques que eluden o deshabilitan los contenedores protección basada. Este enfoque también requiere conocimiento de las aplicaciones que deben ser protegidos y cómo interactúan con otros componentes de software. Entonces, una herramienta de contenedorización se desarrollará para admitir ciertas aplicaciones comunes, pero no podrá proteger la mayoría software propietario o específico de la industria. Incluso los complementos del navegador web y dispositivos similares pueden tienen problemas para funcionar correctamente en un entorno basado en contenedores. Listas de aplicaciones permitidas Las listas de aplicaciones permitidas son otra técnica de protección de endpoints que se utiliza comúnmente para evitar que los usuarios finales ejecuten aplicaciones no autorizadas, incluido el malware, en sus terminales. Las listas de permisos de aplicaciones requieren un modelo de control positivo en el que no se permiten aplicaciones se ejecutan en el punto final a menos que estén explícitamente permitidos por la política de lista de permitidos. En la práctica, Las listas de solicitudes permitidas requieren un gran esfuerzo administrativo para establecer y mantener una lista de aplicaciones aprobadas. Este enfoque se basa en la premisa de que si crea una lista de aplicaciones que están específicamente permitidas y luego impiden que se ejecute cualquier otro archivo, puede proteger el punto final. Aunque esta funcionalidad básica puede resultar útil para reducir la superficie de ataque, no es un enfoque integral para la seguridad de los terminales. Tendencias modernas como la computación en la nube y móvil, la consumerización y traiga la suya dispositivo (BYOD) y traiga su propio acceso (BYOA) hacen que las listas de permisos de aplicaciones sean extremadamente difícil de hacer cumplir en la empresa. Además, después de agregar una aplicación a una lista de permitidos, es permite su ejecución, incluso si la aplicación tiene una vulnerabilidad que puede ser explotada. Un atacante luego, simplemente puede explotar una aplicación permitida y tener un control completo del punto final de destino independientemente de la lista de permitidos. Una vez que la aplicación se ha aprovechado con éxito, el atacante puede ejecutar código malicioso manteniendo toda la actividad en la memoria. Porque no se crean archivos nuevos y ningún nuevo ejecutable intenta ejecutarse, el software de lista de permitidos se vuelve ineficaz contra este tipo de ataque. Detección de anomalías Enfoques de seguridad de endpoints que utilizan algoritmos matemáticos para detectar actividad inusual en un https://translate.googleusercontent.com/translate_f 101/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS endpoint se conocen como soluciones basadas en heurística, basadas en comportamiento o de detección de anomalías. Esta El enfoque se basa en establecer primero una línea de base precisa de lo que se considera actividad "normal". Este enfoque ha estado disponible durante muchos años y requiere un conjunto de datos muy grande para reducir la número de falsos positivos. © 2021 Palo Alto Networks, Inc. 125 Página 126 Software anti-spyware El software anti-spyware es muy similar al software antivirus tradicional porque usa firmas para buscar otras formas de malware más allá de los virus, como adware, aplicaciones web maliciosas componentes y otras herramientas maliciosas, que comparten comportamientos de usuarios sin su permiso. Términos clave ● En antimalware, un falso positivo identifica incorrectamente un archivo o una aplicación legítimos como malware. Un falso negativo identifica incorrectamente el malware como un archivo o una aplicación legítimos. En detección de intrusiones, un falso positivo identifica incorrectamente el tráfico legítimo como una amenaza, y un falso negativo identifica incorrectamente una amenaza como tráfico legítimo. Referencias: “Informe de seguridad global de Trustwave 2019”. Trustwave. 2019. https://www.trustwave.com/en-us/resources/library/documents/2019-trustwave-global-securityreporte/. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: el software anti-malware basado en firmas se considera reactivo contramedida porque no se puede crear un archivo de firma para nuevo malware y entregado hasta que el malware ya esté "en estado salvaje". 2. ¿Qué tipo de protección contra malware se puede eludir mediante la mutación del malware? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 3. Qué tipo de protección contra malware requiere un conocimiento profundo de las aplicaciones y cómo se comunican? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 4. ¿Qué tipo de protección contra malware tiene problemas con las actualizaciones de software legítimas? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 5. ¿Qué tipo de protección contra malware es vulnerable a un enfoque lento y lento? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías © 2021 Palo Alto Networks, Inc. 126 Página 127 https://translate.googleusercontent.com/translate_f 102/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 2.17 Reconocer tipos de gestión de dispositivos móviles El software de gestión de dispositivos móviles (MDM) proporciona seguridad de punto final para dispositivos móviles como como teléfonos inteligentes y tabletas. Capacidades de administración centralizada para dispositivos móviles proporcionadas por MDM incluye: ● Prevención de pérdida de datos (DLP): restrinja el tipo de datos que se pueden almacenar o transmitir desde el dispositivo ● Aplicación de políticas: solicite contraseñas, habilite el cifrado, bloquee la configuración de seguridad, y evitar el jailbreak o el enraizamiento , por ejemplo ● Protección contra malware: detecta y previene el malware móvil. ● Distribución de software: instale software de forma remota, incluidos parches y actualizaciones en un red celular o Wi-Fi ● Borrado / borrado remoto: elimine de forma segura y remota el contenido completo de un dispositivo robado ● Servicios de geovalla y ubicación: restrinja la funcionalidad específica en el dispositivo según su ubicación física Términos clave ● Jailbreak se refiere a piratear un dispositivo Apple iOS para obtener acceso de nivel raíz al dispositivo. El jailbreak a veces lo realizan los usuarios finales para permitirles descargar e instalar dispositivos móviles. aplicaciones sin pagar por ellas, de fuentes distintas a la App Store que no están autorizadas y / o controlado por Apple. El jailbreak evita las funciones de seguridad del dispositivo al reemplazar el sistema operativo del firmware con una versión similar, aunque falsa, que lo hace vulnerable a malware y exploits. El jailbreak se conoce como rooting en Google Dispositivos Android. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: el software antimalware basado en firmas se considera un programa proactivo. contramedida de seguridad. 2. ¿Qué dos sistemas operativos pueden tener administración de dispositivos móviles (MDM)? A. iOS B. MacOS C. Android D. Ventanas E. Linux 3. Realiza una visita de negocios a otro país y no puede acceder a una solicitud de trabajo en tu celular. ¿Qué función de MDM podría ser la razón? A. Prevención de pérdida de datos B. protección contra malware C. borrado / borrado remoto D. servicios de geovalla y ubicación 4. Descargó un archivo confidencial a su teléfono para usarlo en una reunión de negocios. Ahora tu mira que ya no está allí. ¿Qué función de MDM podría ser la razón? © 2021 Palo Alto Networks, Inc. 127 Página 128 A. prevención de pérdida de datos B. protección contra malware C. borrado / borrado remoto D. servicios de geovalla y ubicación 2.18 Explicar el propósito de la gestión de identificaciones y accesos Los administradores de servidores y sistemas realizan una variedad de tareas importantes en un entorno de red. Las tareas típicas de administración del servidor y del sistema incluyen: ● Aprovisionamiento y desaprovisionamiento de cuentas ● Administrar los permisos de la cuenta https://translate.googleusercontent.com/translate_f 103/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Instalación y mantenimiento de software de servidor. ● Mantener y optimizar servidores, aplicaciones, bases de datos (pueden asignarse a un administrador de base de datos), dispositivos de red (pueden asignarse a un administrador de red), y dispositivos de seguridad (pueden asignarse a un administrador de seguridad) ● Instalación de parches de seguridad ● Gestión de la copia de seguridad y recuperación de datos y del sistema ● Supervisión de la comunicación de la red y los registros del servidor. ● Solución de problemas y resolución de problemas del sistema y del servidor La gestión de identidades y accesos (IAM) proporciona autenticación, autorización y acceso funciones de control. Las herramientas de IAM proporcionan control para el aprovisionamiento, el mantenimiento y el funcionamiento de las identidades de los usuarios y el nivel de acceso a la red, el centro de datos y los recursos en la nube que difieren se permiten identidades. Directorio de Servicios Un servicio de directorio es una base de datos que contiene información sobre usuarios, recursos y servicios en una red. El servicio de directorio asocia usuarios y permisos de red para controlar quién tiene acceso a qué recursos y servicios en la red. Los servicios de directorio incluyen: ● A ctivo Directorio: Un servicio de directorio desarrollado por Microsoft para Windows centralizada redes para proporcionar autenticación y autorización de usuarios y recursos de red. Active Directory utiliza el Protocolo ligero de acceso a directorios (LDAP), Kerberos y el Sistema de nombres de dominio (DNS). ● Protocolo ligero de acceso a directorios (LDAP): un protocolo cliente-servidor basado en IP que proporciona acceso y gestiona la información del directorio en redes TCP / IP. Términos clave ● Kerberos es un protocolo de autenticación en el que se utilizan tickets para identificar a los usuarios de la red. © 2021 Palo Alto Networks, Inc. 128 Página 129 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué tres procesos forman parte del modelo AAA? (Elige tres.) A. autenticación B. autorización C. reconocimiento D. auditoría E. aprobación 2. ¿Qué principio está detrás del control de acceso basado en roles (RBAC)? A. separación de funciones B. auditabilidad C. privilegio mínimo D. defensa en profundidad 3. ¿Qué tipo de control de acceso puede cambiar los permisos de un usuario según su ubicación? A. RBAC B. ABAC C. PAP D. CHAP 4. Solo un gerente puede obtener cheques de la empresa. Solo un gerente diferente puede firmar cheques. ¿Este ejemplo describe qué principio? A. separación de funciones B. auditabilidad C. privilegio mínimo https://translate.googleusercontent.com/translate_f 104/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS D. defensa en profundidad 5. Un usuario puede acceder a la aplicación de nómina para ver un cheque de pago, pero no puede modificarlo. Este ejemplo describe qué principio? A. separación de funciones B. auditabilidad C. privilegio mínimo D. defensa en profundidad 6. ¿Cuál es el protocolo común para acceder a un directorio? A. DAP B. LDAP C. Bofetada D. SLDAP © 2021 Palo Alto Networks, Inc. 129 Página 130 2.19 Describir la gestión de la configuración La gestión de la configuración es el proceso formal utilizado por las organizaciones para definir y mantener configuraciones estándar para aplicaciones, dispositivos y sistemas a lo largo de su ciclo de vida. Para Por ejemplo, un modelo de PC de escritorio en particular puede ser configurado por una organización con configuraciones de seguridad, como habilitar el cifrado de todo el disco y deshabilitar los puertos USB. Dentro de sistema operativo de escritorio, configuraciones de seguridad como deshabilitar servicios innecesarios y riesgosos (para ejemplo, FTP y Telnet). Mantenimiento de configuraciones estándar en aplicaciones, dispositivos y sistemas utilizados por una organización ayudan a reducir la exposición al riesgo y mejorar la postura de seguridad. Todo el tiempo se descubren nuevas vulnerabilidades y exploits de software y, por lo tanto, un software diligente La gestión de parches es necesaria para los administradores de sistemas y seguridad de todas las organizaciones. Sin embargo, la administración de parches protege los puntos finales de una organización solo después de que se haya producido una vulnerabilidad. descubierto y el parche instalado. Los retrasos de días, semanas o más son inevitables porque Los parches de seguridad para las vulnerabilidades recién descubiertas deben desarrollarse, distribuirse, probarse y desplegado. Aunque la gestión de parches es un aspecto importante de cualquier seguridad de la información programa, como la detección antimalware basada en firmas, es una carrera interminable contra el tiempo que no ofrece protección contra exploits de día cero. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué proceso forma parte de la gestión de la configuración? A. gestión de identidad y acceso B. auditoría C. gestión de parches D. escaneo en busca de vulnerabilidades 2. ¿Cuál es el término colectivo para las versiones de software, la configuración del sistema operativo y el archivo de configuración? ¿ajustes? A. elementos de configuración B. valores configurables C. configuración de la computadora D. configuración https://translate.googleusercontent.com/translate_f 105/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 130 Página 131 2.20 Identificar las funciones y capacidades del firewall de próxima generación Se han producido cambios fundamentales en el uso de aplicaciones, el comportamiento del usuario y la infraestructura de red compleja. creó un panorama de amenazas que expone las debilidades de los firewalls de red tradicionales basados en puertos. Los usuarios finales desean acceder a un número cada vez mayor de aplicaciones que operan en una amplia variedad de tipos de dispositivos, a menudo con poca consideración por los riesgos comerciales o de seguridad. Mientras tanto, los datos La expansión del centro, la segmentación de la red, la virtualización y las iniciativas de movilidad están obligando organizaciones para repensar cómo permitir el acceso a aplicaciones y datos, mientras protege sus redes de una clase nueva y más sofisticada de amenazas avanzadas que evaden la seguridad tradicional mecanismos. Los firewalls de próxima generación de Palo Alto Networks son el núcleo de la cartera de productos. El siguienteEl firewall de generación inspecciona todo el tráfico, incluidas las aplicaciones, las amenazas y el contenido, y los asociados. con el usuario, independientemente de la ubicación o el tipo de dispositivo. La aplicación, el contenido y el usuario se convierten componentes integrales de la política de seguridad empresarial. Los cortafuegos de próxima generación de Palo Alto Networks se basan en una arquitectura de un solo paso (consulte la Figura 2-4), que es una integración única de software y hardware que simplifica la gestión, agiliza el procesamiento y maximiza el rendimiento. La arquitectura de un solo paso se integra múltiples disciplinas de prevención de amenazas (IPS, anti-malware, filtrado de URL, etc.) en una sola motor basado en flujo con un formato de firma uniforme. Esta arquitectura permite que el tráfico esté completamente analizados en una sola pasada sin la degradación del rendimiento que se observa en las puertas de enlace multifunción. El software está asociado directamente a una plataforma de hardware de procesamiento paralelo que utiliza funciones procesadores específicos para la prevención de amenazas, para maximizar el rendimiento y minimizar la latencia. Figura 2-4: Los firewalls de próxima generación de Palo Alto Networks utilizan una arquitectura de paso único. © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 131 106/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 132 El uso de un motor común significa que se obtienen dos beneficios clave. Primero, a diferencia de los proxies de archivos que necesitan descargar el archivo completo antes de que puedan escanear el tráfico, un motor basado en flujo escanea tráfico en tiempo real, reensamblando paquetes solo cuando sea necesario y solo en cantidades muy pequeñas. Segundo, a diferencia de los enfoques tradicionales, todo el tráfico se puede escanear con un solo motor, en lugar de múltiples motores de escaneo. Las organizaciones implementan firewalls de próxima generación en el perímetro de la red y dentro de la red. en los límites lógicos de la confianza. Todo el tráfico que cruza el cortafuegos de próxima generación se somete a una apilado, inspección de una sola pasada, que proporciona el contexto completo de la aplicación, asociado contenido e identidad del usuario. Con este nivel de contexto, puede alinear la seguridad con su clave iniciativas comerciales (ver Figura 2-5). Figura 2-5: Ubicaciones de firewall de próxima generación en la red empresarial El firewall de próxima generación funciona como una puerta de enlace de segmentación en una arquitectura Zero Trust. Al crear un microperímetro, el cortafuegos de próxima generación asegura que solo los conocidos, permitidos el tráfico o las aplicaciones legítimas tienen acceso a la superficie protegida. © 2021 Palo Alto Networks, Inc. 132 Página 133 Los firewalls de próxima generación incluyen varias capacidades clave que permiten una visibilidad completa del los flujos de tráfico de la aplicación, el contenido asociado y la identidad del usuario, y protéjalos de conocidos, amenazas persistentes desconocidas y avanzadas. Las capacidades funcionales esenciales en un El firewall de próxima generación incluye: ● Identificación de la aplicación: identifique con precisión las aplicaciones independientemente del puerto, protocolo, técnicas evasivas o cifrado. Proporcionar visibilidad de aplicaciones y políticas granulares. control basado en aplicaciones, incluidas las funciones de aplicaciones individuales. ● Identificación del usuario: identifique con precisión a los usuarios y, posteriormente, utilice la información de identidad. https://translate.googleusercontent.com/translate_f 107/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS como atributo para el control de políticas ● Identificación de contenido: la identificación de contenido controla el tráfico en función de análisis de todo el tráfico permitido, utilizando prevención de amenazas múltiples y prevención de pérdida de datos técnicas en una arquitectura de un solo paso que integra completamente todas las funciones de seguridad Identificación de la aplicación La tecnología de inspección de paquetes con estado, que es la base de la mayoría de los firewalls heredados de la actualidad, fue creado hace más de 25 años, en un momento en el que las aplicaciones podían controlarse mediante puertos y direcciones IP de origen / destino. El estricto cumplimiento de la clasificación y el control basados en puertos la metodología es el elemento principal de la política; está codificado en la base y no se puede apagado. Como resultado, muchas de las aplicaciones actuales no pueden ser identificadas y mucho menos controladas por el cortafuegos, y ninguna cantidad de clasificación de tráfico "posterior al hecho" por los "ayudantes" del cortafuegos puede Corrija la clasificación basada en puertos del cortafuegos. El establecimiento de la información de puerto y protocolo es un primer paso en la identificación de la aplicación, pero es insuficiente por sí mismo. Identificación e inspección de aplicaciones sólidas en una nueva generación El cortafuegos permite un control granular del flujo de sesiones a través del cortafuegos. La identificación es según las aplicaciones específicas (como Skype, Gmail y WebEx) que se estén utilizando, en lugar de simplemente confiar en el conjunto subyacente de comunicaciones de red a menudo indistinguibles servicios (consulte la Figura 2-6). © 2021 Palo Alto Networks, Inc. 133 Página 134 Figura 2-6: La clasificación de tráfico centrada en la aplicación identifica aplicaciones específicas en el red, independientemente del puerto y protocolo en uso. https://translate.googleusercontent.com/translate_f 108/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La identificación de la aplicación proporciona visibilidad y control sobre los relacionados con el trabajo y los no relacionados con el trabajo. aplicaciones que pueden evadir la detección por firewalls antiguos basados en puertos, por ejemplo, haciéndose pasar por tráfico legítimo, saltando puertos o utilizando cifrado para pasar el cortafuegos. Tecnología de identificación de aplicaciones (App-ID) en una nueva generación de Palo Alto Networks El cortafuegos no se basa en un solo elemento, como un puerto o un protocolo. En cambio, App-ID usa múltiples mecanismos para determinar primero cuál es la aplicación, y luego la identidad de la aplicación se convierte en la base de la política de firewall que se aplica a la sesión. App-ID es altamente extensible y, a medida que las aplicaciones continúan evolucionando, los mecanismos de detección de aplicaciones pueden ser agregado o actualizado como un medio para mantenerse al día con el panorama de aplicaciones en constante cambio. Muchas organizaciones no son plenamente conscientes de la cantidad de aplicaciones en uso, en qué medida son utilizados, o por quién. Esta falta de visibilidad obliga a las organizaciones a implementar (bloquear lista) enfoques de aplicación en los que bloquean selectivamente el tráfico y los destinos conocidos por ser un riesgo para la organización. El cortafuegos de próxima generación también le permite implementar un (lista de permitidos) política de cumplimiento en la que permite de forma selectiva que las aplicaciones necesarias ejecuten su organización. Una clave para la aplicación positiva es App-ID. App-ID identifica las aplicaciones atravesar el cortafuegos, independientemente del puerto o protocolo, incluso si el tráfico se canaliza en genérico Los túneles de encapsulación de enrutamiento (GRE) utilizan tácticas evasivas o están encriptados. App-ID puede determinar la diferencia entre las aplicaciones base y las funciones de la aplicación. Este nivel de La visibilidad brinda una comprensión completa de las aplicaciones en su red y su valor. y riesgo para su organización. © 2021 Palo Alto Networks, Inc. 134 Página 135 Tecnología de clasificación de tráfico App-ID La primera tarea que ejecuta un cortafuegos de próxima generación de Palo Alto Networks es usar App-ID para identificar las aplicaciones que atraviesan la red. App-ID utiliza un enfoque multifacético para determinar la aplicación, independientemente del puerto, protocolo, cifrado (SSL y SSH) u otro tácticas evasivas empleadas. El número y orden de los mecanismos de identificación utilizados para identificar la aplicación varía según la aplicación. Las técnicas de identificación de aplicaciones (ver Figura 2-7) utilizados incluyen: ● Firmas de la aplicación: para identificar una aplicación, App-ID primero usa firmas para buscar para conocer las propiedades únicas de la aplicación y las características de transacción relacionadas. La firma también determina si la aplicación está utilizando su puerto predeterminado o un puerto no estándar. Las firmas basadas en el contexto buscan propiedades únicas y características de transacción para Identificar correctamente la aplicación independientemente del puerto y protocolo que se utilice. Estos Las firmas incluyen la capacidad de detectar funciones específicas dentro de las aplicaciones (como archivos transferencias dentro de aplicaciones SaaS). Si la política de seguridad permite la identificación aplicación, App-ID analiza más el tráfico para identificar aplicaciones más granulares y escanear para amenazas. ● Descifrado TLS / SSL y SSH: si App-ID determina que el cifrado TLS / SSL está en utilizar, puede descifrar y reevaluar el tráfico. App-ID utiliza un enfoque similar con SSH para determinar si el reenvío de puertos se está utilizando para canalizar el tráfico a través de SSH. ● Decodificación de aplicaciones y protocolos: para protocolos conocidos, los decodificadores aplican firmas basadas en el contexto para detectar aplicaciones que hacen un túnel dentro de los protocolos. Decodificadores validar que el tráfico se ajuste a la especificación del protocolo y que sean compatibles con la red traducción de direcciones (NAT) transversal y apertura de orificios dinámicos para aplicaciones como como Voz sobre IP (VoIP) o Protocolo de transferencia de archivos (FTP). Decodificadores para populares Las aplicaciones también identifican las funciones individuales dentro de la aplicación. Además de Identificar aplicaciones, decodificadores identifican archivos y otros contenidos para ser escaneados. amenazas o datos sensibles. ● Heurística: en algunos casos, las aplicaciones evasivas no se pueden detectar mediante el uso de decodificación de firma y protocolo. En esos casos, App-ID utiliza heurística o conductual análisis para identificar aplicaciones que utilizan cifrado patentado, como peer-to-peer (P2P) intercambio de archivos. El análisis heurístico, con las otras técnicas de App-ID, proporciona visibilidad de aplicaciones que, de otro modo, podrían eludir la identificación. Las heurísticas son específicos para cada aplicación e incluyen comprobaciones basadas en información como el paquete https://translate.googleusercontent.com/translate_f 109/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS longitud, velocidad de la sesión y origen del paquete. © 2021 Palo Alto Networks, Inc. 135 Página 136 Figura 2-7: Cómo Palo Alto Networks App-ID clasifica las aplicaciones Con App-ID como elemento fundamental para cada nueva generación de Palo Alto Networks Firewall, los administradores pueden recuperar la visibilidad y el control de las aplicaciones que atraviesan la red. App-ID: abordar aplicaciones personalizadas o desconocidas Puede usar el Centro de comando de aplicaciones (ACC) para ver las aplicaciones en uso en su organización. Una vez que haya determinado el valor de una aplicación para su organización, App-ID controla la política de seguridad para esa aplicación. La política de seguridad puede incluir una serie de diferentes acciones, tales como: ● Permitir o negar ● Permitir, pero analizar el contenido en busca de vulnerabilidades, virus y otras amenazas. ● Permitir según el horario, los usuarios o los grupos ● Controlar la transferencia de archivos o datos confidenciales ● Permitir o denegar un subconjunto de funciones de la aplicación. Mientras compila la lista de aplicaciones que desea admitir, tolerar o bloquear, AppID puede restringir las aplicaciones que se comportan de manera no deseada. Puede utilizar categorías de aplicaciones, tecnologías y clasificaciones de riesgo para definir una política de seguridad para bloquear cualquier aplicación que coincida esas características. https://translate.googleusercontent.com/translate_f 110/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 136 Página 137 La habilitación de aplicaciones seguras a menudo significa lograr un equilibrio de política de seguridad adecuado entre permitir algunas funciones de la aplicación y negar otras. Ejemplos incluyen: ● Permitir Facebook, pero negar el correo, el chat, las publicaciones y las aplicaciones de Facebook, de manera efectiva. Permitir a los usuarios solo navegar por Facebook ● Permitir el uso de aplicaciones SaaS como Dropbox pero denegar la carga de archivos. Esta La técnica otorga a los usuarios internos acceso a recursos compartidos de archivos personales, pero evita intencionalmente o filtraciones no intencionales de información corporativa. La lista de App-ID se actualiza mensualmente, con nuevas aplicaciones agregadas en función de la entrada de la Comunidad de Palo Alto Networks (clientes, socios) y tendencias del mercado. Todos los ID de aplicación son clasificados por categoría, subcategoría, tecnología y clasificación de riesgo. La política de seguridad puede usar estas clasificaciones para admitir automáticamente nuevas aplicaciones a medida que se expande la lista de ID de aplicaciones. Alternativamente, puede especificar que desea revisar nuevas aplicaciones y determinar cómo se tratan antes de que se instale la nueva lista. A pesar de las actualizaciones periódicas, el tráfico de aplicaciones desconocidas inevitablemente seguirá siendo detectado en el red, como: ● Aplicaciones comerciales desconocidas: los administradores pueden utilizar el ACC y el registro. visor para determinar rápidamente si una aplicación desconocida es comercial solicitud. Los administradores pueden utilizar la función de captura de paquetes (pcap) en Palo Alto Firewall de próxima generación de redes para registrar el tráfico y enviarlo para App-ID desarrollo. El nuevo App-ID se desarrolla, se prueba con la organización y luego se agrega a la base de datos global para todos los usuarios. ● Aplicaciones internas o personalizadas: los administradores pueden usar el ACC y el visor de registros para Determine rápidamente si una aplicación desconocida es una aplicación interna o personalizada. Puede desarrollar un App-ID personalizado para la aplicación, utilizando el protocolo expuesto decodificadores. Los decodificadores de protocolo que se han expuesto incluyen: ▪ FTP (Protocolo de transferencia de archivos) ▪ HTTP (Protocolo de transferencia de hipertexto) y HTTPS (HTTP seguro o HTTP sobre SSL) ▪ IMAP (Protocolo de acceso a mensajes de Internet) y SMTP (Protocolo simple de transferencia de correo) ▪ RTSP (Protocolo de transmisión en tiempo real) ▪ Telnet ▪ desconocido-TCP, desconocido-UDP y cuerpo de archivo (para html / pdf / flv / swf / riff / mov) Después de que se desarrolle el App-ID personalizado, el tráfico identificado por él se trata de la misma manera que el tráfico previamente clasificado: se puede habilitar a través de una política, inspeccionarse en busca de amenazas, dar forma usando calidad de servicio (QoS), etc. Alternativamente, se puede crear y aplicar una anulación de la aplicación, que efectivamente cambia el nombre de la aplicación. Las entradas de App-ID personalizadas se gestionan en un base de datos en el firewall de próxima generación para garantizar que no se vean afectados por el ID de aplicación semanal actualizaciones. Un punto importante a destacar es que los cortafuegos de próxima generación de Palo Alto Networks utilizan un modelo de aplicación positiva, lo que significa que se puede denegar todo el tráfico excepto esas aplicaciones que están expresamente permitidos a través de la política. Este modelo de aplicación positiva significa que en algunos casos © 2021 Palo Alto Networks, Inc. 137 Página 138 el tráfico desconocido se puede bloquear fácilmente o controlar estrictamente. Ofertas alternativas que son basado en IPS permitirá que el tráfico desconocido pase sin proporcionar ninguna apariencia de visibilidad o control. App-ID en acción: identificación de WebEx https://translate.googleusercontent.com/translate_f 111/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Cuando un usuario inicia una sesión de WebEx, la conexión inicial es una comunicación basada en SSL. Con App-ID, el dispositivo ve el tráfico y determina que está usando SSL. Si hay un coincidencia de la regla de política de descifrado, luego se inician el motor de descifrado y los decodificadores de protocolo para descifrar el SSL y detectar que es tráfico HTTP. Una vez que el decodificador tiene el flujo HTTP, App-ID puede aplicar firmas contextuales y detectar que la aplicación en uso es WebEx. Luego, WebEx se muestra en el ACC y se puede controlar mediante una política de seguridad. Si el usuario final inicia la función de uso compartido de escritorio de WebEx, WebEx se somete a un "cambio de modo": la sesión ha se ha modificado de una aplicación de conferencias a una aplicación de acceso remoto. En este escenario, el Las características de WebEx han cambiado y App-ID detecta el uso compartido de escritorio de WebEx. característica, que luego se muestra en el ACC. En esta etapa, un administrador ha aprendido más sobre el uso de la aplicación y puede ejercer un control de políticas sobre el uso de WebEx Desktop Compartir función por separado del uso general de WebEx. Identificación de aplicaciones y control de políticas La identificación de la aplicación permite a los administradores ver las aplicaciones en la red, aprender cómo funcionan y analizar sus características de comportamiento y riesgo relativo. Cuando la aplicación La identificación se utiliza junto con la identificación del usuario, los administradores pueden ver exactamente quién utiliza la aplicación en función de su identidad, no solo de una dirección IP. Con esta información, Los administradores pueden usar reglas granulares basadas en un modelo de seguridad positivo para bloquear lo desconocido. aplicaciones, mientras habilita, inspecciona y da forma a aquellas aplicaciones que están permitidas. Una vez que se ha identificado una aplicación y se obtiene una imagen completa de su uso, las organizaciones puede aplicar políticas con una variedad de respuestas que son mucho más granulares que el "permitir" o "Denegar" acciones disponibles en firewalls heredados. Ejemplos incluyen: ● Permitir o denegar ● Permitir, pero analizar en busca de vulnerabilidades, virus y otras amenazas. ● Permitir según la programación, los usuarios o los grupos. ● Descifrar e inspeccionar ● Aplicar la configuración del tráfico a través de QoS. ● Aplicar reenvío basado en políticas ● Permitir determinadas funciones de la aplicación ● Cualquier combinación de los ejemplos anteriores. © 2021 Palo Alto Networks, Inc. 138 Página 139 Control de función de aplicación Para muchas organizaciones, la habilitación de aplicaciones seguras significa lograr una seguridad adecuada equilibrio de políticas al habilitar la funcionalidad de la aplicación individual mientras se bloquean otras funciones dentro de la misma aplicación. Los ejemplos pueden incluir: ● Permitir documentos de SharePoint pero bloquear el uso de la administración de SharePoint. ● Bloquear el correo, el chat, las publicaciones y las aplicaciones de Facebook, pero permitir que el propio Facebook permitiendo efectivamente a los usuarios navegar solo en Facebook App-ID utiliza una jerarquía de aplicaciones que sigue un modelo de "contenedor y función de apoyo" para ayudar a los administradores a elegir fácilmente qué aplicaciones permitir, mientras bloquean o controlan funciones dentro de la aplicación. La figura 2-8 muestra SharePoint como la aplicación de contenedor y el individuo funciona dentro de él. https://translate.googleusercontent.com/translate_f 112/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-8: El control de la función de aplicación maximiza la productividad al habilitar aplicación en sí (Microsoft SharePoint) o funciones individuales. Control de múltiples aplicaciones: filtros y grupos dinámicos En algunos casos, las organizaciones pueden querer controlar las aplicaciones de forma masiva, en lugar de controlar ellos individualmente. Los dos mecanismos del cortafuegos de próxima generación de Palo Alto Networks que abordan esta necesidad son los grupos de aplicaciones y los filtros dinámicos: ● Grupos de aplicaciones: un grupo de aplicaciones es una lista estática de aplicaciones que se pueden utilizado para permitir su uso para ciertos usuarios mientras bloquea su uso para otros. Por ejemplo, aplicaciones de administración remota como el Protocolo de escritorio remoto (RDP), Telnet y El personal de soporte de TI suele utilizar Secure Shell (SSH), pero los empleados externos Estos grupos también utilizan estas herramientas para acceder a sus redes domésticas. Un grupo de aplicaciones se puede crear y asignar al soporte de TI a través de User-ID, vinculando los grupos al © 2021 Palo Alto Networks, Inc. 139 Página 140 política. Los nuevos empleados solo deben agregarse al grupo de directorio; no hay actualizaciones necesario para la política en sí. ● Filtros dinámicos: un filtro dinámico es un conjunto de aplicaciones que se crea en función de cualquier combinación de los criterios de filtrado: categoría, subcategoría, característica de comportamiento, tecnología subyacente o factor de riesgo. Una vez creado el filtro deseado, una política que bloquea o habilita y escanea el tráfico que se puede aplicar. A medida que se agregan nuevos archivos de App-ID, cumplen los criterios del filtro, el filtro se actualiza automáticamente tan pronto como el dispositivo se actualizado, minimizando así el esfuerzo administrativo asociado con la política administración. Identificación de usuario Al definir políticas de seguridad basadas en el uso de la aplicación, un componente clave de esa política es quién debería poder utilizar esas aplicaciones. Las direcciones IP son identificadores ineficaces del usuario o del papel del servidor dentro de la red. Con el ID de usuario y el grupo de direcciones dinámicas (DAG) características, puede asociar dinámicamente una dirección IP con un usuario o la función de un servidor en el centro de datos. Posteriormente, puede definir políticas de seguridad que se adapten dinámicamente a los cambios Ambientes. En entornos que admiten varios tipos de usuarios finales (por ejemplo, marketing o Recursos) en una variedad de ubicaciones y tecnologías de acceso, una garantía de la segmentación de cada tipo de usuario no es realista. Visibilidad de la actividad de la aplicación en un usuario nivel, no solo a nivel de dirección IP, le permite habilitar las aplicaciones de manera más efectiva atravesando la red. Puede definir políticas de entrada y salida para habilitar de forma segura aplicaciones basadas en usuarios o grupos de usuarios. Los ejemplos de políticas basadas en el usuario incluyen: ● Permitir que el departamento de TI use SSH, Telnet y FTP en puertos estándar ● Permitir que el grupo de servicios de la mesa de ayuda utilice Slack ● Permitir que todos los usuarios lean Facebook pero bloquear el uso de aplicaciones de Facebook y restringir la publicación solo a empleados en marketing ID de usuario: integración de la información del usuario y las políticas de seguridad https://translate.googleusercontent.com/translate_f 113/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Creación y gestión de políticas de seguridad en un firewall de última generación, basado en la la aplicación y la identidad del usuario, independientemente del dispositivo o la ubicación, es un medio más eficaz de proteger la red que confiar únicamente en el puerto y la información de la dirección IP en el legado, puerto cortafuegos basados. User-ID permite a las organizaciones aprovechar la información del usuario almacenada en una amplia gama de repositorios para los siguientes propósitos: ● Visibilidad: visibilidad mejorada del uso de la aplicación en función de la información del usuario y del grupo. puede ayudar a las organizaciones a mantener una visión más precisa de la actividad de la red. ● Control de políticas: vincular la información del usuario a la política de seguridad ayuda a las organizaciones a Habilite de forma segura aplicaciones o funciones de aplicaciones específicas, mientras reduce la esfuerzo administrativo asociado con movimientos, adiciones y cambios de empleados. ● Registro e informes: si ocurre un incidente de seguridad, análisis e informes forenses puede incluir información del usuario, lo que proporciona una vista más completa del incidente. © 2021 Palo Alto Networks, Inc. 140 Página 141 User-ID en acción User-ID integra a la perfección los cortafuegos de próxima generación de Palo Alto Networks con una amplia gama de repositorios de usuarios y entornos de servicios de terminal. Dependiendo del entorno de red, Se pueden configurar múltiples técnicas para asignar con precisión la identidad del usuario a una dirección IP. Los eventos incluyen eventos de autenticación, autenticación de usuario, monitoreo de servicios de terminal, cliente sondeo, integración de servicios de directorio y una potente API XML (consulte la Figura 2-9). Figura 2-9: User-ID integra directorios empresariales para políticas, informes y forense. Una vez que se identifican las aplicaciones y los usuarios, la visibilidad y el control totales dentro de la aplicación El Centro de comando (ACC), la edición de políticas y el registro y la generación de informes están disponibles. Herramientas de identificación de usuario y las técnicas incluyen: ● Autenticación de usuario: esta técnica permite a las organizaciones configurar un desafío secuencia de autenticación de respuesta para recopilar información sobre el usuario y la dirección IP, siguientes herramientas: ▪ Portal de autenticación: en los casos en que los administradores necesiten establecer reglas qué usuarios deben autenticarse en el firewall antes de acceder a Internet, El portal de autenticación se puede implementar. El portal de autenticación se utiliza en los casos en que el https://translate.googleusercontent.com/translate_f 114/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS el usuario no puede ser identificado mediante otros mecanismos. El portal de autenticación se puede © 2021 Palo Alto Networks, Inc. 141 Página 142 configurado para enviar una solicitud de autenticación de NT LAN Manager (NTLM) a la web navegador para que el proceso de autenticación sea transparente para el usuario. ▪ Prisma Access: los usuarios que inician sesión en la red con Prisma Access proporcionan usuario y alojar información en el cortafuegos de próxima generación, que, a su vez, se puede utilizar para políticas control. ● Supervisión del servidor: la supervisión de los eventos de autenticación en una red permite al usuario ID para asociar un usuario con la dirección IP del dispositivo desde el que el usuario inicia sesión hacer cumplir la política en el cortafuegos. El ID de usuario se puede configurar para monitorear la autenticación eventos para: ▪ Microsoft Active Directory: User-ID monitorea constantemente los registros de eventos del controlador de dominio para identificar a los usuarios cuando inician sesión en el dominio. Cuando un usuario inicia sesión en Windows dominio, se registra un nuevo evento de autenticación en el dominio de Windows correspondiente controlador. Supervisando de forma remota los eventos de autenticación en el dominio de Windows controladores, User-ID puede reconocer eventos de autenticación para identificar a los usuarios en la red para la creación y ejecución de políticas. ▪ Microsoft Exchange Server: el ID de usuario se puede configurar para monitorear constantemente Microsoft Eventos de inicio de sesión de Exchange producidos por clientes que acceden a su correo electrónico. Cuando este monitoreo se utiliza la técnica, incluso macOS, Apple iOS y sistemas cliente Linux / Unix que no autenticarse directamente en Active Directory puede ser descubierto e identificado. ▪ Novell eDirectory: User-ID puede consultar y supervisar la información de inicio de sesión para identificar a los usuarios y membresías de grupos a través del Protocolo ligero de acceso a directorios (LDAP) estándar consultas en servidores de eDirectory. ● Sondeo de clientes y servicios de terminal: esta técnica permite a las organizaciones configurar User-ID para monitorear clientes o hosts de Windows para recopilar la identidad y mapearla a la dirección IP. En entornos donde Citrix oculta la identidad del usuario XenApp o Microsoft Terminal Services, el agente de Terminal Services con ID de usuario puede implementado para determinar a qué aplicaciones acceden los usuarios. La siguiente las técnicas están disponibles: ▪ Sondeo del cliente: si no se puede identificar a un usuario mediante la supervisión de los eventos de autenticación, User-ID investiga activamente a los clientes de Microsoft Windows en la red para obtener información sobre el usuario actualmente conectado. Con el sondeo de clientes, los usuarios de portátiles que a menudo cambian de conectados a redes inalámbricas se pueden identificar de forma fiable. ▪ Sondeo de host: el ID de usuario también se puede configurar para sondear servidores Windows en busca de sesiones de red de un usuario. Tan pronto como un usuario accede a un recurso compartido de red en el servidor, User-ID identifica la dirección IP de origen y la asigna al nombre de usuario proporcionado para establecer La sesión. ▪ Servicios de terminal: usuarios que comparten direcciones IP mientras trabajan en Microsoft Terminal Se pueden identificar los servicios o Citrix. A cada sesión de usuario se le asigna un cierto rango de puertos en el servidor, que es completamente transparente para el usuario y permite que la próxima generación cortafuegos para asociar conexiones de red con usuarios y grupos que comparten un host en el red. © 2021 Palo Alto Networks, Inc. 142 Página 143 ● API XML: en algunos casos, es posible que las organizaciones ya tengan un repositorio de usuarios o un aplicación que se utiliza para almacenar información sobre los usuarios y su dirección IP actual. En En estos escenarios, la API XML dentro de User-ID permite una rápida integración de los https://translate.googleusercontent.com/translate_f 115/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS información con políticas de seguridad. La API XML proporciona una forma programática de mapear usuarios a direcciones IP a través de integraciones con tecnologías asociadas, como Aruba Controladores de movilidad ClearPass y Aruba. Uso de la API XML para recopilar usuarios e IP la información de dirección incluye: ▪ Entornos inalámbricos: organizaciones que utilizan 802.1 x para proteger la tecnología inalámbrica corporativa. Las redes pueden aprovechar una integración basada en syslog con la API XML User-ID para identificar usuarios a medida que se autentican en la infraestructura inalámbrica. ▪ Proxies: la autenticación solicitada por un servidor proxy se puede proporcionar a User-ID a través de su API XML analizando el archivo de registro de autenticación para obtener información sobre el usuario y la dirección IP. ▪ Control de acceso a la red (NAC): la API XML permite a las organizaciones recolectar usuarios información de entornos NAC. Como ejemplo, un proveedor de soluciones NAC podría usar la API XML User-ID para completar los inicios y cierres de sesión de los usuarios de su solución 802.1 x . Esta La integración permite a las organizaciones identificar a los usuarios tan pronto como se conectan a la red. y establecer políticas de habilitación basadas en el usuario. ● Oyente de Syslog: en entornos con servicios de red existentes que autentican a los usuarios (por ejemplo, controladores inalámbricos, 802.1 x , o productos NAC), ID de usuario puede controlar syslog mensajes para mapeo de usuarios. Los filtros de syslog extensibles controlan el análisis de syslog mensajes. Los filtros de Syslog pueden ser definidos por el usuario, pero hay varios filtros predefinidos disponibles, incluidos los de proxy Blue Coat, redes inalámbricas de área local (WLAN) y Pulse Política segura. Para permitir que las organizaciones especifiquen reglas de seguridad basadas en grupos de usuarios y resuelvan el grupo miembros automáticamente, User-ID se integra con los servidores de directorio mediante el uso de un estándar protocolo y una configuración flexible. Una vez configurada la integración con el servidor de directorio, el cortafuegos recupera automáticamente la información de usuarios y grupos de usuarios y mantiene la información actualizado para ajustarse automáticamente a los cambios en la base de usuarios u organización. Después de que User-ID recopila la información del usuario, el firewall de próxima generación utiliza LDAP para obtener información de grupo para ese usuario. Además, como en el caso del mapeo de usuarios, la API XML puede servir como una interfaz programática para una capacidad flexible de mapeo de grupos. Con el mapeo de grupo, el User-ID puede expresar las políticas de seguridad en términos de grupos, lo que permite que las políticas existentes se actualicen dinámicamente User-ID agrega o quita usuarios de grupos. User-ID le ofrece solo la mitad de la vista al asociar direcciones IP a usuarios específicos. Servidores y muchos otros dispositivos no pueden utilizar a un usuario para identificar sus requisitos de acceso de seguridad. Dinámica Los grupos de direcciones (DAG) le permiten crear políticas que se adapten automáticamente al servidor adiciones, movimientos o eliminaciones. También permiten la flexibilidad de aplicar la política de seguridad al dispositivo en función de su función en la red. © 2021 Palo Alto Networks, Inc. 143 Página 144 Un DAG utiliza etiquetas como criterio de filtrado para determinar sus miembros. Puede definir etiquetas estáticamente o registrarlos dinámicamente. Puede registrar dinámicamente la dirección IP y las etiquetas asociadas para un dispositivo en el cortafuegos mediante el uso de la API XML o el agente de supervisión de VM en el cortafuegos; cada dirección IP registrada puede tener varias etiquetas. Dentro de los 60 segundos de la llamada a la API, el firewall registra la dirección IP y las etiquetas asociadas y actualiza automáticamente la membresía información para los DAG. Dado que los miembros de un DAG se actualizan automáticamente, puede utilizar grupos de direcciones para adaptar a los cambios en su entorno sin depender de un administrador del sistema para hacer políticas cambios y consúltelos (consulte la Figura 2-10). https://translate.googleusercontent.com/translate_f 116/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-10: Grupos de direcciones dinámicas (DAG) © 2021 Palo Alto Networks, Inc. 144 Página 145 Visibilidad de la actividad de un usuario El poder de User-ID se vuelve evidente cuando App-ID encuentra una aplicación extraña o desconocida En la red. Un administrador puede utilizar el ACC o el visor de registros para identificar el aplicación, quién está utilizando la aplicación, el ancho de banda y el consumo de sesión, las fuentes y destinos del tráfico de la aplicación y cualquier amenaza asociada. La visibilidad de la actividad de la aplicación a nivel de usuario, no solo a nivel de dirección IP, permite organizaciones para habilitar de manera más efectiva las aplicaciones que atraviesan la red. Administradores puede alinear el uso de la aplicación con los requisitos de la unidad de negocio y, si corresponde, puede optar por informar al usuario que está violando la política, o puede tomar el enfoque más directo de bloquear el uso de la aplicación por parte del usuario. Control de políticas basado en el usuario Se pueden crear controles de políticas basados en el usuario en función de la aplicación, categoría y subcategoría, tecnología subyacente o características de la aplicación. Las políticas se pueden utilizar para habilitar de forma segura aplicaciones basadas en usuarios o grupos, ya sea en una dirección saliente o entrante. Las políticas basadas en el usuario pueden incluir: ● Permitir que solo el departamento de TI use herramientas como SSH, Telnet y FTP en su puertos estándar ● Permitir que el grupo de servicios de la mesa de ayuda utilice Yahoo Messenger. ● Permitir Facebook para todos los usuarios, permitir que solo el grupo de marketing utilice las publicaciones en Facebook, y bloquear el uso de aplicaciones de Facebook para todos los usuarios Optimizador de políticas Policy Optimizer puede ayudar a las organizaciones a migrar de configuraciones de reglas de firewall heredadas a https://translate.googleusercontent.com/translate_f 117/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS reglas basadas en aplicaciones a través de App-ID. Esta capacidad refuerza la postura de seguridad mediante el uso de App-ID para cerrar cualquier brecha de seguridad y minimizar los errores de configuración, que son una de las principales causas de infracciones. Policy Optimizer analiza el uso de la aplicación y recomienda reglas de política que reducen exposición y riesgo. Policy Optimizer identifica las reglas basadas en puertos para que se puedan convertir en basadas en aplicaciones. reglas. La conversión de reglas basadas en puertos a reglas basadas en aplicaciones mejora la seguridad general postura porque puede permitir las aplicaciones que desea permitir y luego negar todas las demás aplicaciones. Policy Optimizer simplifica su capacidad para priorizar qué reglas basadas en puertos migre primero, identifique reglas basadas en aplicaciones que permitan aplicaciones que no usa y analice las características de uso de cada regla, como el recuento de aciertos. © 2021 Palo Alto Networks, Inc. 145 Página 146 Identificación de contenido La identificación de contenido infunde firewalls de próxima generación con capacidades que no son posibles en el legado, cortafuegos basados en puertos. La identificación de la aplicación elimina los vectores de amenazas mediante un control estricto de todo tipo de aplicaciones. Esta capacidad reduce inmediatamente la superficie de ataque del red, después de lo cual todo el tráfico permitido se analiza en busca de exploits, malware, URL peligrosas y archivos o contenido peligrosos o restringidos. La identificación de contenido va más allá de dejar de conocer amenazas para identificar y controlar de forma proactiva el malware desconocido, que a menudo se utiliza como borde de ataques de red sofisticados. Prevención de amenazas Las redes empresariales se enfrentan a un panorama de amenazas en rápida evolución lleno de aplicaciones modernas, exploits, malware y estrategias de ataque que pueden evitar los métodos tradicionales de detección. Amenazas se entregan a través de aplicaciones que saltan puertos dinámicamente, usan puertos no estándar, hacen un túnel dentro otras aplicaciones, o esconderse dentro de proxies, SSL u otros tipos de cifrado. Estas tecnicas puede evitar que las soluciones de seguridad tradicionales como IPS y firewalls inspeccionen el tráfico, lo que permite que las amenazas fluyan fácil y repetidamente a través de la red. Además, las empresas están expuestos a malware dirigido y personalizado, que puede pasar desapercibido a través de soluciones anti-malware. Content-ID de Palo Alto Networks aborda estos desafíos con una prevención de amenazas única capacidades que no se encuentran en las soluciones de seguridad tradicionales. Primero, el firewall de próxima generación elimina los métodos que utilizan las amenazas para esconderse de la seguridad mediante el análisis completo de todo el tráfico, en todos los puertos independientemente de las técnicas de evasión, tunelización o elusión que se utilicen. No La solución de prevención de amenazas será eficaz si no tiene visibilidad del tráfico. palo Alto La tecnología de redes asegura la visibilidad a través de la identificación y control de todo el tráfico, utilizando las siguientes herramientas y técnicas: ● Decodificadores de aplicaciones: Content-ID aprovecha las más de 100 aplicaciones y protocolos. decodificadores en App-ID para buscar amenazas ocultas dentro de los flujos de datos de la aplicación. Esta herramienta permite que el firewall detecte y prevenga amenazas canalizadas dentro de aplicaciones aprobadas que pasaría por alto las soluciones IPS o proxy tradicionales. ● Formato de firma de amenazas uniforme: en lugar de utilizar un conjunto separado de motores de análisis y firmas para cada tipo de amenaza, Content-ID aprovecha un motor de amenazas uniforme y formato de firma para detectar y bloquear una amplia gama de actividades de malware C2 y explota vulnerabilidades en una sola pasada. ● Protección contra ataques de vulnerabilidad (IPS): rutinas sólidas para la normalización del tráfico y La desfragmentación está unida por anomalía de protocolo, anomalía de comportamiento y heurística. mecanismos de detección para proporcionar protección contra la más amplia gama de amenazas desconocidas. ● Inteligencia basada en la nube: para contenido desconocido, WildFire proporciona un análisis rápido y https://translate.googleusercontent.com/translate_f 118/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS un veredicto que el firewall puede aprovechar. © 2021 Palo Alto Networks, Inc. 146 Página 147 ● Descifrado SSL: cada vez más conexiones de tráfico web se cifran con SSL por predeterminado, que puede proporcionar cierta protección a los usuarios finales, pero SSL también puede proporcionar atacantes con un canal encriptado para entregar exploits y malware. Palo Alto Networks asegura la visibilidad al brindar a las organizaciones de seguridad la flexibilidad para, por política, de manera granular mire dentro del tráfico SSL según la aplicación o la categoría de URL. ● Control de las tecnologías de elusión: los atacantes y el malware tienen cada vez más recurrió a proxies, anonimizadores y una variedad de proxies encriptados para esconderse de productos tradicionales de seguridad de red. Los productos de Palo Alto Networks brindan la capacidad de controle estrictamente estas tecnologías y limítelas a los usuarios aprobados, mientras bloquea comunicaciones no aprobadas que podrían ser utilizadas por atacantes. Escaneo de malware basado en flujo La prevención de malware conocido se realiza mediante el uso de un análisis basado en flujo, un técnica que comienza a escanear tan pronto como se reciben los primeros paquetes del archivo, a diferencia de esperando hasta que todo el archivo se cargue en la memoria para comenzar a escanear. Escaneo basado en flujo minimiza los problemas de rendimiento y latencia al recibir, escanear y enviar tráfico a su destino previsto inmediatamente sin tener que almacenar primero en búfer y luego escanear el archivo (ver Figura 2-11). Figura 2-11: El escaneo basado en flujo ayuda a minimizar la latencia y maximizar el rendimiento rendimiento. © 2021 Palo Alto Networks, Inc. 147 Página 148 https://translate.googleusercontent.com/translate_f 119/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Prevención de intrusiones Content-ID protege las redes de todo tipo de vulnerabilidades, desbordamientos de búfer, DoS ataques y escaneos de puertos que conducen al compromiso de empresas confidenciales y sensibles información. Los mecanismos IPS en Content-ID incluyen: ● Decodificadores de protocolo y detección de anomalías. ● Coincidencia de patrones con estado ● Detección de anomalías estadísticas ● Análisis basado en heurística ● Detección de paquetes no válidos o con formato incorrecto ● Desfragmentación de IP y reensamblaje de TCP ● Firmas personalizadas de teléfono-hogar de software espía y vulnerabilidades El tráfico se normaliza para eliminar paquetes inválidos y con formato incorrecto, mientras que el reensamblaje de TCP e IP La desfragmentación se realiza para garantizar la máxima precisión y protección a pesar de cualquier paquete técnicas de evasión de nivel. Filtrado de archivos y datos El filtrado de archivos y datos aprovecha la inspección en profundidad de las aplicaciones y permite Aplicación de políticas que reducen el riesgo de transferencia de información no autorizada o malware. propagación. Las capacidades de filtrado de archivos y datos en Content-ID incluyen: ● Bloqueo de archivos por tipo: controle el flujo de una amplia gama de tipos de archivos buscando en profundidad dentro de la carga útil para identificar el tipo de archivo (en lugar de mirar solo el archivo extensión) ● Filtrado de datos: controle la transferencia de patrones de datos confidenciales, como números de tarjetas de crédito. y números de seguro social en el contenido de la solicitud o en los archivos adjuntos ● Control de la función de transferencia de archivos : controle la función de transferencia de archivos dentro de un aplicación individual, que permite el uso de la aplicación al tiempo que evita entradas no deseadas o transferencia de archivos salientes Correlación de registros e informes El filtrado de registros de gran alcance permite a los administradores investigar rápidamente los incidentes de seguridad mediante correlacionar las amenazas con las aplicaciones y la identidad del usuario. El ACC proporciona una vista completa de datos actuales e históricos, incluida la actividad de la red, el uso de aplicaciones, los usuarios y las amenazas en un formato interactivo altamente visual, totalmente personalizable y fácil de usar. Esta visibilidad permite administradores para tomar decisiones de políticas informadas y responder rápidamente a la seguridad potencial amenazas. El ACC proporciona una vista con pestañas de la actividad de la red, la actividad de amenazas y la actividad bloqueada, y cada pestaña incluye widgets pertinentes para una mejor visualización de los patrones de tráfico en la red (consulte Figura 2-12). © 2021 Palo Alto Networks, Inc. 148 Página 149 https://translate.googleusercontent.com/translate_f 120/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-12 : El ACC proporciona una seguridad altamente visual, interactiva y personalizable. tablero de administración. La figura 2-13 muestra un widget central del ACC, el widget de uso de aplicaciones. En este caso, el El widget muestra el tráfico de la aplicación en bytes. Las aplicaciones (cuadros de colores) se agrupan en categorías de aplicación (barras grises). El tamaño de cada cuadro indica la cantidad de tráfico en un determinado aplicación consumida durante el período de tiempo seleccionado. El color de la caja indica el riesgo. nivel de una aplicación, donde el rojo es crítico, el naranja medio y el azul el riesgo más bajo. El La lista tabular debajo del gráfico muestra información adicional, como el número de sesiones, amenazas detectadas, contenido o archivos incluidos y URL a las que acceden estas aplicaciones. © 2021 Palo Alto Networks, Inc. 149 Página 150 Figura 2-13: El widget de uso de la aplicación ACC muestra el tráfico de la aplicación por tipo, cantidad, riesgo y categoría. En la Figura 2-14, un widget ACC muestra el origen y el destino por región, con una visualización de donde se origina y se dirige el tráfico. Los mapas del mundo son interactivos y brindan la capacidad de Obtenga más detalles e información sobre el tráfico hacia o desde países individuales. https://translate.googleusercontent.com/translate_f 121/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-14: El conocimiento de la geolocalización en el ACC proporciona información valiosa sobre la fuente y destino de todo el tráfico de aplicaciones. © 2021 Palo Alto Networks, Inc. 150 Página 151 La figura 2-15 muestra un widget ACC que muestra el poder del control de aplicaciones en un siguiente cortafuegos de generación frente a un cortafuegos tradicional basado en puertos. Este widget muestra aplicaciones con capacidades de salto de puerto utilizando puertos no estándar. Figura 2-15: El widget Aplicaciones ACC que utilizan puertos no estándar destaca el salto de puerto y muestra la importancia de la aplicación frente al control de puertos. También se pueden crear pestañas personalizadas que incluyan widgets que permitan a los administradores ver más Información específica. Con el ACC, cada administrador puede personalizar sus propias vistas seleccionar widgets prediseñados de una lista desplegable y crear su propia interfaz de usuario (consulte Figura 2-16). https://translate.googleusercontent.com/translate_f 122/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 151 Página 152 Figura 2-16: Se puede seleccionar una amplia variedad de widgets para personalizar pestañas en el ACC. Además de personalizar las pestañas existentes (Actividad de red, Actividad de amenazas y Bloqueado Actividad), los administradores pueden crear pestañas personalizadas para monitorear ciertos empleados, situaciones o aplicaciones. Con las capacidades interactivas del ACC, puede obtener más información sobre aplicaciones, URL categorías, niveles de riesgo o amenazas para obtener una vista completa de la red y la actividad de amenazas (consulte la Figura 2-17). © 2021 Palo Alto Networks, Inc. 152 Página 153 https://translate.googleusercontent.com/translate_f 123/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-17: Las capacidades interactivas con un clic brindan información adicional y la capacidad de aplicar cualquier elemento como filtro global. El motor de correlación automatizado en ACC es una herramienta de análisis que muestra amenazas críticas que puede estar oculto en la red. Reduce la extracción manual de datos y permite una respuesta más rápida. veces. Examina los eventos aislados automáticamente en varios registros, consulta los datos para patrones específicos y correlaciona eventos de red para identificar hosts comprometidos. E incluye objetos de correlación definidos por el equipo de investigación de malware de Palo Alto Networks. Estos Los objetos identifican patrones de tráfico sospechosos, hosts comprometidos y otros eventos que indican un resultado malicioso. Algunos objetos de correlación pueden identificar patrones dinámicos que se han observado a partir de muestras de malware en WildFire. © 2021 Palo Alto Networks, Inc. 153 Página 154 Los objetos de correlación desencadenan eventos de correlación cuando coinciden en los patrones de tráfico y la red. artefactos que indican un host comprometido en su red. En el ACC, los desencadenantes de correlación son claramente identificado y resaltado para permitir una respuesta rápida (consulte la Figura 2-18). https://translate.googleusercontent.com/translate_f 124/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-18: El motor de correlación automatizado resalta automáticamente los hosts comprometidos en el ACC correlacionando los indicadores de compromiso (IoC). Un registro es un archivo con marca de tiempo generado automáticamente que proporciona una pista de auditoría para el sistema. eventos en el firewall o eventos de tráfico de red que monitorea el firewall. Las entradas de registro contienen artefactos , que son propiedades, actividades o comportamientos asociados con el evento registrado, como el tipo de aplicación o la dirección IP de un atacante. Cada tipo de registro registra información para un tipo de evento separado. Por ejemplo, el firewall genera un registro de amenazas para registrar el tráfico que coincide con un software espía, una vulnerabilidad o una firma de virus o un ataque DoS que coincide con los umbrales configurado para un escaneo de puertos o una actividad de barrido de host en el firewall. Los siguientes registros se pueden ver desde la pestaña Monitor en Palo Alto Networks Next-Generation Cortafuegos: ● Registros de alarmas: una alarma es un mensaje generado por un firewall que indica que el número de eventos de un tipo particular (por ejemplo, fallos de cifrado y descifrado) ha superado el umbral configurado para ese tipo de evento. ● Registros de configuración: estos registros muestran entradas para cambios en la configuración del firewall. Cada La entrada incluye la fecha y la hora, el nombre de usuario del administrador, la dirección IP desde donde el administrador hizo el cambio, el tipo de cliente (web, CLI o Panorama), el tipo del comando ejecutado, el estado del comando (exitoso o fallido), la ruta de configuración, y los valores antes y después del cambio. ● Registros de correlación: el firewall registra un evento correlacionado cuando los patrones y umbrales definidos en un objeto de correlación coinciden con los patrones de tráfico en su red. ● Registros de filtrado de datos: estos registros muestran entradas para las reglas de seguridad que ayudan a prevenir información confidencial, como números de tarjetas de crédito, para que no salgan del área que el firewall protege. © 2021 Palo Alto Networks, Inc. 154 Página 155 ● Registros de coincidencia de HIP: la función Perfil de información del host (HIP) de Prisma Access le permite para recopilar información sobre el estado de seguridad de los dispositivos finales que acceden a su red (por ejemplo, si tienen habilitado el cifrado de disco). El cortafuegos puede permitir o denegar acceso a un host específico basado en el cumplimiento de las reglas de seguridad basadas en HIP que usted defina. Los registros HIP Match muestran los flujos de tráfico que coinciden con un objeto HIP o un perfil HIP que usted configurado para las reglas. ● Registros del sistema: estos registros muestran entradas para cada evento del sistema en el firewall. Cada entrada incluye la fecha y hora, la gravedad del evento y la descripción del evento. ● Registros de amenazas: estos registros muestran entradas cuando el tráfico coincide con uno de los perfiles de seguridad. adjunto a una regla de seguridad en el cortafuegos. Cada entrada incluye la siguiente información: fecha y hora; tipo de amenaza (como virus o software espía); descripción de la amenaza o URL (Nombre columna); zonas, direcciones y puertos de origen y destino; Nombre de la aplicación; alarma acción (como "permitir" o "bloquear"); y nivel de gravedad. ● Registros de tráfico: estos registros muestran una entrada para el inicio y el final de cada sesión. Cada entrada incluye la siguiente información: fecha y hora; zonas de origen y destino, direcciones y puertos; Nombre de la aplicación; regla de seguridad aplicada al flujo de tráfico; regla acción ("permitir", "negar" o "eliminar"); interfaz de entrada y salida; número de bytes; y motivo de finalización de la sesión. ● Registros unificados: los registros unificados son entradas de Tráfico, Amenazas, Filtrado de URL, WildFire Los registros de envíos y filtrado de datos se muestran en una sola vista. La vista de registro unificada le permite investigar y filtrar las últimas entradas de diferentes tipos de registros en una lugar, en lugar de buscar en cada tipo de registro por separado. https://translate.googleusercontent.com/translate_f 125/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Registros de filtrado de URL: estos registros muestran entradas para el tráfico que coincide con el filtrado de URL. Perfiles adjuntos a reglas de seguridad. Por ejemplo, el cortafuegos genera un registro si una regla bloquea el acceso a sitios web específicos y categorías de sitios web o si configuró una regla para generar una alerta cuando un usuario accede a un sitio web. ● Registros de envíos de WildFire: el cortafuegos reenvía muestras (enlaces de archivos y correos electrónicos) al Nube de WildFire para análisis basados en la configuración de Perfiles de análisis de WildFire. El cortafuegos genera entradas de registro de envíos de WildFire para cada muestra que envía después de WildFire completa el análisis estático y dinámico de la muestra. Entradas de registro de envíos de WildFire incluir el veredicto de WildFire para la muestra enviada. Las capacidades de generación de informes del cortafuegos de próxima generación de Palo Alto Networks le permiten monitorear el estado de su red, validar sus políticas y concentrar sus esfuerzos en mantener Seguridad de la red. Están disponibles los siguientes tipos de informes: ● Los informes de redes de bots le permiten utilizar mecanismos basados en el comportamiento para identificar posibles redes de bots. hosts infectados en la red. ● Se pueden crear y programar informes personalizados para mostrar exactamente la información que desea. ver filtrando por condiciones y columnas para incluir. También puede incluir consulta constructores para obtener detalles más específicos en los datos del informe. ● Los informes resumidos en PDF agregan hasta 18 informes y gráficos predefinidos o personalizados de Categorías de filtrado de amenazas, aplicaciones, tendencias, tráfico y URL en un solo PDF documento. © 2021 Palo Alto Networks, Inc. 155 Página 156 ● Los informes predefinidos le permiten ver un resumen del tráfico en su red. Los informes predefinidos están disponibles en cuatro categorías: aplicaciones, tráfico, amenazas y Filtrado de URL. ● Los grupos de informes combinan informes personalizados y predefinidos en grupos de informes y compilan un documento PDF único que se envía por correo electrónico a uno o más destinatarios. Actividad de usuario o grupo Los informes le permiten programar o crear un informe bajo demanda sobre el uso de la aplicación y Actividad de URL para un usuario específico o para un grupo de usuarios. El informe incluye la URL categorías y un cálculo del tiempo de navegación estimado para usuarios individuales. Los informes pueden ser generados a pedido o en un horario recurrente, y se pueden programar para correo electrónico entrega. Opciones de implementación de firewall de próxima generación La familia de firewalls de próxima generación de Palo Alto Networks incluye dispositivos físicos, cortafuegos virtualizados y cortafuegos preparados para 5G. Aparatos físicos (serie PA) La gama completa de firewalls físicos de próxima generación de Palo Alto Networks es fácil de implementar en la red de su organización. Están diseñados expresamente para simplificar, automatizar y integración. Los firewalls de la serie PA admiten una variedad de implementaciones de centros de datos y sucursales remotas casos de uso. Los firewalls de la serie PA disponibles incluyen lo siguiente (consulte la Figura 2-19): ● Serie PA-7000: los cortafuegos de próxima generación de la serie PA-7000 permiten organizaciones y proveedores de servicios para implementar seguridad en entornos de alto rendimiento, como grandes centros de datos y perímetros de red de gran ancho de banda. Estos sistemas son diseñado para manejar las crecientes necesidades de rendimiento para aplicaciones, usuarios y dispositivos datos generados, y ofrecen rendimiento, capacidades de prevención para detener la mayoría ciberataques avanzados y descifrado de alto rendimiento para detener las amenazas que se esconden bajo el velo de cifrado. La serie PA-7000 está diseñada para maximizar los recursos de procesamiento de seguridad utilizar y escalar automáticamente a medida que se disponga de nueva potencia informática, y ofrece simplicidad definida por un enfoque de sistema único para la gestión y la concesión de licencias. ● Serie PA-5200: los cortafuegos de próxima generación de la serie PA-5200 que comprenden el PA-5280, Los firewalls PA-5260, PA-5250 y PA-5220 son ideales para centros de datos de alta velocidad, Internet implementaciones de puerta de enlace y proveedor de servicios. La serie PA-5200 ofrece hasta 64 Gbps de rendimiento, utilizando procesamiento y memoria dedicados, para las áreas funcionales clave de redes, seguridad, prevención de amenazas y administración. https://translate.googleusercontent.com/translate_f 126/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Serie PA-3200: los cortafuegos de próxima generación de la serie PA-3200 que comprenden el PA-3260, PA-3250 y PA-3220 están destinados a implementaciones de puertas de enlace de Internet de alta velocidad. PENSILVANIALos dispositivos de la serie 3200 protegen todo el tráfico (incluido el tráfico cifrado) mediante procesamiento y memoria para redes, seguridad, prevención de amenazas y administración. ● Serie PA-800: Los cortafuegos de próxima generación de la serie PA-800 que comprenden el PA-850 y Los cortafuegos PA-820 están diseñados para proporcionar conectividad segura para las sucursales de las organizaciones. oficinas y para medianas empresas. ● PA-220: el cortafuegos PA-220 ofrece capacidades de cortafuegos de próxima generación para sucursales empresariales, ubicaciones minoristas y medianas empresas en un factor de forma pequeño. © 2021 Palo Alto Networks, Inc. 156 Página 157 ● PA-220R: el cortafuegos PA-220R es un cortafuegos reforzado de próxima generación que protege Redes industriales y de defensa en una variedad de entornos hostiles, como servicios públicos. subestaciones, plantas de energía, plantas de fabricación, instalaciones de petróleo y gas, construcción sistemas de gestión y redes sanitarias. Figura 2-19: Firewall de próxima generación de Strata Cortafuegos virtualizados (serie VM) Los firewalls virtuales de la serie VM brindan todas las capacidades de la próxima generación de Palo Alto Networks firewalls de hardware físico (serie PA) en un factor de forma de máquina virtual. Formulario de la serie VM Los factores respaldan una variedad de casos de uso de implementación, que incluyen: ● Microsegmentación: los firewalls virtuales de la serie VM reducen el ataque de su entorno. superficie permitiendo la segmentación granular y microsegmentación. Prevención de amenazas Las capacidades garantizan que las amenazas que ingresan al entorno se identifiquen rápidamente y detenidos antes de que puedan exfiltrar datos, entregar cargas útiles de malware o ransomware, o causar otros daños. ● Nube híbrida y multicloud: los firewalls virtuales de la serie VM eliminan la necesidad de múltiples conjuntos de herramientas de seguridad al proporcionar una visibilidad y un control completos en Entornos de nubes híbridas y multicloud, incluidos Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure y Oracle Cloud, y al igual que sin esfuerzo en redes definidas por software y entornos virtualizados, todo administrado desde una sola consola. ● Canalizaciones de DevOps y CI / CD: los firewalls virtuales de la serie VM proporcionan escalabilidad para garantizar la seguridad cuando y donde más se necesita. Con red automatizada seguridad, el aprovisionamiento de seguridad se puede integrar directamente en los flujos de trabajo de DevOps y Pipelines de CI / CD sin ralentizar el ritmo del negocio. © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 157 127/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 158 Serie K2 5G crea oportunidades comerciales disruptivas para los operadores de redes móviles porque puede moverse más allá de brindar conectividad y utilizar la seguridad como un habilitador comercial y una ventaja competitiva. La evolución a 5G evita oportunidades para nuevos servicios, pero también aumenta el número de puntos de intrusión potenciales, amplificando así el impacto en la seguridad. Si quieres aprovechar el 5G oportunidades comerciales con un riesgo mínimo de ser explotados por piratas informáticos, necesita una completa visibilidad y seguridad automatizada en todas las ubicaciones de la red. Palo Alto Networks ha desarrollado, como parte de la plataforma de firewall de próxima generación, una plataforma preparada para 5G plataforma, llamada K2-Series, para evitar que los ciberataques exitosos se dirijan a la red móvil servicios. Los firewalls de la serie K2 están diseñados para manejar las crecientes necesidades de rendimiento debido a la aumento de datos generados por aplicaciones, usuarios y dispositivos. La serie K2 ofrece una fuerte capacidades de prevención de amenazas y rendimiento para detener ciberataques avanzados y proteger los dispositivos móviles infraestructura de red, suscriptores y servicios. Puede implementar firewalls de la serie K2 en todas las interfaces de red 5G para lograr protección con una gestión coherente y una visibilidad total de la aplicación (consulte la Figura 2-20). El El cambio fundamental en las arquitecturas de redes 5G intensifica aún más el impacto en la seguridad. paisaje, con un crecimiento en el número de puntos de intrusión, incluidos los ataques dentro de túneles móviles y amenazas dentro de aplicaciones que atraviesan el tráfico celular. Los operadores móviles necesitan una seguridad constante cumplimiento en todas las ubicaciones de la red y todo el tráfico de señalización. Esta superficie de ataque más grande aumenta la necesidad de seguridad de Capa 7 con reconocimiento de aplicaciones para detectar amenazas conocidas y desconocidas. Figura 2-20: Protección de redes nuevas de radio (NR) 4G y 5G La serie K2 ofrece dos modos: modo seguro y modo rápido. El modo seguro viene con todos los Funciones de firewall de próxima generación habilitadas, incluida la prevención de amenazas con lo siguiente habilitado: App-ID, IPS, antivirus, antispyware, análisis avanzado de malware y registro. Rápido el modo está optimizado para la configuración de rendimiento más alto; se puede actualizar al modo seguro. © 2021 Palo Alto Networks, Inc. 158 Página 159 Sartén De Hierro IronSkillet es un conjunto de plantillas de configuración de firewall de próxima generación para PAN-OS. software que se basan en recomendaciones de mejores prácticas de seguridad. En lugar de una extensa documentación práctica, las plantillas proporcionan una modelo de configuración que es independiente del caso de uso. El énfasis está en elementos clave de seguridad como actualizaciones dinámicas, perfiles de seguridad, reglas y registros que deben ser consistentes en todos los https://translate.googleusercontent.com/translate_f 128/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS despliegues. Palo Alto Networks tiene experiencia en prevención de seguridad y en su propia cartera de productos. Mejor La documentación de la práctica está diseñada para compartir el conocimiento de esta experiencia con clientes y socios. Este intercambio ayuda a mejorar la postura de seguridad en varios escenarios. Las plantillas juegan un papel complementario al tomar recomendaciones de mejores prácticas comunes y compilarlos en configuraciones predefinidas del primer día que se pueden cargar fácilmente en Panorama o un cortafuegos de última generación. Los beneficios incluyen: ● Tiempo de implementación más rápido ● Menos errores de configuración ● postura de seguridad mejorada Las plantillas están disponibles en GitHub y son específicas para cada versión del software PAN-OS. Expedición de Palo Alto Networks (herramienta de migración) La migración a un cortafuegos de próxima generación de Palo Alto Networks es un paso crítico hacia la prevención y detección de ciberataques. Las amenazas avanzadas de hoy requieren un alejamiento de políticas de firewall basadas en puertos, que ya no son adecuadas para proteger contra una amenaza moderna paisaje, en una arquitectura que reduce su superficie de ataque habilitando de manera segura solo aquellos aplicaciones que son críticas para su organización y la eliminación de aplicaciones que presentan riesgos. Expedition permite a las organizaciones analizar su entorno existente, convertir la seguridad existente políticas a los cortafuegos de próxima generación de Palo Alto Networks y ayudar con la transición de prueba de concepto a producción. Las funciones principales de Expedition incluyen: ● La migración de terceros transfiere las distintas reglas de firewall, direcciones y objetos de servicio. a un archivo de configuración XML PAN-OS que se puede importar a Palo Alto Networks Cortafuegos de próxima generación. La migración de terceros de los siguientes proveedores de firewall es disponible: ▪ Punto de control ▪ Cisco ASA / PIX / FWSM ▪ Fortinet ▪ Juniper SRX / NETSCREEN ▪ McAfee Sidewinder © 2021 Palo Alto Networks, Inc. 159 Página 160 ● La adopción de App-ID permite a las organizaciones aprovechar al máximo sus próximos cortafuegos de generación, al tiempo que reduce la superficie de ataque y recupera visibilidad y control sobre la organización a través de App-ID. ● La optimización mantiene los firewalls de próxima generación funcionando al máximo rendimiento con servicios que incluyen: ▪ Revisión de arquitectura ▪ Verificación del estado del sistema ▪ Auditoría de configuración ▪ Implementación de cambio de configuración y ajuste de producto opcional ● La consolidación de firewalls heredados a los sistemas virtuales de Palo Alto Networks permite organizaciones para personalizar las políticas de administración, redes y seguridad para el tráfico de red que está asociado con departamentos o clientes específicos. En un estándar configuración de la interfaz del sistema virtual, cada sistema virtual utiliza una interfaz dedicada para Internet, que requiere el uso de varias direcciones IP. Una puerta de enlace compartida permite organizaciones para crear una interfaz virtual común para los sistemas virtuales que corresponden a una única interfaz física. Esta puerta de enlace compartida es útil en entornos donde el El ISP proporciona solo una única dirección IP. Todos los sistemas virtuales se comunican con el mundo exterior a través de la interfaz física, utilizando una única dirección IP. ● La gestión centralizada con Panorama permite a las organizaciones gestionar de forma centralizada https://translate.googleusercontent.com/translate_f 129/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS el proceso de configuración de dispositivos, implementación de políticas deAlto seguridad, realización de análisis forense análisis y generación de informes en toda la red de la organización de Palo Firewalls de próxima generación de redes. Panorama y la gestión de dispositivos individuales las interfaces están disponibles como un dispositivo virtual o una plataforma de gestión dedicada y comparten la misma apariencia basada en la web, lo que garantiza la coherencia del flujo de trabajo mientras minimizando cualquier curva de aprendizaje o retraso en la ejecución de tareas. ● La zonificación automática adapta automáticamente las políticas de seguridad de los proveedores que no usan zonas. y reglas basadas en zonas. El mapeo de zonas depende de las rutas y la zona. dirección IP de la interfaz. Las asignaciones se ajustan cuando configura o cambia las interfaces y ajustes de zonas. ● Los administradores pueden cargar páginas de respuesta personalizadas para notificar a los usuarios finales infracciones de la política. La combinación de herramientas, experiencia y mejores prácticas de Palo Alto Networks ayuda a analizar un entorno existente de la organización y migrar las políticas y la configuración del cortafuegos a la siguiente cortafuegos de generación, mientras ayuda en todas las fases de la transición. Implementación de Zero Trust con firewalls de próxima generación Las empresas a menudo se muestran reacias a comenzar el viaje de Zero Trust porque creen que es difícil, costoso y perturbador. Los paradigmas de diseño del siglo XX pueden crear problemas cuando un Se diseña la red Century Zero Trust. Sin embargo, construir redes Zero Trust es en realidad mucho más simple que construir redes jerárquicas heredadas del siglo XX. Porque la mayoría de nosotros aprendimos a diseñar redes de afuera hacia adentro, basándose en la clasificación de los usuarios como "confiables" y "no confiables", que es un enfoque que desde entonces ha demostrado ser inseguro, luchamos por adaptar nuestro pensamiento de diseño a la metodología Zero Trust. © 2021 Palo Alto Networks, Inc. 160 Página 161 No es necesario reemplazar una red existente para implementar una red Zero Trust. Confianza cero aumenta una red existente, con cada red Zero Trust diseñada para una protección específica superficie. La red Zero Trust está interconectada con una red existente para aprovechar tecnología existente. Luego, conjuntos de datos, aplicaciones, activos o servicios adicionales son iterativamente se trasladó de la red heredada a la red Zero Trust. Este enfoque por fases ayuda a implementación de redes Zero Trust manejable, rentable y sin interrupciones. La siguiente metodología de cinco pasos describe una implementación de Zero Trust con la próxima generación cortafuegos y otras soluciones de seguridad de Palo Alto Networks estrechamente integradas (consulte la Figura 2-21). Figura 2-21: La metodología Zero Trust de Palo Alto Networks Paso 1: Defina su superficie de protección Cuando defina la superficie de protección, debe considerar todos los datos, aplicaciones, activos o servicios (DAAS). Su superficie protegida podría incluir: ● Datos: información de la tarjeta de pago (PCI), información médica protegida (PHI), información personal información identificable (PII) y propiedad intelectual ● Aplicaciones: software estándar o personalizado ● Activos: controles de control de supervisión y adquisición de datos (SCADA), puntos de venta terminales, equipos médicos, activos de fabricación y dispositivos de IoT ● Servicios: Sistema de nombres de dominio (DNS), Protocolo de configuración dinámica de host (DHCP), https://translate.googleusercontent.com/translate_f 130/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS y Active Directory Los cortafuegos de próxima generación de Palo Alto Networks, en forma física o virtualizada, proporcionan Visibilidad integral de Capa 7 para ayudarlo a determinar sus datos, aplicaciones, activos y perfil de servicio. Palo Alto Networks también tiene amplias asociaciones con terceros líderes empresas para ayudar con datos adicionales y descubrimiento de activos. Detección y respuesta de Cortex XDR utiliza la red, la nube y los puntos finales como sensores, alimentando datos en Cortex Data Lake para proporcionar visibilidad de la actividad de los usuarios, dispositivos, aplicaciones y servicios para una mayor comprensión de la las superficies de protección individual en un entorno empresarial. © 2021 Palo Alto Networks, Inc. 161 Página 162 Paso 2: mapear los flujos de transacciones Para diseñar correctamente una red, debe comprender cómo deberían funcionar los sistemas. La forma en que el tráfico se mueve a través de la red (específico a los datos en la superficie protegida) determina cómo debe ser protegido. Esta comprensión proviene de escanear y mapear los flujos de transacciones dentro de un red para determinar cómo interactúan varios componentes de datos, aplicaciones, activos y servicios con otros recursos en la red. Los flujos comúnmente se aproximan a través del conocimiento de la documentación sobre cuán específicos los recursos interactúan. Incluso sin una vista completa, esta información aún proporciona datos valiosos, por lo que que los controles no se implementan arbitrariamente sin conocimiento. Zero Trust es una arquitectura basada en flujo. Después de que se entienda el diseño de cómo funcionan los sistemas, los mapas de flujo indican dónde insertar los controles. Zero Trust es un proceso iterativo. Empiece con lo que sabe. A medida que avanza por los pasos en esta metodología, recopilará más información que permitirá una mayor granularidad en su diseño. No debe retrasar su iniciativa Zero Trust solo porque no tiene el perfecto información. Los cortafuegos de próxima generación de Palo Alto Networks ofrecen una visibilidad profunda de la capa de aplicación con información detallada de los flujos de tráfico. Policy Optimizer ofrece una visibilidad profunda de las aplicaciones para ayudar usted prioriza la migración de reglas, identifica reglas que permiten aplicaciones no utilizadas o aprovisionadas en exceso, y analizar las características de uso de las reglas. Cortex Data Lake también recopila telemetría de la red a través de un firewall de próxima generación dispositivos, la nube a través de firewalls virtualizados de próxima generación de la serie VM y puntos finales a través de Cortex XDR. Con estos datos centralizados, Cortex XDR aprovecha Cortex Data Lake para validar interacción establecida y proporcionar detalles sobre esa interacción para ayudar a refinar el uso de comunicación y comprensión del flujo. Paso 3: diseñar una red de confianza cero El primer paso de cualquier diseño de red suele ser su arquitectura. Las personas obtienen "referencia arquitecturas ”para la red y deben trabajar para hacerlas utilizables para su negocio. En el cero El proceso de confianza, la arquitectura de la red es el tercer paso. Además, las redes Zero Trust son personalizado, no un diseño universal. Una vez definida la superficie de protección y los flujos mapeado, la arquitectura Zero Trust se hará evidente. Los elementos arquitectónicos comienzan con la implementación de un firewall de próxima generación como puerta de enlace de segmentación para hacer cumplir el acceso granular de Capa 7 como un microperímetro alrededor de la protección superficie. Con esta arquitectura, cada paquete que accede a un recurso dentro de la superficie protegida pasará a través de un firewall de próxima generación para que se pueda hacer cumplir la política de Capa 7, simultáneamente controlando e inspeccionando el acceso. Existe un malentendido importante de que Zero Trust se trata solo de control de acceso: el control de acceso con privilegios mínimos es solo una faceta de Zero Confianza. Otra faceta es la inspección y el registro de cada paquete, hasta el final Capa 7, para determinar si los paquetes están limpios. Esta determinación se toma después de inspeccionar todos https://translate.googleusercontent.com/translate_f 131/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 162 Página 163 tráfico de red para contenido malicioso con múltiples servicios de seguridad integrados, incluido IPS, capacidades de sandboxing, seguridad DNS, filtrado de URL y prevención de pérdida de datos (DLP). Los firewalls de próxima generación de Palo Alto Networks aprovechan App-ID, User-ID y Content-ID para definir controles autorizados de políticas de Capa 7 y evitar comprometer la protección superficies. Porque estas pasarelas de segmentación se ofrecen tanto en forma física como virtual factores, este modelo arquitectónico puede funcionar en cualquier lugar donde pueda tener una superficie protegida, ya sea en Centros de datos físicos locales o externos, o en la nube privada, pública o híbrida. Ambientes. La seguridad de punto final como Cortex XDR puede evitar el compromiso de la superficie de protección mediante y amenazas desconocidas, ya sea de malware, ataques sin archivos o exploits. Ofertas de acceso seguro como Prisma Access extienden la política de cada microperímetro hasta los puntos finales intentar acceder a proteger los recursos de la superficie. La cartera de productos ofrece telemetría de todas las tecnologías centrales de Palo Alto Networks a Cortex Data Lake, lo que permite la optimización y la automatización de políticas basadas en el aprendizaje automático a través de Cortex XDR para mejorar en etapas posteriores de la implementación. La arquitectura aún estaría incompleta sin importantes ofertas de terceros. palo Alto Networks se integra con múltiples proveedores de autenticación multifactor (MFA) para agregar fidelidad a ID de usuario. Para simplificar las arquitecturas Zero Trust, una potente API proporciona integraciones profundas con más de 250 socios externos, e incluye tecnologías anti-spam / anti-phishing, DLP sistemas, redes de área amplia definidas por software (SD-WAN) y ofertas inalámbricas. Paso 4: Cree la política de Confianza Cero Una vez que haya diseñado la arquitectura de su red Zero Trust, debe crear el soporte Zero Trust políticas, siguiendo el Método Kipling, para responder al quién, qué, cuándo, dónde, por qué y cómo de su red y políticas. Antes de que un recurso pueda hablar con otro, una regla específica debe permitir ese tráfico. El método de Kipling para crear políticas habilita la política de capa 7 para aplicación de modo que solo se conozca el tráfico permitido o la comunicación legítima de la aplicación. permitido en su red. Este proceso reduce significativamente la superficie de ataque al tiempo que reduce la número de reglas de firewall basadas en puertos impuestas por los firewalls de red tradicionales. Con el kipling Método, puede escribir políticas fácilmente respondiendo: ● Quién debería acceder a un recurso, que define la "identidad declarada". ● ¿Qué aplicación utiliza la identidad declarada del paquete para acceder a un recurso dentro la superficie protegida? ● ¿ Cuándo intenta la identidad declarada acceder al recurso? ● ¿Dónde está el destino del paquete? El destino de un paquete a menudo se extrae automáticamente de otros sistemas que gestionan activos en un entorno, como desde un sistema de carga equilibrada servidor a través de una dirección IP virtual. ● ¿Por qué este paquete intenta acceder a este recurso dentro de la superficie protegida? Esta pregunta se relaciona con la clasificación de datos, donde los metadatos se ingieren automáticamente de los datos Las herramientas de clasificación ayudan a que su política sea más granular. © 2021 Palo Alto Networks, Inc. 163 Página 164 ● ¿Cómo se afirma la identidad de un paquete que accede a la superficie de protección a través de una ¿solicitud? Para simplificar el proceso, debe crear políticas principalmente en sus puertas de enlace de segmentación. herramienta de gestión centralizada. Panorama proporciona esta funcionalidad, y Panorama es donde el https://translate.googleusercontent.com/translate_f 132/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Se aplica el Método Kipling. La tecnología de firewall de próxima generación de Palo Alto Networks y las características únicas le permiten redactar políticas que sean fáciles de entender y mantener al tiempo que brindan la máxima seguridad transparente para sus usuarios finales. User-ID ayuda a definir quién, App-ID ayuda a definir qué y Content-ID ayuda a definir el cómo, todo lo cual se aplica a lo largo de su implementación, incluso por el servicio de prevención de malware WildFire y por Prevención de amenazas, URL Servicios de filtrado y seguridad DNS. El software PAN-OS ofrece una creación de políticas mejorada capacidad, en particular a través de Policy Optimizer, que le ayuda continuamente a comprender cómo Aumente la fidelidad de su póliza Zero Trust. También puede crear políticas para Prisma SaaS basado en cómo se accede a las aplicaciones SaaS. Paso 5: monitorear y mantener la red El último paso en este proceso iterativo es monitorear y mantener su red, lo que significa mirando continuamente todos los registros internos y externos a través de la Capa 7 y centrándose en el aspectos operativos de Zero Trust. La inspección y el registro de todo el tráfico en su red son facetas fundamentales de Zero Trust. Debe enviar al sistema tanta telemetría como sea posible sobre su entorno. Estos datos brindarle nuevos conocimientos sobre cómo mejorar su red Zero Trust. Cuanto más su red es atacado, más fuerte se volverá, con mayor conocimiento para hacer las políticas más seguras. Los datos adicionales brindan información sobre la superficie protegida, como lo que debe incluir en ella y las interdependencias de los datos dentro de él, que pueden mejorar aún más su seguridad. Toda la telemetría generada por la seguridad de la nube, la red y el punto final de Palo Alto Networks tecnologías se envían a Cortex Data Lake, donde los datos se unen para habilitar la máquina optimización y análisis de políticas basadas en el aprendizaje. El firewall de próxima generación y los datos de la serie VM se consolidan en una vista única en Panorama, que genera una alerta cuando se debe producir un suceso malicioso o sospechoso. investigado. El servicio de inteligencia de amenazas contextual AutoFocus, permite esta investigación con una combinación de inteligencia de máquina de WildFire e inteligencia humana proporcionada por Palo Alto Networks Unidad 42 Equipo de investigación de amenazas, lo que resulta en una mejora de la política y una protección más refinada. superficie. El motor MineMeld dentro de AutoFocus puede agregar, hacer cumplir y compartir amenazas inteligencia de fuentes de terceros, lo que proporciona un contexto adicional para mejorar la confianza cero política. MineMeld puede integrarse sin problemas con su firewall de próxima generación dentro o fuera su implementación de Palo Alto Networks. © 2021 Palo Alto Networks, Inc. 164 Página 165 Prisma Cloud proporciona seguridad en la nube pública y monitoreo de cumplimiento, escaneando todas las auditorías y Registros de flujo en entornos multinube para usuarios raíz y administradores excesivamente permisivos. ocupaciones. Prisma Cloud desarrolla una comprensión contextual profunda de su entorno de nube, por lo tanto permitiendo la detección de anomalías del usuario en función de la actividad y la ubicación que podrían indicar credenciales comprometidas, ataques de fuerza bruta y otras actividades sospechosas. Prisma Cloud también correlaciona los datos de inteligencia de amenazas para proporcionar visibilidad de las direcciones IP y el host sospechosos vulnerabilidades en sus recursos, que se pueden aislar rápidamente para evitar una exposición adicional. Estos datos proporcionan información que le permite ajustar los privilegios de Zero Trust. Cortex XDR aprovecha Cortex Data Lake para crear perfiles de usuarios y dispositivos, actuando como referencia de uso normal. Esta línea de base permite que el motor de análisis de comportamiento detecte amenazas. basado en anomalías dirigidas a su superficie protegida. Porque evalúa actual o adicional proteger las políticas de superficie, Cortex XDR le permite buscar la telemetría dentro de Cortex Data Lake para la comunicación y las interacciones entre entidades. También puede analizar la telemetría para demuestre la condición u obtenga información valiosa sobre cómo debe modificarse su póliza. En raras casos, la búsqueda puede identificar un vector de amenaza desconocido que no se incluye en la superficie de protección. https://translate.googleusercontent.com/translate_f 133/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Cortex XDR facilitará una investigación profunda de la nueva amenaza para que pueda descubra lo que ocurrió y reaccione en consecuencia. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Content-ID opera en qué capa del modelo ISO? A.7, capa de aplicación B.6, capa de presentación C. 5, capa de sesión D.4, capa de transporte 2. ¿Qué característica del NGFW se requiere para implementar RBAC? A. ID de aplicación B. Identificación de contenido C. ID de usuario D. Global Protect 3. ¿Qué característica del NGFW puede distinguir entre leer Facebook y comentar? A. ID de aplicación B. Identificación de contenido C. ID de usuario D. Global Protect 4. ¿Qué característica del NGFW distingue entre descargar un programa legítimo y descarga de malware? A. ID de aplicación B. Identificación de contenido C. ID de usuario D. Global Protect © 2021 Palo Alto Networks, Inc. 165 Página 166 2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW Para que su firewall de próxima generación obtenga una visibilidad completa y aplique una prevención de amenazas completa en su red, debe activar las licencias para cada uno de los servicios de suscripción: ● Seguridad DNS ● filtrado de URL ● Prevención de amenazas ● WildFire Servicio de seguridad DNS El servicio de seguridad de DNS de Palo Alto Networks aplica análisis predictivo para interrumpir los ataques que utilizar DNS para C2 o robo de datos. Estrecha integración con Palo Alto Networks Next-Generation Los firewalls le brindan protección automatizada y eliminan la necesidad de herramientas independientes. Amenazas ocultos en el tráfico de DNS se identifican rápidamente con inteligencia de amenazas compartida y aprendizaje automático. Las protecciones basadas en la nube escalan infinitamente y siempre están actualizadas, lo que le brinda a su organización un nuevo punto de control crítico para detener los ataques que utilizan DNS (consulte la Figura 2-22). https://translate.googleusercontent.com/translate_f 134/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-22: Los datos de DNS enriquecidos potencian el aprendizaje automático para la protección. © 2021 Palo Alto Networks, Inc. 166 Página 167 Predecir y bloquear nuevos dominios maliciosos El DNS es una superficie de ataque masiva y a menudo pasada por alto presente en todas las organizaciones. Adversarios aprovechar la naturaleza ubicua del DNS para abusar de él en múltiples puntos de un ataque, incluido el confiable C2. Los equipos de seguridad luchan por comprender nuevos dominios maliciosos y hacer cumplir protecciones consistentes para millones de dominios emergentes al mismo tiempo. El servicio de seguridad de DNS adopta un enfoque diferente para predecir y bloquear dominios, devolviendo así la ventaja a los defensores de la red abrumados. Los firewalls de próxima generación lo protegen contra decenas de millones de dominios maliciosos identificados con análisis en tiempo real e inteligencia de amenazas global en continuo crecimiento. Tu protección continúa creciendo con datos de una gran comunidad en expansión de intercambio de inteligencia sobre amenazas. El La base de datos de dominios maliciosos de Palo Alto Networks se ha recopilado durante años, con fuentes incluso: ● Servicio de prevención de malware WildFire para encontrar nuevos dominios C2, fuente de descarga de archivos dominios y dominios en enlaces de correo electrónico maliciosos ● Filtrado de URL para rastrear continuamente sitios nuevos o sin clasificar en busca de amenazas. indicadores ● DNS pasivo y telemetría de dispositivos para comprender el historial de resolución de dominios visto desde miles de firewalls de próxima generación implementados, que generan petabytes de datos por día ● Investigación de amenazas de la Unidad 42 para proporcionar seguimiento de adversarios impulsado por humanos y reversión de malware ingeniería, incluida la información de los honeypots implementados a nivel mundial ● Más de 30 fuentes de inteligencia de amenazas de terceros para enriquecer la comprensión. Con el servicio de seguridad DNS, sus firewalls de próxima generación pueden predecir y detener dominios de malware basado en algoritmos de generación de dominios con aplicación instantánea. Malware El uso de algoritmos de generación de dominios (DGA) continúa creciendo, lo que limita la efectividad de bloquear dominios maliciosos conocidos únicamente. El malware DGA utiliza una lista de dominios para C2, que pueden sobrepasar la capacidad de firma de los enfoques de seguridad tradicionales. DNS Security maneja el malware DGA usando: ● Aprendizaje automático para detectar dominios DGA nuevos y nunca antes vistos mediante el análisis de DNS. consultas a medida que se realizan ● Política fácil de configurar para acciones dinámicas para bloquear dominios DGA o consultas DNS de sumideros. ● Atribución de amenazas y contexto para identificar la familia de malware con aprendizaje automático. para esfuerzos de investigación más rápidos Una base de datos basada en la nube se escala infinitamente para brindar una protección ilimitada contra dominios. Sus protecciones están siempre actualizadas, ya sean 10.000 o 100 millones de nuevos dispositivos maliciosos. Los dominios se crean en un solo día. Como parte del servicio basado en la nube, todas las consultas de DNS son cotejado con la base de datos basada en la nube infinitamente escalable de Palo Alto Networks en tiempo real para determinar la acción de ejecución apropiada. El servicio de seguridad DNS elimina uno de los más https://translate.googleusercontent.com/translate_f 135/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS métodos efectivos y ampliamente utilizados mediante los cuales los atacantes establecen C2, y sus escalas de protección infinitamente, asegurando que sus firewalls de próxima generación puedan procesar nuevos dominios maliciosos antes cualquier daño está hecho. © 2021 Palo Alto Networks, Inc. 167 Página 168 Neutralizar la tunelización de DNS Los atacantes avanzados utilizan el túnel de DNS para ocultar el robo de datos o C2 en el tráfico de DNS estándar. El El gran volumen de tráfico de DNS a menudo significa que los defensores simplemente carecen de visibilidad o recursos para inspecciónelo universalmente en busca de amenazas. El servicio de seguridad DNS le permite: ● Utilice el aprendizaje automático para detectar rápidamente C2 o el robo de datos ocultos en el túnel de DNS. Utilizando inteligencia de amenazas compartida histórica y en tiempo real, los algoritmos de Palo Alto Networks observan las características de las consultas de DNS, incluida la tasa y los patrones de consulta, la entropía y el n -grama Análisis de frecuencia de los dominios para detectar con precisión el comportamiento de los túneles. ● Amplíe la protección basada en firmas de PAN-OS para identificar intentos de tunelización avanzados. DNS Security amplía la capacidad nativa de los firewalls de próxima generación para detectar y evitar la tunelización del DNS. Las protecciones son escalables y resistentes a la evasión, por lo que cubren variantes conocidas y desconocidas de tunelización DNS. ● Neutralice rápidamente el túnel de DNS con acciones de políticas automatizadas. La tunelización de DNS es se detuvo automáticamente con la combinación de acciones de política fáciles de establecer en el próximo cortafuegos de generación y bloqueo del dominio principal para todos los clientes. Simplifique la seguridad con la automatización y reemplace las herramientas independientes Los equipos de seguridad necesitan innovaciones integradas que amplíen el valor de su seguridad existente Inversiones sin complicar las operaciones. DNS Security aprovecha las siguientes cortafuegos de generación para detener ataques mediante DNS, con automatización completa para reducir el esfuerzo manual. La estrecha integración con el firewall de próxima generación proporciona un nuevo punto de control crítico para detener ataques que utilizan DNS. El servicio garantiza que tenga un dispositivo para implementar, con un único conjunto de políticas a gestionar. Las alertas se coordinan en toda su pila de seguridad, incluido el firewall violaciones de políticas, IDS / IPS, seguridad web y análisis de malware. Cuando se identifican ataques que utilizan DNS, los administradores de seguridad pueden automatizar el proceso de hundir dominios maliciosos en el firewall para eliminar C2 e identificar rápidamente a los usuarios infectados En la red. Combinación de acciones de registro, DAG y sumideros de dominios maliciosos automatiza los flujos de trabajo de detección y respuesta, lo que ahorra tiempo a los analistas al eliminar los Procesos manuales. El servicio de seguridad DNS se basa en una arquitectura modular basada en la nube para agregar sin problemas nuevos capacidades de detección, prevención y análisis sin impacto en la producción de próxima generación cortafuegos. © 2021 Palo Alto Networks, Inc. 168 Página 169 Servicio de filtrado de URL Para complementar las capacidades de prevención de amenazas y control de aplicaciones, un https://translate.googleusercontent.com/translate_f 136/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La base de datos de filtrado de URL box permite a los equipos de seguridad no solo controlar la navegación web del usuario final actividades, sino también para combinar el contexto de la URL con las reglas de aplicación y usuario. El filtrado de URL El servicio complementa App-ID permitiéndole configurar el firewall de próxima generación para identificar y controlar el acceso a los sitios web y proteger a su organización de los sitios web que alojan páginas de malware y phishing. Puede utilizar la categoría de URL como criterio de coincidencia en las políticas, que permite el comportamiento basado en excepciones y la aplicación de políticas granulares. Por ejemplo, puedes denegar el acceso a sitios de piratería y malware a todos los usuarios, pero permitir el acceso a los usuarios que pertenecen a la Grupo de seguridad informática. Cuando habilita el filtrado de URL, todo el tráfico web se compara con la base de datos de filtrado de URL, PAN-DB, que contiene millones de URL que se han agrupado en aproximadamente 65 categorías. El Las categorías de URL de malware y phishing en PAN-DB se actualizan en tiempo real, lo que puede evitar intentos posteriores de acceder al sitio en función de la categoría de URL, en lugar de tratarlo como desconocido. La detección de credenciales de usuario, una parte del filtrado de URL, le permite alertar o bloquear que los usuarios envíen credenciales a sitios que no sean de confianza. Si las credenciales corporativas se ven comprometidas, La detección de credenciales de usuario le permite identificar quién envió las credenciales para que pueda remediar (ver Figura 2-23). Figura 2-23: Servicio de filtrado de URL La base de datos de URL incorporada se puede aumentar para adaptarse a los patrones de tráfico del usuario local. comunidad con una base de datos de URL personalizada. Para acceder de forma rápida y sencilla a las URL visitadas con frecuencia, PAN-DB proporciona almacenamiento en caché local de alto rendimiento y URL que no están categorizadas por el La base de datos de URL local se puede introducir en la memoria caché desde una base de datos de URL alojada. Además de personalización de la base de datos, los administradores pueden crear categorías de URL únicas para personalizar aún más los controles de URL para adaptarse a sus necesidades específicas. La categorización de URL se puede combinar con la clasificación de aplicaciones y usuarios para orientar más y definir políticas. Por ejemplo, se puede invocar el descifrado SSL para determinadas URL de alto riesgo categorías para garantizar que las amenazas estén expuestas, y los controles de QoS se pueden aplicar a los medios de transmisión sitios. La visibilidad del filtrado de URL y los controles de políticas se pueden vincular a usuarios específicos a través de Integración transparente con servicios de directorio empresarial (como Active Directory, LDAP y eDirectory), con información adicional proporcionada a través de informes y registros personalizables. © 2021 Palo Alto Networks, Inc. 169 Página 170 Los administradores pueden configurar una página de bloqueo personalizada para notificar a los usuarios finales sobre cualquier infracción de la política. La página puede incluir referencias al nombre de usuario, la dirección IP, la URL que están intentando acceso y la categoría de URL. Para devolver al usuario parte de la propiedad de la actividad web, Los administradores pueden permitir que los usuarios continúen en el sitio web o la página web después de que se les presente un página de advertencia, o pueden usar contraseñas para anular la política de filtrado de URL. Servicio de prevención de amenazas (antivirus, antispyware y protección contra vulnerabilidades) Threat Prevention bloquea el malware conocido, los exploits y la actividad C2 en la red. Además de la suscripción a Threat Prevention brinda capacidades adicionales a su firewall de próxima generación que identifican y previenen amenazas conocidas ocultas dentro de las aplicaciones permitidas. La amenaza La suscripción de prevención incluye malware / antivirus, C2 y protección contra vulnerabilidades (consulte la Figura 2-24). https://translate.googleusercontent.com/translate_f 137/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-24: Servicio de prevención de amenazas © 2021 Palo Alto Networks, Inc. 170 Página 171 Protección contra malware / antivirus La protección contra malware en línea utiliza firmas basadas en contenido para bloquear el malware antes de que llegue el host de destino. Las firmas basadas en el contenido detectan patrones en el cuerpo del archivo que identifican futuras variaciones de los archivos, incluso cuando el contenido se modifique ligeramente. Esta habilidad permite al cortafuegos de próxima generación para identificar y bloquear malware polimórfico que de otro modo sería tratado como un nuevo archivo desconocido. El motor de escaneo basado en flujo protege la red sin introducir una latencia significativa. La latencia es un serio inconveniente de las ofertas de antivirus de red que dependen del escaneo basado en proxy. motores. El escaneo de malware basado en flujo inspecciona el tráfico cuando se encuentran los primeros paquetes del archivo. recibido, eliminando así las amenazas y los problemas de rendimiento típicos de los sistemas autónomos tradicionales soluciones. Las capacidades anti-malware importantes incluyen: ● Detección y prevención en línea, basada en flujo, de malware oculto en archivos comprimidos y contenido web ● Protección contra cargas ocultas en tipos de archivos comunes, como Microsoft Office. documentos y archivos PDF Protección de comando y control (software espía) No hay garantías para evitar que todas las amenazas entren en la red. Después de la inicial infección, los atacantes se comunican con el dispositivo comprometido a través de un canal C2, usándolo para eliminar malware adicional, emitir más instrucciones y robar datos. Las protecciones C2 se centran en esos canales de comunicación no autorizados y evitarlos bloqueando las solicitudes salientes a dominios maliciosos y de kits de herramientas C2 conocidos instalados en dispositivos infectados. La protección C2 proporciona capacidades de sumidero para solicitudes salientes a dominios maliciosos, identificando así con precisión el dispositivo comprometido y evitando la filtración de datos. Usted puede https://translate.googleusercontent.com/translate_f 138/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS configurar el sumidero de modo que cualquier solicitud saliente a un dominio o dirección IP maliciosos sea redirigido a una de las direcciones IP internas de su red. Esta política bloquea efectivamente C2 comunicación, evitando así que esas solicitudes salgan de la red. Un informe de la hosts en su red que realizan tales solicitudes se compila aunque esos hosts estén detrás de la Servidor DNS. Tiene una lista diaria de dispositivos potencialmente comprometidos sobre los que actuar, sin el estrés adicional de la remediación, porque las comunicaciones con el atacante ya han sido cortado. Protección de vulnerabilidad Las capacidades de prevención de intrusiones y protección contra vulnerabilidades del firewall de próxima generación detectar y bloquear intentos de explotación y técnicas evasivas tanto en la red como en la aplicación capas. Estos exploits pueden incluir escaneos de puertos, desbordamientos de búfer, ejecución remota de código, protocolo fragmentación y ofuscación. Las protecciones contra vulnerabilidades se basan en la coincidencia de firmas y detección de anomalías, que decodifican y analizan protocolos y utilizan la información aprendida para bloquear patrones de tráfico maliciosos y proporcionar visibilidad a través de alertas. Detecta la coincidencia de patrones con estado ataques a través de múltiples paquetes, considerando el orden y la secuencia de llegada, asegurando así que todos El tráfico permitido está bien intencionado y no tiene técnicas de evasión. © 2021 Palo Alto Networks, Inc. 171 Página 172 El análisis basado en decodificadores de protocolos decodifica el protocolo y luego aplica firmas de manera inteligente a detectar vulnerabilidades de red y aplicaciones. Porque hay muchas formas de explotar una sola vulnerabilidad, las firmas de prevención de intrusiones se basan en la propia vulnerabilidad, por lo que proporcionando una protección más completa contra una amplia variedad de exploits. Una sola firma puede detener múltiples exploits de un sistema conocido o una vulnerabilidad de aplicación. Protocolo basado en anomalías La protección detecta el uso del protocolo que no cumple con la Solicitud de comentarios (RFC), como un identificador uniforme de recursos (URI) demasiado largo o inicio de sesión FTP. Fácil de configurar, personalizado Las firmas de vulnerabilidades le permiten personalizar las capacidades de prevención de intrusiones para su las necesidades únicas de la red. Prevención de malware de día cero (WildFire) El entorno de análisis de malware basado en la nube de WildFire es un servicio de prevención de ciberamenazas que identifica malware desconocido, exploits de día cero y amenazas persistentes avanzadas (APT) a través de Análisis estático y dinámico en un entorno virtual escalable. WildFire automáticamente difunde protecciones actualizadas casi en tiempo real para prevenir inmediatamente las amenazas esparcimiento, sin intervención manual. Aunque el soporte básico de WildFire se incluye como parte de la licencia de Prevención de amenazas, el servicio de suscripción de WildFire proporciona servicios mejorados para organizaciones que requieren cobertura inmediata para amenazas, actualizaciones frecuentes de firmas de WildFire, reenvío de tipo de archivo avanzado (APK, PDF, Microsoft Office y Java Applet), y la capacidad de cargar archivos utilizando la API de WildFire. Como parte de la capacidad de prevención de amenazas en línea del firewall de próxima generación, el firewall funciona un cálculo de hash para cada archivo desconocido y el hash se envía a WildFire. Si algún WildFire el suscriptor ha visto el archivo antes, entonces el veredicto existente para ese archivo se devuelve inmediatamente. Los enlaces de los correos electrónicos inspeccionados también se envían a WildFire para su análisis. Posibles veredictos incluir: ● Benigno: seguro y no muestra un comportamiento malicioso. ● Grayware: sin riesgo de seguridad, pero puede mostrar un comportamiento molesto (por ejemplo, adware, software espía y objetos de ayuda del navegador) ● Software malicioso : de naturaleza e intención maliciosas y puede representar una amenaza para la seguridad (por ejemplo, virus, gusanos, troyanos, kits de raíz, redes de bots y kits de herramientas de acceso remoto) ● Phishing: intento malintencionado de engañar al destinatario para que revele datos confidenciales. Si WildFire nunca ha visto el archivo, se le indica al firewall de próxima generación que envíe el archivo para análisis. Si el tamaño del archivo está por debajo del límite de tamaño configurado, el firewall de próxima generación transmite el archivo a WildFire. Los cortafuegos de próxima generación con una licencia WildFire activa funcionan actualizaciones automáticas programadas para sus firmas WildFire, con comprobaciones de actualización configuradas con la frecuencia cada minuto. https://translate.googleusercontent.com/translate_f 139/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 172 Página 173 WildFire aprovecha la prevención de phishing y malware basado en aprendizaje automático en línea (tiempo real Veredicto de WildFire y clasificación dinámica antimalware) para determinar si el Las páginas web correspondientes para los enlaces de correo electrónico enviados al servicio alojan cualquier exploits, malware o capacidades de phishing. Se tienen en cuenta los comportamientos y propiedades del sitio web. cuando se dicta un veredicto sobre el enlace. Para admitir el análisis dinámico de malware en la red a escala, WildFire se basa en una nube: arquitectura basada en (ver Figura 2-25). Cuando los requisitos reglamentarios o de privacidad impidan el uso de la infraestructura de nube pública, se puede construir una solución de nube privada en un centro de datos local. Figura 2-25: WildFire proporciona análisis de malware basado en la nube y prevención de amenazas. Las organizaciones pueden aprovechar las implementaciones en la nube pública o en la nube privada, y también pueden usar ambos dentro del mismo entorno. Las capacidades de nube híbrida de WildFire permiten la seguridad equipos más flexibilidad de análisis de archivos porque pueden definir qué tipos de archivos se envían al Nube pública WildFire frente al dispositivo local o nube privada. El híbrido WildFire La capacidad en la nube permite a las organizaciones aliviar las preocupaciones de privacidad o normativas mediante el uso de Dispositivo WildFire para tipos de archivos que contienen datos confidenciales. Las organizaciones también se benefician de la servicios integrales de análisis e inteligencia de amenazas globales de la nube pública de WildFire para todos los otros. AutoFocus es la pieza central de la inteligencia de amenazas de WildFire. © 2021 Palo Alto Networks, Inc. 173 Página 174 https://translate.googleusercontent.com/translate_f 140/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La cartera de productos bloquea de forma proactiva las amenazas conocidas, lo que proporciona defensas de referencia. contra exploits conocidos, malware, URL maliciosas y actividad C2. Cuando surgen nuevas amenazas, la cartera de productos enruta automáticamente los archivos sospechosos y las URL a WildFire para obtener información detallada análisis. WildFire inspecciona millones de muestras por semana de su red global de clientes y amenazas socios de inteligencia, en busca de nuevas formas de malware, exploits, malware dominios y actividad C2 saliente. El servicio basado en la nube crea automáticamente nuevos protecciones que pueden bloquear malware dirigido y desconocido, exploits y actividad C2 saliente mediante utilizando observaciones de su comportamiento real, en lugar de depender de firmas preexistentes. El las protecciones se entregan globalmente en minutos. El resultado es un enfoque automatizado de circuito cerrado para prevenir ciberamenazas que incluyen: ● Controles de seguridad positivos para reducir la superficie de ataque. ● Inspección de todo el tráfico, puertos y protocolos para bloquear todas las amenazas conocidas. ● Detección rápida de amenazas desconocidas mediante la observación de las acciones del malware en una nube entorno de ejecución ● Implementación automática de nuevas protecciones para garantizar que las amenazas sean conocidas por todos y bloqueado a lo largo del ciclo de vida del ataque Descubrimiento de ciberamenazas basado en el comportamiento Para encontrar malware y exploits desconocidos, WildFire ejecuta contenido sospechoso en Windows, Sistemas operativos Android y macOS, con visibilidad completa de los tipos de archivos comunes, que incluyen: ● Ejecutables (EXE), bibliotecas de vínculos dinámicos (DLL), archivos comprimidos (ZIP) y archivos portátiles. Formato de documento (PDF) ● Presentaciones, hojas de cálculo y documentos de Microsoft Office ● archivos Java ● Paquetes de aplicaciones de Android (APK) ● Subprogramas y páginas web de Adobe Flash (incluido contenido incrustado de alto riesgo, como Java y archivos / imágenes de Adobe Flash) © 2021 Palo Alto Networks, Inc. 174 Página 175 WildFire identifica cientos de comportamientos potencialmente maliciosos para descubrir la verdadera naturaleza de archivos maliciosos basados en sus acciones, que incluyen: ● Cambios realizados en el host: WildFire supervisa todos los procesos para detectar modificaciones en el host, incluyendo actividad de registro y archivo, inyección de código, rociado de memoria dinámica (exploits), mutex , actividad del servicio de Windows, la adición de programas de ejecución automática y otros actividades potencialmente sospechosas. ● Tráfico de red sospechoso: WildFire realiza un análisis de toda la actividad de red producida. por el archivo sospechoso, incluida la creación por la puerta trasera, la descarga de malware de la siguiente etapa, visitando dominios de baja reputación y reconocimiento de red. ● Detección de anti-análisis: WildFire monitorea las técnicas utilizadas por malware avanzado que es diseñado para evitar el análisis basado en máquinas virtuales, como la detección de depuradores, hipervisor detección, inyección de código en procesos confiables y desactivación de la seguridad basada en host https://translate.googleusercontent.com/translate_f 141/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS características. WildFire está integrado de forma nativa con la cartera de productos, que incluye el punto final Cortex XDR Protection y Prisma SaaS, y puede clasificar todo el tráfico en cientos de aplicaciones. WildFire aplica exclusivamente este análisis de comportamiento al tráfico web, protocolos de correo electrónico (SMTP, IMAP, y POP3) y FTP, independientemente de los puertos o el cifrado. Términos clave ● Un mutex es un objeto de programa que permite que varios subprocesos de programa compartan el mismo recurso, como el acceso a archivos, pero no simultáneamente. WildFire aplica los siguientes métodos de análisis a los archivos enviados (consulte la Figura 2-26): ● Aprendizaje automático / análisis estático: identificación de variantes de amenazas conocidas por comparar conjuntos de características de malware con un sistema de clasificación actualizado dinámicamente. Las amenazas conocidas se detectan mediante el análisis de las características de las muestras antes ejecución. ● Análisis dinámico: un entorno virtual personalizado y resistente a la evasión en el que Las presentaciones previamente desconocidas se ejecutan dentro de un entorno de prueba virtualizado para determinar los efectos y el comportamiento del mundo real ● Análisis dinámico bare-metal: un entorno de análisis completamente basado en hardware específicamente diseñado para amenazas avanzadas con reconocimiento de máquinas virtuales. Muestras que muestran las características de un Las amenazas avanzadas con reconocimiento de VM se dirigen hacia el dispositivo bare-metal mediante la heurística motor. © 2021 Palo Alto Networks, Inc. 175 Página 176 Figura 2-26: Análisis de WildFire Las actualizaciones dinámicas de Threat Intelligence Cloud coordinan la prevención de amenazas en todo el https://translate.googleusercontent.com/translate_f 142/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS plataforma y sonde importantes para las capacidades proporciona. La amenaza desconocida La metodología manejo esencialmente conviertedelasprevención amenazas que desconocidas en amenazas conocidas. WildFire protege su red de archivos y enlaces maliciosos y explotadores, y también se ve profundamente en la comunicación saliente maliciosa, interrumpiendo así el comando y control (C2) actividad con firmas anti-C2 y firmas de devolución de llamada basadas en DNS. WildFire también alimenta esto información en el filtrado de URL con PAN-DB, que bloquea automáticamente los nuevos URL maliciosas. Esta correlación de datos de amenazas y protecciones automatizadas es importante para identificar y bloquear los intentos de intrusión en curso y los ataques futuros a su organización, sin requerir actualizaciones de políticas y confirmaciones de configuración. Palo Alto Networks también promueve el intercambio de información y la defensa de la industria contribuyendo inteligencia estructurada derivada de su Threat Intelligence Cloud a Cyber Threat Alliance (CTA). La CTA fue cofundada por Palo Alto Networks y otros líderes de la industria, y es una organización que trabaja para mejorar la ciberseguridad del ecosistema digital global al permitir intercambio de información sobre amenazas cibernéticas de alta calidad y casi en tiempo real dentro de la comunidad de ciberseguridad. CTA y sus miembros comparten inteligencia oportuna, procesable, contextualizada y basada en campañas. que pueden utilizar para mejorar sus productos y servicios para proteger mejor a sus clientes, más frustrar sistemáticamente a los adversarios y mejorar la seguridad del ecosistema digital. © 2021 Palo Alto Networks, Inc. 176 Página 177 Prevención de amenazas con intercambio de inteligencia global Cuando se descubre una amenaza desconocida, WildFire genera automáticamente protecciones para bloquearla a lo largo del ciclo de vida del ciberataque, y comparte estas actualizaciones con todos los suscriptores globales dentro de un tan solo 5 minutos. Estas actualizaciones rápidas pueden detener la propagación rápida de malware. Y estas actualizaciones se basan en la carga útil, por lo que pueden bloquear la proliferación de variantes futuras sin ningún tipo de carga adicional acción o análisis. Registro, informes y análisis forenses integrados WildFire proporciona acceso a registros integrados, análisis y visibilidad de eventos a través del interfaz de administración, el portal WildFire, AutoFocus y Panorama. Este acceso habilita equipos de seguridad para investigar rápidamente y correlacionar los eventos observados en sus redes para localizar los datos necesarios para las investigaciones oportunas y la respuesta a incidentes. Los indicadores de compromiso (IoC) basados en host y en red se vuelven procesables a través del registro análisis y firmas personalizadas. Para ayudar a los equipos de seguridad y respuesta a incidentes a descubrir hosts infectados, WildFire también proporciona: ● Análisis detallado de cada archivo malicioso enviado a WildFire en múltiples operaciones entornos del sistema, incluida la actividad basada en host y en red ● Datos de sesión asociados con la entrega del archivo malicioso, incluida la fuente, destino, aplicación, ID de usuario y URL ● Acceso a la muestra de malware original para realizar ingeniería inversa y capturas de paquetes completos. (pcaps) de sesiones de análisis dinámico ● Una interfaz de programación de aplicaciones (API) abierta para la integración con las mejores herramientas de gestión de eventos e información de seguridad (SIEM) (como Palo Alto Aplicación de redes para Splunk) y agentes de endpoint líderes. Este análisis proporciona numerosos IoC que se pueden aplicar a lo largo del ciclo de vida del ataque. ● Integración nativa con protección de punto final Cortex XDR y Prisma SaaS ● Acceso a la inteligencia procesable y el contexto global proporcionado por la amenaza AutoFocus inteligencia ● Integración nativa con el motor de correlación en Palo Alto Networks Next-Generation Cortafuegos Términos clave ● Un indicador de compromiso (IoC) es un artefacto de red o sistema operativo (SO) que proporciona un alto nivel de confianza de que se ha producido un incidente de seguridad informática. https://translate.googleusercontent.com/translate_f 143/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS ● Una captura de paquetes (pcap) es una intercepción de tráfico de paquetes de datos que se pueden utilizar para análisis. © 2021 Palo Alto Networks, Inc. 177 Página 178 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué suscripción central de NGFW le diría a su firewall que un intento de resolver adfewqrtgfhghyj.uykfhzvsdfgpoiyte.evil.com es probablemente un ataque? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 2. ¿Qué suscripción principal de NGFW permite que su firewall bloquee malware conocido? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 3. ¿Qué suscripción principal de NGFW permite que su firewall identifique el malware de día cero? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 4. ¿Qué suscripción principal de NGFW permite que su firewall bloquee a los usuarios cuando intentan enviar sus credenciales a un sitio de phishing? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama) Panorama le permite administrar todas las funciones clave de Palo Alto Networks Next-Generation Cortafuegos mediante el uso de un modelo que proporciona supervisión central y control local. Puedes desplegar Panorama como un dispositivo de hardware local o un dispositivo virtual, y también puede impleméntelo como un dispositivo virtual en la nube pública. Tres opciones de modo de implementación están disponibles para Panorama, que (si es necesario) permite la separación de manejo y recolección de registros (ver Figura 2-27): ● Modo Panorama: Panorama controla las funciones de gestión de registros y políticas para todos los dispositivos gestionados. ● Modo de solo gestión: Panorama gestiona las configuraciones de los dispositivos gestionados. pero no recopila ni gestiona registros. ● Modo de recopilador de registros: uno o más recopiladores de registros recopilan y administran registros del dispositivos gestionados. Este modo asume que está operando otra implementación de Panorama. en modo de gestión únicamente. © 2021 Palo Alto Networks, Inc. 178 Página 179 https://translate.googleusercontent.com/translate_f 144/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-27: Modos de implementación de Panorama La separación de la gestión y la recopilación de registros permite que la implementación de Panorama cumpla escalabilidad, requisitos organizativos y geográficos. La elección del factor de forma y El modo de implementación le brinda la máxima flexibilidad para administrar Palo Alto Networks NextFirewalls de generación en una red distribuida. Panorama reduce la complejidad de la gestión de la seguridad con la creación de políticas consolidadas y Funciones de gestión centralizada. El Centro de comando de aplicaciones (ACC) en Panorama proporciona un panel personalizable para la configuración y el control de Palo Alto Networks Next-Generation Cortafuegos, con una base de reglas eficiente y conocimientos prácticos sobre el tráfico y las amenazas de toda la red. Panorama simplifica la gestión de la seguridad de la red con una única base de reglas de seguridad para cortafuegos, prevención de amenazas, filtrado de URL, reconocimiento de aplicaciones, identificación de usuarios, sandboxing, archivo bloqueo y filtrado de datos para habilitar aplicaciones de forma segura en la empresa. Reglas de seguridad fácilmente se puede importar, duplicar o modificar a través de la red. Gestión centralizada de políticas y objetos proporciona una seguridad global coherente para la organización y administración local. El control proporciona flexibilidad a nivel local. El tiempo necesario para implementar cambios en docenas o cientos de firewalls puede resultar costoso debido a la cantidad de empleados requeridos y la demora que experimentan los proyectos mientras Espere a que se complete el proceso. El número de errores también puede aumentar cuando la red y El programa de ingenieros de seguridad cambia el cortafuegos por cortafuegos. Panorama proporciona las siguientes herramientas para una administración centralizada que puede reducir el tiempo y los errores para la administración de su firewall operación: © 2021 Palo Alto Networks, Inc. 179 Página 180 ● Plantillas y pilas de plantillas. Panorama gestiona dispositivos y redes comunes configuración a través de plantillas. Puede usar plantillas para administrar la configuración centralmente y luego empujar los cambios a todos los firewalls administrados. Este enfoque evita la necesita realizar el mismo cambio de firewall individual repetidamente en muchos dispositivos. Las plantillas se agrupan dentro de una pila de plantillas y la pila se aplica a las cortafuegos. Puede definir bloques de construcción comunes para la configuración de dispositivos y redes dentro de un plantilla. Estos bloques de construcción se combinan lógicamente agregándolos a una plantilla. apilar. Si no hay parámetros superpuestos, la pila refleja la combinación de https://translate.googleusercontent.com/translate_f 145/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS todas las plantillas individuales. Si hay superposición, entonces la configuración de la prioridad más alta la plantilla tiene prioridad. Puede anular la configuración de la plantilla a nivel de pila. A El administrador local también puede realizar anulaciones directamente en un dispositivo individual si necesario (ver Figura 2-28). Figura 2-28: Pila de plantillas de panorama y plantillas La configuración específica del cortafuegos, como las direcciones IP, debe ser única por dispositivo. En lugar de usar anulaciones, puede administrar esta configuración mediante el uso de variables dentro de las plantillas. Panorama gestiona las asignaciones de variables en el momento de la implementación, ya sea por dispositivo a través del manual asignación o de forma masiva mediante la importación de una hoja de cálculo con la configuración para varios dispositivos. ● Grupos de dispositivos jerárquicos. Panorama gestiona políticas y objetos comunes a través de grupos de dispositivos jerárquicos. Utiliza grupos de dispositivos de varios niveles para gestionar de forma centralizada políticas en todas las ubicaciones de implementación con requisitos comunes. Por ejemplo, dispositivo los grupos se pueden determinar geográficamente, como Europa y América del Norte. También, Cada grupo de dispositivos puede tener un subgrupo funcional de dispositivos (por ejemplo, perímetro o datos centrar). © 2021 Palo Alto Networks, Inc. 180 Página 181 Puede definir políticas compartidas para el control central mientras otorga su firewall local administrador la autonomía para realizar ajustes locales específicos. En el nivel del grupo de dispositivos, puede crear políticas comunes que se definen como el primer conjunto de reglas (reglas previas) y el último conjunto de reglas (reglas de publicación) que se evaluarán con respecto a los criterios de coincidencia. Puedes ver las reglas previas y publicar reglas en un firewall administrado, pero puede editarlas en Panorama solo en el contexto de los roles administrativos definidos. Reglas de dispositivos locales (aquellas entre reglas previas y reglas de publicación) pueden ser editadas por su administrador de firewall local o un Panorama administrador que ha cambiado a un contexto de firewall local. También puede hacer referencia a compartidos objetos definidos por un administrador de Panorama en reglas de dispositivos administrados localmente (consulte la Figura 2-29). https://translate.googleusercontent.com/translate_f 146/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 2-29: Evaluación de políticas y grupos de dispositivos de Panorama La administración basada en roles delega el acceso a nivel de función, incluida la disponibilidad de datos (habilitado, solo lectura, o discapacitados y ocultos a la vista), a diferentes miembros de su personal. Puedes dar individuos específicos acceden a tareas que son pertinentes para su trabajo mientras realizan otras tareas, ya sea oculto o de solo lectura. A medida que su implementación crece en tamaño, puede asegurarse de que las actualizaciones se envíen a las cajas posteriores en de una manera organizada. Por ejemplo, es posible que prefiera calificar de forma centralizada una actualización de software antes se envía a través de Panorama a todos los cortafuegos de producción simultáneamente. Puede utilizar Panorama para Gestionar de forma centralizada el proceso de actualización para actualizaciones de software, actualizaciones de aplicaciones de contenido, antivirus. firmas, firmas de amenazas, bases de datos de filtrado de URL y licencias. Panorama también puede integrarse con sus aplicaciones de flujo de trabajo de TI. Cuando se genera un registro en el cortafuegos de próxima generación, Panorama puede desencadenar acciones e iniciar flujos de trabajo a través de HTTPAPI basadas. El reenvío de registros selectivo le permite definir los criterios para automatizar un flujo de trabajo o una acción. Aunque puede integrarse con cualquier servicio basado en HTTP que exponga una API, © 2021 Palo Alto Networks, Inc. 181 Página 182 El formato predefinido para ServiceNow y VMware NSX Manager le permite crear incidentes informes y etiquetado de máquinas virtuales. Panorama utiliza el mismo conjunto de potentes herramientas de seguimiento y generación de informes disponibles a nivel local. nivel de gestión de dispositivos. A medida que realiza consultas de registro y genera informes, Panorama extrae dinámicamente los datos más actuales directamente de los firewalls de próxima generación bajo gestión o de los registros reenviados a Panorama. Capacidades de registro y generación de informes en Panorama incluye: ● Visor de registro: puede ver rápidamente las actividades de registro de un dispositivo individual o de todos dispositivos que usan filtrado de registro dinámico haciendo clic en un valor de celda y / o usando la expresión constructor para definir los criterios de clasificación. Los resultados se pueden guardar para consultas futuras o exportar para análisis mas extenso. ● Informes personalizados: los informes predefinidos se pueden usar tal cual, personalizados o agrupados como uno. informe para cumplir con los requisitos específicos. ● Informes de actividad del usuario: un informe de actividad del usuario muestra las aplicaciones utilizadas, URL categorías visitadas, sitios web visitados y todas las URL visitadas durante un período de tiempo específico para usuarios individuales. Panorama crea los informes utilizando una vista agregada de los usuarios actividad, independientemente del cortafuegos con el que estén protegidos o la dirección IP o el dispositivo pueden estar usando. ● Reenvío de registros: Panorama agrega los registros recopilados de todos sus Palo Alto. Redes cortafuegos, tanto de factor de forma física como virtual, y las reenvía a un destino para fines tales como almacenamiento a largo plazo, análisis forense o informes de cumplimiento. Panorama puede reenviar todos los registros o los seleccionados, Protocolo simple de administración de red (SNMP) trampas y notificaciones por correo electrónico a un destino de registro remoto, como un syslog servidor (sobre UDP, TCP o SSL). Panorama se puede implementar en una arquitectura centralizada con toda la gestión de Panorama y funciones de registro consolidadas en un solo dispositivo o en una arquitectura distribuida con unidades de gestión y recopiladores de registros en una arquitectura de implementación jerárquica: ● Administrador de panorámicas. El administrador de Panorama maneja las tareas asociadas con la política y configuración de dispositivos en todos los dispositivos administrados. El administrador no almacena el registro localmente, sino que utiliza recopiladores de registros separados para manejar los datos de registro. El gerente analiza los datos almacenados en los recopiladores de registros para generar informes centralizados. ● Recopilador de registros de panorama. Organizaciones con alto volumen y retención de registros https://translate.googleusercontent.com/translate_f 147/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS los requisitos pueden implementar dispositivos de recopilación de registros de Panorama dedicados que agregarán registrar información de varios cortafuegos gestionados. © 2021 Palo Alto Networks, Inc. 182 Página 183 Palo Alto Networks y Splunk se han asociado para ampliar la poderosa visibilidad en la red tráfico de Panorama a otros componentes de la red. La solución combinada ofrece una alta detección, investigación de incidentes y respuesta eficaz y coordinada a las ciberamenazas. El La aplicación Splunk para Palo Alto Networks (consulte la Figura 2-30) brinda a los equipos de seguridad empresarial una poderosa plataforma para visualización, monitoreo y análisis de seguridad que les permite aprovechar al máximo la extensa aplicación, usuario, contenido y datos de amenazas generados por Palo Alto Networks dispositivos. Figura 2-30: La integración con Splunk amplía las capacidades de visibilidad y prevención a toda su infraestructura de red. © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 183 148/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 184 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Una organización internacional tiene más de cien cortafuegos, repartidos en cincuenta ubicaciones. ¿Qué modo de implementación de Panorama instalaría la organización en varias ubicaciones? (más allá de la necesidad de recuperación ante desastres)? A. Panorama B. solo gestión C. recolector de troncos D. gestión de amenazas 2. ¿Qué objeto Panorama se utiliza para administrar la configuración de red? Una plantilla B. grupo de dispositivos C. sistema virtual D. Perfil de descifrado 3. ¿Qué objeto Panorama se utiliza para gestionar la política de seguridad? Una plantilla B. grupo de dispositivos C. sistema virtual D. Perfil de descifrado © 2021 Palo Alto Networks, Inc. 184 Página 185 Dominio del examen 3: tecnologías en la nube La computación en la nube no es una ubicación, sino un conjunto de recursos que se pueden aprovisionar rápidamente. de forma automatizada y bajo demanda. 3.1 Definir los modelos de implementación y servicio en la nube del NIST https://translate.googleusercontent.com/translate_f 149/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) define la computación en nube en Publicación especial (SP) 800-145 como “un modelo para permitir que los servicios sean ubicuos, convenientes y bajo demanda acceso de red a un grupo compartido de recursos informáticos configurables (como redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios ". El valor de la computación en la nube es la capacidad de agrupar recursos para lograr economías de escala y agilidad. Esta capacidad es válida para nubes públicas o privadas. En lugar de tener muchos independientes y, a menudo, servidores infrautilizados implementados para sus aplicaciones empresariales, los grupos de recursos son agregados, consolidados y diseñados para ser lo suficientemente elásticos para escalar con las necesidades de su organización. El movimiento hacia la computación en la nube no solo trae beneficios operativos y de costos, sino también Beneficios tecnológicos. Los usuarios pueden acceder fácilmente a los datos y las aplicaciones, independientemente de dónde residen, los proyectos se pueden escalar fácilmente y el consumo se puede rastrear de manera efectiva. La virtualización es una parte fundamental de una arquitectura de computación en la nube que, cuando se combina con la orquestación de software y herramientas de gestión, le permite integrar procesos dispares para que puedan automatizarse, se replica fácilmente y se ofrece según sea necesario. Modelos de servicios en la nube NIST define tres modelos distintos de servicios de computación en la nube: ● Software como servicio (SaaS): los clientes tienen acceso a una aplicación que se ejecuta en una infraestructura en la nube. Se puede acceder a la aplicación desde varios dispositivos cliente y interfaces, pero el cliente no tiene conocimiento de, y no gestiona ni controla, las infraestructura de nube subyacente. El cliente puede tener acceso a un número limitado de usuarios específicos. la configuración de la aplicación y la seguridad de los datos del cliente sigue siendo responsabilidad del cliente. ● Plataforma como servicio (PaaS): los clientes pueden implementar aplicaciones compatibles en el la infraestructura en la nube del proveedor, pero el cliente no tiene conocimiento y no administrar o controlar la infraestructura de nube subyacente. El cliente tiene control sobre el aplicaciones implementadas y ajustes de configuración limitados para el alojamiento de aplicaciones ambiente. La empresa es propietaria de las aplicaciones y los datos implementados y, por lo tanto, es responsable de la seguridad de esas aplicaciones y datos. ● Infraestructura como servicio (IaaS): los clientes pueden aprovisionar procesamiento, almacenamiento, redes y otros recursos informáticos, e implementar y ejecutar sistemas operativos y aplicaciones. Sin embargo, el cliente no tiene conocimiento ni gestiona ni control, la infraestructura de nube subyacente. El cliente tiene control sobre el funcionamiento sistemas, almacenamiento y aplicaciones implementadas, junto con algunos componentes de red © 2021 Palo Alto Networks, Inc. 185 Página 186 (por ejemplo, cortafuegos de host). La empresa es propietaria de las aplicaciones y los datos implementados, y por lo tanto, es responsable de la seguridad de esas aplicaciones y datos. Modelos de implementación en la nube NIST también define estos cuatro modelos de implementación de computación en la nube: ● Pública: una infraestructura en la nube que está abierta al público en general. Es propiedad administrado y operado por un tercero (o partes), y existe en el proveedor de la nube local. ● Comunidad: una infraestructura en la nube que es utilizada exclusivamente por un grupo específico de organizaciones ● Privado. Una infraestructura en la nube que es utilizada exclusivamente por una sola organización. Puede ser propiedad, administrada y operada por la organización o un tercero (o una combinación de ambos), y puede existir dentro o fuera de las instalaciones. ● Híbrido: una infraestructura en la nube que comprende dos o más de los mencionados anteriormente. modelos de implementación, vinculados por tecnología patentada o estandarizada que habilita los datos y portabilidad de la aplicación (por ejemplo, conmutación por error a un centro de datos secundario para desastres redes de recuperación o entrega de contenido a través de múltiples nubes). https://translate.googleusercontent.com/translate_f 150/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor en una nube? infraestructura y el consumidor no gestiona ni controla el subyacente ¿infraestructura? A. plataforma como servicio (PaaS) B. infraestructura como servicio (IaaS) C. software como servicio (SaaS) D. nube pública 2. ¿Qué modelo de servicio en la nube del NIST no requiere que la organización del cliente haga nada? ¿programación? A. IaaS B. PaaS C. FaaS D. SaaS 3. ¿Qué modelo de servicio en la nube del NIST requiere que el cliente mantenga el sistema operativo en funcionamiento? ¿hasta la fecha? A. IaaS B. PaaS C. FaaS D. SaaS 4. ¿Qué modelo de servicio en la nube NIST limita su elección de entornos de tiempo de ejecución en los que ¿Se puede escribir la solicitud? A. IaaS B. PaaS C. FaaS © 2021 Palo Alto Networks, Inc. 186 Página 187 D. SaaS 5. ¿Qué modelo de implementación de nube de NIST recomendaría para una startup que no ¿Tiene mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7? Un público B. privado C. comunidad D. híbrido 6. Una empresa de noticias puede atender todas las solicitudes de su centro de datos el 95% del tiempo. Sin embargo, algunos días hay una gran demanda de actualizaciones de noticias. Qué modelo de implementación de NIST ¿les recomendarías? Un público B. privado C. comunidad D. híbrido https://translate.googleusercontent.com/translate_f 151/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 187 Página 188 3.2 Reconocer y enumerar los desafíos de seguridad en la nube Los riesgos de seguridad que amenazan su red hoy en día no cambian cuando se cambia a la nube. El modelo de responsabilidad compartida define quién (cliente y / o proveedor) es responsable de qué (relacionado con la seguridad) en la nube pública. En términos generales, el proveedor de la nube es responsable de la seguridad de la nube, incluida la seguridad física de los centros de datos en la nube y redes, almacenamiento, computación y servicios de virtualización. El cliente de la nube es responsable de la seguridad en la nube, que es delineado con mayor detalle por el modelo de servicio en la nube (consulte la Figura 3-1). Figura 3-1: El modelo de responsabilidad compartida Por ejemplo, en un modelo de infraestructura como servicio (IaaS), el cliente de la nube es responsable de la seguridad de los sistemas operativos, middleware, tiempo de ejecución, aplicaciones y datos. En una plataforma modelo como servicio (PaaS), el cliente de la nube es responsable de la seguridad de las aplicaciones y datos, y el proveedor de la nube es responsable de la seguridad de los sistemas operativos, middleware y tiempo de ejecución. En un modelo SaaS, el cliente de la nube es responsable solo de la seguridad de los datos, y el proveedor de la nube es responsable de la pila completa desde el seguridad de los centros de datos en la nube a la aplicación. Multiempresa en entornos de nube, particularmente en los modelos SaaS, significa que los controles y recursos del cliente son necesariamente limitados https://translate.googleusercontent.com/translate_f 152/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS por el proveedor de la nube. © 2021 Palo Alto Networks, Inc. 188 Página 189 Con el uso de tecnologías de computación en la nube, el entorno de su centro de datos puede evolucionar desde un entorno fijo donde las aplicaciones se ejecutan en servidores dedicados hacia un entorno que es dinámico y automatizado, donde los grupos de recursos informáticos están disponibles para respaldar la aplicación cargas de trabajo a las que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo. La seguridad sigue siendo un desafío importante cuando se adopta esta nueva informática dinámica en la nube Entorno de tejido. Muchos de los principios que hacen atractiva la computación en la nube son contrarios a mejores prácticas de seguridad de la red: ● La computación en la nube no mitiga los riesgos de seguridad de la red existentes. Los riesgos de seguridad que amenazan su red hoy no cambian cuando se pasa a la nube. El compartido El modelo de responsabilidad define quién (cliente y / o proveedor) es responsable de qué (relacionado con la seguridad) en la nube pública. En términos generales, el proveedor de la nube es responsable de la seguridad de la nube, incluida la seguridad física de los datos de la nube centros y servicios de virtualización, almacenamiento, computación y redes fundamentales. El El cliente en la nube es responsable de la seguridad en la nube, que está más delineada por la modelo de servicio en la nube. Por ejemplo, en un modelo de infraestructura como servicio (IaaS), el El cliente en la nube es responsable de la seguridad de los sistemas operativos, middleware, tiempo de ejecución, aplicaciones y datos. En un modelo de plataforma como servicio (PaaS), la nube el cliente es responsable de la seguridad de las aplicaciones y los datos, y de la nube El proveedor es responsable de la seguridad de los sistemas operativos, middleware y tiempo de ejecución. En un modelo SaaS, el cliente de la nube es responsable solo de la seguridad del datos, y el proveedor de la nube es responsable de la pila completa, desde la seguridad física de los centros de datos en la nube a la aplicación. ● La seguridad requiere aislamiento y segmentación; la nube se basa en recursos compartidos. Las mejores prácticas de seguridad dictan que las aplicaciones y los datos de misión crítica estén aislados en segmentos seguros en la red utilizando el principio de confianza cero de "nunca confiar, siempre verificar." En una red física, Zero Trust es relativamente sencillo de lograr utilizando cortafuegos y políticas basadas en la aplicación y la identidad del usuario. En una computación en la nube entorno, comunicación directa entre máquinas virtuales dentro de un servidor y en el centro de datos (El tráfico de este a oeste se produce constantemente, en algunos casos en distintos niveles de confianza, por lo que haciendo de la segmentación una tarea difícil. Niveles mixtos de confianza, cuando se combinan con la falta de La visibilidad del tráfico dentro del host mediante las ofertas de seguridad basadas en puertos virtualizados, puede debilitar un postura de seguridad de la organización. ● Las implementaciones de seguridad están orientadas a procesos; Los entornos de computación en la nube son dinámica. La creación o modificación de sus cargas de trabajo en la nube a menudo se puede realizar en minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede tardar horas, días o semanas. Los retrasos de seguridad no son intencionales; son el resultado de un proceso que está diseñado para Mantenga una postura de seguridad sólida. Los cambios de política deben aprobarse, el Es necesario identificar los cortafuegos y determinar las actualizaciones de políticas relevantes. En Por el contrario, la nube es un entorno altamente dinámico, con cargas de trabajo (y direcciones IP). constantemente se agregan, eliminan y cambian. El resultado es una desconexión entre políticas de seguridad e implementaciones de cargas de trabajo en la nube que dan como resultado una seguridad debilitada postura. Las tecnologías y los procesos de seguridad deben aprovechar capacidades como la clonación e implementaciones con secuencias de comandos para escalar automáticamente y aprovechar la elasticidad de © 2021 Palo Alto Networks, Inc. 189 Página 190 la nube manteniendo una sólida postura de seguridad. ● La multipropiedad es una característica clave de la nube pública y un riesgo importante. Aunque los proveedores de nube pública se esfuerzan por garantizar el aislamiento entre sus diversos clientes, la infraestructura y los recursos en la nube pública se comparten. Riesgos inherentes https://translate.googleusercontent.com/translate_f 153/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS en un entorno compartido incluyen configuraciones incorrectas, procesos inadecuados o ineficaces y controles, y el problema del "vecino ruidoso" (tráfico de red excesivo, E / S de disco o el uso del procesador puede afectar negativamente a otros clientes que comparten el mismo recurso). En Entornos híbridos y multinube que conectan numerosas nubes públicas y / o privadas, la delimitación se vuelve borrosa, la complejidad aumenta y los riesgos de seguridad se vuelven más desafiante de abordar. ● Los modelos tradicionales de seguridad de host y red no funcionan en la nube para sistemas sin servidor aplicaciones. La defensa en profundidad se ha realizado principalmente a través de la capa de red. control S. Las herramientas avanzadas de prevención de amenazas pueden reconocer las aplicaciones que atraviesan el red y determinar si deben permitirse. Este tipo de seguridad todavía es muy muy necesario en los entornos nativos de la nube, pero ya no es suficiente por sí solo. Los proveedores de nube pública ofrecen una amplia cartera de servicios y la única forma de gobernar y Muchos de ellos son seguros mediante la gestión de identidades y accesos (IAM). Controles de IAM los permisos y el acceso para los usuarios y los recursos de la nube. Las políticas de IAM son conjuntos de políticas de permisos que se pueden adjuntar a usuarios o recursos en la nube para autorizar a qué acceden y qué pueden hacer con aquello a lo que acceden. Términos clave ● La gestión de identidades y accesos (IAM) es un marco de procesos, políticas y tecnologías que facilitan la gestión de identidades electrónicas o digitales. A medida que las organizaciones pasan de una arquitectura de centro de datos tradicional a una arquitectura pública, privada o entorno de nube híbrida, las estrategias de seguridad empresarial deben adaptarse para soportar cambios requisitos en la nube. Los requisitos importantes para proteger la nube incluyen: ● Seguridad constante en factores de forma físicos y virtualizados: los mismos niveles de El control de aplicaciones y la prevención de amenazas deben usarse para proteger tanto su nube entorno informático y su red física. Primero, debes poder confirmar la identidad de sus aplicaciones, validando su identidad y obligándolas a usar solo sus puertos estándar. También debe poder bloquear el uso de aplicaciones no autorizadas mientras simultáneamente buscando y bloqueando aplicaciones mal configuradas. Finalmente, aplicaciónSe deben aplicar políticas específicas de prevención de amenazas para bloquear tanto las conocidas como las desconocidas. el malware se mueva hacia y a través de su red y entorno de nube. ● Sus aplicaciones comerciales segmentadas según los principios de Confianza cero: para maximizar el uso de los recursos informáticos, una práctica actual relativamente común es mezclar niveles de confianza de la carga de trabajo de la aplicación en el mismo recurso informático. Aunque niveles mixtos de confianza son eficientes en la práctica, introducen riesgos de seguridad en caso de compromiso. Su solución de seguridad en la nube debe poder implementar políticas de seguridad basado en el concepto de Zero Trust como un medio para controlar el tráfico entre cargas de trabajo al tiempo que previene el movimiento lateral de las amenazas. © 2021 Palo Alto Networks, Inc. 190 Página 191 ● Aplicaciones comerciales administradas de forma centralizada; actualizaciones de políticas optimizadas: físicas La seguridad de la red todavía se implementa en casi todas las organizaciones, por lo que la capacidad de administrar implementaciones tanto de hardware como de factor de forma virtual desde una ubicación centralizada utilizando el La misma infraestructura e interfaz de gestión es fundamental. Para garantizar que la seguridad se mantenga al ritmo de la velocidad de cambio que pueden exhibir sus flujos de trabajo, su solución de seguridad debe incluir características que le permitan reducir, y en algunos casos eliminar, la procesos manuales que las actualizaciones de políticas de seguridad requieren a menudo. Independientemente del tipo de servicio en la nube que utilice, la carga de proteger ciertos tipos de las cargas de trabajo siempre recaerán sobre usted, nunca sobre su proveedor. Para maximizar su entorno de nube seguridad, tenga en cuenta las siguientes prácticas recomendadas: ● Revisar la configuración predeterminada: aunque el proveedor establece automáticamente ciertas configuraciones, algunos deben activarse manualmente. Debe tener su propio conjunto de políticas de seguridad en lugar de asumir que el proveedor está manejando un aspecto particular de su nube nativa seguridad. ● Adapte las configuraciones de autenticación y almacenamiento de datos a su organización: todos https://translate.googleusercontent.com/translate_f 154/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS las dondedeben se cargarán los datoscuidadosamente deben estar protegidas con contraseña. Caducidad la contraseña Lasubicaciones políticas también seleccionarse para satisfacer las necesidades de sudeorganización. ● No asuma que sus datos en la nube están seguros: nunca asuma que los datos cifrados por el proveedor totalmente seguro. Algunos proveedores brindan servicios de cifrado antes de la carga y otros no. Cualquiera que sea el caso, asegúrese de cifrar sus datos en tránsito y en reposo utilizando su propias llaves. ● Integrarse con la política de retención de datos de su nube: debe comprender la política de su proveedor política de retención y eliminación de datos. Debe tener varias copias de sus datos y una período de retención de datos fijo. Pero, ¿qué pasa cuando borras datos de la nube? Lo es todavía accesible para el proveedor? ¿Hay otros lugares donde podría haberse almacenado en caché o copiado? Debe verificar estos problemas antes de configurar un nuevo entorno de nube. ● Establecer los privilegios adecuados: la configuración adecuada de los niveles de privilegios es útil para haciendo que su entorno en la nube sea más seguro. Cuando usa controles de acceso basados en roles (RBAC) para la autorización, puede asegurarse de que todas las personas que vean o trabajen con sus datos tienen acceso solo a las cosas que son absolutamente necesarias. ● Mantenga actualizado el software de la nube: su proveedor puede proporcionar infraestructura y, en algunos casos, un entorno de software prediseñado o un firewall nativo en la nube. Pero cualquier cosa que añadas es su responsabilidad asegurar. Por lo tanto, usted como usuario es responsable de garantizar que su los parches de seguridad, los sistemas operativos, etc. están actualizados. La forma más sencilla de prevenir la deuda técnica y los retrasos es automatizar las actualizaciones. ● Cree políticas de seguridad y mejores prácticas en sus imágenes en la nube: si deja su seguridad nativa en la nube para diferentes desarrolladores de su equipo de seguridad de DevOps, el resultado podrían ser discrepancias en las políticas. Una buena forma de combatir este efecto es crear imágenes en la nube. con herramientas de seguridad configuradas y políticas aplicadas para que los desarrolladores puedan simplemente crear instancias de ellos. ● Aísle sus recursos en la nube: para reducir el riesgo de que los piratas informáticos obtengan un control completo en su sistema, debe separar las cuentas de administrador para el desarrollo, la implementación, pruebas, etc. Si un pirata informático que accede a una cuenta no puede moverse lateralmente a otra aspectos del medio ambiente. © 2021 Palo Alto Networks, Inc. 191 Página 192 Términos clave ● La deuda técnica es un concepto de desarrollo de software, que también se ha aplicado de manera más general. a TI, en el que se anticipan costos futuros adicionales para reelaborar debido a una decisión anterior o curso de acción que era necesario para la agilidad pero no era necesariamente el más óptimo o decisión o curso de acción apropiado. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Usted es responsable de la seguridad de la aplicación, el tiempo de ejecución y el funcionamiento de la VM. sistema. ¿Qué modelo de implementación en la nube está utilizando? A. SaaS B. FaaS C. PaaS D. IaaS 2. ¿Qué componente se puede compartir con otros inquilinos de la nube incluso cuando se usa IaaS? A. aplicación B. tiempo de ejecución C. máquina virtual (invitado) D. máquina física (host) 3. Dos empresas utilizan Gmail para su correo electrónico (SaaS). ¿Qué dos componentes pueden ser compartido de forma transparente entre ellos? (Escoge dos.) A. libreta de direcciones B. código de aplicación C. mensajes D. base de datos de mensajes E. identidades de usuario 4. ¿Qué modelo de servicio en la nube le permite instalar un firewall para proteger su información? A. SaaS https://translate.googleusercontent.com/translate_f 155/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. PaaS C. FaaS D. IaaS © 2021 Palo Alto Networks, Inc. 192 Página 193 3.3 Definir el propósito de la virtualización en la computación en nube La tecnología de virtualización emula recursos informáticos físicos o reales, como servidores (computación), almacenamiento, redes y aplicaciones. La virtualización permite múltiples aplicaciones o cargas de trabajo del servidor para que se ejecuten de forma independiente en uno o más recursos físicos. Un hipervisor permite que varios sistemas operativos virtuales ("invitados") se ejecuten simultáneamente en un solo ordenador host físico. El hipervisor funciona entre el sistema operativo de la computadora y el kernel de hardware. Los dos tipos de hipervisores son: ● Tipo 1 ( nativo o bare metal ). Se ejecuta directamente en el hardware de la computadora host ● Tipo 2 ( alojado ). Se ejecuta dentro de un entorno de sistema operativo Términos clave ● Un hipervisor permite que varios sistemas operativos virtuales (o invitados) se ejecuten simultáneamente en un una sola computadora host física. ● Un hipervisor nativo (también conocido como Tipo 1 o bare metal ) se ejecuta directamente en el host. hardware de la computadora. ● Un hipervisor alojado (también conocido como tipo 2 ) se ejecuta dentro de un entorno de sistema operativo. La virtualización es una tecnología importante que se utiliza en los centros de datos y la computación en la nube para optimizar recursos. Las consideraciones de seguridad importantes asociadas con la virtualización incluyen: ● Máquinas virtuales inactivas (VM): en muchos centros de datos y entornos de nube, Las máquinas virtuales inactivas se apagan de forma rutinaria (a menudo automáticamente) cuando no están en uso. Las máquinas virtuales que se apagan durante períodos prolongados (semanas o meses) pueden ser inadvertidamente se pierde cuando se aplican actualizaciones anti-malware y parches de seguridad. ● Vulnerabilidades del hipervisor: además de las vulnerabilidades dentro de las aplicaciones alojadas, VM y otros recursos en un entorno virtual, el hipervisor mismo puede ser vulnerable, que puede exponer los recursos alojados a ataques. ● Comunicaciones intra-VM: tráfico de red entre hosts virtuales, particularmente en un servidor físico único, no puede atravesar un conmutador físico. Esta falta de visibilidad aumenta la complejidad de la resolución de problemas y puede aumentar los riesgos de seguridad debido a capacidades de seguimiento y registro. ● Expansión de VM: los entornos virtuales pueden crecer rápidamente, lo que da como resultado un colapso en cambiar los procesos de gestión y agravar los problemas de seguridad, como las máquinas virtuales inactivas, vulnerabilidades del hipervisor y comunicaciones dentro de la máquina virtual. https://translate.googleusercontent.com/translate_f 156/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 193 Página 194 Maquinas virtuales Aunque una discusión sobre las máquinas virtuales en el contexto de la nube nativa puede resultar sorprendente, la realidad es que la gran mayoría de las cargas de trabajo del mundo actual se ejecutan "directamente" (no en contenedores) en las máquinas virtuales. La mayoría de las organizaciones no ven las máquinas virtuales como una plataforma heredada para eliminar, ni simplemente como un host tonto. en el que ejecutar contenedores. Más bien, reconocen que muchas de sus aplicaciones aún no se han en contenedores y que la máquina virtual tradicional sigue siendo un modelo de implementación fundamental para ellos. A pesar de que una máquina virtual que no aloja contenedores no cumple con los tres atributos de un sistema nativo en la nube, sin embargo, se puede operar de forma dinámica y ejecutar microservicios. Las máquinas virtuales proporcionan los mayores niveles de aislamiento, compatibilidad y control en el continuo (consulte Figura 3-3) y son adecuados para ejecutar casi cualquier tipo de carga de trabajo. Ejemplos de VM Las tecnologías incluyen VMware vSphere, Microsoft Hyper-V y las instancias proporcionadas por prácticamente todos los proveedores de nube de IaaS, como Amazon EC2. Las máquinas virtuales se diferencian de las "delgadas VM ”a su derecha en el continuo porque a menudo se operan de una manera con estado con poca separación entre el sistema operativo, la aplicación y los datos. Figura 3-3: VM y VM delgadas en el continuo de tecnologías nativas de la nube Máquinas virtuales delgadas Los VMS "delgados" son menos una tecnología distinta que una metodología operativa diferente y, por lo general, son la misma tecnología subyacente que las máquinas virtuales, pero implementadas y ejecutadas en un entorno mucho más sin estado manera. Las máquinas virtuales delgadas generalmente se implementan a través de la automatización sin participación humana, son operan como flotas en lugar de entidades individuales, y dan prioridad a la separación del sistema operativo, la aplicación y los datos. Mientras que una VM puede almacenar datos de aplicaciones en el volumen del sistema operativo, una VM delgada almacenaría todos los datos en un volumen separado que se podría volver a adjuntar fácilmente a otra instancia. Aunque las máquinas virtuales delgadas también carecen del atributo contenedor de un sistema nativo en la nube, por lo general tienen un mayor énfasis en gestión dinámica que las máquinas virtuales tradicionales. Mientras que una VM puede ser instalada y configurada por un operador humano, una máquina virtual delgada normalmente se implementaría a partir de una imagen estándar, utilizando herramientas de automatización como Puppet, Chef o Ansible, sin participación humana. Las VM delgadas se diferencian de las VM a su izquierda en el continuo (consulte la Figura 3-3) por la enfoque intencional en la separación de datos, la automatización y la disponibilidad de cualquier instancia determinada. Son diferenciados de los contenedores integrados en VM a su derecha en el continuo por la falta de un © 2021 Palo Alto Networks, Inc. 194 Página 195 tiempo de ejecución del contenedor. Las máquinas virtuales delgadas tienen aplicaciones instaladas directamente en el sistema de archivos de su sistema ope https://translate.googleusercontent.com/translate_f 157/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS directamente por el kernel del sistema operativo host sin ningún tiempo de ejecución intermediario. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué opción es un hipervisor de tipo 2? A. alojado B. nativo C. de metal desnudo D. importado 2. ¿Qué proveedor de nube llama a su servicio IaaS Elastic Computing Service (ECS)? A. Alibaba B. AWS C. Azur D. GCP 3. ¿Qué problema de seguridad puede hacer que resurja una vulnerabilidad parcheada durante mucho tiempo? A. Expansión de VM B. comunicaciones intra-VM C. vulnerabilidades del hipervisor D. máquinas virtuales inactivas 3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones Los desarrolladores han adoptado ampliamente los contenedores porque hacen que la construcción e implementación de aplicaciones nativas en la nube más sencillas que nunca. Los contenedores no solo eliminan gran parte del fricción típicamente asociada con mover el código de la aplicación desde la prueba hasta la producción, El código de la aplicación empaquetado como contenedores también se puede ejecutar en cualquier lugar. Todas las dependencias asociados con cualquier aplicación se incluyen dentro de la aplicación en contenedor, lo que hace un aplicación en contenedores altamente portátil en máquinas virtuales o servidores bare metal en ejecución en un centro de datos local o en una nube pública. Ese nivel de flexibilidad permite a los desarrolladores obtener enormes ganancias en productividad que son demasiado grandes. ignorar. Sin embargo, como es el caso con el surgimiento de cualquier nueva arquitectura de TI, la nube nativa las aplicaciones aún deben estar protegidas. Los entornos de contenedores incluyen una gama de ciberseguridad problemas relacionados con imágenes, contenedores, hosts, tiempos de ejecución, registros y plataformas de orquestación, todos que necesitan ser asegurados. Kubernetes es una plataforma de orquestación de código abierto que proporciona una API que permite desarrolladores para definir la infraestructura de contenedores de una manera declarativa, es decir, la infraestructura como código (IaC). Las organizaciones pueden aprovechar la orquestación de Kubernetes y los microservicios arquitectura para publicar, mantener y actualizar aplicaciones nativas de la nube en contenedores de forma rápida y a escala. © 2021 Palo Alto Networks, Inc. 195 Página 196 Contenedores integrados en VM Para algunas organizaciones, especialmente las grandes empresas, los contenedores proporcionan una aplicación atractiva implementación y enfoque operativo, pero carecen de suficiente aislamiento para mezclar cargas de trabajo de diferentes niveles de sensibilidad. Las máquinas virtuales proporcionan un grado de aislamiento mucho más fuerte, pero a costa de una mayor complejidad y carga de gestión. Contenedores integrados en VM, como contenedores Kata y VMware vSphere Integrated Containers, busca lograr el aislamiento de VM proporcionando una combinación de una API amigable para el desarrollador y la abstracción de la aplicación del sistema operativo mientras oculta el complejidades de la compatibilidad y el aislamiento de seguridad dentro del hipervisor. , Estas tecnologías buscan básicamente proporcionar máquinas virtuales sin que los usuarios tengan que saber que son máquinas virtuales o gestionarlos. En su lugar, los usuarios ejecutan comandos de contenedor típicos como "docker run" y el La plataforma subyacente crea de forma automática e invisible una nueva máquina virtual, inicia un tiempo de ejecución del contenedor dentro de él, y ejecuta el comando. El resultado es que el usuario ha iniciado un contenedor en un https://translate.googleusercontent.com/translate_f 158/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS instancia separada del sistema operativo, aislada de todas las demás por un hipervisor. Estos VMLos contenedores integrados suelen ejecutar un solo contenedor (o un conjunto de contenedores estrechamente relacionados similares a un pod en Kubernetes) dentro de una sola VM. Los contenedores integrados en VM poseen las tres atributos nativos del sistema y, por lo general, ni siquiera proporcionan la configuración manual como opcional enfoque de implementación. Los contenedores integrados en VM se diferencian de las VM delgadas a su izquierda en el continuo (consulte Figura 3-4) porque están diseñados explícitamente para ejecutar únicamente contenedores e integrar estrechamente la VM aprovisionamiento con acciones de tiempo de ejecución del contenedor. Se diferencian de los envases puros a sus justo en el continuo mediante el mapeo de un solo contenedor por instancia de SO y el flujo de trabajo utilizado para crear una instancia de una nueva máquina virtual, junto con el contenedor que aloja, a través de un singular, flujo centrado en contenedores. Figura 3-4: Contenedores integrados en VM en el continuo de tecnologías nativas de la nube © 2021 Palo Alto Networks, Inc. 196 Página 197 Contenedores Los contenedores ofrecen las tres características del sistema nativo de la nube y proporcionan un conjunto equilibrado de capacidades y compensaciones a lo largo del continuo. Los contenedores se popularizaron y son los mejores conocido por el proyecto Docker, y han existido en diversas formas durante muchos años y tienen su raíces en tecnologías como Solaris Zones y BSD Jails. Aunque Docker es un conocido marca, otros proveedores están adoptando sus tecnologías subyacentes de runc y containerd para crear soluciones similares pero separadas. Los contenedores equilibran la separación (aunque no tan bien como las VM), excelente compatibilidad con aplicaciones y un alto grado de control operativo con buen potencial de densidad y fácil integración en los flujos de desarrollo de software. Los contenedores pueden ser complejos de operar, principalmente debido a su amplia capacidad de configuración y la amplia variedad de opciones que presentan a los equipos operativos. Dependiendo de estas opciones, los contenedores pueden ser completamente sin estado, dinámicos y aislados; altamente entremezclado con el sistema operativo host y con estado; o en cualquier lugar intermedio. Esta El grado de elección es tanto la mayor fortaleza como la gran debilidad de los contenedores. En respuesta, el mercado ha creado sistemas a su derecha en el continuo, como sin servidor, para hacer son más fáciles de gestionar a escala y abstraen parte de su complejidad al reducir algunos configurabilidad. Los contenedores se diferencian de los contenedores integrados en VM a su izquierda en el continuo (ver Figura 3-5) sin usar un mapeo estricto uno a uno del contenedor a la VM ni encapsular el aprovisionamiento del sistema operativo host subyacente en el flujo de implementación del contenedor. Se diferencian de las plataformas de contenedores como servicio a su derecha en el continuo por requiriendo que los usuarios sean responsables de la implementación y operación de todos los infraestructura, que incluye no solo hardware y máquinas virtuales, sino también el mantenimiento del host sistemas operativos dentro de cada VM. https://translate.googleusercontent.com/translate_f 159/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 3-5: Contenedores en el continuo de tecnologías nativas de la nube © 2021 Palo Alto Networks, Inc. 197 Página 198 Contenedores como servicio A medida que los contenedores crecieron en popularidad y se diversificó el uso, los orquestadores como Kubernetes (y sus derivados como OpenShift), Mesos y Docker Swarm se volvieron cada vez más importantes para Implementar y operar contenedores a escala. Aunque estos orquestadores abstraen gran parte de la complejidad requerida para implementar y operar una gran cantidad de microservicios compuestos por muchos contenedores y se ejecutan en muchos hosts, pueden ser complejos de configurar y mantener. Estos Los orquestadores también se centran en el tiempo de ejecución del contenedor y hacen poco para ayudar con la implementación. y gestión de hosts subyacentes. Aunque las organizaciones sofisticadas suelen utilizar tecnologías como las máquinas virtuales delgadas envueltas en herramientas de automatización para abordar la implementación y gestión de hosts subyacentes, incluso estos enfoques no alivian completamente a la organización desde la gestión del hardware de red, almacenamiento y computación subyacentes. Contenedores como servicio (CaaS) proporcionan las tres características nativas de la nube de forma predeterminada y, aunque ensamblados a partir de muchos componentes más genéricos, están altamente optimizados para cargas de trabajo de contenedores. Debido a que los principales proveedores de IaaS de nube pública ya tienen grandes inversiones en automatización e implementación, muchos han optado por aprovechar esta ventaja para construir plataformas para ejecutar contenedores que se esfuerzan por eliminar la administración del hardware subyacente y VM de los usuarios. Estas plataformas CaaS incluyen Google Kubernetes Engine, Azure Kubernetes Service y Amazon EC2 Container Service. Estas soluciones combinan el contenedor capacidades de implementación y gestión de un orquestador con su propia plataforma específica API para crear y administrar máquinas virtuales. Esta integración permite a los usuarios aprovisionar capacidad más fácilmente sin la necesidad de administrar el hardware subyacente o la capa de virtualización. Algunos de estos plataformas, como Google Kubernetes Engine, incluso utilizan máquinas virtuales delgadas que se ejecutan en contenedores sistemas operativos, como Container-Optimized OS o CoreOS, para reducir aún más la necesidad de administrar el sistema operativo del host. https://translate.googleusercontent.com/translate_f 160/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 198 Página 199 Las plataformas CaaS se diferencian de los contenedores a su izquierda en el continuo (ver Figura 3-6) al proporcionar un conjunto más completo de capacidades que abstraen las complejidades involucradas con aprovisionamiento de hardware y VM. Se diferencian de los contenedores bajo demanda a sus directamente en el continuo al permitir que los usuarios aún administren directamente las VM subyacentes y sistema operativo del host. Por ejemplo, en la mayoría de las implementaciones de CaaS, los usuarios pueden usar SSH directamente en un nodo y ejecutar herramientas arbitrarias como usuario root para ayudar en el diagnóstico o personalizar el sistema operativo del host. Figura 3-6: Plataforma CaaS en el continuo de tecnologías nativas de la nube Contenedores bajo demanda Aunque las plataformas CaaS simplifican la implementación y operación de contenedores a escala, aún proporcionar a los usuarios la capacidad de administrar el sistema operativo host subyacente y las máquinas virtuales. Para algunos organizaciones, esta flexibilidad es muy deseable, pero en otros casos de uso puede ser innecesaria distracción. la capacidad de ejecutar simplemente un contenedor, sin ningún conocimiento o configuración del Los hosts o máquinas virtuales subyacentes pueden aumentar la eficiencia y la agilidad del desarrollo, especialmente para desarrolladores. Los contenedores bajo demanda son un conjunto de tecnologías diseñadas para compensar parte de la compatibilidad y control de las plataformas CaaS para reducir la complejidad y facilitar la implementación. Bajo demanda Las plataformas de contenedores incluyen AWS Fargate y Azure Container Instances. En estas plataformas, Es posible que los usuarios no tengan la capacidad de acceder directamente al sistema operativo host y deben utilizar exclusivamente el interfaces de plataforma para implementar y administrar sus cargas de trabajo de contenedores. Estas plataformas proporcionan todos tres atributos nativos de la nube y posiblemente incluso los requiera; normalmente no es práctico no Cree aplicaciones para ellos como microservicios, y el entorno solo se puede administrar de forma dinámica y desplegado como contenedores. © 2021 Palo Alto Networks, Inc. 199 Página 200 https://translate.googleusercontent.com/translate_f 161/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Los contenedores bajo demanda se diferencian de las plataformas CaaS a su izquierda en el continuo (ver Figura 3-7) por la falta de soporte para el control directo del sistema operativo host y las VM, junto con el requisito de que la gestión típica se produzca a través de interfaces específicas de la plataforma. Son diferenciados de los sin servidor a su derecha en el continuo porque los contenedores bajo demanda todavía ejecutar imágenes de contenedores normales que podrían ejecutarse en cualquier otra plataforma de contenedores. Para Por ejemplo, se puede ejecutar la misma imagen que un usuario puede ejecutar directamente en un contenedor en su escritorio sin cambios en una plataforma CaaS o en un contenedor bajo demanda. La consistencia de una imagen formato como un paquete portátil global para aplicaciones, incluidos todos sus niveles de sistema operativo subyacentes dependencias, es una diferencia importante con los entornos sin servidor. Figura 3-7: Contenedores bajo demanda en el continuo de tecnologías nativas de la nube Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué modelo de uso de la nube ejecuta solo un contenedor por máquina virtual? A. sin servidor B. contenedores como servicio (CaaS) C. contenedores estibadores estándar D. Contenedores integrados en VM 2. ¿Qué modelo de uso de la nube le permite utilizar contenedores sin tener que administrar capas de virtualización y hardware subyacentes, pero aún le permite acceder a las capas subyacentes virtualización si es necesario? A. sin servidor B. contenedores como servicio (CaaS) C. contenedores estibadores estándar D. Contenedores integrados en VM 3. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 1 hipervisores. ¿Cuántas instancias de SO estás ejecutando? A. 2 B. 5 C. 7 D. 17 © 2021 Palo Alto Networks, Inc. 200 Página 201 4. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 2 hipervisores. ¿Cuántas instancias de SO estás ejecutando? A. 2 B. 5 C. 7 D. 17 3.5 Discutir el propósito de la computación sin servidor El término "sin servidor" generalmente se refiere a un modelo operativo en la computación en nube. En el modelo sin servidor, las aplicaciones se basan en servicios administrados que abstraen la necesidad de administrar, https://translate.googleusercontent.com/translate_f 162/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS parche e infraestructura y máquinas Las aplicaciones sin servidor se basan en combinación de serviciossegura gestionados en la virtuales. nube y función como servicio (FaaS). Adopción deun un El modelo sin servidor puede afectar el desarrollo de aplicaciones de varias formas: ● Reducción de la sobrecarga operativa: sin servidores que administrar, desarrolladores y DevOps. no necesita preocuparse por escalar la infraestructura, instalar y mantener agentes, o otras operaciones relacionadas con la infraestructura. ● Mayor agilidad: debido a que las aplicaciones sin servidor dependen en gran medida de los servicios administrados para cosas como bases de datos y autenticación, los desarrolladores pueden centrarse en la lógica empresarial de la aplicación, que normalmente se ejecutará en un FaaS, como AWS Lambda o Google Funciones en la nube. ● Costos reducidos: con la mayoría de los servicios utilizados en aplicaciones sin servidor, el cliente paga solo para uso. Por ejemplo, con AWS Lambda, los clientes pagan por las ejecuciones de sus funciones. Este modelo de precios generalmente tiene un impacto significativo en el costo porque los clientes no tienen que pagar por la capacidad no utilizada como lo harían con las máquinas virtuales. Aunque los contenedores bajo demanda reducen en gran medida la "superficie" expuesta a los usuarios finales y, por lo tanto, la complejidad asociada con su gestión, algunos usuarios prefieren una forma aún más sencilla de implementar sus aplicaciones. Serverless es una clase de tecnologías diseñadas para permitir a los desarrolladores proporcionar solo su código de aplicación a un servicio, que luego instancia el resto de la pila debajo de él automáticamente. En las aplicaciones sin servidor, el desarrollador solo carga el paquete de la aplicación, sin un contenedor completo. imagen o cualquier componente del sistema operativo. La plataforma lo empaqueta dinámicamente en una imagen, ejecuta el imagen en un contenedor y (si es necesario) crea una instancia del SO host subyacente y la VM y el hardware necesario para ejecutarlos. En un modelo sin servidor, los usuarios hacen las compensaciones más dramáticas de compatibilidad y control para la implementación y administración más simple y eficiente experiencia. Entre los ejemplos de entornos sin servidor se incluyen Amazon Lambda y Azure Functions. Muchas PaaS ofertas, como Pivotal Cloud Foundry, también son efectivamente sin servidor, incluso si no lo han hecho. históricamente se ha comercializado como tal. Aunque sin servidor puede parecer que carece del contenedor, atributo nativo de la nube específico, los contenedores se utilizan ampliamente en el implementaciones, incluso si esas implementaciones no se exponen directamente a los usuarios finales. © 2021 Palo Alto Networks, Inc. 201 Página 202 Serverless se diferencia de los contenedores bajo demanda a la izquierda en el continuo (consulte la Figura 3-8) por la total incapacidad de interactuar con el host subyacente y el tiempo de ejecución del contenedor, a menudo para el grado de ni siquiera tener visibilidad del software que ejecuta. Figura 3-8: Sin servidor en la continuidad de las tecnologías nativas de la nube Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué modelo de uso de la nube restringe su elección de un entorno de ejecución al entornos compatibles con el proveedor de la nube? https://translate.googleusercontent.com/translate_f 163/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A. sin servidor B. contenedores a pedido C. contenedores como servicio (CaaS) D. contenedores estibadores estándar 2. ¿Qué tres atributos son ventajas de la informática sin servidor, en comparación con CaaS? (Elige tres.) A. costos reducidos B. mayor control sobre la carga de trabajo C. mayor capacidad para monitorear e identificar problemas D. mayor agilidad E. gastos generales operativos reducidos © 2021 Palo Alto Networks, Inc. 202 Página 203 3.6 Compare las diferencias entre DevOps y DevSecOps En un modelo de desarrollo de software tradicional, los desarrolladores escriben grandes cantidades de código para nuevos características, productos, correcciones de errores, etc., y luego pasar su trabajo al equipo de operaciones para implementación, generalmente a través de un sistema de venta de boletos automatizado. El equipo de operaciones recibe este solicitar en su cola, prueba el código y lo prepara para la producción, un proceso que puede llevar días, semanas o meses. Bajo este modelo tradicional, si Operaciones tiene algún problema durante implementación, el equipo envía un ticket a los desarrolladores para decirles qué corregir. Finalmente, una vez que se resuelve esta interacción de ida y vuelta, la carga de trabajo pasa a producción. Este modelo hace que la entrega de software sea un proceso largo y fragmentado. Los desarrolladores a menudo ven Las operaciones como un obstáculo, lo que ralentiza los cronogramas de sus proyectos, y los equipos de operaciones se sienten como un repositorio de problemas de desarrollo. DevOps resuelve estos problemas al unir los equipos de desarrollo y operaciones en todo el todo el proceso de entrega de software, lo que les permite descubrir y solucionar problemas antes, Automatice las pruebas y la implementación, y reduzca el tiempo de comercialización. Para comprender mejor qué es DevOps, primero comprendamos qué no es DevOps. DevOps no es: ● Una combinación de los equipos Dev y Ops: todavía hay dos equipos; ellos simplemente operan de forma comunicativa y colaborativa. ● Su propio equipo independiente: no existe un "ingeniero de DevOps". A pesar de que algunos Las empresas pueden designar un "equipo de DevOps" como piloto cuando intenten realizar la transición a un Cultura DevOps, DevOps se refiere a una cultura en la que los desarrolladores, evaluadores y operaciones el personal coopera durante todo el ciclo de vida de la entrega de software. ● Una herramienta o un conjunto de herramientas: aunque hay herramientas que funcionan bien con un modelo DevOps o ayudar a promover la cultura DevOps, DevOps es, en última instancia, una estrategia, no una herramienta. ● Automatización: aunque la automatización es muy importante para una cultura de DevOps, solo lo hace no define DevOps. Ahora, analicemos qué es DevOps. En lugar de que los desarrolladores codifiquen enormes conjuntos de funciones antes a ciegas entregándolos a Operaciones para su implementación., en un modelo DevOps, los desarrolladores con frecuencia entregar pequeñas cantidades de código para pruebas continuas. En lugar de comunicar problemas y solicitudes a través de un sistema de tickets, los equipos de Desarrollo y Operaciones se reúnen periódicamente, https://translate.googleusercontent.com/translate_f 164/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Comparta análisis y copropiedad de proyectos de principio a fin. © 2021 Palo Alto Networks, Inc. 203 Página 204 Canalización de CI / CD DevOps es un ciclo de integración continua y entrega continua (o continua despliegue), también conocido como el canal de CI / CD. La canalización de CI / CD se integra Equipos de desarrollo y operaciones para mejorar la productividad mediante la automatización de la infraestructura y flujos de trabajo y medición continua del rendimiento de las aplicaciones. La integración continua requiere que los desarrolladores integren código en un repositorio varias veces por día para pruebas automatizadas. Cada registro se verifica mediante una compilación automatizada, lo que permite a los equipos para detectar problemas a tiempo. La entrega continua significa que la canalización de CI está automatizada, pero el código debe pasar controles técnicos manuales antes de su implementación en producción. La implementación continua lleva la entrega continua un paso más allá. En lugar de verificaciones manuales, El código pasa las pruebas automatizadas y se implementa automáticamente, lo que brinda a los clientes acceso a nuevas funciones. DevOps y seguridad Un problema en DevOps es que a menudo se descuida la seguridad. Los desarrolladores se mueven rápidamente y su los flujos de trabajo están automatizados. La seguridad es un equipo separado y los desarrolladores no quieren reducir la velocidad para controles de seguridad y solicitudes. Como resultado, muchos desarrolladores implementan sin pasar por el canales de seguridad adecuados e inevitablemente cometer errores de seguridad dañinos. Para resolver el problema de la eficiencia de DevOps, las organizaciones están adoptando DevSecOps. DevSecOps toma el concepto detrás de DevOps de que los desarrolladores y los equipos de TI deben trabajar juntos en estrecha colaboración, en lugar de por separado, a lo largo de la entrega de software y lo extiende para incluir seguridad y integre verificaciones automatizadas en la canalización completa de CI / CD. La integración de la canalización de CI / CD se ocupa del problema de seguridad que parece una fuerza externa y permite a los desarrolladores mantener su velocidad sin comprometer la seguridad de los datos. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué proceso continuo reemplaza las verificaciones manuales con pruebas de código automatizadas y ¿despliegue? A. integración B. desarrollo C. entrega D. despliegue 2. ¿Cuáles son los dos significados de la canalización de CI / CD? (Escoge dos.) A. integración continua / entrega continua B. implementación continua / entrega continua C. integración continua / despliegue continuo © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 204 165/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 205 D. implementación continua / despliegue continuo E. innovación continua / desarrollo continuo 3. ¿Qué paso de la canalización de CI / CD no se puede automatizar? A. Codificación B. Integración C. Pruebas D. Seguimiento 4. ¿Qué paso de la canalización de CI / CD es el lugar ideal para las pruebas de penetración automatizadas? A. Codificación B. Integración C. Pruebas D. Despliegue 3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS Los recursos en la nube y las aplicaciones SaaS deben configurarse correctamente y cumplir con su los estándares de seguridad de la organización desde el primer día para evitar ataques exitosos. Además, estos aplicaciones, y los datos que recopilan y almacenan, deben estar debidamente protegidos y cumplir con evite costosas multas, daños a la reputación de la marca y pérdida de la confianza del cliente. Los equipos de seguridad deben cumplir con los estándares de seguridad y mantener entornos compatibles a escala y en todo SaaS aplicaciones. A pesar de la disponibilidad de numerosas herramientas, la mayoría de las organizaciones luchan por controlar de manera efectiva su exposición de datos y hacer cumplir las políticas de seguridad en entornos de nube en constante cambio y Aplicaciones SaaS. Además, garantizar el cumplimiento donde los datos se almacenan a través de distribuidos Los entornos suponen una carga importante para los equipos de seguridad limitados. Garantizar la gobernanza y el cumplimiento en entornos de múltiples nubes y aplicaciones SaaS requiere: ● Descubrimiento y clasificación en tiempo real de recursos y datos en SaaS dinámico y Entornos PaaS e IaaS ● Gobernanza de la configuración, asegurando que las configuraciones de aplicaciones y recursos coincidan con sus las mejores prácticas de seguridad tan pronto como se implementan y evitan la desviación de la configuración ● Gobernanza de acceso mediante definiciones de políticas granulares para gobernar el acceso a SaaS aplicaciones y recursos en la nube pública y para aplicar la segmentación de la red ● Auditoría de cumplimiento, aprovechando la automatización y los marcos de cumplimiento integrados, para Garantice el cumplimiento en cualquier momento y genere informes listos para auditorías bajo demanda. Experiencia de usuario perfecta que no obliga a pasos adicionales ni introduce una latencia significativa en el uso de aplicaciones a medida que agrega nuevas herramientas de seguridad © 2021 Palo Alto Networks, Inc. 205 Página 206 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Cuál es el significado de una aplicación SaaS que se anuncia como compatible con HIPPA? R. Independientemente de cómo configure la aplicación para su empresa, será Cumple con HIPPA. B. Si su administrador configura la configuración de seguridad en la aplicación correctamente, usted cumplirá con HIPPA. https://translate.googleusercontent.com/translate_f 166/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS C.Siobediente. su administrador y sus usuarios usan la aplicación correctamente, será HIPPA D. Si su administrador y sus usuarios utilizan la aplicación correctamente, la aplicación no hará que no cumpla con HIPPA. 2. ¿Qué sistemas debe proteger para garantizar el cumplimiento de los estándares de seguridad? A. Los servidores en el centro de datos B. Los dispositivos propiedad de la empresa, ya sean servidores en el centro de datos, VM en la nube que administra o dispositivos de punto final de usuario C.Cualquier sistema donde vayan los datos de los que eres responsable D. Todos los dispositivos que pertenecen a la empresa o que son utilizados por empleados de la empresa. 3. ¿En qué área se requiere el cumplimiento de GDPR para hacer negocios? A. Estados Unidos de América B. Canadá C. China D. Unión Europea 3.8 Describir las debilidades de las soluciones de seguridad de datos tradicionales Las soluciones tradicionales de seguridad del centro de datos exhiben las mismas debilidades que se encuentran cuando se implementados en una puerta de enlace perimetral en la red física: hacen su control positivo inicial decisiones de acceso a la red basadas en el puerto, utilizando la inspección de estado, y luego toman una serie de Decisiones secuenciales de control negativo utilizando conjuntos de características instaladas. Este enfoque tiene varios problemas: ● Visibilidad y control limitados: el enfoque de "puertos primero" de la seguridad de datos tradicional soluciones limita su capacidad para ver todo el tráfico en todos los puertos, lo que significa que evasivas o aplicaciones encriptadas, y cualquier amenaza correspondiente que pueda o no usar estándares puertos, puede evadir la detección. Por ejemplo, muchas aplicaciones de centros de datos (como Microsoft Lync, Active Directory y SharePoint) utilizan una amplia gama de puertos contiguos para funcionar correctamente. Por lo tanto, primero debe abrir todos esos puertos, exponiendo esos mismos puertos a otras aplicaciones o ciberamenazas. ● Sin concepto de tráfico desconocido: el tráfico desconocido es de alto riesgo, pero representa solo un cantidad relativamente pequeña de tráfico en cada red. El tráfico desconocido puede ser personalizado aplicación, una aplicación comercial lista para usar no identificada o una amenaza. El La práctica común de bloquear todo el tráfico desconocido puede paralizar su negocio. Permitiendo todo el tráfico es muy riesgoso. Necesita poder administrar sistemáticamente el tráfico desconocido utilizando herramientas de gestión de políticas nativas para reducir los riesgos de seguridad de su organización. ● Múltiples políticas, sin herramientas de conciliación de políticas: análisis de tráfico secuencial (con estado inspección, control de aplicaciones, sistema de prevención de intrusiones (IPS), anti-malware, etc.) en © 2021 Palo Alto Networks, Inc. 206 Página 207 Las soluciones tradicionales de seguridad del centro de datos requieren una política de seguridad correspondiente o perfil, a menudo utilizando múltiples herramientas de gestión. El resultado es que sus políticas de seguridad se complica a medida que crea y administra una política de firewall con origen, destino, usuario, puerto y acción; una política de control de aplicaciones con reglas similares; y cualquier otro Se requieren reglas de prevención de amenazas. Múltiples políticas de seguridad que mezclan positivo (firewall) y Los modelos de control negativos (control de aplicaciones, IPS y anti-malware) pueden causar seguridad agujeros por falta de tráfico y / o no identificar el tráfico. Esta situación se agrava cuando no hay herramientas de conciliación de políticas. ● Proceso de actualización de la política de seguridad engorroso. Soluciones de seguridad existentes en los datos centro no abordan la naturaleza dinámica de su entorno de nube, porque su las políticas tienen dificultades para lidiar con los numerosos cambios dinámicos que son comunes en centros de datos virtuales. En un centro de datos virtual, los servidores de aplicaciones de VM a menudo se mueven de un host físico a otro, por lo que sus políticas de seguridad deben adaptarse a los cambios de red condiciones. Muchas ofertas de seguridad en la nube son simplemente versiones virtualizadas de seguridad basada en puertos y protocolos. electrodomésticos con las mismas deficiencias que sus contrapartes físicas. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto https://translate.googleusercontent.com/translate_f 167/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS respuestas en el Apéndice A. un firewall de filtro de puerto el acceso a la URL? 1. ¿Cómo clasificaría https://example.com:22/this/page? A. HTTP B. HTTPS C. Telnet D. SSH © 2021 Palo Alto Networks, Inc. 207 Página 208 3.9 Comparar la protección del tráfico este-oeste y norte-sur En un centro de datos virtual (nube privada), hay dos tipos diferentes de tráfico, cada uno de los cuales es asegurado de una manera diferente (ver Figura 3-10): ● Norte-sur se refiere a los paquetes de datos que entran y salen del entorno virtualizado. desde la red de host o un centro de datos tradicional correspondiente. El tráfico de norte a sur es asegurado por uno o más cortafuegos de borde perimetral de factor de forma física. El cortafuegos de borde generalmente es un dispositivo de alto rendimiento que trabaja en alta disponibilidad activo / pasivo (o modo activo / activo) para aumentar la resiliencia. Controla todo el tráfico que llega a los datos Center y autoriza que solo los paquetes permitidos y "limpios" fluyan hacia el virtualizado ambiente. ● Este-oeste se refiere a los paquetes de datos que se mueven entre cargas de trabajo virtuales completamente dentro del nube privada. El tráfico este-oeste está protegido por un firewall virtualizado local instanciado en cada hipervisor. Los cortafuegos de este a oeste se insertan de forma transparente en la aplicación infraestructura y no necesitan un rediseño de la topología lógica. https://translate.googleusercontent.com/translate_f 168/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 3-10: Arquitectura típica de diseño de un centro de datos virtual El clúster de cómputo es el componente básico para alojar la infraestructura de la aplicación y proporciona los recursos necesarios en términos de computación, almacenamiento, redes y seguridad. Clústeres de cómputo se puede interconectar utilizando las tecnologías de capa 2 (enlace de datos) o capa 3 (red) del modelo OSI como LAN virtual (VLAN), LAN virtual extensible (VXLAN) o Protocolo de Internet (IP), por lo tanto proporcionando una extensión de dominio para la capacidad de carga de trabajo. Innovaciones en el espacio de la virtualización Permitir que las máquinas virtuales se muevan libremente en esta nube privada mientras se preserva la computación, el almacenamiento, las redes, y características y posturas de seguridad. © 2021 Palo Alto Networks, Inc. 208 Página 209 Las organizaciones generalmente implementan seguridad para proteger el tráfico que fluye de norte a sur, pero esto El enfoque es insuficiente para proteger el tráfico este-oeste dentro de una nube privada. Para mejorar su postura de seguridad, las empresas deben protegerse contra las amenazas en toda la red, tanto en el norte sur y este-oeste. Una práctica común en una nube privada es aislar las máquinas virtuales en diferentes niveles. El aislamiento proporciona delimitación clara de las funciones de la aplicación y permite que un equipo de seguridad implemente fácilmente la seguridad políticas. El aislamiento se logra utilizando atributos de red lógicos (como una VLAN o una VXLAN) o construcciones de software lógicas (como grupos de seguridad). La figura 3-11 muestra un sencillo de tres niveles aplicación que se compone de una WEB-VM como frontend, una APP-VM como aplicación, y una DB-VM que proporciona servicios de base de datos. Figura 3-11: Aplicación de tres niveles alojada en un centro de datos virtual Un atacante tiene múltiples opciones para robar datos de la DB-VM. La primera opción es iniciar un Ataque de inyección SQL mediante el envío de solicitudes HTTP que contienen comandos SQL normalizados que apuntar a una vulnerabilidad de la aplicación. La segunda opción es comprometer la WEB-VM (usando vulnerabilidades) y luego moverse lateralmente a la APP-VM, iniciando un ataque de fuerza bruta para recuperar la contraseña de administrador de SQL. Una vez que la DB-VM se ve comprometida, el atacante puede ocultar la extracción de datos confidenciales utilizando técnicas como el túnel de DNS o el movimiento de datos a través de la red con NetBIOS y luego fuera de la red a través de FTP. De hecho, los atacantes que utilizan aplicaciones que se encuentran comúnmente en casi todos los La red tiene opciones virtualmente ilimitadas para robar datos críticos en este entorno. Infiltración en el medio ambiente y la exfiltración de datos críticos puede ser completamente transparente y © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 209 169/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 210 sin ser detectado porque los datos se transportan a través de protocolos legítimos (como HTTP y DNS) que se utilizan para actividades comerciales normales. Las mejores prácticas de seguridad del centro de datos virtual exigen una combinación de norte-sur y este-oeste proteccion. La protección este-oeste proporciona los siguientes beneficios: ● Autoriza que solo las aplicaciones permitidas fluyan dentro del centro de datos, entre VM ● Reduce el movimiento lateral de amenazas cuando una carga de trabajo inicial se ha visto comprometida (el El atacante viola el servidor de aplicaciones para el usuario mediante el uso de una aplicación mal configurada o sin parche. explotar) ● Detiene las amenazas conocidas y desconocidas que se originan internamente dentro del centro de datos. ● Protege contra el robo de datos aprovechando la capacidad de filtrado y bloqueo de datos y archivos. comunicaciones anti-spyware al mundo externo Un beneficio adicional del uso de firewalls virtuales para la protección este-oeste es el tráfico sin precedentes y visibilidad de amenazas que ahora puede proporcionar el dispositivo de seguridad virtualizado. Después de los registros de tráfico y Los registros de amenazas se activan, las comunicaciones de máquina virtual a máquina virtual y los ataques maliciosos se vuelven visibles. Esta conciencia del centro de datos virtual permite a los equipos de seguridad optimizar las políticas y hacer cumplir protección contra ciberamenazas (por ejemplo, IPS, antimalware, bloqueo de archivos, filtrado de datos y DoS protección) donde sea necesario. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿El tráfico intra-VM también se conoce como qué tipo de tráfico? A. norte-sur B. desconocido C. este-oeste D. no confiable 2. ¿Cuál es el término para el tráfico entre un sitio web y una base de datos local que almacena información? ¿para ello? A. norte-sur B. este-oeste C. desconocido D. nube 3. ¿Cuál es el término para el tráfico entre un sitio web y el navegador de un usuario remoto? A. norte-sur B. este-oeste C. desconocido D. nube 4. ¿Qué tipo de tráfico puede permanecer contenido en un solo servidor físico? A. norte-sur B. este-oeste C. desconocido D. tráfico confiable © 2021 Palo Alto Networks, Inc. 210 Página 211 5. ¿Qué tipo de tráfico se puede asegurar mediante un dispositivo físico? A. norte-sur B. este-oeste C. desconocido D. nube 6. ¿Qué etapa de un ataque suele ser el tráfico de este a oeste? https://translate.googleusercontent.com/translate_f 170/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A. reconocimiento B. armamento C. propagación lateral D. acciones sobre el objetivo 3.10 Reconocer las cuatro fases de la seguridad del centro de datos híbrido El siguiente enfoque de seguridad en el centro de datos en evolución de los tres niveles tradicionales arquitecturas a los centros de datos virtuales y a la nube se alinea con realidades prácticas, como la necesitan aprovechar las mejores prácticas existentes y las inversiones en tecnología, y la probabilidad de que la mayoría Las organizaciones transformarán sus centros de datos de forma incremental. Este enfoque consta de cuatro fases: ● Consolidar servidores dentro de niveles de confianza: las organizaciones a menudo consolidan servidores dentro del mismo nivel de confianza en un único entorno informático virtual: uno host físico o un grupo de hosts físicos. Las comunicaciones dentro del host generalmente son mínima e intrascendente. La mayor parte del tráfico se dirige rutinariamente "fuera de la caja" a los usuarios y sistemas que residen en diferentes niveles de confianza. Cuando suceden las comunicaciones dentro del host, el La ausencia de salvaguardas protectoras entre estos sistemas virtualizados también es consistente con la postura de seguridad de la organización para los sistemas no virtualizados. Funciones de migración en vivo normalmente se utilizan para permitir la transferencia de máquinas virtuales solo a hosts que admiten cargas de trabajo dentro de la misma subred. Las soluciones de seguridad deben incorporar una capacidad robusta de sistemas virtuales en el que una sola instancia de las contramedidas asociadas se puede dividir en múltiples instancias lógicas, cada una con su propia política, gestión y dominios de eventos. Esta capacidad de sistemas virtuales permite utilizar un único dispositivo físico para Cumpla simultáneamente los requisitos únicos de múltiples máquinas virtuales o grupos de máquinas virtuales. Control y protección del tráfico entre hosts con dispositivos de seguridad de red física que están colocados y configurados correctamente es el principal enfoque de seguridad. ● Consolidar servidores en todos los niveles de confianza: cargas de trabajo con diferentes niveles de confianza a menudo coexisten en el mismo host físico o grupo de hosts físicos. Comunicaciones intrahospitalarias son limitadas y las funciones de migración en vivo se utilizan para permitir la transferencia de máquinas virtuales solo a hosts que están en la misma subred y que están configurados de manera idéntica con respecto al enrutamiento de Tráfico de VM a VM. Las rutas de comunicación dentro del host no están configuradas intencionalmente entre máquinas virtuales con diferentes niveles de confianza. En cambio, todo el tráfico se expulsa de la caja a través de un puerta de enlace predeterminada, como un dispositivo de seguridad de red física antes de que se le permita proceda a la máquina virtual de destino. Este enrutamiento fuera de la caja generalmente se puede lograr mediante configurar conmutadores virtuales independientes con tarjetas de interfaz de red físicas independientes (NIC) para las máquinas virtuales en cada nivel de confianza distinto. Como práctica recomendada para la virtualización, debe minimizar la combinación de cargas de trabajo con diferentes niveles de confianza en el mismo servidor. Las migraciones en vivo de máquinas virtuales también deben restringirse a los servidores que admiten cargas de trabajo. © 2021 Palo Alto Networks, Inc. 211 Página 212 dentro de los mismos niveles de confianza y dentro de la misma subred. Con el tiempo, y en particular a medida que las cargas de trabajo se trasladan a la nube, el mantenimiento de la segmentación en función de los niveles de confianza se convierte en más desafiante. ● Virtualización de seguridad de red selectiva: comunicaciones dentro del host y en vivo las migraciones se diseñan en esta fase. Todas las rutas de comunicación dentro del host son estrictamente controlado para garantizar que el tráfico entre máquinas virtuales en diferentes niveles de confianza sea intermediado ya sea mediante un dispositivo de seguridad virtual integrado o mediante un dispositivo de seguridad físico externo aparato. Las migraciones en vivo de larga distancia (por ejemplo, entre centros de datos) están habilitadas mediante una combinación de funciones nativas de migración en vivo con soluciones externas que abordan desafíos asociados de redes y rendimiento. Los intensos requisitos de procesamiento de soluciones como los dispositivos virtuales de firewall de próxima generación garantizarán ese propósito Los dispositivos físicos construidos continúan desempeñando un papel importante en el centro de datos virtual. Sin embargo, las instancias virtuales son ideales para escenarios donde es necesario tomar contramedidas. migrar junto con las cargas de trabajo que controlan y protegen. ● Estructura informática dinámica: los entornos informáticos convencionales y estáticos son transformado en tejidos dinámicos (nubes privadas o híbridas) donde los recursos subyacentes como los dispositivos de red, el almacenamiento y los servidores se pueden involucrar de manera fluida en cualquier La combinación satisface mejor las necesidades de la organización en un momento dado. Intrahttps://translate.googleusercontent.com/translate_f 171/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS la comunicación del host y las migraciones en vivo no están restringidas. Esta fase requiere trabajo en red y soluciones de seguridad que no solo se pueden virtualizar, sino que también son compatibles con la virtualización. y puede ajustarse dinámicamente según sea necesario para abordar la comunicación y la protección requisitos, respectivamente. Mecanismos de clasificación, inspección y control en Las soluciones de seguridad conscientes de la virtualización no deben depender de sistemas físicos y fijos. Atributos de la capa de red. En general, los atributos de capa superior, como la aplicación, el usuario y La identificación del contenido es la base no solo de cómo las contramedidas brindan protección. sino también de cómo se ajustan dinámicamente para dar cuenta de cualquier combinación de las cargas de trabajo y los recursos informáticos existen en su esfera de influencia. Seguridad asociada Las aplicaciones de gestión también deben ser capaces de orquestar las actividades de instancias físicas y virtuales de contramedidas primero entre sí y luego con otros componentes de la infraestructura. Esta capacidad es necesaria para garantizar que La protección se brinda de manera óptima en situaciones en las que las cargas de trabajo se migran con frecuencia. en los hosts del centro de datos. 3.11 Identificar los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud] Las metodologías de desarrollo de aplicaciones se están alejando del modelo tradicional de "cascada" hacia procesos de integración continua / entrega continua (CI / CD) más ágiles con automatización. Este nuevo enfoque trae una multitud de beneficios, como un menor tiempo de comercialización y entrega más rápida, pero también presenta desafíos de seguridad porque la seguridad tradicional Las metodologías no fueron diseñadas para abordar estos flujos de trabajo de aplicaciones modernas. Como desarrollador Los equipos adoptan tecnologías nativas de la nube, los equipos de seguridad se esfuerzan por mantener ritmo. Controles de prevención limitados, mala visibilidad y herramientas que carecen de rendimiento de automatización análisis de seguridad incompletos; todas estas cosas aumentan el riesgo de compromiso y la probabilidad de infracciones exitosas en entornos de nube. Mientras tanto, la demanda de un Surge un nuevo enfoque de seguridad: plataformas de seguridad nativas en la nube (CNSP). © 2021 Palo Alto Networks, Inc. 212 Página 213 El término "nativo de la nube" se refiere a un enfoque para crear y ejecutar aplicaciones que requiere ventaja de un modelo de entrega de computación en la nube en lugar de un centro de datos local. Esta El enfoque aprovecha lo mejor de lo que la nube tiene para ofrecer (escalabilidad, implementación, capacidad de administración y potencia de cálculo bajo demanda ilimitada) y aplica estos principios al desarrollo de software, combinado con la automatización de CI / CD, para aumentar radicalmente la productividad, la agilidad empresarial y los costos ahorros. Las arquitecturas nativas de la nube consisten en servicios en la nube como contenedores, seguridad sin servidor, plataforma como servicio (PaaS) y microservicios. Estos servicios están débilmente acoplados, lo que significa no están conectados a ningún componente de infraestructura, lo que permite a los desarrolladores hacer cambia con frecuencia sin afectar a otras partes de la aplicación o de otros miembros del equipo proyectos, en todos los límites de la tecnología, como implementaciones públicas, privadas y multinube. "Nativo de la nube" se refiere a una metodología de desarrollo de software que esencialmente está diseñada para entrega en la nube y ejemplifica todos los beneficios de la nube por naturaleza. A medida que más organizaciones han adoptado DevOps y los equipos de desarrolladores han comenzado a actualizar sus canalizaciones de desarrollo de aplicaciones, los equipos de seguridad se dieron cuenta rápidamente de que sus herramientas no estaban bien adecuado para los patrones de infraestructura nativa de la nube impulsados por desarrolladores, centrados en API e independientes de la infraestructura seguridad. Como resultado, comenzaron a aparecer en el mercado productos de puntos de seguridad nativos de la nube. Estos Cada uno de los productos fue diseñado para abordar una parte del problema o un segmento del software. apilar, pero por sí mismos no podrían recopilar suficiente información para comprender con precisión o Informar sobre los riesgos en los entornos nativos de la nube. Esta situación obligó a los equipos de seguridad a hacer malabares con múltiples herramientas y proveedores, lo que aumentó el costo, la complejidad y el riesgo, además de creando puntos ciegos donde las herramientas se superponen pero no se integran. La solución a este problema requiere un enfoque de plataforma unificada que pueda abarcar todo Ciclo de vida de CI / CD e integración con el flujo de trabajo de DevOps. Al igual que los enfoques nativos de la nube cambiado fundamentalmente la forma en que se utiliza la nube, los CNSP están reestructurando fundamentalmente la forma en que https://translate.googleusercontent.com/translate_f 172/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS la nube está asegurada. Los CNSP comparten contexto sobre infraestructura, PaaS, usuarios, plataformas de desarrollo, datos y cargas de trabajo de aplicaciones en los componentes de la plataforma para mejorar la seguridad. Ellos también: ● Proporcionar visibilidad unificada para los equipos de SecOps y DevOps. ● Ofrecer un conjunto integrado de capacidades para responder a las amenazas y proteger la nube nativa. aplicaciones ● Automatizar la corrección de vulnerabilidades y configuraciones incorrectas de manera consistente en todo el ciclo de vida completo de compilación, implementación y ejecución © 2021 Palo Alto Networks, Inc. 213 Página 214 En el pasado, las organizaciones que querían adoptar nuevas opciones informáticas se veían reprimidas por la necesidad para comprar más productos de seguridad para respaldar esas opciones. Uniendo soluciones dispares en un intento de hacer cumplir políticas consistentes a través de las fronteras de la tecnología se convirtió más en un problema que una solución. Sin embargo, los CNSP brindan cobertura en todo el proceso de computación opciones, multicloud y el ciclo de vida de desarrollo de aplicaciones. Esta cobertura permite organizaciones para elegir las opciones de cómputo correctas para cualquier carga de trabajo dada, otorgándoles así libertad sin preocuparse por cómo integrar soluciones de seguridad. Los CNSP personifican la beneficios de una estrategia nativa de la nube, que permite agilidad, flexibilidad y transformación digital. El CNSP de Palo Alto Networks incluye las siguientes soluciones para proteger la nube: Prisma Cloud, Prisma Access y Prisma SaaS. Prisma Cloud es la plataforma de seguridad nativa en la nube más completa, diseñada para proteger a todos aspectos del uso de la nube con la tecnología líder de la industria. Prisma Cloud ofrece una amplia cobertura de seguridad y cumplimiento para toda la pila y las aplicaciones de tecnología nativa de la nube y datos a lo largo de todo el ciclo de vida de la aplicación, a través de nubes híbridas y multicloud Ambientes. Prisma Cloud adopta un enfoque integrado que habilita SecOps y DevOps equipos para acelerar la implementación de aplicaciones nativas en la nube mediante la implementación de la seguridad en las primeras ciclo de desarrollo. Prisma Cloud consta de cuatro pilares: ● Visibilidad, gobernanza y cumplimiento. Obtenga una visibilidad profunda de la postura de seguridad de entornos multicloud. Realice un seguimiento de todo lo que se implementa con un activo automatizado inventario y mantener el cumplimiento de las políticas de gobernanza listas para usar que hacen cumplir buen comportamiento en sus entornos. ● Computar seguridad. Proteja los hosts, los contenedores y las cargas de trabajo sin servidor en todo el ciclo de vida de la aplicación. Detecte y prevenga riesgos integrando inteligencia de vulnerabilidades en su entorno de desarrollo integrado (IDE), configuración de software gestión (SCM) y flujos de trabajo de CI / CD. Hacer cumplir el tiempo de ejecución basado en el aprendizaje automático protección para proteger aplicaciones y cargas de trabajo en tiempo real. ● Protección de la red. Monitorear continuamente la actividad de la red para detectar comportamientos anómalos. hacer cumplir la microsegmentación consciente de los microservicios e implementar protección de cortafuegos. Proteja el perímetro de la red y la conectividad entre contenedores y hosts. ● Seguridad de la identidad. Supervisar y aprovechar el análisis de comportamiento de entidades y usuarios (UEBA) en sus entornos para detectar y bloquear acciones maliciosas. Obtenga visibilidad y hacer cumplir las políticas de gobierno en las actividades de los usuarios y administrar los permisos de ambos usuarios y cargas de trabajo. https://translate.googleusercontent.com/translate_f 173/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 214 Página 215 Términos clave ● Un entorno de desarrollo integrado (IDE) es una aplicación de software que proporciona herramientas integrales como un editor de código fuente, herramientas de automatización de compilación y un depurador para desarrolladores de aplicaciones. ● La gestión de la configuración de software (SCM) es la tarea de rastrear y controlar los cambios en software. ● El análisis de comportamiento de usuarios y entidades (UEBA) es un tipo de solución o función de ciberseguridad que descubre amenazas identificando la actividad que se desvía de una línea de base. Cumplimiento y gobernanza de la nube Asegurarse de que sus recursos en la nube y aplicaciones SaaS estén configurados correctamente y cumplan Los estándares de seguridad de su organización desde el primer día son esenciales para evitar ataques exitosos. Además, asegurarse de que estas aplicaciones, y los datos que recopilan y almacenan, estén correctamente protegido y compatible es fundamental para evitar costosas multas, una imagen empañada y la pérdida de clientes confianza. Cumplir con los estándares de seguridad y mantener entornos compatibles a escala y en todo Aplicaciones SaaS, es la nueva expectativa para los equipos de seguridad. A pesar de la disponibilidad de numerosas herramientas, la mayoría de las organizaciones luchan por controlar de manera efectiva su exposición de datos y hacer cumplir las políticas de seguridad en entornos de nube en constante cambio y Aplicaciones SaaS. Además, garantizar el cumplimiento donde los datos se almacenan a través de distribuidos Los entornos suponen una carga importante para sus equipos de seguridad ya limitados. Garantizar la gobernanza y el cumplimiento en entornos multicloud y aplicaciones SaaS requiere: ● Descubrimiento y clasificación en tiempo real de recursos y datos en SaaS dinámico, Entornos PaaS e IaaS ● Gobernanza de la configuración que garantiza que las configuraciones de las aplicaciones y los recursos coincidan sus mejores prácticas de seguridad tan pronto como se implementan y evitan la configuración deriva ● Gobernanza de acceso mediante definiciones de políticas granulares para gobernar el acceso a SaaS aplicaciones y recursos en la nube pública y para aplicar la segmentación de la red ● Auditoría de cumplimiento que aprovecha la automatización y los marcos de cumplimiento integrados, para Garantice el cumplimiento en cualquier momento y genere informes listos para auditorías bajo demanda. ● Experiencia de usuario perfecta que no obliga a realizar pasos adicionales ni introduce importantes latencia en el uso de aplicaciones a medida que agrega nuevas herramientas de seguridad © 2021 Palo Alto Networks, Inc. 215 Página 216 Seguridad informática El panorama nativo de la nube está en constante evolución con nuevas tecnologías y niveles de abstracción. Los hosts, los contenedores y las cargas de trabajo sin servidor brindan beneficios únicos y tienen https://translate.googleusercontent.com/translate_f 174/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS diferentes requisitos de seguridad. Prisma Cloud proporciona las mejores soluciones de su clase para proteger cualquier tipo de carga de trabajo nativa de la nube, a lo largo del ciclo de vida del desarrollo. Prisma Cloud proporciona seguridad informática nativa de la nube desde la construcción hasta la ejecución, que incluye: ● Gestión de vulnerabilidades. Detectar y prevenir vulnerabilidades y configuraciones incorrectas durante todo el proceso de desarrollo. Priorice las vulnerabilidades según su entorno único y evitar que el código vulnerable llegue a producción. ● Seguridad en tiempo de ejecución. Evite amenazas y anomalías en sus hosts, contenedores, funciones sin servidor y orquestadores. Cree modelos automatizados basados en el aprendizaje automático que definen buenos comportamientos conocidos en procesos, redes, sistemas de archivos y llamadas al sistema sensores. Los modelos están correlacionados con los ID de imagen, por lo que cada vez que crea su aplicación, obtiene una modelo calculado y personalizado de forma única para esa construcción específica. ● Seguridad de la aplicación. Proteja las aplicaciones y las API mediante una potente combinación de inspección del tráfico web y autoprotección de aplicaciones en tiempo de ejecución (RASP). Adopte una "explícita permitir "modelo donde solo las actividades y capacidades específicas requeridas por su La aplicación está permitida y todo lo demás se trata como anómalo y, por lo tanto, se prevenido. ● DevSecOps habilitado. Integre la seguridad en sus flujos de trabajo IDE, SCM y CI para detectar y prevenir problemas lo antes posible. Los potentes complementos permiten a los desarrolladores inspeccionar imágenes, plantillas de IaC y funciones y para ver el estado de vulnerabilidad cada vez que ejecutan un construir. Los equipos de seguridad pueden evitar que los activos comprometidos avancen por tubería. Términos clave ● La autoprotección de aplicaciones en tiempo de ejecución (RASP) detecta ataques contra una aplicación en tiempo real. RASP monitorea continuamente el comportamiento de una aplicación y el contexto del comportamiento para inmediatamente identificar y prevenir la actividad malintencionada. © 2021 Palo Alto Networks, Inc. 216 Página 217 Protección de la red La protección de la red debe adaptarse a los entornos nativos de la nube sin dejar de cumplir políticas coherentes en entornos híbridos. Prisma Cloud detecta y previene la red anomalías mediante la aplicación de microsegmentación a nivel de contenedor, la inspección de los registros de flujo de tráfico y aprovechando la protección avanzada contra amenazas de Capa 7. Las capacidades de protección de red de Prisma Cloud incluyen: ● Visibilidad de red y detección de anomalías: ingiera registros de flujo de tráfico de red desde múltiples fuentes y obtenga una visibilidad profunda del comportamiento de la red para detectar y prevenir anomalías. ● Microsegmentación basada en identidad: aplique la microsegmentación nativa de la nube en el niveles de contenedor y host con firewalls distribuidos de Capa 4 y Capa 7. Nube de segmento redes e implementar políticas basadas en la carga de trabajo lógica y las identidades de la aplicación, en lugar de que las direcciones IP dinámicas. ● Firewall nativo en la nube: modele automáticamente los flujos de tráfico entre microservicios y https://translate.googleusercontent.com/translate_f 175/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Cree filtros dinámicamente que permitan conexiones válidas y eliminen las sospechosas. Proteger Redes con capacidades de seguridad de Capa 4 y Capa 7, como seguridad DNS y URL filtración. Seguridad de la identidad Gestión de una gran cantidad de usuarios privilegiados con acceso a un conjunto de Los recursos sensibles pueden ser un desafío. Los propios recursos en la nube también tienen conjuntos de permisos que necesitan ser gestionados. Prisma Cloud le ayuda a aprovechar la identidad de los recursos de la nube para Haga cumplir las políticas de seguridad y garantice un comportamiento seguro del usuario en sus entornos de nube. Las capacidades clave incluyen: ● Seguridad de administración de identidades y accesos (IAM): proteja y administre las relaciones entre los usuarios y los recursos de la nube. Hacer cumplir las políticas de gobernanza para garantizar que los usuarios y Los recursos se comportan solo según lo previsto y no presentan riesgos para el medio ambiente. ● Gestión de acceso: garantice el acceso con privilegios mínimos a los recursos de la nube y infraestructura y desacoplar los permisos de usuario de los permisos de carga de trabajo. ● Identidad de la máquina: desacople la identidad de la carga de trabajo de las direcciones IP. Aproveche las etiquetas y metadatos para asignar una identidad lógica a aplicaciones y cargas de trabajo, y luego usarla para hacer cumplir las políticas de seguridad y microsegmentación basadas en ID que se adapten a su dinámica Ambientes. ● UEBA: analiza continuamente el comportamiento de los usuarios y los recursos en tu nube para detectar y evitar comportamientos anómalos, como que un administrador inicie sesión desde una ubicación desconocida o un contenedor que accede a un archivo al que no debería poder acceder. © 2021 Palo Alto Networks, Inc. 217 Página 218 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué acción es parte del pilar de seguridad informática? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 2. ¿Qué acción forma parte del pilar de cumplimiento y gobernanza de la nube informática? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 3. ¿Qué acción forma parte del pilar de seguridad de la identidad? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 4. ¿Qué acción forma parte del pilar de seguridad de la red? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 3.12 Describir la arquitectura SASE de Prisma Access Con un número creciente de usuarios móviles, sucursales, datos y servicios ubicados fuera del protecciones de los dispositivos de seguridad de red tradicionales, las organizaciones luchan por mantener el ritmo y garantizar la seguridad, privacidad e integridad de sus redes y los datos de sus clientes. https://translate.googleusercontent.com/translate_f 176/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Muchas de las tecnologías en el mercado se basan en arquitecturas que no fueron diseñadas para Manejar todo tipo de tráfico y amenazas de seguridad. Por tanto, las organizaciones se ven obligadas a adoptar múltiples productos de punto para manejar diferentes requisitos, como puertas de enlace web seguras, cortafuegos, seguridad Acceso remoto VPN y SD-WAN. Para cada producto hay una arquitectura para implementar, un conjunto de políticas para configurar y una interfaz para administrar, cada una con su propio conjunto de registros. Esta situación crea una carga administrativa que introduce costos, complejidad y brechas en la postura de seguridad. Para abordar estos desafíos, ha surgido Secure Access Service Edge (SASE). SASE (pronunciado "atrevido") está diseñado para ayudar a las organizaciones a adoptar la nube y la movilidad al proporcionar servicios de red y seguridad de red desde una arquitectura común en la nube. UN SASE La solución debe proporcionar servicios de seguridad consistentes y acceso a todo tipo de aplicaciones en la nube. (nube pública, nube privada y SaaS) entregados a través de un marco común. Organizaciones puede eliminar varios productos puntuales y adoptar una única solución SASE entregada en la nube para reducir complejidad al tiempo que se ahorran importantes recursos técnicos, humanos y financieros. © 2021 Palo Alto Networks, Inc. 218 Página 219 Una solución SASE converge los servicios de redes y seguridad en uno unificado, entregado en la nube solución (consulte la Figura 3-12) que incluye lo siguiente: ● Redes : ▪ Redes de área amplia definidas por software (SD-WAN) ▪ Redes privadas virtuales (VPN) ▪ Acceso a la red Zero Trust (ZTNA) ▪ Calidad de servicio (QoS) ● Seguridad : ▪ Cortafuegos como servicio (FWaaS) ▪ Seguridad del sistema de nombres de dominio (DNS) ▪ Prevención de amenazas ▪ Pasarela web segura (SWG) ▪ Prevención de pérdida de datos (DLP) ▪ Agente de seguridad de acceso a la nube (CASB) Términos clave ● Una puerta de enlace web segura (SWG) es una plataforma o servicio de seguridad diseñado para mantener visibilidad en el tráfico web. La funcionalidad adicional puede incluir el filtrado de contenido web. ● Un agente de seguridad de acceso a la nube (CASB) es un software que supervisa la actividad y refuerza la seguridad. políticas sobre el tráfico entre los usuarios de una organización y las aplicaciones y servicios basados en la nube. https://translate.googleusercontent.com/translate_f 177/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 219 Página 220 Figura 3-12: SASE ofrece capacidades avanzadas de seguridad y red en un entorno convergente solución entregada en la nube. Prisma Access ofrece seguridad y redes distribuidas globalmente a todos sus usuarios y aplicaciones. Ya sea que sus usuarios se encuentren en sucursales o estén remotos, se conectan a Prisma Acceso para acceder de forma segura a las aplicaciones de la nube y del centro de datos e Internet. Prisma Access protege constantemente todo el tráfico, en todos los puertos y de todas las aplicaciones, por lo tanto permitiendo a su organización: ● Prevenir ciberataques exitosos con filosofías y amenazas de seguridad comprobadas. inteligencia para una visibilidad profunda y un control preciso que se extiende a toda su organización ● Inspeccione completamente todo el tráfico de aplicaciones de forma bidireccional, incluido el cifrado SSL / TLS tráfico, en todos los puertos, ya sea comunicándose con Internet, con la nube o entre sucursales ● Benefíciese de la inteligencia de amenazas integral impulsada por datos de amenazas automatizados de Palo Alto Networks y cientos de feeds de terceros © 2021 Palo Alto Networks, Inc. 220 Página 221 https://translate.googleusercontent.com/translate_f 178/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS La arquitectura Prisma Access SASE consta de una capa de redacomo servicio,móviles una seguridad como / minoristas capa de serviciode y una plataforma de gestión común para proteger los usuarios y de sucursales en entornos de SaaS, nube pública, Internet y oficinas centrales / centros de datos (consulte la Figura 3-13). Figura 3-13: La arquitectura de Prisma Access Capa de red como servicio La capa de red como servicio en Prisma Access ofrece importantes capacidades SASE, incluso: ● Red de área amplia definida por software (SD-WAN) ● Red privada virtual (VPN) ● Acceso a la red Zero Trust (ZTNA) ● Calidad de servicio (QoS) © 2021 Palo Alto Networks, Inc. 221 Página 222 SD-WAN Las empresas están adoptando una red de área amplia definida por software (SD-WAN) para conectar sucursales oficinas a la red corporativa y proporcionar una ruptura de Internet local como una alternativa a los costosos Conexiones de conmutación de etiquetas multiprotocolo (MPLS). Sin embargo, el desafío con SD-WAN es cómo combinar la seguridad con la estructura SD-WAN, lo que lleva a la necesidad de múltiples superposiciones. En una solución SASE, los dispositivos de borde SD-WAN se pueden conectar a una infraestructura basada en la nube, en lugar de concentradores SD-WAN físicos ubicados en centros de datos o instalaciones de coubicación. Esta El enfoque permite la interconectividad entre sucursales sin la complejidad de Implementar y administrar concentradores SD-WAN físicos. Ya debería estar considerando o ya ha adoptado SD-WAN en el https://translate.googleusercontent.com/translate_f 179/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS infraestructura de redSASE comocrea una un forma de conectar controlar de forma segura el acceso a las sucursales y empleados remotos. marco unificadoypara servicios SD-WAN y otras soluciones para conectarse, proporcionando así un punto de vista único y una solución de gestión simplificada para proteger su red. Prisma Access conecta las sucursales a través de un túnel VPN IPsec estándar utilizando IPsecdispositivos compatibles, como su enrutador de sucursal existente, dispositivo de borde SD-WAN o un tercero cortafuegos. Utiliza Border Gateway Protocol (BGP) o rutas estáticas para enrutar desde la sucursal y enrutamiento de múltiples rutas de igual costo (ECMP) para un rendimiento más rápido y una mejor redundancia en múltiples enlaces. Red privada virtual Las organizaciones confían en redes privadas virtuales (VPN) para proporcionar una conexión cifrada segura. para que los usuarios móviles y las sucursales accedan a datos corporativos, aplicaciones y acceso a Internet. Hay muchos tipos de servicios VPN, desde IPsec VPN hasta SSL VPN, VPN sin cliente y remoto. acceder a VPN, todos los cuales requieren una conexión a una puerta de enlace VPN. Las VPN no están optimizadas para acceso a la nube, lo que da como resultado que no haya seguridad o control de acceso cuando los usuarios se desconectan para alcanzar aplicaciones o servicios en la nube. Una solución SASE abarca servicios VPN y mejora las capacidades para operar en una nube. infraestructura basada en enrutar de forma segura el tráfico a la nube pública, SaaS, Internet o nube privada aplicaciones. En un ejemplo de VPN IPsec, puede crear una conexión de sitio a sitio a una red basada en la nube. infraestructura desde cualquier dispositivo compatible con IPsec ubicado en una sucursal o ubicación minorista a través de un enrutador de sucursal, punto de acceso inalámbrico, dispositivo de borde SD-WAN o firewall. Los usuarios móviles emplean un conexión IPsec o SSL VPN siempre activa entre su punto final o dispositivo móvil y un SASE La solución garantiza un cifrado de tráfico constante y una prevención de amenazas. Independientemente del tipo de servicio VPN que utilice en su organización, una solución SASE proporciona una infraestructura de nube unificada a la que conectarse, en lugar de retroceder a una puerta de enlace VPN en sedes corporativas. Esta solución simplifica drásticamente la gestión y el control de políticas. necesario para hacer cumplir las reglas de acceso con privilegios mínimos. © 2021 Palo Alto Networks, Inc. 222 Página 223 Prisma Access (anteriormente servicio en la nube GlobalProtect) proporciona seguridad en la nube infraestructura que permite a su organización conectar a los usuarios a una puerta de enlace en la nube cercana, habilitar acceso seguro a todas las aplicaciones y mantener una visibilidad e inspección completas del tráfico en todos puertos y protocolos. Para dispositivos móviles administrados: ● Los usuarios con dispositivos administrados tienen la aplicación GlobalProtect instalada en su computadora portátil, dispositivo móvil teléfono o tableta. La aplicación GlobalProtect se conecta a Prisma Access automáticamente siempre que el acceso a Internet esté disponible, sin requerir la interacción del usuario. ● Los usuarios pueden acceder a todas sus aplicaciones, ya sea en la nube o en el centro de datos. El La capa de conectividad conecta aplicaciones en diferentes ubicaciones, lo que permite acceso (basado en las políticas de ID de aplicación y de ID de usuario) a la nube pública, SaaS y el centro de datos aplicaciones. ● Prisma Access brinda protección a través de la capa de servicio de seguridad, como protecciones contra malware conocido y desconocido, exploits, tráfico C2 y ataques basados en credenciales. Para dispositivos BYOD / no administrados: ● Su organización puede implementar Prisma Access junto con un dispositivo móvil. integración de administración (MDM) para admitir políticas de traer su propio dispositivo (BYOD). La integración habilita capacidades como VPN por aplicación. ● Usuarios como contratistas y empleados con dispositivos BYOD con dispositivos no administrados puede acceder a aplicaciones sin una aplicación instalada usando Prisma Access con Clientless VPN. ● Clientless VPN también permite el acceso seguro a aplicaciones SaaS desde dispositivos no administrados con protecciones en línea mediante el uso de proxy de lenguaje de marcado de aserción de seguridad (SAML) integración. Esta funcionalidad funciona junto con Prisma SaaS. https://translate.googleusercontent.com/translate_f 180/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Acceso a la red Zero Trust El acceso a la red Zero Trust (ZTNA) es una parte importante de la filosofía Zero Trust de "nunca confiar, verificar siempre ”, desarrollado por Forrester para identificar la necesidad de proteger los datos. ZTNA requiere usuarios que desean conectarse a la nube para autenticarse a través de una puerta de enlace antes de obtener acceso a las aplicaciones que necesitan. Este requisito proporciona a un administrador de TI la capacidad de identificar a los usuarios. y crear políticas para restringir el acceso, minimizar la pérdida de datos y mitigar rápidamente cualquier problema o amenazas que puedan surgir. Muchos productos ZTNA se basan en arquitecturas de perímetro definido por software (SDP), que no no proporcionar inspección de contenido, lo que crea una discrepancia en los tipos de protección disponibles para cada aplicación. En términos de protección consistente, la organización debe construir más controla sobre el modelo ZTNA y establece la inspección para todo el tráfico en todas las aplicaciones. SASE se basa en los principios clave de ZTNA y los aplica en todos los demás servicios dentro de un Solución SASE. SASE identifica usuarios, dispositivos y aplicaciones, independientemente de dónde conectarse, simplificando así la creación y gestión de políticas. SASE elimina la complejidad de conectarse a una puerta de enlace incorporando los servicios de red en una única nube unificada infraestructura. © 2021 Palo Alto Networks, Inc. 223 Página 224 Una solución SASE debe incorporar conceptos ZTNA para proteger aplicaciones y aplicar otros servicios de seguridad para la aplicación coherente de las políticas de prevención de amenazas y DLP. Acceso Los controles son útiles para establecer quién es una persona, pero también son necesarios otros controles de seguridad. para asegurarse de que los comportamientos y acciones de la persona no sean perjudiciales para la organización. Y el se deben aplicar los mismos controles en el acceso a todas las aplicaciones. Calidad de servicio Las organizaciones que realizan la transición de MPLS a SD-WAN utilizando servicios de banda ancha están descubriendo que la calidad del servicio varía. La calidad de servicio (QoS) establece la asignación de ancho de banda asignada a aplicaciones y servicios particulares. Las empresas confían en QoS para garantizar que sus aplicaciones críticas y los servicios funcionan adecuadamente (por ejemplo, equipos médicos o servicios de procesamiento de tarjetas de crédito). Si estos sistemas se ralentizaran debido a la falta de ancho de banda, las operaciones comerciales y las ventas se vería gravemente afectado. QoS prioriza las aplicaciones críticas para el negocio, basadas en un sistema de clasificación, para que pueda elegir qué aplicaciones y servicios tienen prioridad sobre otros. QoS es un paso importante cuando comienza a migrar desde MPLS. Una solución SASE incorpora Servicios de QoS en la nube, lo que le permite marcar fácilmente aplicaciones sensibles (como VoIP) como mayor prioridad que las aplicaciones generales de navegación y entretenimiento por Internet. QoS es inmensamente importante para empresas de cualquier tamaño. Gestión del tráfico QoS y la asignación no tiene por qué ser difícil. SASE le permite configurar dinámicamente el tráfico en función de las políticas que priorizan los requisitos críticos de las aplicaciones. Asegúrese de que su solución SASE contiene capacidades de QoS. Capa de seguridad como servicio La capa de seguridad como servicio en Prisma Access ofrece importantes capacidades SASE, incluso: ● seguridad DNS ● Cortafuegos como servicio (FWaaS) ● Prevención de amenazas ● Pasarela web segura (SWG) ● Prevención de pérdida de datos (DLP) ● Agente de seguridad de acceso a la nube (CASB) https://translate.googleusercontent.com/translate_f 181/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 224 Página 225 Seguridad DNS Todas las organizaciones utilizan DNS para traducir un nombre de dominio a una dirección IP. DNS es un abierto servicio y, de forma predeterminada, no puede detectar amenazas basadas en DNS. Como resultado, la actividad maliciosa dentro El DNS se puede utilizar para propagar un ataque. La seguridad de DNS protege a sus usuarios al predecir y bloquear dominios maliciosos mientras neutralizar las amenazas. Una solución SASE adopta características de seguridad de DNS al proporcionar seguridad en la red y los usuarios, independientemente de su ubicación. Su solución SASE debe contener protecciones DNS, entregadas dentro del entorno de la nube como parte del acceso a la red. La seguridad de DNS debe integrarse en la solución de sus sucursales. y los usuarios móviles utilizan para conectarse a Internet. La seguridad DNS proporcionada en su SASE La solución debe aprovechar una combinación de análisis predictivo, aprendizaje automático y automatización. para combatir las amenazas en el tráfico de DNS. Prisma Access ofrece el servicio de seguridad DNS de Palo Alto Networks, que proporciona una combinación de análisis predictivo, aprendizaje automático y automatización para combatir amenazas en DNS tráfico. Las organizaciones pueden bloquear dominios maliciosos conocidos, predecir nuevos dominios maliciosos y detener la tunelización de DNS. Cortafuegos como servicio El cortafuegos como servicio (FWaaS) es un método de implementación para entregar un cortafuegos como un Servicio. FWaaS tiene las mismas características que un firewall de próxima generación, pero está implementado en el nube. Las organizaciones que trasladan el firewall a la nube pueden beneficiarse de los ahorros de costos al eliminando la necesidad de instalar o mantener hardware de seguridad en sucursales y tiendas minoristas. Una solución SASE incorpora FWaaS en su plataforma unificada. Organizaciones que engloban El modelo de servicio FWaaS dentro de un marco SASE puede administrar fácilmente sus implementaciones desde un plataforma única. Una solución SASE debería permitir las capacidades de FWaaS para proporcionar la protección de un próximo firewall de generación mediante la implementación de la política de seguridad de red en la nube. Debes asegurarte de que su solución SASE no proporciona solo bloqueo básico de puertos o protecciones mínimas de firewall. Necesita las mismas características que incorpora un firewall de próxima generación y las características que ofertas de seguridad basadas en, como servicios de prevención de amenazas y seguridad DNS. Prisma Access proporciona FWaaS, que protege las sucursales de las amenazas al tiempo que proporciona la servicios de seguridad que se esperan de un firewall de próxima generación. El espectro completo de FWaaS incluye prevención de amenazas, filtrado de URL y espacio aislado. © 2021 Palo Alto Networks, Inc. 225 Página 226 https://translate.googleusercontent.com/translate_f 182/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Prevención de amenazas En el mundo actual de brechas a pequeña y gran escala, donde los ataques de ransomware ocurren a diario, La prevención de amenazas es importante para proteger los datos y los empleados de su organización. Una variedad de herramientas de prevención de amenazas disponibles, desde anti-malware y prevención de intrusiones hasta SSL descifrado y bloqueo de archivos, proporcionando así a las organizaciones formas de bloquear amenazas. Sin embargo, estos Los productos puntuales requieren soluciones independientes, lo que dificulta la gestión y la integración. Dentro de una solución SASE, todos estos productos y servicios puntuales ahora están integrados en un solo plataforma en la nube. Esta integración proporciona una gestión y supervisión simplificadas de todas las amenazas y vulnerabilidades en sus entornos de red y nube. Debe detener las vulnerabilidades y el malware utilizando la inteligencia de amenazas más reciente para proteger sus datos. Su solución SASE debe incorporar herramientas de prevención de amenazas en su marco para que puede reaccionar rápida y rápidamente para remediar amenazas. Asegúrese de verificar la calidad de la amenaza inteligencia proporcionada por el proveedor. El proveedor debe reunirse y compartir datos de diversas fuentes, incluidos clientes, otros proveedores y otros líderes de la industria relacionados, para proporcionar protección continua contra amenazas desconocidas. El uso de Prisma Access para la prevención de amenazas combina las tecnologías probadas en el Palo Plataforma de Alto Networks con fuentes globales de inteligencia de amenazas y automatización para detener Ataques previamente conocidos o desconocidos. Pasarela web segura Las organizaciones confían en una puerta de enlace web segura (SWG) para evitar que los empleados y los dispositivos acceder a sitios web maliciosos. SWG se puede utilizar para bloquear contenido inapropiado (como pornografía y juegos de azar) o sitios web a los que las empresas no quieren que los usuarios accedan mientras están en funcionan, como servicios de transmisión como Netflix. SWG también se puede utilizar para hacer cumplir un use la política (AUP) antes de que se otorgue el acceso a Internet. SWG es uno de los muchos servicios de seguridad que debe proporcionar una solución SASE. Como organizaciones crecer y agregar un número cada vez mayor de usuarios remotos, la cobertura y la protección se vuelven más difícil. Una solución SASE mueve SWG a la nube, proporcionando así protección en la nube. a través de una plataforma unificada para una visibilidad y un control completos de toda la red. Una solución SASE incluye los mismos servicios de seguridad en un SWG, lo que permite a las organizaciones controlar el acceso a la web y hacer cumplir las políticas de seguridad que protegen a los usuarios de sitios web hostiles. Otros servicios de seguridad como FWaaS, seguridad DNS, prevención de amenazas, DLP y CASB también debe incluirse. La funcionalidad Prisma Access for SWG está diseñada para mantener la visibilidad de todo tipo de tráfico. al mismo tiempo que detiene las evasiones que pueden enmascarar amenazas. Las capacidades de filtrado web de Palo Alto Networks también impulsa su tecnología de prevención de robo de credenciales, que puede evitar que las credenciales corporativas siendo enviado a sitios previamente desconocidos. © 2021 Palo Alto Networks, Inc. 226 Página 227 Prevención de pérdida de datos Las herramientas de prevención de pérdida de datos (DLP) protegen los datos confidenciales y garantizan que no se pierdan, roben o mal utilizado. DLP es una solución compuesta que monitorea los datos dentro de los entornos donde se encuentra implementados (como redes, puntos finales y nubes) y a través de sus puntos de salida. También alerta partes interesadas importantes cuando se violan las políticas. Debido a requisitos de cumplimiento como el Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), Datos de la Industria de Tarjetas de Pago Estándar de seguridad (PCI DSS) y el Reglamento general de protección de datos (GDPR), DLP es un solución necesaria para la seguridad y el cumplimiento de los datos. Los DLP heredados se basan en tecnología de núcleo antiguo inicialmente diseñado para perímetros locales y posteriormente ampliado y adaptado a la nube https://translate.googleusercontent.com/translate_f 183/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS aplicaciones. Los DLP están cargados con funciones, políticas inconexas, configuraciones y soluciones alternativas y se han vuelto muy complejas, difíciles de implementar a escala y demasiado caras. La transformación digital y los nuevos modelos de uso de datos exigen un nuevo enfoque de la protección de datos. A través del enfoque SASE, DLP se convierte en una solución en la nube centralizada alrededor de la datos en sí, en todas partes. Las mismas políticas se aplican sistemáticamente a los datos confidenciales, ya sea en en reposo, en movimiento y en uso, e independientemente de su ubicación. En la arquitectura SASE, DLP no es un solución independiente, pero está integrado en los puntos de control existentes de la organización, por lo tanto eliminando la necesidad de implementar y mantener múltiples herramientas. Con SASE, las organizaciones finalmente pueden habilitar una solución integral de protección de datos que se basa en una arquitectura escalable y simple y permite un aprendizaje automático eficaz al aprovechar el acceso al tráfico global. DLP es una herramienta necesaria para proteger los datos confidenciales y garantizar el cumplimiento en todo el Organizaciones. En consecuencia, la solución SASE debe incluir esta capacidad central. Con SASE, DLP es un servicio integrado en la nube que se utiliza para identificar de manera precisa y consistente, monitorear y proteger datos confidenciales en todas partes a través de redes, nubes y usuarios. Prisma Access combina la integración con controles DLP controlados por API (a través de Prisma SaaS) y en línea (a través de Prisma Access). Estas políticas de DLP permiten a las organizaciones categorizar datos y establecer políticas que eviten la pérdida de datos. Agente de seguridad de acceso a la nube Muchas organizaciones dependen de los agentes de seguridad de acceso a la nube (CASB) para proporcionar visibilidad Uso de aplicaciones SaaS, comprender dónde residen sus datos confidenciales, hacer cumplir las políticas de la empresa para acceso de los usuarios y proteger sus datos de los piratas informáticos. Los CASB son políticas de seguridad basadas en la nube puntos de aplicación que proporcionan una puerta de enlace para su proveedor de SaaS y sus empleados. CASB debería ser otra característica de seguridad que sea parte de su solución SASE, creando una plataforma para que las partes interesadas gestionen los controles de seguridad. Una solución SASE lo ayuda a comprender qué aplicaciones SaaS se están utilizando y adónde van los datos, independientemente de dónde se encuentren los usuarios. Su solución SASE debe incorporar controles SaaS en línea y basados en API para la gobernanza, controles de acceso y protección de datos. La combinación de capacidades CASB en línea y basadas en API se llama CASB multimodo y proporciona visibilidad, gestión, seguridad y cero © 2021 Palo Alto Networks, Inc. 227 Página 228 protección diaria contra amenazas emergentes. Prisma Access y Prisma SaaS implementan controles de seguridad que combinan API de seguridad en línea controles de seguridad y contextuales, actuando como un CASB para determinar el acceso a información sensible. Estos controles se implementan de manera integrada y se aplican en toda la nube. políticas de aplicación. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué significa SASE? A. Seguridad de acceso al servicio B. Entorno sensible semi-accesible C. Secretos accesibles en un entorno seguro D. Servicio de acceso seguro Edge 2. ¿Qué dos tipos de servicios ofrece SASE? (Elige tres.) A. almacenamiento B. seguridad C. trabajo en red D. calcular 3. ¿Cuáles son las dos ventajas de SASE? (Escoge dos.) A. un único punto físico de entrada a la organización B. un único punto lógico de entrada a la organización https://translate.googleusercontent.com/translate_f 184/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS C. la organización D. un un único único punto punto físico lógicode desalida salidafuera de la de organización 3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas Para habilitar de forma segura el uso de SaaS en su organización, comience por definir claramente las aplicaciones SaaS que deben usarse y qué comportamientos dentro de esas aplicaciones están permitidos. Este paso requiere una definición clara de qué aplicaciones son: ● Sancionado (permitido y proporcionado por TI) ● Tolerado (permitido debido a una necesidad comercial legítima, con restricciones, pero no proporcionado por TI) ● No autorizado Las aplicaciones SaaS autorizadas brindan beneficios comerciales y son rápidas de implementar, requieren un mínimo costo, y son infinitamente escalables. Las aplicaciones SaaS toleradas satisfacen una necesidad comercial legítima, pero pueden ser necesarias ciertas restricciones de uso para reducir el riesgo. Aplicaciones SaaS no autorizadas claramente no proporcionan beneficios comerciales o los riesgos de seguridad de la aplicación superan a los beneficios de negocio. Por ejemplo, una aplicación SaaS no autorizada puede violar las mandatos de cumplimiento, crean un riesgo inaceptable de pérdida de propiedad intelectual corporativa o otros datos confidenciales o habilite la distribución de malware (consulte la Figura 3-14). © 2021 Palo Alto Networks, Inc. 228 Página 229 Figura 3-14: Aplicaciones SaaS autorizadas y no autorizadas Para controlar el uso autorizado de SaaS, una solución de seguridad empresarial debe proporcionar lo siguiente: ● Prevención de amenazas: las aplicaciones SaaS introducen nuevos riesgos de amenazas que deben ser entendido y controlado. Muchas aplicaciones SaaS sincronizan archivos automáticamente con los usuarios, y los usuarios a menudo comparten datos en aplicaciones SaaS con terceros que están fuera de un control de la organización. Estos dos aspectos de los entornos SaaS crean una nueva inserción punto para el malware que no solo puede ingresar desde recursos compartidos externos, sino que también puede sincronice esos archivos infectados en toda la organización sin la intervención del usuario. Dirigirse Amenazas de malware basadas en SaaS, una solución de seguridad debe poder prevenir malware desconocido resida en aplicaciones SaaS autorizadas, independientemente de la fuente. ● Control de visibilidad y exposición de datos: después de que se defina y se autorice el uso de SaaS controlados con una política granular, los datos que residen en esas aplicaciones SaaS ya no están visible para los firewalls perimetrales de la organización. Esta pérdida de visibilidad crea un punto ciego para ello. Se necesitan controles de exposición de datos adicionales para abordar específicamente los riesgos asociados con los entornos SaaS, con un enfoque en la protección de datos. Visibilidad de Los datos almacenados y utilizados en aplicaciones SaaS son fundamentales para garantizar una comprensión profunda de usuarios, los datos que han compartido y cómo los han compartido. ● Prevención de riesgos, no solo respuesta a riesgos: los usuarios de una organización suelen utilizar determinados https://translate.googleusercontent.com/translate_f 185/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Aplicaciones SaaS antes de que organización aplicaciones. Incluso después de mucho que se sanciona una la aplicación SaaS,sancione los datosoficialmente a menudo seesas comparten con terceros que no necesariamente tienen soluciones de seguridad de próxima generación para salvaguardar eficazmente SaaS datos de amenazas de malware y riesgos de exposición de datos. Prevención de amenazas y exposición de datos El control en un entorno basado en SaaS requiere visibilidad y control no solo desde el momento que una aplicación SaaS está autorizada en el futuro. Necesita visibilidad y control de todos sus datos, incluidos los datos que se estaban almacenando y compartiendo antes de la aplicación SaaS fue sancionado. © 2021 Palo Alto Networks, Inc. 229 Página 230 Los datos que residen en aplicaciones SaaS habilitadas para empresas no son visibles para los perímetro de la red. Prisma SaaS se conecta directamente a aplicaciones SaaS autorizadas para proporcionar clasificación de datos, visibilidad para compartir / permisos y detección de amenazas dentro de la aplicación. Esta La capacidad produce una visibilidad incomparable, que permite a las organizaciones inspeccionar el contenido en busca de datos. infracciones de exposición y control de acceso a datos compartidos a través de una política contextual. Prisma SaaS se basa en la visibilidad de SaaS existente y las capacidades de control granular del producto. cartera proporcionada a través de App-ID, con informes detallados basados en SaaS y control granular de Uso de SaaS. La Figura 3-15 muestra un ejemplo de los controles granulares para aplicaciones SaaS compatibles por App-ID. Figura 3-15: Ejemplo de controles granulares compatibles con App-ID Prisma SaaS es una solución de seguridad de extremo a extremo completamente basada en la nube que brinda visibilidad y control dentro de las aplicaciones SaaS, sin necesidad de proxies, agentes, software, hardware adicional o cambios en la red. Prisma SaaS no es un servicio en línea, por lo que no lo es impactan la latencia, el ancho de banda o la experiencia del usuario final. Prisma SaaS se comunica directamente con el Las propias aplicaciones SaaS y analizan los datos de cualquier fuente, independientemente del dispositivo o ubicación desde la que se enviaron los datos. Prevención de amenazas de SaaS La integración de la nube de amenazas WildFire con Prisma SaaS proporciona prevención de ciberamenazas para bloquear malware conocido y para identificar y bloquear malware desconocido. Esta integración extiende la integración existente de WildFire para evitar que las amenazas se propaguen a través del SaaS autorizado aplicaciones, lo que evita un nuevo punto de inserción de malware. Cuando hay un nuevo malware descubierto por Prisma SaaS, la información de amenazas se comparte con el resto de la cartera de productos, incluso si no se implementa en línea con las aplicaciones SaaS. © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 230 186/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 231 Visibilidad de la exposición de datos Prisma SaaS proporciona una visibilidad completa de toda la actividad de usuarios, carpetas y archivos, lo que proporciona análisis detallado que le ayuda a pasar de una posición de especulación a una de conocimiento exactamente lo que está ocurriendo en el entorno SaaS en un momento dado. Porque puedes ver análisis profundo del uso diario, puede determinar rápidamente si existe algún riesgo de datos o infracciones de políticas relacionadas con el cumplimiento. Este análisis detallado de la actividad de datos y usuarios permite Gobernanza de datos granulares y análisis forense. Prisma SaaS se conecta directamente a las aplicaciones mismas, por lo que proporciona un funcionamiento silencioso continuo. monitoreo de los riesgos dentro de las aplicaciones SaaS sancionadas, con visibilidad detallada que no es posible con las soluciones de seguridad tradicionales. Control de exposición de datos contextuales Prisma SaaS le permite definir un control de políticas granular y sensible al contexto que le proporciona la capacidad de impulsar la aplicación y poner en cuarentena a los usuarios y los datos tan pronto como se produzca una infracción. Esta El control le permite satisfacer rápida y fácilmente los requisitos de cumplimiento de riesgos de datos, como PCI. y PII manteniendo los beneficios de las aplicaciones basadas en la nube. Prisma SaaS evita la exposición de datos en archivos no estructurados (archivos alojados) y estructurados (aplicación entradas como Salesforce.com) datos. Ambos tipos de datos son fuentes comunes de datos incorrectos. Comparte. Clasificación de documentos avanzada Prisma SaaS inspecciona documentos en busca de cadenas de datos confidenciales comunes (como números de tarjetas de crédito, Claves SSH y números de seguro social) y los marca como riesgos si se comparten de forma incorrecta. Exclusivo de Prisma SaaS es la capacidad de identificar documentos por tipo, a través de documentos avanzados clasificación independientemente de los datos que se contengan en el propio documento. Prisma SaaS tiene ha sido diseñado para identificar automáticamente documentos sensibles, como los relacionados con médicos, cuestiones fiscales y legales. Política retroactiva Una solución de seguridad de red tradicional puede ver solo datos en línea y aplicar políticas de seguridad a datos a los que se accede en línea, después de que se crea la política. Este enfoque no previene de manera efectiva Exposición de datos de SaaS, sin embargo, porque los datos de SaaS pueden haberse compartido mucho antes de la política fue creado. Es posible que no se pueda acceder a estos datos en línea durante muchos meses o años, por lo que potencialmente dejando los datos confidenciales expuestos indefinidamente a infecciones de malware y acceso no autorizado. Prisma SaaS aplica retroactivamente políticas de seguridad a todos los usuarios y datos desde el comienzo del La creación de la cuenta SaaS, en lugar de la creación de la política, para identificar posibles vulnerabilidades o violaciones de políticas. Prisma SaaS no espera a que alguien acceda a los datos en línea para postularse políticas y resolver cualquier vulnerabilidad o violación; Los datos y los recursos compartidos de SaaS se descubiertos, protegidos y resueltos, independientemente de cuándo fueron creados. © 2021 Palo Alto Networks, Inc. 231 Página 232 Las políticas se basan en el contexto para permitir definiciones granulares de los riesgos de exposición de datos. Esta La granularidad es necesaria para permitir el uso de SaaS por parte de los usuarios y, al mismo tiempo, evitar los datos accidentales. exposición. Las políticas toman varios factores en contexto para crear un perfil de riesgo de exposición de datos general. Es posible que uno o dos factores no proporcionen suficiente información sobre el riesgo potencial de la acción. El El riesgo general de exposición se determina solo después de que se comprenda el contexto completo de la acción. Los riesgos se calculan por tipo de usuario, tipo de documento, datos confidenciales contenidos, cómo se comparten los datos, y si hay malware presente. Esta capacidad proporciona la capacidad de controlar la exposición a https://translate.googleusercontent.com/translate_f 187/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS nivel granular basado en varios factores importantes. Por ejemplo, un equipo financiero puede compartir datos financieros con otras personas de su equipo, pero no más allá de eso. Aunque el original Se permite compartir, el equipo no puede compartir datos que estén infectados con malware. El equipo financiero Sin embargo, se le puede permitir compartir datos no confidenciales en toda la empresa o, en algunos casos, con proveedores externos. La clave para habilitar este nivel de granularidad es la capacidad de mirar el recurso compartido en el contexto de todos los factores. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso. Prisma SaaS se utiliza para proteger el uso autorizado de SaaS, como parte de un solución de seguridad integrada que incluye firewalls de próxima generación para prevenir uso no autorizado de SaaS. Prisma SaaS se comunica directamente con las aplicaciones SaaS por sí mismos y, por lo tanto, no necesita ser implementado en línea y no requiere ningún agentes de software, proxies, hardware adicional o cambios en la configuración de la red. 2. Verdadero o falso . Prisma SaaS protege los datos en archivos alojados y entradas de aplicaciones. 3. ¿Quién es responsable del software de una aplicación SaaS autorizada? A. proveedor B. Departamento de TI C. línea de negocio que lo utiliza D. usuarios 4. ¿Quién es responsable de la configuración de seguridad de una aplicación SaaS autorizada? A. el proveedor B. Departamento de TI C. línea de negocio que lo utiliza D. usuarios © 2021 Palo Alto Networks, Inc. 232 Página 233 Dominio del examen 4: elementos de las operaciones de seguridad 4.1 Los seis elementos esenciales de las operaciones de seguridad eficaces Las operaciones de seguridad (SecOps) es una función necesaria para proteger el estilo de vida digital, para empresas y clientes globales. SecOps requiere una mejora continua en las operaciones para Manejar amenazas de rápida evolución. SecOps necesita dotar a los profesionales de operaciones de seguridad con inteligencia de fidelidad, datos contextuales y flujos de trabajo de prevención automatizados para identificar rápidamente y responder a estas amenazas. SecOps debe aprovechar la automatización para reducir la tensión sobre los analistas y ejecutar la misión del Security Operation Center (SOC) para identificar, investigar y mitigar amenazas. Todas estas características de mejora continua y automatización, aunque necesarias, pueden ser muy abrumador para las organizaciones que están desarrollando una función SecOps o modernizando un SOC existente. Para aumentar la confianza en la capacidad de detener rápidamente ataques sigilosos y adaptar las defensas a Para prevenir ataques futuros, una función SecOps requiere el conjunto correcto de componentes básicos. Estos Los bloques de construcción incluyen los aspectos de personas, procesos y tecnología necesarios para respaldar la negocio, la visibilidad que se requiere para defender el negocio y las interfaces necesarias con otras organizaciones fuera del SOC. Las operaciones pueden usar estos elementos para construir un SecOps funcionar y mejorar aumentando la automatización y acelerando las investigaciones. https://translate.googleusercontent.com/translate_f 188/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS SecOps consta de seis elementos: 1. Negocio (objetivos y resultados) 2. Personas (que realizarán el trabajo) 3. Interfaces (funciones externas para ayudar a lograr los objetivos) 4. Visibilidad (información necesaria para lograr los objetivos) 5. Tecnología (capacidades necesarias para brindar visibilidad y capacitar a las personas) 6. Procesos (pasos tácticos necesarios para ejecutar los objetivos) Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué función SecOp es proactiva? A. Identificar B. Investigar C. Mitigar D. Mejorar 2. ¿Qué función de SecOp requiere procesar grandes cantidades de información y, por lo general, es automatizado? A. Identificar B. Investigar C. Mitigar D. Mejorar © 2021 Palo Alto Networks, Inc. 233 Página 234 3. ¿Qué tres opciones comprenden parcialmente los seis elementos de SecOps? (Elige tres.) Una personas B. Redes C. Almacenamiento de datos D. Tecnología E. Procesos F. Clasificación 4. ¿Qué opciones tres comprenden parcialmente los seis elementos de SecOps? (Elige tres.) A. Visibilidad B. Recuperación de desastres C. Negocios D. Interfaces E. Auditorías periódicas F. Registro 4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR Una plataforma SIEM, comercial o de cosecha propia, se utiliza como repositorio central para ingerir registros de todos los sistemas de propiedad corporativa. Los SIEM recopilan y procesan pistas de auditoría, registros de actividad, seguridad alarmas, telemetría, metadatos y otros datos históricos u observacionales de una variedad de diferentes aplicaciones, sistemas y redes en una empresa. La mayoría de SIEM también proporcionan correlación capacidades. Antes de que un SIEM pueda funcionar correctamente, se requieren conectores e interfaces para garantizar la traducción fluyen desde el sistema de interés al lago de datos SIEM. La organización SecOps debe definir cómo se establecerá la propiedad de un evento y el punto central al que irá un analista para recibir alertas. A veces es el SIEM y en otros casos es una orquestación de seguridad, plataforma de automatización y respuesta (SOAR) o sistema de tickets. El enfoque SIEM seleccionado debe abordar cualquier requisito de gobernanza, riesgo y cumplimiento. para la separación de datos, privacidad y tiempos de retención, lo que impulsará los requisitos de almacenamiento espacio y controles. La limitación de la redundancia de datos entre el SIEM y los sistemas de alimentación puede https://translate.googleusercontent.com/translate_f 189/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Ayude a controlar los costos y el almacenamiento fuera de línea para satisfacer las necesidades de cumplimiento a largo plazo. Orquestación, automatización y respuesta de seguridad Según Gartner: “SOAR se refiere a tecnologías que permiten a las organizaciones recolectar insumos monitoreados por equipo de operaciones de seguridad. Por ejemplo, alertas del sistema SIEM y otros elementos de seguridad. tecnologías, donde el análisis de incidentes y la clasificación se pueden realizar aprovechando un combinación de potencia humana y mecánica: ayuda a definir, priorizar e impulsar actividades de respuesta a incidentes. Las herramientas SOAR permiten a una organización definir el análisis de incidentes y procedimientos de respuesta en un formato de flujo de trabajo digital. © 2021 Palo Alto Networks, Inc. 234 Página 235 Los sistemas SOAR permiten una respuesta acelerada a incidentes mediante la ejecución de libros de jugadas automatizados que funcionan con las aportaciones de la tecnología de seguridad y otros flujos de datos. Las herramientas SOAR ingieren alertas agregadas de fuentes de detección (como SIEM, seguridad de red). herramientas y buzones de correo) antes de ejecutar guías automatizadas basadas en procesos para enriquecer y responder a estas alertas. Los libros de jugadas se coordinan entre tecnologías, equipos de seguridad y usuarios externos para una acción y visibilidad de datos centralizada. Ayudan a acelerar la respuesta a incidentes tiempos y aumentar la productividad de los analistas. Estandarizan los procesos y así proporcionan consistencia, que mejora la confianza operativa en las capacidades de SOC (ver Figura 4-2). Figura 4-2: Vista de alto nivel de cómo se ubican las herramientas SOAR en un SOC https://translate.googleusercontent.com/translate_f 190/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 235 Página 236 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué significa SOAR? A. automatización de operaciones de seguridad para la reacción B. operaciones e investigación seguras C. operaciones, análisis e investigación de seguridad D. orquestación, automatización y respuesta de seguridad 2. ¿Cuál es la relación entre SIEM y SOAR? A. Los productos SIEM implementan el proceso comercial SOAR. B. SIEM y SOAR son nombres diferentes para la misma categoría de producto. C.Los sistemas SIEM recopilan información para identificar problemas a los que ayudan los productos SOAR mitigar. D. Los sistemas SOAR recopilan información para identificar problemas a los que ayudan los productos SIEM mitigar. 3. ¿Cuál es la ventaja de las respuestas automáticas sobre las respuestas manuales? Una velocidad B. precisión C. flexibilidad D. facilidad de uso 4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad. Las herramientas de análisis incluyen técnicas, herramientas y algoritmos avanzados que brindan la capacidad de detectar evidencia de compromiso de seguridad dentro de grandes volúmenes de datos. Los procesos deben ser definido de cómo un analista determinará si una alerta es maliciosa y las herramientas elegidas debe ayudar o automatizar este proceso. Las herramientas también deben proporcionar acceso para recopilar contexto, preferiblemente automatizado sobre el evento dado. Propiedad, presupuesto y modelo de apoyo para el es necesario definir las herramientas. Las herramientas de análisis a menudo se basan en el aprendizaje automático, el aprendizaje profundo y la inteligencia artificial que proporcionar funciones independientes, integradas o complementarias para detectar pruebas de seguridad compromiso. Los análisis de seguridad se pueden realizar en datos que se almacenan en reposo o se recopilan en movimiento, incluso a la velocidad de la línea en una red masiva. Esta capacidad puede obtenerse mediante SecOps equipos en una variedad de formas diferentes con la mayoría de los productos y servicios de seguridad, incluido algún tipo de la función de análisis de seguridad. © 2021 Palo Alto Networks, Inc. 236 Página 237 Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué entorno le permite instalar un dispositivo que ve todo el tráfico? A. LAN cuando la gente trabaja desde casa https://translate.googleusercontent.com/translate_f 191/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. centro de datos no virtualizado C. centro de datos virtualizado D. Red de VPC 2. Una herramienta de análisis generó una alerta, pero el analista de seguridad que la investigó la descubrió. no fue un problema. ¿Qué tipo de hallazgo es este? A. falso positivo B. verdadero positivo C. falso negativo D. verdadero negativo 3. El aprendizaje automático de una herramienta de análisis identificó, correctamente, que la red está infectada por un gusano. ¿Qué tipo de hallazgo es este? A. falso positivo B. verdadero positivo C. falso negativo D. verdadero negativo 4.4 Describir las características de la tecnología de protección de terminales Cortex XDR Las estrategias adversarias han evolucionado desde una simple distribución de malware hasta un amplio conjunto de ataques dirigidos y sofisticados que pueden eludir la protección tradicional de endpoints. Esta evolución ha obligado a las organizaciones a implementar múltiples productos de diferentes proveedores para protegerse contra, detectar y responder a estas amenazas. Cortex XDR reúne una potente protección de endpoints con detección y respuesta de punto final (EDR) en un solo agente. Puedes reemplazar todos tus agentes antivirus tradicionales con un agente ligero que protege sus puntos finales de la mayoría adversarios avanzados al comprender y bloquear todos los elementos de los ataques. Debido a las diferencias fundamentales entre malware y exploits, una prevención eficaz debe proteger contra ambos. El agente Cortex XDR combina múltiples métodos de prevención en condiciones críticas. fases dentro del ciclo de vida del ataque para detener la ejecución de programas maliciosos y detener la explotación de aplicaciones legítimas, independientemente del sistema operativo, el punto final en línea o estado fuera de línea y si el punto final está conectado a la red de una organización o en roaming (vea la Figura 4-4). © 2021 Palo Alto Networks, Inc. 237 Página 238 Figura 4-4: Archivos maliciosos frente a exploits Detenga el malware y el ransomware El agente Cortex XDR evita la ejecución de archivos maliciosos con un enfoque personalizado para https://translate.googleusercontent.com/translate_f 192/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS combatir los ataques tanto tradicionales como modernos. Los administradores también pueden utilizar el escaneo periódico para identificar amenazas inactivas, cumplir con los requisitos reglamentarios y acelerar la respuesta a incidentes con contexto de punto final. El agente Cortex XDR también realiza exploraciones programadas o bajo demanda para malware inactivo en archivos de Office maliciosos con macros, archivos ejecutables y DLL, para corregir ellos sin que se abran los archivos maliciosos. Malware conocido y desconocido, incluido ransomware, está sujeto a múltiples tecnologías preventivas (consulte la Figura 4-5). Figura 4-5: Cortex XDR aprovecha múltiples tecnologías y técnicas para proteger los puntos finales de malware conocido y desconocido. © 2021 Palo Alto Networks, Inc. 238 Página 239 Inteligencia de amenazas WildFire Además de las fuentes de terceros, Cortex XDR utiliza la inteligencia obtenida de decenas de miles de suscriptores al servicio de prevención de malware Palo Alto Networks WildFire para agregue continuamente datos de amenazas y mantenga la inmunidad colectiva de todos los usuarios en todo terminales, redes y aplicaciones en la nube: 1. Antes de que se ejecute un archivo, el agente de Cortex XDR consulta WildFire con el hash de cualquier Windows, macOS o archivo ejecutable de Linux, y cualquier biblioteca de vínculos dinámicos (DLL) o macro de Office, para evaluar su posición dentro de la comunidad global de amenazas. WildFire devuelve un casi Veredicto instantáneo sobre si un archivo es malicioso o benigno. 2. Si se desconoce un archivo, el agente de Cortex XDR procede con una prevención adicional técnicas para determinar si se trata de una amenaza que debe bloquearse. 3. Si un archivo se considera malicioso, el agente de Cortex XDR finaliza automáticamente el proceso. y (opcionalmente) pone en cuarentena el archivo. Análisis local y aprendizaje automático Si un archivo permanece desconocido después de la búsqueda inicial de hash, el agente Cortex XDR usa análisis local a través del aprendizaje automático en el punto final entrenado por la rica inteligencia de amenazas de fuentes globales, incluido WildFire, para determinar si el archivo se puede ejecutar. Examinando miles de archivos características en tiempo real, el análisis local puede determinar si un archivo es probablemente malicioso o benigno sin depender de firmas, escaneo o análisis de comportamiento. El modelo está construido sobre un marco ágil único, lo que permite actualizaciones continuas para garantizar que las últimas la prevención siempre está disponible. Protección contra amenazas conductuales Ataques sofisticados que utilizan múltiples aplicaciones y procesos legítimos para Las operaciones se han vuelto más comunes, son difíciles de detectar y requieren una visibilidad más profunda para correlacionar el comportamiento malicioso. Antes de que la protección basada en el comportamiento pueda ser eficaz, identificación de actividad maliciosa que ocurre dentro de procesos legítimos, debe comprender todo lo que sucede en el punto final. El agente Cortex XDR promulga protección basada en el comportamiento https://translate.googleusercontent.com/translate_f 193/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS de diferentes formas. Los ataques de endpoints a menudo comprenden múltiples eventos que ocurren en el sistema. Cada evento por sí mismo parece benigno ya que los atacantes utilizan aplicaciones legítimas y funciones del sistema operativo para lograr Su meta. Sin embargo, una colección de eventos puede representar un flujo de eventos maliciosos. Con Behavioral Threat Protection, el agente Cortex XDR puede detectar y actuar sobre cadenas maliciosas de eventos que tienen como objetivo múltiples operaciones en un punto final, como red, proceso, archivo y registro actividad. Cuando el agente de Cortex XDR detecta una coincidencia, ejecuta una acción basada en políticas, como "Bloquear" o "alertar". También informa el comportamiento de toda la cadena de eventos a la consola y identifica al actor que provocó la cadena de actividades. El agente Cortex XDR también puede poner en cuarentena archivos que estaban involucrados en flujos maliciosos. La protección contra amenazas conductuales es ideal para proteger contra ataques basados en scripts y sin archivos. © 2021 Palo Alto Networks, Inc. 239 Página 240 El módulo de protección de proceso infantil granular evita los ataques basados en scripts que se utilizan para entregar malware al bloquear procesos específicos conocidos para que no inicien procesos secundarios que comúnmente se utilizan para eludir los enfoques de seguridad tradicionales. El agente de Cortex XDR evita que los archivos basados en scripts y ataques sin archivos de forma predeterminada con controles detallados y listos para usar sobre el lanzamiento de aplicaciones legítimas, como motores de secuencias de comandos y shells de comandos, y continúa expandiendo estas controles a través de actualizaciones periódicas de contenido. Los administradores tienen flexibilidad y control adicionales con la capacidad de permitir o bloquear procesos secundarios, junto con comparaciones de línea de comando, para Aumente la detección sin afectar negativamente el rendimiento del proceso o detener los procesos. Términos clave ● En los sistemas operativos multitarea, un proceso secundario es un subproceso creado por un proceso principal. que se está ejecutando en el sistema. El módulo de protección contra ransomware basado en el comportamiento protege contra el comportamiento basado en cifrado asociado con ransomware mediante el análisis y la detención de la actividad de ransomware antes de cualquier pérdida de datos ocurre. Para combatir estos ataques, Cortex XDR emplea archivos señuelo para atraer el ransomware. Cuando el ransomware intenta escribir, cambiar el nombre, mover, eliminar o cifrar los archivos señuelo, el El agente Cortex XDR analiza el comportamiento y evita que el ransomware se cifre y manteniendo archivos como rehenes. Cuando el agente Cortex XDR está configurado para operar en modo de prevención, bloquea el proceso que intenta manipular los archivos señuelo. Cuando configura este módulo en el modo de notificación, el agente registra un evento de seguridad. Inspección y análisis de WildFire Además del análisis local, Cortex XDR puede enviar archivos desconocidos a WildFire para su descubrimiento y análisis más profundo para detectar rápidamente malware potencialmente desconocido. WildFire reúne a los Beneficios de las técnicas de detección independientes para el descubrimiento de alta fidelidad y resistente a la evasión. que va más allá de los enfoques heredados. Entre estas técnicas: ● El análisis estático es una forma poderosa de análisis, basada en la nube, que detecta amenazas analizando las características de las muestras antes de su ejecución. ● El análisis dinámico (sandboxing) detona presentaciones previamente desconocidas en un entorno virtual construido y resistente a la evasión para determinar los efectos y el comportamiento del mundo real. ● El análisis bare-metal utiliza un entorno de análisis basado en hardware diseñado específicamente para amenazas avanzadas que exhiben características altamente evasivas y pueden detectar virtual análisis. Si WildFire determina que un archivo es una amenaza, automáticamente crea y comparte una nueva prevención control con el agente Cortex XDR y otros productos de Palo Alto Networks en minutos para garantizar que la amenaza se clasifique inmediatamente como maliciosa y se bloquee si se vuelve a encontrar. https://translate.googleusercontent.com/translate_f 194/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 240 Página 241 Bloquear exploits y amenazas sin archivos El agente Cortex XDR no se basa en firmas ni en la detección basada en el comportamiento para identificar ataques basados en exploits. Toma el enfoque único de apuntar al conjunto limitado de técnicas, o herramientas, cualquier ataque basado en exploits debe utilizar para manipular una vulnerabilidad de software. Previniendo el uso de estas técnicas, en lugar de identificar cada ataque individual, el agente Cortex XDR utiliza varios métodos para evitar exploits de día cero y proteger los sistemas sin parches, supervisa la TI (o aplicaciones de las que TI no tiene conocimiento) y sistemas heredados no compatibles. Protección previa a la explotación El agente Cortex XDR evita las técnicas de creación de perfiles de vulnerabilidad que utilizan los kits de explotación antes lanzar ataques. Al bloquear estas técnicas, el agente evita que los atacantes apunten endpoints y aplicaciones vulnerables, deteniendo eficazmente los ataques antes de que comiencen. Prevención de exploits basada en técnicas El agente Cortex XDR previene vulnerabilidades conocidas, de día cero y sin parches al bloquear el técnicas de explotación que utilizan los atacantes para manipular aplicaciones (consulte la Figura 4-7). Aunque hay son miles de exploits, por lo general se basan en un pequeño conjunto de técnicas de explotación que cambian con poca frecuencia. Al bloquear estas técnicas, Cortex XDR evita los intentos de explotación antes los puntos finales pueden verse comprometidos. Figura 4-7: Cortex XDR se centra en las técnicas de explotación en lugar de en las propias vulnerabilidades. © 2021 Palo Alto Networks, Inc. 241 Página 242 Prevención de exploits del kernel El agente Cortex XDR evita exploits que utilizan vulnerabilidades en el kernel del sistema operativo para https://translate.googleusercontent.com/translate_f 195/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS crear procesos con privilegios escalados a nivel de sistema. También protege contra nuevos exploits técnicas utilizadas para ejecutar cargas útiles maliciosas, como las que se ven en WannaCry 2017 y Ataques de NotPetya. El agente Cortex XDR bloquea los procesos para que no accedan a los elementos maliciosos inyectados. código del kernel y, por lo tanto, puede detener un ataque al principio del ciclo de vida del ataque sin afectar Procesos legítimos. Esta capacidad permite al agente bloquear ataques avanzados que tienen como objetivo o provienen del propio sistema operativo. Al bloquear las técnicas comunes a los ataques basados en exploits, el agente Cortex XDR permite clientes a: ● Proteja las aplicaciones que no se pueden parchear y remeda las aplicaciones de TI. La corteza El agente XDR permite a las organizaciones ejecutar cualquier aplicación, incluidas las desarrolladas en casa, ya no recibe actualizaciones o soporte de seguridad, o se ejecuta en el entorno sin el conocimiento de TI, sin abrir la red a la amenaza de exploits ataques. ● Evitar exploits exitosos de día cero. Debido a que el agente Cortex XDR bloquea el limitado conjunto de técnicas de explotación que suelen utilizar los exploits de día cero, protege organizaciones contra ataques que utilizan exploits de día cero. ● Elimina la necesidad de parchear aplicaciones urgentemente. Organizaciones que utilizan Cortex El agente XDR puede aplicar parches de seguridad cuando sea mejor para la empresa y después de pruebas. Previene la explotación de las vulnerabilidades de las aplicaciones independientemente de cuándo La organización aplica parches de seguridad emitidos por los proveedores de aplicaciones. Protección contra robo de credenciales Los atacantes roban credenciales para hacerse pasar por usuarios válidos, se mueven ininterrumpidamente a través de redes de las organizaciones y encontrar y exfiltrar datos valiosos. El agente Cortex XDR previene herramientas de robo de credenciales como Mimikatz para que no accedan a las contraseñas del sistema, lo que garantiza que los adversarios y los iniciados malintencionados no pueden hacer un mal uso de las credenciales o escalar los privilegios. Para protección adicional contra el robo de credenciales, Cortex XDR puede recopilar eventos de puntos finales, comportamiento del perfil, y detectar ataques basados en credenciales para eliminar ataques difíciles de encontrar. © 2021 Palo Alto Networks, Inc. 242 Página 243 Investigar y responder a los ataques Para facilitar una investigación y una respuesta más rápidas, Cortex XDR ofrece a los administradores y equipos de respuesta múltiples medios para promover sus investigaciones, recopilar la información necesaria y Realice los cambios necesarios en el punto final en cuestión (consulte la Figura 4-8). https://translate.googleusercontent.com/translate_f 196/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 4-8: Investigar y responder a ataques Cuando se necesita una reparación en el punto final después de una alerta o investigación, los administradores puede realizar las siguientes acciones: ● Aísle los puntos finales desactivando todos los accesos a la red en los puntos finales comprometidos, excepto tráfico a la consola de administración de Cortex XDR, evitando así que estos puntos finales comunicarse con otros endpoints y potencialmente infectarlos ● Finalizar procesos para evitar que cualquier malware en ejecución continúe actuando actividad en el punto final ● Bloquear ejecuciones adicionales de un archivo determinado bloqueándolo en la política. ● Poner en cuarentena los archivos maliciosos y eliminarlos de sus directorios de trabajo si el El agente de Cortex XDR aún no ha puesto en cuarentena los archivos ● Recupere archivos específicos de los puntos finales bajo investigación para un análisis más detallado. ● Acceda directamente a los puntos finales con Live Terminal , obteniendo la respuesta más flexible. acciones en la industria para ejecutar Python, PowerShell o comandos o scripts del sistema; revisión y gestionar procesos activos; y ver, eliminar, mover o descargar archivos ● Organice la respuesta con API abiertas que permitan que las herramientas de terceros apliquen la aplicación. políticas y recopilar información del agente desde cualquier ubicación © 2021 Palo Alto Networks, Inc. 243 Página 244 Extendiendo la prevención más allá de los entornos Windows Aunque la seguridad nativa ha crecido entre los principales proveedores de sistemas operativos, dicha seguridad sigue centrado en su propio sistema operativo, creando así una protección, políticas, aplicación y visibilidad. Las organizaciones deben poder aplicar reglas de seguridad en un entorno mixto desde una sola pantalla y protege contra una variedad de amenazas, desde las básicas hasta las avanzadas. Las organizaciones pueden usar la consola Cortex XDR para controlar las políticas de seguridad predeterminadas y personalizadas en endpoints de Windows, macOS, Linux y Android con la confianza de que varios métodos de protección están manteniendo sus sistemas a salvo de ataques. Cortex XDR para macOS Cortex XDR protege los sistemas macOS contra malware y exploits con algo más que "comprobar caja de seguridad. El agente Cortex XDR utiliza múltiples métodos como el análisis local, WildFire inspección y análisis, mejoras de Gatekeeper, identificación de editor confiable y el administrador anula las políticas para bloquear el malware. Para evitar exploits, el agente bloquea el kernel técnicas de escalada y explotación de privilegios, incluido JIT y ROP y secuestro de dylib . El agente Cortex XDR evita que los atacantes eludan la firma digital macOS mecanismo de verificación, Gatekeeper. Este mecanismo permite o bloquea la ejecución de aplicaciones basadas en sus firmas digitales, que se clasifican en tres niveles de firma: Apple Sistema, Mac App Store y Desarrolladores. Extiende la funcionalidad de Gatekeeper para permitir clientes para especificar si bloquear todos los procesos secundarios o permitir solo aquellos con firma niveles que coinciden o superan los de sus procesos principales. Cortex XDR para Android El agente Cortex XDR previene malware conocido y archivos desconocidos del Kit de paquetes de Android (APK) https://translate.googleusercontent.com/translate_f 197/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS se ejecute en puntos finales de Android. Hace cumplir la política de seguridad de su organización según se define en la consola Cortex XDR. La política de seguridad determina si se debe bloquear el malware conocido y archivos desconocidos, cargue archivos desconocidos para una inspección y análisis en profundidad, trate el malware como grayware, o realizar un análisis local para determinar la probabilidad de que los archivos desconocidos sean malware. También puede permitir que los firmantes de confianza habiliten aplicaciones firmadas desconocidas para que se ejecuten antes de Cortex El agente XDR recibe un veredicto oficial para la aplicación. Términos clave ● Un archivo de Android Package Kit (APK) es una aplicación creada para el funcionamiento de dispositivos móviles Android. sistema. © 2021 Palo Alto Networks, Inc. 244 Página 245 Cortex XDR para Linux El agente Cortex XDR protege los servidores Linux al evitar que los atacantes ejecuten Archivos ELF o la explotación de vulnerabilidades de Linux conocidas o desconocidas para poner en peligro los puntos finales. El El agente también extiende la protección a los procesos que se ejecutan en contenedores de Linux. El agente Cortex XDR hace cumplir la política de seguridad de su organización tal como se define en la consola Cortex XDR. Cuando un ocurre un evento de seguridad en su servidor Linux, el agente Cortex XDR recopila información forense que puede utilizar para analizar más el incidente. El agente Cortex XDR en Linux opera de forma transparente en segundo plano como un proceso del sistema. Después de instalarlo en un servidor Linux, protege automáticamente cualquier proceso nuevo o existente en contenedores, independientemente de cómo El contenedor está implementado y administrado. Control de dispositivos para un acceso USB seguro Los dispositivos USB ofrecen una variedad de beneficios, pero también presentan riesgos. Cuando los usuarios, sin saberlo conectar unidades flash cargadas de malware a sus computadoras o copiar datos confidenciales al disco de respaldo unidades, exponen a sus organizaciones a ataques y pérdida de datos. Los atacantes avanzados incluso pueden infectar dispositivos USB aparentemente inocuos como teclados y cámaras web con malware. El El poderoso módulo de control de dispositivos incluido con Cortex XDR le permite monitorear y asegurar Acceso USB sin necesidad de instalar otro agente de punto final en todos sus hosts. Puede asignar políticas basadas en el grupo de Active Directory y la unidad organizativa, restringir el uso por tipo de dispositivo y Asigne excepciones de política de solo lectura o lectura / escritura por proveedor, producto y número de serie. El El módulo de control de dispositivos le permite administrar fácilmente el acceso USB y tener la seguridad de que ha amenazas mitigadas basadas en USB. https://translate.googleusercontent.com/translate_f 198/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS © 2021 Palo Alto Networks, Inc. 245 Página 246 Gestión sencilla de la seguridad de los terminales Cortex XDR tiene una interfaz de usuario intuitiva basada en web (consulte la Figura 4-9) que ayuda a los administradores coordinar y proteger rápidamente la organización con capacidades listas para usar, desde el primer día, sin sacrificar la necesidad de control y personalización de un entorno complejo. Figura 4-9: Panel de control Cortex XDR Gestión basada en la nube El servicio Cortex XDR multirregión y basado en la nube le evita invertir en la construcción de su propia infraestructura de seguridad global y complementa el conjunto de productos de Palo Alto Networks para integración y valor adicionales. El servicio es fácil de implementar y no requiere licencias de servidor. bases de datos u otra infraestructura para comenzar, lo que permite a su organización proteger cientos o millones de terminales sin incurrir en costos operativos adicionales. Interfaz intuitiva Cortex XDR fue diseñado para abordar las crecientes responsabilidades de los equipos de seguridad con una interfaz que facilita la gestión de políticas y eventos y acelera la respuesta a incidentes. Corteza XDR combina la gestión, detección, investigación y respuesta de políticas de endpoints en un solo sitio web consola de administración para brindar una experiencia de plataforma perfecta. Puede evaluar rápidamente la seguridad estado con paneles personalizables y resumir incidentes y tendencias de seguridad con gráficos informes que se pueden programar o generar bajo demanda. También puede implementar y actualizar Cortex Agentes XDR fácilmente desde una ubicación central. © 2021 Palo Alto Networks, Inc. 246 Página 247 https://translate.googleusercontent.com/translate_f 199/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Los elementos de Cortex XDR incluyen: ● Múltiples métodos de agrupación , incluidos grupos estáticos o grupos dinámicos. Dinámica La agrupación se puede basar en las características del punto final, como un nombre de host parcial o un alias, o dominio parcial o nombre de grupo de trabajo, dirección IP, rango o subred, tipo de instalación como como VDI, versión del agente, tipo de punto final o versión del sistema operativo. ● Perfiles de seguridad y políticas simplificadas basadas en reglas para proteger los endpoints fuera de la red. box mientras permite la personalización granular para departamentos o individuos sensibles y reutilización sencilla de la configuración en diferentes grupos de terminales ● Gestión de incidentes para ayudar a identificar eventos de alta prioridad y permitir que los equipos comunicar sobre el estado, el progreso y otra información útil. WildFire integrado El análisis muestra información como valores hash, usuarios objetivo, aplicaciones, procesos, y URL involucradas en actividades de entrega o teléfono a domicilio para respuesta a incidentes. Beneficios de una plataforma conectada Al integrarse estrechamente con el conjunto de productos de Palo Alto Networks, el agente Cortex XDR intercambia continuamente información y datos de amenazas con WildFire, y registros de eventos con Cortex Data Lake, un servicio de recopilación, almacenamiento y análisis de datos basado en la nube para ayudar a su organización a coordinar y automatizar la aplicación en toda su seguridad ecosistema, incluidos los puntos finales, las redes y las nubes. Integración nativa para una investigación y respuesta rápidas Los datos recopilados del agente Cortex XDR se almacenan en Cortex Data Lake, que ofrece almacenamiento de registros eficiente que escala para manejar el gran volumen de datos necesarios para análisis, detección y respuesta. Puede implementar rápidamente Cortex XDR y Cortex Data Lake, por lo tanto evitando el largo proceso de instalación de nuevos equipos. Cortex XDR elimina el almacenamiento de registros en las instalaciones y sensores adicionales y puntos de cumplimiento y por lo tanto puede reducir el costo total de propiedad en un 44 por ciento en promedio. Cortex XDR también aumenta la productividad de su equipo de operaciones de seguridad mediante la detección automática de ataques y acelerar las investigaciones. Cortex XDR es la primera aplicación de detección y respuesta del mundo que rompe los silos de forma nativa integración de aplicaciones de red, nube y endpoint para detener ataques sofisticados. Cortex admite datos de los agentes de cortafuegos de próxima generación, Prisma Access y Cortex XDR de Palo Alto Networks, en además de alertas y registros de terceros (consulte la Figura 4-10). Acelera la clasificación de alertas y los incidentes respuesta proporcionando una vista completa de un ataque, incluida la causa raíz, y uniendo la secuencia de eventos para simplificar las investigaciones. Agrupación inteligente de alertas y deduplicación Reducir el número de alertas individuales para revisar en un 98 por ciento, aliviando así la fatiga de las alertas. © 2021 Palo Alto Networks, Inc. 247 Página 248 https://translate.googleusercontent.com/translate_f 200/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 4-10: Integración nativa con aplicaciones de red, endpoint y nube y amenaza WildFire inteligencia Cortex XDR reduce el tiempo y la experiencia necesarios en cada etapa de las operaciones de seguridad, desde triaje a la caza de amenazas. Cortex XDR utiliza una estrecha integración con puntos de aplicación como el Agente Cortex XDR para detectar y contener amenazas rápidamente, y aplica el conocimiento adquirido a mejore continuamente su seguridad (consulte la Figura 4-11). Figura 4-11: Cortex XDR acelera la clasificación de alertas y la respuesta a incidentes. © 2021 Palo Alto Networks, Inc. 248 Página 249 Aplicación coordinada El conjunto integrado de productos de Palo Alto Networks ofrece un valor de seguridad mayor que el aislado componentes. Siempre que un firewall de próxima generación detecte una nueva pieza de malware o endpoint ve una nueva amenaza, las protecciones están disponibles en minutos para todos los demás equipos de próxima generación cortafuegos y puntos finales que ejecutan el agente Cortex XDR, que no requieren esfuerzo administrativo, ya sea a la 1 a. m. o a las 3 p. m. Estrecha integración entre su red, puntos finales y nubes permite una postura de seguridad que mejora continuamente y proporciona una aplicación coordinada a protegerte de los ataques de día cero. Registro centralizado en toda la plataforma Para sacar a la superficie amenazas evasivas y prevenir ataques, su organización debe poder realizar análisis avanzado y detección y respuesta de todos los datos disponibles. Aplicaciones de seguridad que realizar tales análisis necesitan acceso a capacidad de almacenamiento escalable y potencia de procesamiento. Cortex Data Lake es una oferta de almacenamiento basada en la nube para la red mejorada y rica en contexto y registros de terminales que generan los productos de seguridad de Palo Alto Networks, cortafuegos, Prisma Access y el agente Cortex XDR. La naturaleza basada en la nube de Cortex Data Lake le permite recopilar volúmenes de datos en constante expansión sin necesidad de planificar Computación y almacenamiento. Cortex XDR utiliza Cortex Data Lake para almacenar todos los datos de eventos e incidentes que captura, asegurando así un traspaso limpio a otros productos y servicios de Palo Alto Networks, como AutoFocus inteligencia de amenazas contextual, para una mayor investigación y respuesta a incidentes con endpoint contexto. https://translate.googleusercontent.com/translate_f 201/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Arquitectura técnica de Cortex XDR La arquitectura de Cortex XDR está optimizada para una máxima disponibilidad, flexibilidad y escalabilidad para gestionar millones de terminales. Consta de los siguientes componentes: ● Agente de punto final Cortex XDR: el agente de punto final consta de varios controladores y servicios, pero solo requiere un uso mínimo de memoria y CPU (512 MB de RAM y 200 MB de espacio en disco) para garantizar una experiencia de usuario sin interrupciones. Después de que se implemente en sus puntos finales, sus administradores tienen control total sobre todos los agentes de Cortex XDR en su entorno a través de la consola Cortex XDR. ● Consola de administración de Cortex XDR: Cortex XDR es una aplicación basada en la nube diseñada para minimizar los desafíos operativos asociados con la protección de sus terminales. Desde la consola Cortex XDR basada en la web, puede administrar la política de seguridad del punto final, revisar eventos de seguridad a medida que ocurren, identificar información de amenazas y realizar análisis adicionales de registros asociados. ● Servicio de prevención de malware WildFire: Cortex XDR puede enviar malware desconocido a Fuego fatuo. Las propiedades, comportamientos y actividades que muestra una muestra durante el análisis. y la ejecución en la zona de pruebas de WildFire ayudan a WildFire a determinar un veredicto para la muestra: benigno, grayware o malicioso. WildFire luego genera firmas y hace estas disponible a nivel mundial cada cinco minutos, lo que permite que otros productos de Palo Alto Networks © 2021 Palo Alto Networks, Inc. 249 Página 250 reconocer el malware recién descubierto. ● Cortex Data Lake: Cortex Data Lake es un repositorio de registros escalable y basado en la nube que almacena registros ricos en contexto generados por los productos de seguridad de Palo Alto Networks, incluidos los siguientes firewalls de generación, Prisma Access y agentes Cortex XDR. La naturaleza basada en la nube de Cortex Data Lake le permite recopilar volúmenes de datos en constante expansión sin necesidad para planificar la computación y el almacenamiento locales. ● Agente local para redes restringidas: el servicio de agente local amplía Agentes Cortex XDR a dispositivos que no pueden conectarse directamente a Internet. Los agentes pueden utilizar el servicio de intermediario como un proxy de comunicación para el servicio de gestión de Cortex XDR, reciba la última consola de seguridad y envíe contenido a Cortex Data Lake y WildFire sin tener que acceder directamente a Internet. Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. Verdadero o falso: la clave de Cortex XDR es bloquear el malware y la explotación del núcleo técnicas, no ataques individuales. 2. ¿Qué dos ventajas tiene la tecnología de protección de puntos finales sobre el tráfico de red? ¿análisis? (Escoge dos.) A. capacidad para identificar los ataques más comunes por sus síntomas B. Implementado y administrado de manera centralizada C. más fácil de implementar la protección de endpoints cuando la gente trabaja desde casa D. detecta canales de mando y control E. puede identificar fácilmente los gusanos 3. ¿Cuál es el orden en el que el endpoint comprueba si un nuevo programa es seguro? A. protección contra amenazas de comportamiento, luego análisis local, luego consulta WildFire B. análisis local, luego protección contra amenazas de comportamiento, luego consulta WildFire C. Consulta de WildFire, luego análisis local, luego protección contra amenazas de comportamiento D. análisis local, luego consulta WildFire, luego protección contra amenazas de comportamiento 4. De las comprobaciones de endpoints, ¿cuál se omite en los programas conocidos? A. Consulta de WildFire B. protección contra amenazas de comportamiento C. análisis local D. análisis de firewall 5. ¿Qué tres sistemas operativos son compatibles con Cortex XDR? (Elige tres.) A. z / OS B. Linux C. macOS https://translate.googleusercontent.com/translate_f 202/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS D. Minix E. Android © 2021 Palo Alto Networks, Inc. 250 Página 251 4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora la visibilidad del SOC Los equipos de seguridad carecen de las personas y los procesos escalables para seguir el ritmo de una abrumadora volumen de alertas y un sinfín de tareas de seguridad. Los analistas pierden tiempo girando entre consolas en busca de datos recopilación, determinación de falsos positivos y realización de tareas manuales y repetitivas a lo largo del ciclo de vida de un incidente. Cortex XSOAR mejora la eficiencia del Centro de operaciones de seguridad (SOC) con la mayor plataforma operativa integral para la seguridad empresarial. Cortex XSOAR unifica el caso gestión, automatización, colaboración en tiempo real y gestión de inteligencia de amenazas nativas en el la primera oferta de orquestación, automatización y respuesta de seguridad extendida (SOAR) de la industria. Los equipos pueden administrar alertas en todas las fuentes, estandarizar procesos con guías, tomar medidas inteligencia de amenazas y respuesta automatizada para cualquier caso de uso de seguridad, lo que resulta en hasta un 90 por ciento Tiempos de respuesta más rápidos y una reducción de hasta un 95 por ciento en las alertas que requieren intervención. Cortex XSOAR ingiere alertas agregadas e indicadores de compromiso (IoC) de la detección fuentes como soluciones de gestión de eventos e información de seguridad (SIEM), seguridad de red herramientas, fuentes de inteligencia de amenazas y buzones de correo antes de ejecutar manuales para enriquecer y responder a estos incidentes (consulte la Figura 4-12). Estos libros de jugadas coordinar entre tecnologías, equipos de seguridad y usuarios externos para una visibilidad de datos centralizada y acción. Figura 4-12: Cortex XSOAR ingiere alertas e IoC de múltiples fuentes de detección y ejecuta libros de jugadas para enriquecer y responder a incidentes. Cortex XSOAR permite a los profesionales de la seguridad llevar a cabo operaciones de seguridad y respuesta a incidentes optimizando los procesos de seguridad, conectando herramientas de seguridad dispares y mantener el equilibrio correcto entre la automatización de la seguridad impulsada por máquinas y la intervención. © 2021 Palo Alto Networks, Inc. 251 Página 252 https://translate.googleusercontent.com/translate_f 203/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Verificación de conocimientos Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto respuestas en el Apéndice A. 1. ¿Qué utiliza Cortex XSOAR para automatizar los procesos de seguridad? A. scripts de bash B. Windows PowerShell C. libros de jugadas D. Scripts de Python 4.6 Explique cómo AutoFocus obtiene inteligencia sobre amenazas para análisis de seguridad y respuesta Los ciberataques altamente automatizados y cada vez más sofisticados están ocurriendo en un mayor volumen. que nunca antes. Equipos de seguridad sobrecargados intentan inútilmente investigar cada amenaza en el red empresarial y tienen poco tiempo para analizar y comprender los ataques verdaderamente avanzados. AutoFocus de Palo Alto Networks permite un enfoque de red proactivo y basado en la prevención seguridad que pone la automatización a trabajar para los profesionales de la seguridad. Inteligencia de amenazas del el servicio se hace accesible directamente en la plataforma de Palo Alto Networks, incluido PAN-OS software y Panorama. AutoFocus acelera los flujos de trabajo existentes del equipo de seguridad, lo que permite para una investigación en profundidad de actividades sospechosas, sin recursos especializados adicionales. AutoFocus se basa en un entorno informático distribuido a gran escala alojado en Palo Alto Nube de inteligencia de amenazas de redes. A diferencia de otras soluciones, el servicio convierte los datos de amenazas accesible y procesable a nivel de IoC y va más allá de simplemente mostrar registros resumidos de múltiples fuentes en un tablero. AutoFocus tiene una visibilidad sin precedentes de la amenaza paisaje, con el conocimiento colectivo de miles de empresas globales, proveedores de servicios y gobiernos que alimentan el servicio (ver Figura 4-13). © 2021 Palo Alto Networks, Inc. 252 Página 253 https://translate.googleusercontent.com/translate_f 204/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Figura 4-13: Nube de inteligencia de amenazas de enfoque automático de Palo Alto Networks El servicio se correlaciona y obtiene inteligencia de: ● WildFire ● filtrado de URL con el servicio PAN-DB ● Red DNS pasiva global de Palo Alto Networks ● Equipo de investigación e inteligencia sobre amenazas de la Unidad 42 de Palo Alto Networks ● Feeds de terceros, incluida la inteligencia de código cerrado y de código abierto AutoFocus realiza más de mil millones de muestras y sesiones, incluidos miles de millones de artefactos, inmediatamente procesable para análisis de seguridad y esfuerzos de respuesta. AutoFocus extiende el producto cartera con la inteligencia global sobre amenazas y el contexto de ataque necesarios para acelerar el análisis, forense y flujos de trabajo de caza. Juntos, la plataforma y AutoFocus mueven los equipos de seguridad lejos de los enfoques manuales heredados que se basan en la agregación de un número creciente de detecciones alertas basadas en alertas y mitigación posterior al evento, para prevenir ataques sofisticados y permitir actividades de caza. © 2021 Palo Alto Networks, Inc. 253 Página 254 Alertas y etiquetas prioritarias AutoFocus le permite distinguir las amenazas más importantes de los productos cotidianos ataques, contextualizando así eventos en su red con etiquetas. Exclusivo de AutoFocus son las etiquetas que enriquecen su visibilidad de las amenazas más críticas, con inteligencia contextual que le permite saber qué familias de malware, campañas, actores de amenazas, comportamientos maliciosos y exploits son siendo utilizado en tu contra. Cuando una etiqueta coincide con un evento en su red, se envía una alerta de prioridad por correo electrónico, dentro del Panel de AutoFocus o mediante publicación HTTP, con el contexto de etiqueta completo incluido. Las alertas son muy personalizable, que mejora su flujo de trabajo de seguridad existente con priorización y contexto para las amenazas más críticas. Se pueden crear etiquetas para cualquier indicador de host o de red en AutoFocus para alertarle cuando Se ha observado una amenaza específica en su organización o industria. Todas las etiquetas se pueden buscar para que puede identificar rápidamente muestras o indicadores maliciosos asociados. A medida que se identifican nuevas amenazas, Palo Alto Networks Unit 42, su propia organización y el La comunidad de expertos en AutoFocus agrega nuevas etiquetas al servicio. AutoFocus es el análisis principal herramienta utilizada por la Unidad 42 para identificar nuevas amenazas, correlacionar datos globales, identificar conexiones entre muestras maliciosas y cree perfiles de adversarios o campañas. https://translate.googleusercontent.com/translate_f 205/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Con AutoFocus y la cartera de productos, los equipos de seguridad pueden: ● Determinar qué tan específica o única es una amenaza que se ve en su red. ● Investigar muestras maliciosas relacionadas. ● Identificar consultas de DNS sospechosas con el historial de resolución de dominios. Correlación de amenazas Cuando los equipos de seguridad realizan análisis de amenazas, deben identificar rápidamente qué IoC representan el mejor camino hacia la remediación. Para un compromiso activo o continuo, la velocidad de la investigación y la capacidad de correlacionar datos de manera significativa es fundamental. Cada archivo tiene cientos o, potencialmente miles de artefactos, con solo una pequeña cantidad de IoC únicos que pueden correlacionarse con el perfil más amplio de un adversario o ataques relacionados. AutoFocus utiliza un motor de análisis estadístico innovador para correlacionar miles de millones de artefactos en un conjunto de datos global y presentar IoC únicos probablemente asociados con ataques dirigidos. El servicio aplica automáticamente un sistema de ponderación visual único para identificar IoC únicos y críticos, que guía adecuadamente los esfuerzos de análisis y respuesta a incidentes. AutoFocus le permite crear búsquedas sofisticadas de múltiples capas en el host y en la red niveles de artefactos y oriente su búsqueda dentro de la industria, el período de tiempo y otros filtros. Estos Las búsquedas le permiten establecer conexiones previamente desconocidas entre ataques y planificar su acciones de respuesta a incidentes en consecuencia. © 2021 Palo Alto Networks, Inc. 254 Página 255 Cuando se requiere un análisis más detallado, los equipos de seguridad pueden cambiar entre AutoFocus y PAN-OS software o Panorama, con búsquedas precargadas para ambos sistemas. AutoFocus proporciona la totalidad de la inteligencia de amenazas de Palo Alto Networks, que reduce drásticamente el tiempo requerido para realizar análisis, análisis forense y tareas de caza. Inteligencia procesable Los equipos de seguridad necesitan más que una forma de priorizar, analizar y correlacionar la inteligencia sobre amenazas. Necesitan una forma de convertirlo en controles procesables para prevenir futuros ataques. Enfoque automático le permite crear nuevas protecciones para la cartera de productos mediante la exportación de IoC de alto valor del servicio al software PAN-OS Listas dinámicas externas para bloquear instantáneamente URL, dominios y direcciones IP. AutoFocus también puede exportar IoC a dispositivos de seguridad de terceros a través de un formato CSV estándar. Los equipos de seguridad pueden utilizar AutoFocus para identificar ataques contra su organización y emprender acciones directas para mitigarlos y prevenirlos. Los equipos de análisis de amenazas, análisis forense y respuesta a incidentes a menudo se basan en una amplia gama de scripts, herramientas de código abierto, dispositivos de seguridad y servicios para investigar posibles incidentes de seguridad. El enfoque automático puede reducir drásticamente el tiempo necesario para investigar al enriquecer a terceros servicios a través de: ● Compatibilidad con API abierta: la API de AutoFocus se basa en un estado de representación fácil de usar. marco de transferencia (RESTful) y permite integraciones en cientos de casos de uso, como enviar datos de inteligencia sobre amenazas a herramientas SIEM existentes. Este marco hace datos disponibles para análisis de amenazas adicionales o automatizaciones personalizadas de bloqueo de amenazas. ● Capacidad de barrido remoto: los equipos de seguridad pueden pasar de los indicadores del servicio a sistemas externos internos y de terceros directamente desde AutoFocus. Los equipos pueden definir a 10 sistemas externos, lo que les permite continuar su análisis sin problemas en sus toda la infraestructura, como la correlación de registros de firewalls de próxima generación o la activación búsquedas en herramientas SIEM. ● Compatibilidad con el formato de datos STIX: AutoFocus proporciona una integración inmediata con Infraestructura de expresión de información de amenazas estructurada (STIX) y hace que los datos estén disponibles para exportar en formato de datos STIX. Términos clave ● La transferencia de estado representacional (REST) es un estilo de programación arquitectónica que normalmente se ejecuta a través de HTTP. Se usa comúnmente para aplicaciones móviles, sitios web de redes sociales y https://translate.googleusercontent.com/translate_f 206/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS herramientas de mashup. ● La expresión de información de amenazas estructurada (STIX) es un lenguaje de marcado extensible (XML) para transmitir datos sobre amenazas de ciberseguridad en un formato estandarizado. ● Extensible Markup Language (XML) es una especificación de lenguaje de programación que define un conjunto de reglas para codificar documentos en un formato legible por humanos y legible por máquina. © 2021 Palo Alto Networks, Inc. 255 Página 256 Intercambio de indicadores de amenazas (MineMeld) Para evitar ciberataques exitosos, muchas organizaciones recopilan indicadores de compromiso (IoC) de varios proveedores de inteligencia de amenazas con la intención de crear nuevos controles para sus dispositivos de seguridad. Desafortunadamente, los enfoques heredados para la agregación y el cumplimiento son altamente de naturaleza manual, a menudo creando flujos de trabajo complejos y extendiendo el tiempo necesario para identificar y validar qué IoC deben bloquearse. MineMeld es una aplicación de código abierto que agiliza la agregación, aplicación y intercambio de inteligencia sobre amenazas. MineMeld está disponible directamente en GitHub y en virtual prediseñado máquinas (VM) para una fácil implementación. MineMeld tiene una arquitectura modular extensible, por lo que cualquiera puede aumentar su funcionalidad contribuyendo con código al repositorio de código abierto. MineMeld admite una variedad de casos de uso, y la comunidad agrega más cada día, incluso: ● Agregar y correlacionar fuentes de inteligencia sobre amenazas ● Aplicación de nuevos controles de prevención, incluido el bloqueo de direcciones IP. ● Evaluar el valor de una fuente de inteligencia de amenazas específica para su entorno. ● Extraer indicadores de los registros de dispositivos de Palo Alto Networks y compartirlos con otros herramientas de seguridad ● Compartir indicadores con compañeros de confianza. ● Identificación de sesiones entrantes de los nodos de salida de Tor para bloqueo o inspección estricta ● Seguimiento de direcciones IP y URL de Office365 MineMeld le permite agregar inteligencia sobre amenazas en los sectores público, privado y comercial. fuentes de inteligencia, incluso entre organizaciones gubernamentales y comerciales. MineMeld simplifica la recopilación y correlación de inteligencia en: ● Feeds de inteligencia de amenazas comerciales ● Proveedores de inteligencia de código abierto (OSINT) ● Plataformas de inteligencia de amenazas ● Centros de análisis e intercambio de información (ISAC) ● Equipos de respuesta a emergencias informáticas (CERT) ● Otros usuarios de MineMeld Una vez recopilados los indicadores, MineMeld puede filtrar, deduplicar y consolidar metadatos en todas las fuentes, lo que permite a los equipos de seguridad analizar un conjunto de datos más procesable, enriquecido con múltiples fuentes, para facilitar la aplicación. MineMeld se integra de forma nativa con la cartera de productos de Palo Alto Networks para crear nuevos controles basados en la prevención para URL, direcciones IP e inteligencia de dominio derivada de todas las fuentes que ingresan a la herramienta. Las organizaciones pueden simplificar sus flujos de trabajo para bloquear IoC con listas dinámicas externas y grupos de direcciones dinámicas (DAG), sin gasto © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 256 207/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 257 recursos adicionales para administrar listas de bloqueo, incluido el tiempo de espera automático de los indicadores vencidos. MineMeld también se integra con el servicio de inteligencia de amenazas contextual AutoFocus para permitir organizaciones para identificar indicadores específicos de alto valor en AutoFocus y bloquearlos en su cortafuegos de próxima generación con listas de exportación y MineMeld. © 2021 Palo Alto Networks, Inc. 257 Página 258 Apéndice A: Respuestas a las preguntas de verificación de conocimientos Dominio del examen 1 - Fundamentos de ciberseguridad 1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0 1. Verdadero. El software de inteligencia empresarial (BI) consta de herramientas y técnicas que se utilizan para superficie grandes cantidades de datos sin procesar no estructurados para realizar una variedad de tareas, incluyendo https://translate.googleusercontent.com/translate_f 208/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS minería de datos, procesamiento de eventos y análisis predictivo. 2. Verdadero. El proceso en el que los usuarios finales encuentran tecnología personal y aplicaciones que son más potente o capaz, más conveniente, menos costoso, más rápido de instalar y más fácil de El uso que las soluciones de TI empresarial se conoce como consumerización . 3. ¿Qué acción está asociada con la Web 1.0? A. consultar el sitio web de CNN en busca de noticias B. publicar en Facebook C. agregar información a Wikipedia D. hacerle una pregunta a Siri de Apple 4. ¿Qué acción está asociada con Web 3.0? A. Consultar el sitio web de CNN en busca de noticias B. publicar en Facebook C. agregar información a Wikipedia D. hacerle una pregunta a Siri de Apple 5. ¿A qué modelo de computación en la nube está asociado Gmail? A. SaaS B. PaaS C. IaaS D. DaaS 1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados en puertos 1. ¿Qué dos números de puerto están asociados con HTTP? (Escoge dos.) A. 80 B. 389 C. 8080 D. 25 2. ¿Qué número de puerto está asociado con HTTPS? A. 21 B. 23 C. 443 D. 53 3. ¿Qué puerto se utiliza para la comunicación cifrada? A. 22 B. 80 C. 389 D. 25 4. ¿Qué dos protocolos distinguen entre aplicaciones que utilizan números de puerto? (Escoge dos.) A. TCP B. ICMP © 2021 Palo Alto Networks, Inc. 258 Página 259 C. ESP D. UDP E. IPX 5. ¿Cómo evitan los atacantes que el software de monitoreo detecte los escaneos de puertos? A. escanear puertos tan rápido que termina antes de que pueda ser detectado y detenido B. escanear puertos tan lentamente que parece intentos aleatorios de conexión, en lugar de una concertada ataque C. escanear puertos desde un dispositivo interno D. escanear puertos a través de WiFi en lugar de Ethernet 6. ¿Qué atributos potencialmente riesgosos son los más graves? A. omnipresente B. malware C. ancho de banda excesivo D. túneles 7. ¿Qué aplicación se puede utilizar como túnel para otras aplicaciones? A. Telnet B. SMTP C. HTTPS D. SSH 8. ¿Qué dos dispositivos o sistemas requieren la configuración de puertos no estándar para poder utilizar una aplicación en un puerto no estándar? (Escoge dos.) https://translate.googleusercontent.com/translate_f 209/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A. cortafuegos B. cliente C. servidor D. sistema operativo E. certificado 1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube 1. Si es responsable de la seguridad de la aplicación pero no de la seguridad del sistema operativo, ¿Qué modelo de servicio de computación en la nube está utilizando? A. su propio centro de datos B. IaaS C. PaaS D. SaaS 2. ¿Qué tipo de seguridad es siempre responsabilidad del cliente de la nube? A. físico B. red C. aplicación D. datos 1.4 Identificar la seguridad de la aplicación SaaS 1. ¿Dónde se almacenan normalmente sus datos en una aplicación SaaS? A. en su centro de datos, en una base de datos bajo su control B. en su centro de datos, en una base de datos controlada por el proveedor de SaaS C. en la nube, en una base de datos que controlas D. en la nube, en una base de datos controlada por el proveedor de SaaS © 2021 Palo Alto Networks, Inc. 259 Página 260 2. ¿Quién es responsable de la configuración de seguridad en una aplicación SaaS empresarial? A. Proveedor de SaaS B. Administrador de TI de la organización del cliente C. usuario, normalmente un empleado de la organización del cliente. D. tanto administradores como usuarios de TI 3. ¿Cuándo es imposible proteger los datos SaaS? A. cuando un usuario usa un dispositivo no administrado para acceder a un SaaS no autorizado ejemplo B. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS no autorizada C. cuando un usuario usa un dispositivo no administrado para acceder a una instancia de SaaS autorizada D. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS autorizada 1.5 Reconocer las leyes y regulaciones de ciberseguridad 1. Verdadero. Una organización puede cumplir con toda la seguridad y privacidad aplicables. las regulaciones para su industria aún no son seguras. 2. ¿Qué tres campos de datos se consideran información de identificación personal (PII)? Escoger Tres.) A. número de identificación único (como el número de licencia de conducir) A. honorífico (Sr., Sra., Dr., etc.) B. número de teléfono C. presión arterial (cuando no está conectada a otros campos) D. huellas dactilares 3. ¿Qué riesgo se elimina en una organización que cumple al 100%? A. hacer pública la información confidencial B. tener una amenaza persistente avanzada que cambie su información C. hacer que el regulador lo castigue por no cumplir D. hacer que personas internas malintencionadas roben información 1.6 Enumere ejemplos recientes de ciberataques de alto perfil 1. ¿Qué significa CVE? A. Vulnerabilidades informáticas y sus vulnerabilidades https://translate.googleusercontent.com/translate_f 210/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. Vulnerabilidades y exposiciones informáticas C. Vulnerabilidades comunes y sus hazañas D. Vulnerabilidades y exposiciones comunes 2. ¿Cuál es la diferencia entre CVE y CVSS? A. CVE le dice cuáles son las vulnerabilidades. CVSS otorga una puntuación a las vulnerabilidades (0-10) para evaluar su gravedad. B. CVE está en una escala de bajo, medio, alto, crítico. CVSS está en una escala de 0 a 100. C. CVSS le dice cuáles son las vulnerabilidades. CVE otorga a las vulnerabilidades una puntuación (010) para evaluar su gravedad. D. CVE está en una escala de 0 a 100. CVSS está en una escala de 0 a 10. 1.7 Descubra los perfiles y las motivaciones de los atacantes © 2021 Palo Alto Networks, Inc. 260 Página 261 1. Falso . Los actores de amenazas externas han representado la mayoría de las violaciones de datos en el últimos cinco años. 2. ¿Qué grupo es probable que ataque indiscriminadamente, si usted es un objetivo valioso o ¿no? A. hacktivistas B. ciberdelincuentes C. ciberterroristas D. grupos afiliados al estado 3. ¿Qué grupo está principalmente motivado por el dinero? A. hacktivistas B. ciberdelincuentes C. ciberterroristas D. grupos afiliados al estado 1.8 Describir el ciclo de vida moderno de los ciberataques 1. Falso . El ciclo de vida del ciberataque es un proceso de siete pasos. 2. Falso. Un defensor necesita romper solo un paso en el ciclo de vida del ciberataque framework para evitar que un ataque tenga éxito. 3. Verdadero. La clave para romper el ciclo de vida del ciberataque durante la fase de instalación es implementar la segmentación de la red, un modelo Zero Trust y un control granular de aplicaciones para limitar o restringir el movimiento lateral de un atacante dentro de la red. 4. ¿Qué etapa del ciclo de vida del ciberataque se puede identificar mediante análisis de puertos desde ¿fuentes? A. Reconocimiento B. Armamento y entrega C. Explotación D. Instalación 5. ¿Qué etapa del ciclo de vida del ciberataque implica consultar bases de datos públicas y probando exploits en la red interna del atacante? A. Reconocimiento B. Armamento y entrega C. Explotación D. Instalación 6. ¿Qué paso implica hacer que el malware se ejecute en el interior del objetivo? ¿organización? A. Armamento y entrega B. Explotación e instalación C. Mando y control D. Acciones sobre el objetivo 7. ¿En qué etapa del ciclo de vida del ciberataque identificaría una comunicación inusual? entre una base de datos interna que no debería acceder a Internet y un servidor externo? A. Explotación https://translate.googleusercontent.com/translate_f 211/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. Instalación © 2021 Palo Alto Networks, Inc. 261 Página 262 C. Mando y control D. Acciones sobre el objetivo 1.9 Clasificar tipos de malware 1. ¿Qué dos tipos de malware se replican automáticamente? (Escoge dos.) A. bomba lógica B. puerta trasera C. virus D. caballo de Troya E. gusano 2. ¿Cuáles son los dos tipos de malware que probablemente dejará un empleado descontento? (Escoger dos.) A. bomba lógica B. puerta trasera C. virus D. caballo de Troya E. gusano 3. ¿Qué tres tipos de malware requieren canales de comunicación externos? (Elige tres.) A. rootkit B. puerta trasera C. ransomware D. software espía E. adware F. bomba lógica 4. ¿Cuál es el término para un programa de acceso remoto no autorizado? A. bomba lógica B. puerta trasera C. caballo de Troya D. ransomware 1.10 Enumere las diferencias entre vulnerabilidades y exploits 1. ¿Qué afirmación es correcta? R. Un investigador de seguridad podría escribir una vulnerabilidad para demostrar un exploit. B. Un investigador de seguridad podría escribir un exploit para demostrar una vulnerabilidad. C. Los exploits a menudo son el resultado de programadores mal entrenados. D. Los exploits siempre son responsabilidad del proveedor. 2. ¿Qué tipo de vulnerabilidad utiliza un exploit de día cero? A. uno que aún no ha sido descubierto por nadie. B. uno que no ha sido revelado al proveedor (o publicado) C. uno que el proveedor conoce, pero que no ha lanzado un parche para D. uno que tiene un parche, pero el parche aún no se ha instalado en todas partes 3. ¿Qué intervalo de tiempo describe una "ventana de vulnerabilidad"? © 2021 Palo Alto Networks, Inc. 262 Página 263 A. entre el momento en que se descubre una vulnerabilidad y el momento en que se publica un parche B. entre el momento en que se publica un parche y el momento en que se instala en su sistema C. entre el momento en que se descubre una vulnerabilidad y el momento en que se instala el parche en tu sistema https://translate.googleusercontent.com/translate_f 212/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS D. entre el momento en que se descubre una vulnerabilidad y el momento en que se revela al proveedor 1.11 Categorizar los ataques de spam y phishing 1. ¿Qué tipo de ataque incluye un anuncio por correo electrónico de un servicio de tintorería? A. spam B. phishing C. spear phishing D. caza de ballenas 2. ¿Qué tipo de ataque incluye un correo electrónico con un archivo adjunto not-a-trojan.exe? A. spam B. phishing C. spear phishing D. Caza de ballenas 3. ¿Qué tipo de ataque incluiría un correo electrónico con su nombre que dice ser de su banco y le dice que haga clic en el enlace https://chase.bankofamerica.mysite.ru? A. spam B. phishing C. spear phishing D. caza de ballenas 4. Su CFO recibe un correo electrónico con su nombre que dice ser el banco de la empresa y le dice que haga clic en el enlace https://chase.bankofamerica.mysite.ru. ¿Qué tipo de ataque es ¿esta? A. spam B. phishing C. spear phishing D. caza de ballenas 1.12 Ingeniería social 1. ¿Qué dos técnicas utilizan los "ingenieros sociales" para distraer a sus objetivos de modo que lo que quiera el atacante? (Escoge dos.) A. piloto automático, que solicita una acción que el usuario realiza automáticamente sin pensando B. phishing, envío de correo electrónico que solicita acciones específicas C. disfrazado de caballo de Troya D. infectar programas con virus E. distracción emocional, como gritar que el objetivo sería despedido 2. ¿Quién es el objetivo más probable de la ingeniería social? A. dirección ejecutiva, porque tiene la mayor cantidad de permisos © 2021 Palo Alto Networks, Inc. 263 Página 264 B. ingenieros superiores de TI, porque el atacante espera que desactiven la seguridad infraestructura C. personas jóvenes, porque son más fáciles de estresar y probablemente no tan bien entrenado D. el departamento de contabilidad, porque puede transferir dinero directamente a la oficina del atacante cuenta 1.13 Ataques de ciberseguridad 1. En el ciclo de vida del ciberataque, ¿qué significa C2? A. Configuración y comunicación B. Control de configuración C. Mando y control D. Control de comunicación 2. Un servidor que tiene un error que permite que una sola transacción lo desconecte es susceptible a que tipo de ataque? A. Denegación de servicio (DoS) https://translate.googleusercontent.com/translate_f 213/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. Denegación de servicio distribuida (DDoS) C. caballos de Troya D. gusanos 3. ¿Qué dos ataques suelen utilizar una botnet? (Escoge dos.) A. ingeniería social B. DoS C. DDoS D. enviar spam a una larga lista de distribución E. spear phishing 1.14 Definir las características de las amenazas persistentes avanzadas 1. ¿Qué opción es menos probable que sea el propósito de una amenaza persistente avanzada? A. transferir dinero a una cuenta bancaria en el extranjero B. robar información clasificada C. expandir una botnet para enviar más spam D. ser capaz de destruir la infraestructura de un enemigo en caso de guerra 2. ¿Qué comportamiento utiliza una amenaza persistente avanzada (APT) para eludir la detección? A. hacer todo por la noche, cuando nadie está monitoreando B. depender exclusivamente de personas con información privilegiada con acceso privilegiado C.Haga todo rápidamente con secuencias de comandos para que el efecto de la amenaza se logre mediante la hora en que se detecta D. use un enfoque lento y lento para evitar activar alarmas 1.15 Reconocer ataques comunes de Wi-Fi 1. ¿Qué dos tipos de comportamiento podrían permitirle a alguien espiar una red WiFi? (Escoge dos.) © 2021 Palo Alto Networks, Inc. 264 Página 265 A. pasivo B. inactivo C. ceder D. activo E. ágil 2. ¿Cuál es el nombre del ataque en el que el atacante consigue que la víctima se conecte a un punto de acceso que controla el ataque? A. persona en el medio B. hombre en el medio C. punto de acceso en el medio D. enmascaramiento del punto de acceso 3. ¿Cuál es el nombre del método de "autenticación" que permite a cualquiera con la contraseña acceder a una red WiFi? A. Clave precompartida (PSK) B. Autenticación de contraseña (PA) C.Protocolo de autenticación extensible (EAP) D. identificador de conjunto de servicios (SSID) 1.16 Definir la seguridad de la red basada en el perímetro 1. ¿Qué es una zona desmilitarizada de red (DMZ)? A. la parte más segura de la red, utilizada para la infraestructura de seguridad B. la parte de la red que no protege, por ejemplo, un segmento de red utilizado para visitantes para acceder a internet C. la zona de gestión de la base de datos D. la zona de red donde coloca servidores que sirven al exterior, para limitar la exposición 2. ¿Qué tipo de tráfico fluye entre la Internet pública y la DMZ privada? A. norte-sur B. este-oeste https://translate.googleusercontent.com/translate_f 214/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS C. arriba-abajo D. tráfico de salida 3. ¿Qué tipo de tráfico fluye dentro de un centro de datos? A. norte-sur B. este-oeste C. arriba-abajo D. tráfico de salida 4. ¿Cuál es el nombre del dispositivo que se utiliza para proteger el perímetro de una red? Un interruptor B. hub C. módem D. cortafuegos 1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust 1. ¿En qué principio de seguridad se basa un modelo de seguridad de red Zero Trust? A. debida diligencia © 2021 Palo Alto Networks, Inc. 265 Página 266 B. privilegio mínimo C. no repudio D. control negativo 2. ¿Qué significa Zero Trust? R. Los sistemas nunca confían en la información que obtienen de otros sistemas. B. Los sistemas no confían unos en otros implícitamente. C. Los sistemas no confían entre sí de forma explícita. D. Los sistemas solo confían entre sí dentro del mismo centro de datos. 3. En una arquitectura Zero Trust completa, ¿se pueden comunicar dos dispositivos excepto a través de un dispositivo de seguridad? ¿control? R. Sí, pero solo si están en la misma zona de confianza. B. Sí, pero solo si el nivel de la zona de confianza del cliente es superior al del servidor. C. No, a menos que pertenezcan a la misma aplicación. D. No, necesitamos asegurar todo el tráfico. 1.18 Definir las capacidades de una cartera de productos eficaz 1. ¿Qué componente de una plataforma operativa de seguridad puede identificar un troyano que no no usas la red? A. seguridad de la red B. seguridad en la nube C. Protección avanzada de endpoints D. Servicio de registro SaaS 2. El servicio de registro almacena datos en la nube en una instancia que su organización hace no controla y, por lo tanto, proporciona protección contra qué? A. caballos de Troya B. virus C. gusanos D. amenaza interna 1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks 1. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el centro de datos? A. Strata B. Prisma C. Corteza D. WildFire 2. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el acceso remoto y la nube nativa? tecnologías? A. Strata B. Prisma C. Corteza D. WildFire https://translate.googleusercontent.com/translate_f 215/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 3. ¿Qué paquete de productos de Palo Alto Networks se utiliza para administrar alertas? Obtenga información adicional. información y orquestar respuestas? A. Strata © 2021 Palo Alto Networks, Inc. 266 Página 267 B. Prisma C. Corteza D. WildFire Dominio del examen 2: el mundo conectado 2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores 1. ¿Qué dispositivo no procesa direcciones? Un concentrador B. cambiar C. Punto de acceso WiFi D. enrutador 2. ¿Qué dispositivo procesa direcciones lógicas? Un concentrador B. cambiar C. Punto de acceso WiFi D. enrutador 3. ¿En qué dispositivo configura las VLAN? A. repetidor inalámbrico B. hub C. interruptor D. enrutador 2.2 Clasificar protocolos enrutados y de enrutamiento 1. ¿Qué es un protocolo enrutado? A. Abra primero la ruta más corta (OSPF) B. Protocolo de Internet (IP) C.Protocolo de puerta de enlace fronteriza (BGP) D. Protocolo de información de enrutamiento (RIP) 2. ¿Qué tipo de dispositivo utiliza protocolos de enrutamiento para intercambiar información? A. interruptores B. hubs C. enrutadores D. servidores 3. ¿Cuál es el propósito principal de la información intercambiada por los protocolos de enrutamiento? A. enrutamiento dinámico B. enrutamiento estático C. facturación por acceso a la red D. publicidad de direcciones MAC 2.3 Resumir topologías y redes de área 1. Verdadero. Internet es un ejemplo de red de área amplia (WAN). 2. ¿Qué tecnología de red se utiliza para las WAN? A. Ethernet B. anillo simbólico C. línea de abonado digital (DSL) D. FDDI © 2021 Palo Alto Networks, Inc. 267 Página 268 3. ¿Qué dispositivo crea un dominio de colisión que incluye todas las interfaces a las que está ¿conectado? https://translate.googleusercontent.com/translate_f 216/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Un concentrador B. cambiar C. enrutador D. servidor web 4. ¿Qué requisito debe cumplirse para que un dispositivo cliente utilice un servidor DHCP, asumiendo ¿No hay agentes de retransmisión DHCP? A. estar en el mismo dominio de colisión B. estar en el mismo dominio de transmisión C. tienen una latencia inferior a 20 ms D. tener la misma máscara de subred 5. ¿Qué tipo de red es más probable que utilice enlaces punto a punto? A. LAN B. WAN C. SD WAN (solo) D. WAN (solo si no es SD WAN) 2.4 Explicar el propósito del sistema de nombres de dominio (DNS) 1. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv4 de un host? A. A B. AAAA C. PTR D. MX 2. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv6 de un host? A. A B. AAAA C. PTR D. MX 3. Un sitio web se llama www.amazing.co.uk. ¿Qué significa eso? R. El sitio web está alojado en el Reino Unido por una empresa llamada Amazing. B. El sitio web se puede alojar en cualquier lugar, pero la empresa debe estar ubicada en los Estados Unidos. Reino. C. El sitio web se puede alojar en cualquier lugar y la empresa decidió aparecer Británico. D. La empresa decidió parecer británica y el sitio web está alojado en los Estados Unidos. Reino. 2.5 Identificar categorías de Internet de las cosas (IoT) 1. ¿Qué dispositivo es M2M (de máquina a máquina)? A. Televisión conectada a Internet B. alarma de casa que llama a la policía para responder C. GPS para coche D. sensor de temperatura conectado a un sistema de extinción de incendios 2. Los sensores para un campo cultivado deben informar los resultados una vez al día. Estos sensores son alimentado por baterías que necesitan durar años. ¿Qué forma de conectividad utilizas? A. Bluetooth B. Wi-Fi © 2021 Palo Alto Networks, Inc. 268 Página 269 C. LoRaWAN D. Banda C satelital 3. ¿Qué dos ventajas hacen que 2G sea una opción popular para los dispositivos IoT celulares? (Escoge dos.) A. baja latencia B. latencia alta C. bajo costo de hardware D. bajo consumo de energía 4. ¿Por qué los dispositivos de IoT son a menudo inseguros? A. desarrollo apresurado B. ciclos prolongados de liberación y parche C. tiempo insuficiente para garantizar la calidad D. bajo presupuesto de desarrollo 2.6 Ilustre la estructura de una dirección IPv4 / IPv6 https://translate.googleusercontent.com/translate_f 217/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 1. ¿Qué opción es un ejemplo de dirección lógica? A. PI B. hardware C. MAC D. quemado 2. ¿Cuántos bytes hay en una dirección IPv6? A. 4 B. 8 C. 16 D. 32 3. ¿Qué dos componentes están en una dirección IPv4? (Escoge dos.) Una red B. dirección MAC C. anfitrión D. tipo de dispositivo E. número de ruta 4. ¿En qué dos escenarios la traducción de direcciones de red (NAT) reduce el número de direcciones IP necesarias? (Escoge dos.) A. los dispositivos son clientes, NAT dinámica que los esconde detrás de una única IP B. los dispositivos son servidores, NAT dinámica para el equilibrio de carga que los hace parecer un dispositivo único C. los dispositivos son clientes, NAT estática para permitirles compartir una dirección IP D. los dispositivos son servidores, NAT estática para permitirles compartir una dirección IP 5. ¿Cómo traduce ARP las direcciones lógicas? A. Direcciones lógicas IPv6 a IPv4 B. Direcciones lógicas IPv4 a IPv6 C. IPv4 a direcciones MAC D. IPv6 sa direcciones MAC 6. ¿Cuál es el propósito del NDP? A. Direcciones lógicas IPv6 a IPv4 B. Direcciones lógicas IPv4 a IPv6 C. IPv4 a direcciones MAC D. IPv6 a direcciones MAC © 2021 Palo Alto Networks, Inc. 269 Página 270 2.7 Describir el propósito de la división en subredes IPv4 1. ¿Qué es la máscara de subred para la red 10.2.0.0/20? A. 255.0.0.0 B. 255.255.0.0 C. 255.255.240.0 D. 255.255.255.0 2. ¿Qué dos redes son subredes de 10.2.0.0/20? (Escoge dos.) A. 10.2.0.0/19 B. 10.2.5.0/24 C. 10.2.20.0/24 D. 10.2.14.0/28 E. 10.2.0.0/16 3. ¿Cuál es el número máximo teórico de dispositivos en una clase B? A.2 ^ 24-2 = 16777214 B.2 ^ 20-2 = 1048574 C. 2 ^ 16-2 = 65534 D. 2 ^ 8-2 = 254 4. ¿Cuántas subredes / 28 caben en una clase C? A. 2 B. 4 C. 8 D. 16 2.8 Ilustre los modelos OSI y TCP / IP 1. ¿El modelo OSI consta de cuántas capas? A. cuatro https://translate.googleusercontent.com/translate_f 218/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. seis C. siete D. nueve 2. ¿Qué dos protocolos funcionan en la capa de transporte del modelo OSI? (Escoge dos.). A. Protocolo de control de transmisión (TCP) B. Protocolo de Internet (IP) C.Protocolo de datagramas de usuario (UDP) D. Protocolo de transferencia de hipertexto (HTTP) 3. ¿Qué cuatro capas componen el modelo TCP / IP? (Elija cuatro). A. Aplicación B. Transporte C. Físico D. Internet E. Acceso a la red 4. ¿Qué opción muestra las capas ISO en el orden correcto (de la capa inferior a la superior)? A. Físico, transporte, red, sesión, enlace de datos, presentación, aplicación B. Físico, enlace de datos, red, aplicación, presentación, transporte, sesión C.Físico, enlace de datos, transporte, sesión, presentación, red, aplicación © 2021 Palo Alto Networks, Inc. 270 Página 271 D. Físico, enlace de datos, red, transporte, sesión, presentación, aplicación 5. ¿Ethernet y WiFi incluyen elementos de cuáles dos capas? (Escoge dos.) Una sesión B. Transporte C. Red D. Enlace de datos E. Físico 6. ¿El protocolo de Internet en sí proporciona la funcionalidad de qué capa? A. Transporte B. Red C. Enlace de datos D. Físico 7. Cuando HTTP se usa directamente en las páginas web del servidor, ¿es un protocolo de qué capa? A. Aplicación B. Presentación C. Sesión D. Transporte 8. Cuando se usa HTTP para enviar solicitudes REST, ¿es un protocolo de qué capa? A. Aplicación B. Presentación C. Sesión D. Transporte 2.9 Explicar el proceso de encapsulación de datos 1. En un paquete TCP enviado a través de Ethernet, ¿cuál es el orden de los datos? A. Encabezado de Ethernet, encabezado de TCP y luego datos de TCP B. Encabezado IP, encabezado TCP y luego datos TCP C. Encabezado de Ethernet, encabezado de IP, encabezado de TCP y luego datos de TCP D. Encabezado de Ethernet, encabezado de IP, datos de IP, encabezado de TCP y luego datos de TCP 2. ¿Qué encabezado no aparece en todos los paquetes de una transferencia de archivos HTTP a través de Ethernet? A. Encabezado de Ethernet B. Encabezado de IP C. encabezado TCP D. encabezado HTTP 2.10 Clasifique varios tipos de firewalls de red 1. Falso. Un cortafuegos de filtrado dinámico de paquetes (también conocido como inspección de paquetes con estado) solo inspecciona los encabezados de paquetes individuales durante el establecimiento de la sesión para determinar si el tráfico debe ser permitido, bloqueado o descartado por el firewall. Después de una sesión establecido, los paquetes individuales que forman parte de la sesión no se inspeccionan. 2. ¿Qué tipo de firewall de red proporciona traducción de direcciones de cliente de forma predeterminada? https://translate.googleusercontent.com/translate_f 219/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A. Filtrado de paquetes B. inspección de paquetes con estado C. aplicación D. próxima generación 3. ¿Qué tipo de firewall requiere la menor cantidad de RAM por conexión? A. filtrado de paquetes © 2021 Palo Alto Networks, Inc. 271 Página 272 B. inspección de paquetes con estado C. aplicación D. próxima generación 2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones 1. ¿Qué tipo de medida de seguridad proporciona el sistema de detección de intrusos? A. preventivo B. detective C. correctivo D. auditivo 2. ¿Qué tipo de ataque puede habilitar un sistema de prevención de intrusiones? A. malware de tipo caballo de Troya B. exfiltración de datos C. mando y control D. denegación de servicio 3. ¿Qué tipo de sistema puede cegarse con un enfoque lento y lento? A. detección de intrusos B. prevención de intrusiones C. basado en firma D. basado en el comportamiento 4. ¿Qué tipo de sistema no puede identificar las vulnerabilidades de día cero? A. detección de intrusos B. prevención de intrusiones C. basado en firma D. Basado en el comportamiento A. Para el mismo hardware, la capacidad de procesar más paquetes 2.12 Definir redes privadas virtuales 1. ¿Qué tecnología VPN se considera el método preferido para conectar de forma segura un dispositivo de punto final remoto de vuelta a una red empresarial? A. Protocolo de túnel punto a punto (PPTP) B. Protocolo de túnel de socket seguro (SSTP) C. Capa de sockets seguros (SSL) D. Seguridad del protocolo de Internet (IPsec) 2. ¿Cuál es la VPN de empresa a consumidor (B2C) más común? A. SSL / TLS B. IPsec C. SSH D. APP 3. ¿Qué significa PKI? A. Identificación de contraseña / clave B. Identificación de clave pasiva C. Infraestructura de clave pública D. Infraestructura de clave privada 4. ¿Qué VPN esperaría ver en uso entre dos de los datos de una organización? centros? A. SSL / TLS © 2021 Palo Alto Networks, Inc. 272 Página 273 https://translate.googleusercontent.com/translate_f 220/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. IPsec C. SSH D. APP 5. ¿Qué protocolo de tunelización puede utilizar para conectar dos segmentos Ethernet en uno? A. PPP B. L2TP C. IPsec (sin L2TP) D. DESLIZAMIENTO 6. ¿Cuál es el método de autenticación que utiliza nombres de usuario y contraseñas? A. PAP B. CHAP C. MS-CHAP D. SAP 2.13 Explicar la prevención de pérdida de datos (DLP) 1. ¿En qué formato deben estar los datos para que DLP funcione? A. ASCII B. texto sin cifrar C. sin comprimir D. cifrado 2. ¿DLP trabaja en qué capa del modelo ISO? A.7, capa de aplicación B.5, capa de sesión C. 4, capa de transporte D. 3, capa de red 2.14 Describir la gestión unificada de amenazas 1. ¿Qué tres funciones de seguridad están integradas con un dispositivo UTM? (Elige tres.) A. agente de seguridad de acceso a la nube (CASB) B. Aislamiento remoto del navegador (RBI) C. Automatización de DevOps D. cortafuegos E. Sistema de detección de intrusiones (IDS) F. anti-spam 2. ¿Qué dos recursos se comparten entre las diferentes funciones de un dispositivo UTM? (Escoge dos.) A. RAM B. información de alerta C. CPU D. firmas de ataque E. estado del cortafuegos 2.15 Definir los conceptos básicos de seguridad de endpoints 1. ¿Qué dos opciones son puntos finales? (Escoge dos.) A. computadora portátil B. combinación de enrutador / módem / punto de acceso para una red doméstica C. servidor de base de datos físico © 2021 Palo Alto Networks, Inc. 273 Página 274 D. teléfono inteligente utilizado para consultar el correo electrónico del trabajo 2. ¿Qué método para identificar ransomware que utiliza un exploit de día cero está disponible en el endpoint? protección, pero no en el cortafuegos? A. firmas de ataque B. análisis de comportamiento C. observación de los efectos del ataque D. descifrado de datos 3. ¿Qué opción no forma parte de una solución de protección de terminales? A. cortafuegos B. antivirus C. descifrado de intermediario D. detección de intrusos https://translate.googleusercontent.com/translate_f 221/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 2.16 Comparar la protección contra malware basada en firmas y en contenedores 1. Falso. El software anti-malware basado en firmas se considera una contramedida reactiva porque un archivo de firma para nuevo malware no se puede crear y entregar hasta que el el malware ya está "en estado salvaje". 2. ¿Qué tipo de protección contra malware se puede eludir mediante la mutación del malware? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 3. Qué tipo de protección contra malware requiere un conocimiento profundo de las aplicaciones y cómo se comunican? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 4. ¿Qué tipo de protección contra malware tiene problemas con las actualizaciones de software legítimas? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 5. ¿Qué tipo de protección contra malware es vulnerable a un enfoque lento y lento? A. basado en firmas B. basado en contenedores C. listas de permisos de aplicaciones D. detección de anomalías 2.17 Reconocer tipos de gestión de dispositivos móviles 1. Falso: el software anti-malware basado en firmas se considera una seguridad proactiva. contramedida. 2. ¿Qué dos sistemas operativos pueden tener administración de dispositivos móviles (MDM)? A. iOS B. MacOS C. Android D. Ventanas © 2021 Palo Alto Networks, Inc. 274 Página 275 E. Linux 3. Realiza una visita de negocios a otro país y no puede acceder a una solicitud de trabajo en tu celular. ¿Qué función de MDM podría ser la razón? A. prevención de pérdida de datos B. protección contra malware C. borrado / borrado remoto D. servicios de geovalla y ubicación 4. Descargó un archivo confidencial a su teléfono para usarlo en una reunión de negocios. Ahora tu mira que ya no está allí. ¿Qué función de MDM podría ser la razón? A. prevención de pérdida de datos B. protección contra malware C. borrado / borrado remoto D. servicios de geovalla y ubicación 2.18 Explicar el propósito de la gestión de identificaciones y accesos 1. ¿Qué tres procesos forman parte del modelo AAA? (Elige tres.) A. autenticación B. autorización C. reconocimiento D. auditoría E. aprobación 2. ¿Qué principio está detrás del control de acceso basado en roles (RBAC)? A. separación de funciones B. auditabilidad C. privilegio mínimo https://translate.googleusercontent.com/translate_f 222/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS D. tipo defensa en profundidad 3. ¿Qué de control de acceso puede cambiar los permisos de un usuario según su ubicación? A. RBAC B. ABAC C. PAP D. CHAP 4. Solo un gerente puede obtener cheques de la empresa. Solo un gerente diferente puede firmar cheques. ¿Este ejemplo describe qué principio? A. separación de funciones B. auditabilidad C. privilegio mínimo D. defensa en profundidad 5. Un usuario puede acceder a la aplicación de nómina para ver un cheque de pago, pero no puede modificarlo. Este ejemplo describe qué principio? A. separación de funciones B. auditabilidad C. privilegio mínimo D. defensa en profundidad 6. ¿Cuál es el protocolo común para acceder a un directorio? A. DAP B. LDAP C. Bofetada D. SLDAP © 2021 Palo Alto Networks, Inc. 275 Página 276 2.19 Describir la gestión de la configuración 3. ¿Qué proceso forma parte de la gestión de la configuración? A. gestión de identidad y acceso B. auditoría C. gestión de parches D. escaneo en busca de vulnerabilidades 4. ¿Cuál es el término colectivo para las versiones de software, la configuración del sistema operativo y el archivo de configuración? ¿ajustes? A. elementos de configuración B. valores configurables C. configuración de la computadora D. la configuración 2.20 Identificar las funciones y capacidades del firewall de próxima generación 1. ¿Content-ID opera en qué capa del modelo ISO? A.7, capa de aplicación B.6, capa de presentación C. 5, capa de sesión D.4, capa de transporte 2. ¿Qué característica del NGFW se requiere para implementar RBAC? A. ID de aplicación B. Identificación de contenido C. ID de usuario D. GlobalProtect 3. ¿Qué característica del NGFW puede distinguir entre leer Facebook y comentar? A. ID de aplicación B. Identificación de contenido C. ID de usuario D. Global Protect 4. ¿Qué característica del NGFW distingue entre descargar un programa legítimo y descarga de malware? A. ID de aplicación B. Identificación de contenido C. ID de usuario D. GlobalProtect 2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW https://translate.googleusercontent.com/translate_f 223/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS 1. ¿Qué suscripción central de NGFW le diría a su firewall que un intento de resolver adfewqrtgfhghyj.uykfhzvsdfgpoiyte.evil.com es probablemente un ataque? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 2. ¿Qué suscripción principal de NGFW permite que su firewall bloquee malware conocido? A. Seguridad DNS B. Filtrado de URL © 2021 Palo Alto Networks, Inc. 276 Página 277 C. Prevención de amenazas D. WildFire 3. ¿Qué suscripción principal de NGFW permite que su firewall identifique el malware de día cero? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 4. ¿Qué suscripción principal de NGFW permite que su firewall bloquee a los usuarios cuando intentan enviar sus credenciales a un sitio de phishing? A. Seguridad DNS B. Filtrado de URL C. Prevención de amenazas D. WildFire 2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama). 1. Una organización internacional tiene más de 100 firewalls en 50 ubicaciones. Cual El modo de implementación de Panorama ¿instalaría la organización en varias ubicaciones (más allá de la necesidad de recuperación ante desastres )? A. Panorama B. solo gestión C. recolector de troncos D. gestión de amenazas 2. ¿Qué objeto Panorama se utiliza para administrar la configuración de red? Una plantilla B. grupo de dispositivos C. sistema virtual D. Perfil de descifrado 3. ¿Qué objeto Panorama se utiliza para gestionar la política de seguridad? Una plantilla B. grupo de dispositivos C. sistema virtual D. Perfil de descifrado Dominio del examen 3: tecnologías en la nube 3.1 Definir los modelos de implementación y servicio en la nube del NIST 1. ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor en una nube? infraestructura y el consumidor no gestiona ni controla el subyacente ¿infraestructura? A. plataforma como servicio (PaaS) B. infraestructura como servicio (IaaS) C. software como servicio (SaaS) D. nube pública 2. ¿Qué modelo de servicio en la nube del NIST no requiere que la organización del cliente haga nada? ¿programación? A. IaaS © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 277 224/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 278 B. PaaS C. FaaS D. SaaS 3. ¿Qué modelo de servicio en la nube del NIST requiere que el cliente mantenga el sistema operativo en funcionamiento? ¿hasta la fecha? A. IaaS B. PaaS C. FaaS D. SaaS 4. ¿Qué modelo de servicio en la nube NIST limita su elección de entornos de tiempo de ejecución en los que ¿Se puede escribir la solicitud? A. IaaS B. PaaS C. FaaS D. SaaS 5. ¿Qué modelo de implementación de nube de NIST recomendaría para una startup que no ¿Tiene mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7? Un público B. privado C. comunidad D. híbrido 6. Una empresa de noticias puede atender todas las solicitudes de su centro de datos el 95% del tiempo. Sin embargo, algunos días hay una gran demanda de actualizaciones de noticias. ¿Qué modelo de implementación de NIST es recomendado para la empresa? Un público B. privado C. comunidad D. híbrido 3. 2 Reconocer y enumerar los desafíos de seguridad en la nube 1. Usted es responsable de la seguridad de la aplicación, el tiempo de ejecución y el funcionamiento de la VM. sistema. ¿Qué modelo de implementación en la nube está utilizando? A. SaaS B. FaaS C. PaaS D. IaaS 2. ¿Qué componente se puede compartir con otros inquilinos de la nube incluso cuando se usa IaaS? A. aplicación B. tiempo de ejecución C. máquina virtual (invitado) D. máquina física (host) 3. Dos empresas utilizan Gmail para su correo electrónico (SaaS). ¿Qué dos componentes pueden ser compartido de forma transparente entre ellos? (Escoge dos.) A. libreta de direcciones B. código de aplicación C. mensajes D. base de datos de mensajes E. identidades de usuario © 2021 Palo Alto Networks, Inc. 278 Página 279 4. ¿Qué modelo de servicio en la nube le permite instalar un firewall para proteger su información? A. SaaS B. PaaS C. FaaS D. IaaS 3.3 Definir el propósito de la virtualización en la computación en nube 1. ¿Qué opción es un hipervisor de tipo 2? A. alojado https://translate.googleusercontent.com/translate_f 225/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. nativo C. de metal desnudo D. importado 2. ¿Qué proveedor de nube llama a su servicio IaaS Elastic Computing Service (ECS)? A. Alibaba B. AWS C. Azur D. GCP 3. ¿Cuál de los siguientes problemas de seguridad puede causar una vulnerabilidad parcheada durante mucho tiempo ¿volver a emerger? A. Expansión de VM B. comunicaciones intra-vm C. vulnerabilidades del hipervisor D. máquinas virtuales inactivas 3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones 1. ¿Qué modelo de uso de la nube ejecuta solo un contenedor por máquina virtual? A. sin servidor B. contenedores como servicio (CaaS) C. contenedores estibadores estándar D. Contenedores integrados en VM 2. ¿Qué modelo de uso de la nube le permite utilizar contenedores sin tener que administrar capas de virtualización y hardware subyacentes, pero aún le permite acceder a las capas subyacentes virtualización si es necesario? A. sin servidor B. contenedores como servicio (CaaS) C. contenedores estibadores estándar D. Contenedores integrados en VM 3. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 1 hipervisores. ¿Cuántas instancias de SO estás ejecutando? A. 2 B. 5 C. 7 D. 17 4. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 2 hipervisores. ¿Cuántas instancias de SO estás ejecutando? A. 2 B. 5 C. 7 © 2021 Palo Alto Networks, Inc. 279 Página 280 D. 17 3.5 Discutir el propósito de la computación sin servidor 1. ¿Qué modelo de uso de la nube restringe su elección de un entorno de ejecución al entornos compatibles con el proveedor de la nube? A. sin servidor B. contenedores a pedido C. contenedores como servicio (CaaS) D. contenedores estibadores estándar 2. ¿Qué tres atributos son ventajas de la informática sin servidor, en comparación con CaaS? (Elige tres.) A. costos reducidos B. mayor control sobre la carga de trabajo C. mayor capacidad para monitorear e identificar problemas D. mayor agilidad E. gastos generales operativos reducidos 3.6 Compare las diferencias entre DevOps y DevSecOps 1. ¿Qué procesos continuos reemplazan las verificaciones manuales con pruebas de código automatizadas y ¿despliegue? A. integración B. desarrollo https://translate.googleusercontent.com/translate_f 226/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS C. entrega D. despliegue 2. ¿Cuáles son los dos significados de la canalización de CI / CD? (Escoge dos.) A. integración continua / entrega continua B. implementación continua / entrega continua C. integración continua / despliegue continuo D. implementación continua / despliegue continuo 3. ¿Qué paso de la canalización de CI / CD no se puede automatizar? A. Codificación B. Integración C. Pruebas D. Seguimiento 4. ¿Qué paso de la canalización de CI / CD es el lugar ideal para las pruebas de penetración automatizadas? A. Codificación B. Integración C. Pruebas D. Despliegue 3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS 1. ¿Cuál es el significado de una aplicación SaaS que se anuncia como compatible con HIPPA? R. Independientemente de cómo configure la aplicación para su empresa, será Cumple con HIPPA. B. Si su administrador configura la configuración de seguridad en la aplicación correctamente, usted cumplirá con HIPPA. © 2021 Palo Alto Networks, Inc. 280 Página 281 C.Si su administrador y sus usuarios usan la aplicación correctamente, será HIPPA obediente. D. Si su administrador y sus usuarios utilizan la aplicación correctamente, el La aplicación no causará que usted no cumpla con HIPPA. 2. ¿Qué sistemas debe proteger para garantizar el cumplimiento de los estándares de seguridad? A. los servidores en el centro de datos B. los dispositivos propiedad de la empresa, ya sean servidores en el centro de datos, vms en la nube que administra o dispositivos de punto final de usuario C. cualquier sistema donde vayan los datos de los que eres responsable D. todo dispositivo que sea propiedad de la empresa o que lo utilicen empleados de la empresa 3. ¿En qué área se requiere el cumplimiento de GDPR para hacer negocios? A. Estados Unidos de América B. Canadá C. China D. Unión Europea 3.8 Ilustre las debilidades de las soluciones de seguridad de datos tradicionales 1. ¿Cómo clasificaría un firewall de filtro de puerto el acceso a la URL? https://example.com:22/this/page? A. HTTP B. HTTPS C. Telnet D. SSH 3.9 Comparar la protección del tráfico este-oeste y norte-sur 1. ¿El tráfico intra-VM también se conoce como qué tipo de tráfico? A. norte-sur B. desconocido C. este-oeste D. no confiable 2. ¿Cuál es el término para el tráfico entre un sitio web y una base de datos local que almacena información? ¿para ello? A. norte-sur B. este-oeste C. desconocido https://translate.googleusercontent.com/translate_f 227/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS D. nube 3. ¿Cuál es el término para el tráfico entre un sitio web y el navegador de un usuario remoto? A. norte-sur B. este-oeste C. desconocido D. nube 4. ¿Qué tipo de tráfico puede permanecer contenido en un solo servidor físico? A. norte-sur B. este-oeste C. desconocido D. confiable 5. ¿Qué tipo de tráfico se puede asegurar mediante un dispositivo físico? © 2021 Palo Alto Networks, Inc. 281 Página 282 A. norte-sur B. este-oeste C. desconocido D. nube 6. ¿Qué etapa de un ataque suele ser el tráfico de este a oeste? A. reconocimiento B. armamento C. propagación lateral D. acciones sobre el objetivo 3.11 Enumere los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud] 1. ¿Qué acción es parte del pilar de seguridad informática? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 2. ¿Qué acción forma parte del pilar de cumplimiento y gobernanza de la nube informática? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 3. ¿Qué acción forma parte del pilar de seguridad de la identidad? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 4. ¿Qué acción forma parte del pilar de seguridad de la red? A. análisis de comportamiento de usuarios y entidades (UEBA) B. Microsegmentación basada en microservicios C. integración con el flujo de trabajo de CI / CD D. inventario de activos automatizado 3.12 Ilustre la arquitectura SASE de Prisma Access 1. ¿Qué significa SASE? A. Seguridad de acceso al servicio B. Entorno sensible semi-accesible C. Secretos accesibles en un entorno seguro D. Servicio de acceso seguro Edge 2. ¿Qué dos tipos de servicios ofrece SASE? (Elige tres.) A. Almacenamiento B. seguridad C. trabajo en red D. calcular 3. ¿Cuáles son las dos ventajas de SASE? (Escoge dos.) A. un único punto físico de entrada a la organización B. un único punto lógico de entrada a la organización C. un único punto físico de salida fuera de la organización D. un único punto lógico de salida de la organización © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 282 228/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Página 283 3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas 1. Falso. Prisma SaaS se utiliza para proteger el uso autorizado de SaaS, como parte de un solución de seguridad que incluye firewalls de próxima generación para evitar SaaS no autorizado usar. Prisma SaaS se comunica directamente con las propias aplicaciones SaaS y por lo tanto, no necesita implementarse en línea y no requiere ningún agente de software, proxies, hardware adicional o cambios en la configuración de la red. 2. Verdadero. Prisma SaaS protege los datos en archivos alojados y entradas de aplicaciones. 3. ¿Quién es responsable del software de una aplicación SaaS autorizada? A. proveedor B. Departamento de TI C. línea de negocio que lo utiliza D. usuarios 4. ¿Quién es responsable de la configuración de seguridad de una aplicación SaaS autorizada? A. proveedor B. Departamento de TI C. línea de negocio que lo utiliza D. usuarios Dominio del examen 4: elementos de las operaciones de seguridad 4.1 Enumere los seis elementos esenciales de las operaciones de seguridad eficaces 1. ¿Qué función SecOp es proactiva? A. Identificar B. Investigar C. Mitigar D. Mejorar 2. ¿Qué función de SecOp requiere procesar grandes cantidades de información y, por lo general, es automatizado? A. Identificar B. Investigar C. Mitigar D. Mejorar 3. ¿Qué tres opciones comprenden parcialmente los seis elementos de SecOps? (Elige tres.) Una personas B. Redes C. Almacenamiento de datos D. Tecnología E. Procesos 4. ¿Qué tres opciones comprenden parcialmente los seis elementos de SecOps? (Elige tres.) A. Visibilidad B. Recuperación de desastres C. Negocios D. Interfaces E. Auditorías periódicas 4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR © 2021 Palo Alto Networks, Inc. 283 Página 284 1. ¿Qué significa SOAR? A. Automatización de operaciones de seguridad para la reacción B. Operaciones e investigación seguras C. Operaciones, análisis e investigación de seguridad D. Orquestación, automatización y respuesta de seguridad 2. ¿Cuál es la relación entre SIEM y SOAR? https://translate.googleusercontent.com/translate_f 229/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS A. productos implementan el proceso SOAR. de producto. B. Los SIEM y SOARSIEM son nombres diferentes para lacomercial misma categoría C.Los sistemas SIEM recopilan información para identificar problemas a los que ayudan los productos SOAR mitigar. D. Los sistemas SOAR recopilan información para identificar problemas a los que ayudan los productos SIEM mitigar. 3. ¿Cuál es la ventaja de las respuestas automáticas sobre las respuestas manuales? Una velocidad B. precisión C. flexibilidad D. facilidad de uso 4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad. 1. ¿Qué entorno le permite instalar un dispositivo que ve todo el tráfico? A. LAN cuando la gente trabaja desde casa B. Centro de datos no virtualizado C. centro de datos virtualizado D. Red de VPC 2. Una herramienta de análisis generó una alerta, pero el analista de seguridad que la investigó la descubrió. no fue un problema. ¿Qué tipo de hallazgo es este? A. falso positivo B. verdadero positivo C. falso negativo D. verdadero negativo 3. El aprendizaje automático de una herramienta de análisis identificó, correctamente, que la red está infectada por un gusano. ¿Qué tipo de hallazgo es este? A. falso positivo B. verdadero positivo C. falso negativo D. verdadero negativo 4.4 Describir las características de la tecnología de protección de terminales Cortex XDR 1. Verdadero. La clave de Cortex XDR es bloquear las técnicas centrales de exploits y malware, no ataques individuales. 2. ¿Qué dos ventajas tiene la tecnología de protección de puntos finales sobre el tráfico de red? ¿análisis? (Escoge dos.) A. capacidad para identificar los ataques más comunes por sus síntomas B. desplegado y gestionado de forma centralizada C. más fácil de implementar la protección de endpoints cuando la gente trabaja desde casa D. detecta canales de mando y control E. puede identificar fácilmente los gusanos 3. ¿Cuál es el orden en el que el endpoint comprueba si un nuevo programa es seguro? © 2021 Palo Alto Networks, Inc. 284 Página 285 A. protección contra amenazas de comportamiento, luego análisis local, luego consulta WildFire B. análisis local, luego protección contra amenazas de comportamiento, luego consulta WildFire C. Consulta de WildFire, luego análisis local, luego protección contra amenazas de comportamiento D. análisis local, luego consulta WildFire, luego protección contra amenazas de comportamiento 4. De las comprobaciones de endpoints, ¿qué se omite para los programas conocidos? A. Consulta de WildFire B. protección contra amenazas de comportamiento C. análisis local D. Análisis de cortafuegos 5. ¿Qué tres sistemas operativos son compatibles con Cortex XDR? (seleccione tres) A. z / OS B. Linux C. macOS D. Minix E. Android 4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora el SOC visibilidad 1. ¿Qué utiliza Cortex XSOAR para automatizar los procesos de seguridad? A. scripts de bash https://translate.googleusercontent.com/translate_f 230/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS B. Windows PowerShell C. libros de jugadas D. Scripts de Python © 2021 Palo Alto Networks, Inc. 285 Página 286 Apéndice B: Glosario Protocolo de resolución de direcciones (ARP): un protocolo que traduce una dirección lógica, como una IP dirección, a una dirección MAC física. RARP traduce una dirección MAC física a una lógica habla a. Consulte también dirección IP , dirección de control de acceso a medios (MAC) y dirección inversa Protocolo de resolución (RARP) . Estándar de cifrado avanzado (AES): un cifrado de bloque simétrico basado en Rijndael cifrar. AES: consulte Estándar de cifrado avanzado (AES). AI: ver inteligencia artificial (AI). Código estándar americano para el intercambio de información (ASCII): codificación de caracteres esquema basado en el alfabeto inglés, que consta de 128 caracteres. Android Packet Kit (APK): una aplicación creada para el sistema operativo móvil Android. API: consulte la interfaz de programación de aplicaciones (API). APK: consulte el kit de paquetes de Android (APK). APLICACIÓN: Consulte los Principios de privacidad australianos (APLICACIÓN). interfaz de programación de aplicaciones (API): un conjunto de rutinas, protocolos y herramientas para la construcción aplicaciones e integraciones de software. AR: Ver realidad aumentada (AR). ARP: consulte Protocolo de resolución de direcciones (ARP). inteligencia artificial (IA): la capacidad de un sistema o aplicación para interactuar y aprender de su entorno, y realizar acciones automticamente en consecuencia, sin requerir explcitacin programación. AS: Ver sistema autónomo (AS). ASCII: consulte el Código estándar americano para el intercambio de información (ASCII). vector de ataque: ruta o herramienta que utiliza un atacante para atacar una red. También conocido como amenaza vector. realidad aumentada (AR): la realidad aumentada mejora un entorno del mundo real con objetos. https://translate.googleusercontent.com/translate_f 231/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Principios de privacidad australianos (APP): La Ley de privacidad de 1988 establece estándares para recopilar y manejar información personal, denominados Principios de privacidad australianos (APLICACIÓN). Servidor DNS autorizado: El sistema de registro de un dominio determinado. Ver también Nombre de dominio Sistema (DNS) . sistema autónomo (AS): un grupo de rangos de direcciones IP contiguos bajo el control de un solo entidad de internet. A los sistemas autónomos individuales se les asigna un número AS (ASN) de 16 o 32 bits que identifica de forma única la red en Internet. Los ASN son asignados por Internet Assigned Autoridad de Números (IANA). Consulte también Dirección de protocolo de Internet (IP) y Asignación de Internet. Autoridad de Números (IANA) . Hipervisor nativo : consulte hipervisor nativo . BES: Ver sistema eléctrico a granel (BES) . blockchain: una estructura de datos que contiene registros transaccionales (almacenados como bloques) que asegura seguridad y transparencia a través de una vasta red descentralizada peer-to-peer sin un solo © 2021 Palo Alto Networks, Inc. 286 Página 287 autoridad de control. La criptomoneda es un instrumento financiero basado en Internet que utiliza tecnología blockchain. Consulte también criptomoneda . Booleano: sistema de notación algebraica que se utiliza para representar proposiciones lógicas. sector de arranque: contiene el código de la máquina que se carga en la memoria de un punto final por firmware durante el proceso de inicio, antes de que se cargue el sistema operativo. virus del sector de arranque: se dirige al sector de arranque o al registro de arranque maestro (MBR) del almacenamiento de un punto final unidad u otro medio de almacenamiento extraíble. Consulte también sector de arranque y registro de arranque maestro (MBR) . bot: puntos finales individuales que están infectados con malware avanzado que permite a un atacante tomar el control del punto final comprometido. También conocido como zombi. Véase también botnet y malware . botnet: una red de bots (a menudo decenas de miles o más) que trabajan juntos bajo el control de los atacantes que utilizan numerosos servidores de comando y control (C2). Consulte también bot . puente: un dispositivo de red alámbrico o inalámbrico que extiende una red o se une a una red separada segmentos. traiga su propio acceso (BYOA): una política de acceso remoto en la que los usuarios remotos pueden conectarse a la red corporativa usando un servicio inalámbrico personal (por ejemplo, servicio celular para un teléfono inteligente personal) de un operador de red inalámbrica. traiga su propio dispositivo (BYOD): una tendencia política en la que las organizaciones permiten que los usuarios finales utilicen sus propios dispositivos personales, principalmente teléfonos inteligentes y tabletas, para fines relacionados con el trabajo. BYOD alivia a las organizaciones del costo de proporcionar equipos a los empleados, pero crea un desafío de gestión debido a la gran cantidad y tipo de dispositivos que deben ser compatibles. cable de banda ancha: un tipo de acceso a Internet de alta velocidad que ofrece diferentes descargar velocidades de datos a través de un medio de red compartido. La velocidad general varía según el carga de tráfico de red de todos los suscriptores en el segmento de red. dominio de difusión: la parte de una red que recibe paquetes de difusión enviados desde un nodo en el dominio. sistema eléctrico a granel (BES): El gran sistema eléctrico interconectado, que consta de generación e instalaciones de transmisión (entre otras), que comprende la “red eléctrica”. topología de bus: una topología de LAN en la que todos los nodos están conectados a un solo cable (el backbone) que termina en ambos extremos. En el pasado, las redes de bus se usaban comúnmente para redes muy pequeñas porque eran económicas y relativamente fáciles de instalar, pero hoy en día las topologías rara vez se utilizan. El medio del cable tiene limitaciones físicas (la longitud del cable), la La red troncal es un único punto de falla (una ruptura en cualquier parte de la red afecta a toda la red). red), y el rastreo de una falla en una red grande puede ser extremadamente difícil. Ver también área local red (LAN) . BYOA: vea traer su propio acceso (BYOA). BYOD: consulte traer su propio dispositivo (BYOD). Ley de Privacidad del Consumidor de California (CCPA): un estatuto de protección del consumidor y derechos de privacidad para los residentes de California que se promulgó en 2018 y entró en vigencia el 1 de enero de 2020. CASB: consulte Agente de seguridad de acceso a la nube (CASB). CCPA: consulte la Ley de privacidad del consumidor de California (CCPA). CD: Ver entrega continua (CD). CDN: consulte la red de entrega de contenido (CDN). https://translate.googleusercontent.com/translate_f 232/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS proceso hijo: en los sistemas operativos multitarea, un subproceso creado por un proceso padre que es © 2021 Palo Alto Networks, Inc. 287 Página 288 actualmente en ejecución en el sistema. CI: Ver integración continua (CI). CIDR: consulte el enrutamiento entre dominios sin clases (CIDR) . CIP: consulte Protección de infraestructura crítica (CIP) . red de conmutación de circuitos: una red en la que se establece una ruta de circuito físico dedicada, mantenido y terminado entre el remitente y el receptor a través de una red para cada Sesión de comunicaciones. Enrutamiento entre dominios sin clases (CIDR): método para asignar direcciones IP y enrutamiento IP que reemplaza el direccionamiento IP con clase (por ejemplo, redes de Clase A, B y C) con IP sin clase direccionamiento. Consulte también la dirección de Protocolo de Internet (IP) . agente de seguridad de acceso a la nube (CASB): software que supervisa la actividad y refuerza la seguridad políticas sobre el tráfico entre los usuarios de una organización y las aplicaciones y servicios basados en la nube. dominio de colisión: un segmento de red en el que los paquetes de datos pueden colisionar entre sí durante transmisión. Consumerización: Una tendencia informática que describe el proceso que ocurre como usuarios finales. encontrar cada vez más tecnología personal y aplicaciones que son más potentes o capaces, más convenientes, menos costosas, más rápidas de instalar y más fáciles de usar que las soluciones de TI empresariales. contenedor: paquete de código de software ligero, ejecutable y estandarizado que contiene los componentes necesarios para ejecutar una determinada aplicación (o aplicaciones), incluido el código, el tiempo de ejecución, herramientas y bibliotecas del sistema, y ajustes de configuración, en un entorno aislado y virtualizado para permitir la agilidad y portabilidad de las cargas de trabajo de la aplicación. red de entrega de contenido (CDN): una red de servidores distribuidos que distribuye en caché páginas web y otro contenido estático a un usuario desde una ubicación geográfica más cercana físicamente al usuario. implementación continua: una canalización de CI automatizada que requiere que el código pase realizar pruebas antes de que se implemente automáticamente, lo que brinda a los clientes acceso instantáneo a nuevas funciones. Ver también integración continua (CI) . Integración continua (CI): un proceso de desarrollo que requiere que los desarrolladores integren código en un repositorio varias veces al día para realizar pruebas automatizadas. Cada check-in es verificado por un compilación automatizada, lo que permite a los equipos detectar problemas con anticipación. Entrega continua (CD): una canalización de CI automatizada que requiere que el código pase controles técnicos manuales antes de que se implemente en producción. Ver también continuo integración (CI) . convergencia: el tiempo necesario para que todos los enrutadores de una red actualicen sus tablas de enrutamiento con la información de enrutamiento más actualizada sobre la red. entidad cubierta: definida por HIPAA como un proveedor de atención médica que transmite PHI electrónicamente (como médicos, clínicas, psicólogos, dentistas, quiroprácticos, hogares de ancianos y farmacias), un plan de salud (como una compañía de seguros de salud, una organización de mantenimiento de la salud, una empresa plan de salud o programa gubernamental que incluye Medicare, Medicaid, militares y veteranos asistencia sanitaria) o una cámara de compensación sanitaria. Consulte también Portabilidad del seguro médico y Ley de Responsabilidad (HIPAA) e información médica protegida (PHI) . CRC: Ver comprobación de redundancia cíclica (CRC). Protección de infraestructura crítica (CIP): estándares de ciberseguridad definidos por NERC para proteger los activos físicos y cibernéticos necesarios para operar el sistema eléctrico a granel (BES). Ver también a granel © 2021 Palo Alto Networks, Inc. 288 Página 289 sistema eléctrico (BES) y North American Electric Reliability Corporation (NERC) . criptomoneda: una forma de moneda digital, como Bitcoin, que utiliza cifrado para controlar la creación de moneda y verificación de la transferencia de fondos independientemente de un banco central o autoridad. https://translate.googleusercontent.com/translate_f 233/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Ley de mejora de la ciberseguridad de 2014: una regulación de EE. UU. Que proporciona un Asociación público-privada voluntaria para mejorar la ciberseguridad y fortalecer la ciberseguridad investigación y desarrollo, desarrollo y educación de la fuerza laboral, y conciencia pública y preparación. Ley de intercambio de información sobre ciberseguridad (CISA): una regulación de EE. UU. Que mejora la información compartir acerca de las amenazas a la seguridad cibernética al permitir que la información del tráfico de Internet se comparta entre el gobierno de los Estados Unidos y las empresas de tecnología y fabricación. Comprobación de redundancia cíclica (CRC): suma de comprobación que se utiliza para crear un perfil de mensaje. El CRC es recalculado por el dispositivo receptor. Si el CRC recalculado no coincide con el CRC recibido, el paquete se descarta y una solicitud para reenviar el paquete se transmite de vuelta al dispositivo que envió el paquete. DAAS: datos, activos, aplicaciones y servicios. encapsulación de datos: proceso en el que la información de protocolo de la capa OSI o TCP / IP inmediatamente arriba está envuelto en la sección de datos de la capa OSI o TCP / IP inmediatamente debajo. También conocido como ocultación de datos. Consulte también el modelo de interconexión de sistemas abiertos (OSI) y Modelo de Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) . ocultación de datos: ver encapsulación de datos. minería de datos: permite descubrir patrones en grandes conjuntos de datos mediante el aprendizaje automático, análisis estadístico y tecnologías de bases de datos. Consulte también aprendizaje automático . DDOS: consulte denegación de servicio distribuida (DDOS). puerta de enlace predeterminada: un dispositivo de red, como un enrutador o conmutador, al que un punto final envía tráfico de red cuando una aplicación o una aplicación no especifica una dirección IP de destino específica servicio, o cuando el punto final no sabe cómo llegar a un destino específico. Ver también enrutador y conmutador . DevOps: la cultura y la práctica de la colaboración mejorada entre el desarrollo de aplicaciones y equipos de operaciones de TI. DGA: consulte el algoritmo de generación de dominios (DGA). DHCP: consulte Protocolo de configuración dinámica de host (DHCP). línea de suscriptor digital (DSL): un tipo de acceso a Internet de alta velocidad que ofrece diferentes velocidades de carga y descarga de datos. La velocidad general depende de la distancia desde la casa o ubicación comercial a la oficina central del proveedor (CO). denegación de servicio distribuida (DDOS): un tipo de ciberataque en el que volúmenes extremadamente altos del tráfico de red, como paquetes, datos o transacciones, se envían a la red de la víctima objetivo para hacer su red y sistemas (como un sitio web de comercio electrónico u otra aplicación web) no disponible o inutilizable. DLL: consulte la biblioteca de vínculos dinámicos (DLL). DNS: consulte Sistema de nombres de dominio (DNS). DNS sobre HTTPS (DoH): tráfico DNS cifrado mediante el protocolo HTTPS. Ver también Sistema de nombres de dominio (DNS) y Protocolo seguro de transferencia de hipertexto (HTTPS) . DoH: consulte DNS sobre HTTPS (DOH) . algoritmo de generación de dominio (DGA): programa diseñado para generar nombres de dominio en © 2021 Palo Alto Networks, Inc. 289 Página 290 una moda particular. Los atacantes desarrollaron DGA para que el malware pueda generar rápidamente una lista de dominios que puede utilizar para mando y control (C2). registrador de nombres de dominio: una organización que está acreditada por un registro de TLD para administrar el dominio registros de nombres. Consulte también dominio de nivel superior (TLD) . Sistema de nombres de dominio (DNS): una base de datos distribuida jerárquica que asigna el FQDN para computadoras, servicios o cualquier recurso conectado a Internet o una red privada a una IP habla a. Consulte también el nombre de dominio completo (FQDN) . Descarga automática: una descarga de software, generalmente software malicioso, que se realiza sin que el usuario conocimiento o permiso. DSL: Ver línea de abonado digital (DSL). Protocolo de configuración dinámica de host (DHCP): un protocolo de administración de red que asigna dinámicamente (arrendamiento) direcciones IP y otros parámetros de configuración de red (como puerta de enlace predeterminada e información de DNS) a los dispositivos de una red. Consulte también puerta de enlace predeterminada y Sistema de nombres de dominio (DNS) . biblioteca de vínculos dinámicos (DLL): un tipo de archivo utilizado en los sistemas operativos de Microsoft que permite múltiples programas para compartir simultáneamente instrucciones de programación contenidas en un solo archivo para https://translate.googleusercontent.com/translate_f 234/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS realizar funciones específicas. EAP: consulte Protocolo de autenticación extensible (EAP) . EAP-TLS: consulte Seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS) . EBCDIC: consulte Código de intercambio decimal codificado en binario extendido (EBCDIC). EHR: consulte la historia clínica electrónica (EHR) . historia clínica electrónica (EHR): según la definición de HealthIT.gov, una EHR “va más allá de los datos recopilados en el consultorio del proveedor e incluyen un historial más completo del paciente. Datos de HCE puede ser creado, administrado y consultado por proveedores autorizados y personal de más de una organización sanitaria ". historia clínica electrónica (EMR): según la definición de HealthIT.gov, una EMR "contiene el estándar datos médicos y clínicos recopilados en el consultorio de un proveedor ". EMR: consulte la historia clínica electrónica (EMR) . punto final: un dispositivo informático, como una computadora de escritorio o portátil, un escáner de mano, IoT dispositivo o sensor (como un vehículo autónomo, un dispositivo inteligente, un medidor inteligente, un televisor inteligente o dispositivo portátil), terminal de punto de venta (POS), impresora, radio satelital, seguridad o cámara de videoconferencia, quiosco de autoservicio, teléfono inteligente, tableta o teléfono VoIP. A pesar de que Los puntos finales pueden incluir servidores y equipos de red, el término se utiliza generalmente para describir dispositivos de usuario. Consulte también Internet de las cosas (IoT) y Voice over Internet Protocol (VoIP) . Enterprise 2.0: término introducido por Andrew McAfee y definido como "el uso de plataformas de software social dentro de las empresas, o entre empresas y sus socios o clientes." Consulte también Web 2.0 . exclusivo o (XOR): un operador booleano en el que la salida es verdadera solo cuando las entradas son diferente (por ejemplo, VERDADERO y VERDADERO es igual a FALSO, pero VERDADERO y FALSO es igual a VERDADERO). Consulte también booleano . exploit: una pequeña pieza de código de software, parte de un archivo de datos con formato incorrecto o una secuencia (cadena) de comandos, que aprovecha una vulnerabilidad en un sistema o software, causando no intencional o Comportamiento no anticipado en el sistema o software. Código de intercambio decimal extendido codificado en binario (EBCDIC): una codificación de caracteres de 8 bits © 2021 Palo Alto Networks, Inc. 290 Página 291 esquema ampliamente utilizado en computadoras centrales y de rango medio. Realidad extendida (XR): cubre ampliamente el espectro desde la realidad física a la virtual con varios grados de experiencias sensoriales parciales a totalmente inmersivas. Protocolo de autenticación extensible (EAP): un marco de autenticación ampliamente utilizado que incluye alrededor de 40 métodos de autenticación diferentes. Seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS): Internet Estándar abierto de Engineering Task Force (IETF) que utiliza Transport Layer Security (TLS) Protocolo en redes Wi-Fi y conexiones PPP. Véase también Grupo de trabajo de ingeniería de Internet (IETF) , Protocolo punto a punto (PPP) y Seguridad de la capa de transporte (TLS) . Lenguaje de marcado extensible (XML): una especificación de lenguaje de programación que define un conjunto de reglas para codificar documentos en un formato legible por humanos y legible por máquina. FaaS: Ver función como servicio (FaaS). falso negativo: en anti-malware, malware que se identifica incorrectamente como un archivo legítimo o solicitud. En la detección de intrusos, una amenaza que se identifica incorrectamente como tráfico legítimo. Ver también falso positivo . falso positivo: en antimalware, un archivo o una aplicación legítimos que se identifica incorrectamente como malware. En la detección de intrusiones, tráfico legítimo que se identifica incorrectamente como una amenaza. Ver también falso negativo . favicon ("icono favorito"): un archivo pequeño que contiene uno o más iconos pequeños asociados con un sitio web o página web en particular. Ley de Notificación de Violación de Datos de Intercambio Federal de 2015: una regulación de EE. fortalece la HIPAA al exigir que los intercambios de seguros médicos notifiquen a las personas cuyas la información personal se ha visto comprometida como resultado de una violación de datos tan pronto como sea posible, pero a más tardar 60 días después del descubrimiento de la infracción. Consulte también Portabilidad del seguro médico y Ley de Responsabilidad (HIPAA) . Ley Federal de Administración de Seguridad de la Información (FISMA): consulte Seguridad Federal de la Información Ley de Modernización (FISMA) . Ley Federal de Modernización de la Seguridad de la Información (FISMA): una ley de EE. UU. Que implementa un https://translate.googleusercontent.com/translate_f 235/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Marco integral para proteger los sistemas de información utilizados en el gobierno federal de EE. UU. agencias. Conocida como la Ley Federal de Gestión de Seguridad de la Información antes de 2014. fibra óptica: tecnología que convierte las señales de datos eléctricos en luz y proporciona datos constantes velocidades en las direcciones de carga y descarga a través de un medio de cable de fibra óptica dedicado. Fibra La tecnología óptica es mucho más rápida y segura que otros tipos de tecnología de red. Protocolo de transferencia de archivos (FTP): programa que se utiliza para copiar archivos de un sistema a otro a través de un red. FISMA: consulte la Ley Federal de Modernización de la Seguridad de la Información (FISMA) . disquete: un medio de almacenamiento magnético extraíble comúnmente utilizado desde mediados de la década de 1970 hasta alrededor de 2007, cuando fue reemplazado en gran medida por dispositivos de almacenamiento USB extraíbles. control de flujo: una técnica utilizada para monitorear el flujo de datos entre dispositivos para asegurar que un dispositivo receptor, que puede no estar operando necesariamente a la misma velocidad que el transmisor dispositivo, no suelta paquetes. FQDN: consulte el nombre de dominio completo (FQDN) . FTP: consulte Protocolo de transferencia de archivos (FTP). nombre de dominio completo (FQDN): el nombre de dominio completo para una computadora específica, © 2021 Palo Alto Networks, Inc. 291 Página 292 servicio o recurso conectado a Internet o una red privada. función como servicio (FAAS): Un servicio de computación en la nube que proporciona una plataforma para clientes para desarrollar, ejecutar y administrar las funciones de sus aplicaciones sin tener que construir y mantener la infraestructura normalmente necesaria para desarrollar y lanzar una aplicación. GDPR: consulte el Reglamento general de protección de datos (GDPR) . Reglamento general de protección de datos (GDPR): un reglamento de la Unión Europea (UE) que se aplica a cualquier organización que haga negocios con residentes de la UE. Refuerza la protección de datos para la UE residentes y aborda la exportación de datos personales fuera de la UE. Encapsulación de enrutamiento genérico (GRE): un protocolo de tunelización desarrollado por Cisco Systems que puede encapsular varios protocolos de capa de red dentro de enlaces virtuales punto a punto. GIF: consulte Formato de intercambio de gráficos (GIF). GLBA: Ver Ley Gramm-Leach-Bliley (GLBA) . Ley Gramm-Leach-Bliley (GLBA): una ley de EE. UU. Que requiere que las instituciones financieras implementen políticas de privacidad y seguridad de la información para salvaguardar la información personal no pública de clientes y consumidores. Formato de intercambio de gráficos (GIF): un formato de imagen de mapa de bits que permite hasta 256 colores y es adecuado para imágenes o logotipos (pero no fotografías). GRE: consulte Encapsulación de enrutamiento genérico (GRE) . hacker: término utilizado originalmente para referirse a cualquier persona con habilidades informáticas altamente especializadas, sin connotar buenos o malos propósitos. Sin embargo, el mal uso común del término ha redefinido un hacker como alguien que elude la seguridad informática con intenciones maliciosas, como un ciberdelincuente, ciberterrorista o hacktivista. firma hash: una representación criptográfica de un archivo completo o del código fuente de un programa. Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA): una ley de EE. UU. Que define los datos requisitos de privacidad y seguridad para proteger los registros médicos de las personas y otros información de salud. Consulte también la entidad cubierta y la información médica protegida (PHI). heap spray: una técnica utilizada para facilitar la ejecución de código arbitrario inyectando un cierto secuencia de bytes en la memoria de un proceso de destino. hexteto: grupo de cuatro dígitos hexadecimales de 4 bits en una dirección IPv6 de 128 bits. Ver también Internet Dirección de protocolo (IP) . Bits de orden superior: los primeros cuatro bits de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP) dirección , octeto y bits de orden inferior . HIPAA: Consulte la Ley de responsabilidad y portabilidad de seguros médicos (HIPAA). recuento de saltos: la cantidad de nodos de enrutador por los que debe pasar un paquete para llegar a su destino. hipervisor alojado: un hipervisor que se ejecuta dentro de un entorno de sistema operativo. También conocido como hipervisor de tipo 2. Consulte también hipervisor e hipervisor nativo . HTTP: consulte Protocolo de transferencia de hipertexto (HTTP). HTTPS: consulte Protocolo seguro de transferencia de hipertexto (HTTPS). hub: un dispositivo que se utiliza para conectar varios dispositivos en red juntos en una red de área local (LAN). También conocido como concentrador. https://translate.googleusercontent.com/translate_f 236/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Protocolo de transferencia de hipertexto (HTTP): un protocolo de aplicación que se utiliza para transferir datos entre servidores web y navegadores web. Protocolo seguro de transferencia de hipertexto (HTTPS): una versión segura de HTTP que utiliza SSL o Cifrado TLS. Consulte también Secure Sockets Layer (SSL) y Transport Layer Security (TLS) . © 2021 Palo Alto Networks, Inc. 292 Página 293 hipervisor: tecnología que permite la ejecución de varios sistemas operativos virtuales (o invitados) simultáneamente en una sola computadora host física. IaaS: consulte Infraestructura como servicio (IaaS) . IaC: vea la infraestructura como código (IaC). IAM: consulte Gestión de identidades y accesos (IAM). IANA: Ver Autoridad de Números Asignados de Internet (IANA). ICMP: consulte Protocolo de mensajes de control de Internet (ICMP) . IDE: ver entorno de desarrollo integrado (IDE). Gestión de identidades y accesos (IAM): un marco de procesos, políticas y tecnologías que facilitan la gestión de identidades electrónicas o digitales. IETF: consulte Grupo de trabajo de ingeniería de Internet (IETF) . IMAP: consulte Protocolo de acceso a mensajes de Internet (IMAP). indicador de compromiso (IoC): un artefacto de red o sistema operativo (SO) que proporciona un alto nivel de confianza de que se ha producido un incidente de seguridad informática. infraestructura como servicio (IaaS). Un modelo de servicio de computación en la nube en el que los clientes pueden aprovisionar procesamiento, almacenamiento, redes y otros recursos informáticos e implementar y ejecutar sistemas operativos y aplicaciones. Sin embargo, el cliente no tiene conocimiento y no administrar o controlar la infraestructura de nube subyacente. El cliente tiene control sobre el funcionamiento sistemas, almacenamiento y aplicaciones implementadas, junto con algunos componentes de red (para ejemplo, cortafuegos de host). La empresa es propietaria de las aplicaciones y los datos implementados, y por lo tanto, responsable de la seguridad de esas aplicaciones y datos. Infraestructura como código (IaC): un proceso de DevOps en el que los desarrolladores o los equipos de operaciones de TI puede aprovisionar y administrar mediante programación la pila de infraestructura (como máquinas virtuales, redes y conectividad) para una aplicación en software. Consulte también DevOps . vector de inicialización (IV): un número aleatorio que se utiliza solo una vez en una sesión, junto con un clave de cifrado, para proteger la confidencialidad de los datos. También conocido como nonce. entorno de desarrollo integrado (IDE): una aplicación de software que proporciona herramientas integrales como un editor de código fuente, herramientas de automatización de compilación y un depurador para desarrolladores de aplicaciones. comunicación entre procesos (IPC): un mecanismo en un sistema operativo que lo hace posible coordinar actividades al mismo tiempo y gestionar datos compartidos entre diferentes programas Procesos. Autoridad de Números Asignados de Internet (IANA): una corporación estadounidense privada sin fines de lucro que supervisa la asignación de direcciones IP globales, la asignación de números del sistema autónomo (AS), la zona raíz gestión en el sistema de nombres de dominio (DNS), tipos de medios y otros protocolos de Internet símbolos relacionados y números de Internet. Ver también sistema autónomo (AS) y Nombre de dominio Sistema (DNS) . Protocolo de mensajes de control de Internet (ICMP): protocolo de Internet que se utiliza para transmitir mensajes. Grupo de trabajo de ingeniería de Internet (IETF): una comunidad internacional abierta de redes diseñadores, operadores, proveedores e investigadores preocupados por la evolución de Internet arquitectura y el buen funcionamiento de Internet. Protocolo de acceso a mensajes de Internet (IMAP): un protocolo de correo electrónico de almacenamiento y reenvío que permite cliente de correo electrónico para acceder, administrar y sincronizar el correo electrónico en un servidor remoto. © 2021 Palo Alto Networks, Inc. 293 Página 294 Internet de las cosas (IoT): IoT se refiere a la red de objetos físicos inteligentes conectados que https://translate.googleusercontent.com/translate_f 237/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS están integrados con electrónica, software, sensores y conectividad de red. Dirección de Protocolo de Internet (IP): un identificador de 32 bits o 128 bits asignado a un dispositivo en red para comunicaciones en la capa de red del modelo OSI o la capa de Internet del TCP / IP modelo. Consulte también el modelo de interconexión de sistemas abiertos (OSI) y control de transmisión Modelo de Protocolo / Protocolo de Internet (TCP / IP) . intranet: una red privada que proporciona información y recursos, como una empresa directorio, políticas y formularios de recursos humanos, archivos de departamento o equipo, y otros información a los usuarios de una organización. Al igual que Internet, una intranet utiliza HTTP y / o Protocolos HTTPS, pero el acceso a una intranet normalmente está restringido a los usuarios. Microsoft SharePoint es un ejemplo popular de software de intranet. Ver también hipertexto Protocolo de transferencia (HTTP) y Protocolo de transferencia de hipertexto seguro (HTTPS) . IoC: ver indicador de compromiso (IoC) . IoT: consulte Internet de las cosas (IoT) . Dirección IP: consulte Dirección de Protocolo de Internet (IP) . Telefonía IP: consulte Protocolo de voz sobre Internet (VoIP). IPC: consulte comunicación entre procesos (IPC). IV: Ver vector de inicialización (IV) . jailbreak: piratear un dispositivo Apple iOS para obtener acceso de nivel raíz al dispositivo. Este hackeo a veces lo hacen los usuarios finales para permitirles descargar e instalar aplicaciones móviles sin pagando por ellos, de fuentes, distintas a la App Store, que no estén sancionadas y / o controlado por Apple. El jailbreak evita las funciones de seguridad del dispositivo al reemplazar el el sistema operativo del firmware con una versión similar, aunque falsa, lo que hace que el dispositivo vulnerable a malware y exploits. Consulte también enraizamiento . Grupo conjunto de expertos en fotografía (JPEG): método de compresión fotográfica utilizado para almacenar y transmitir fotografías. JPEG: consulte Grupo conjunto de expertos en fotografía (JPEG). Kerberos: protocolo de autenticación en el que se utilizan tickets para identificar a los usuarios de la red. LAN: consulte red de área local (LAN). privilegio mínimo: un principio de seguridad de red en el que solo el permiso o los derechos de acceso necesarios para realizar una tarea autorizada. bit menos significativo: el último bit de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP) dirección , octeto y bit más significativo . topología de bus lineal: consulte la topología de bus. LLC: consulte Control de enlace lógico (LLC). red de área local (LAN): una red de computadoras que conecta computadoras portátiles y de escritorio, servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos, archivos y almacenamiento de archivos, y otros recursos en red se pueden compartir en un área geográfica relativamente pequeña, como un piso, un edificio o un grupo de edificios. Control de enlace lógico (LLC): una subcapa de la capa de enlace de datos del modelo OSI que gestiona la control, secuenciación y reconocimiento de tramas y gestiona el tiempo y el control de flujo. Ver también modelo de Interconexión de Sistemas Abiertos (OSI) y control de flujo . Evolución a largo plazo (LTE): un tipo de conexión celular 4G que proporciona conectividad rápida principalmente para uso de Internet móvil. © 2021 Palo Alto Networks, Inc. 294 Página 295 Bits de orden inferior: los últimos cuatro bits de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP) dirección , octeto y bits de orden superior . LTE: consulte Evolución a largo plazo (LTE). M2M: Ver máquina a máquina (M2M). Dirección MAC: consulte la dirección de control de acceso a medios (MAC). aprendizaje automático: un subconjunto de IA que aplica algoritmos a grandes conjuntos de datos para descubrir patrones en los datos que luego se pueden utilizar para mejorar el rendimiento del sistema. Ver también inteligencia artificial (IA) . máquina a máquina (M2M): los dispositivos M2M son dispositivos en red que intercambian datos y puede realizar acciones sin interacción humana manual. malware: software o código malicioso que normalmente daña, toma el control o recopila información de un endpoint infectado. El malware incluye, en general, virus, gusanos y troyanos. (incluidos los troyanos de acceso remoto o RAT), anti-AV, bombas lógicas, puertas traseras, kits de raíz, arranque https://translate.googleusercontent.com/translate_f 238/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS kits, software espía y (en menor medida) software publicitario. registro de arranque maestro (MBR): el primer sector en el disco duro de una computadora, que contiene información acerca de cómo se organizan las particiones lógicas (o sistemas de archivos) en los medios de almacenamiento, y una cargador de arranque ejecutable que inicia el sistema operativo instalado. MBR: consulte el registro de arranque maestro (MBR). MEC: consulte computación de borde de acceso múltiple (MEC). Dirección de control de acceso a medios (MAC): un identificador único de 48 o 64 bits asignado a un tarjeta de interfaz de red (NIC) para comunicaciones en la capa de enlace de datos del modelo OSI. Ver también modelo Open Systems Interconnection (OSI) . metamorfismo: una técnica de programación utilizada para alterar el código de malware con cada iteración, para Evite la detección por software anti-malware basado en firmas. Aunque la carga útil del malware cambia con cada iteración, por ejemplo, mediante el uso de una secuencia o estructura de código diferente, o insertar código basura para cambiar el tamaño del archivo, el comportamiento fundamental de la carga útil del malware permanece sin cambios. El metamorfismo utiliza técnicas más avanzadas que el polimorfismo. Ver también polimorfismo . MFA: consulte autenticación multifactor (MFA). Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP): un protocolo utilizado para autenticar estaciones de trabajo basadas en Microsoft Windows mediante un mecanismo de desafío-respuesta para autenticar conexiones PPTP sin enviar contraseñas. Consulte también Túneles punto a punto. Protocolo (PPTP) . realidad mixta (MR): incluye tecnologías como VR, AR y XR, que brindan una y experiencia sensorial física y digital interactiva en tiempo real. Ver también realidad aumentada (AR) , realidad extendida (XR) y realidad virtual (VR) . bit más significativo: el primer bit de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP) dirección , octeto y bit menos significativo . Motion Picture Experts Group (MPEG): método de compresión de audio y video que se utiliza para almacenar y transmitir archivos de audio y video. MPEG: consulte Grupo de expertos en imágenes en movimiento (MPEG). MPLS: Ver conmutación de etiquetas multiprotocolo (MPLS). MR: Ver realidad mixta (MR) . MS-CHAP: consulte el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP) . © 2021 Palo Alto Networks, Inc. 295 Página 296 Informática de borde de acceso múltiple (MEC): MEC está definido por la European Telecommunications Standards Institute (ETSI) como un entorno “caracterizado por una latencia ultrabaja y alta ancho de banda, así como acceso en tiempo real a la información de la red de radio que puede ser aprovechado por aplicaciones ”. multicloud: un entorno (o estrategia) de nube empresarial que consta de dos o más y / o nubes privadas. autenticación multifactor (MFA): cualquier mecanismo de autenticación que requiera dos o más de los siguientes factores: algo que sabes, algo que tienes, algo que eres. conmutación de etiquetas multiprotocolo (MPLS): MPLS es una tecnología de red que enruta el tráfico utilizando la ruta más corta basada en "etiquetas", en lugar de direcciones de red, para manejar el reenvío a través de redes privadas de área amplia. mutex: un objeto de programa que permite que varios subprocesos de programa compartan el mismo recurso, como como acceso a archivos, pero no simultáneamente. NAT: consulte traducción de direcciones de red (NAT). Ley Nacional de Promoción de la Protección de la Ciberseguridad de 2015: un reglamento de EE. UU. Que enmienda la Ley de Seguridad Nacional de 2002 para mejorar el intercambio multidireccional de información relacionada con la seguridad cibernética pone en riesgo y refuerza la protección de la privacidad y las libertades civiles. hipervisor nativo: un hipervisor que se ejecuta directamente en el hardware del equipo host. También conocido como hipervisor de tipo 1 o bare-metal. Consulte también hipervisor e hipervisor alojado . búsqueda de lenguaje natural: la capacidad de comprender el lenguaje hablado y el contexto humano, en lugar de que una búsqueda booleana, por ejemplo, para encontrar información. Consulte también booleano . NERC: consulte la Corporación de Confiabilidad Eléctrica de América del Norte (NERC) . traducción de direcciones de red (NAT): técnica utilizada para virtualizar direcciones IP mediante el mapeo direcciones IP privadas no enrutables asignadas a dispositivos de red internos a direcciones IP públicas. Directiva de seguridad de la red y la información (NIS): una directiva de la Unión Europea (UE) que https://translate.googleusercontent.com/translate_f 239/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS impone requisitos de seguridad de la red y de la información para bancos, empresas de energía, servicios de salud proveedores y proveedores de servicios digitales, entre otros. Directiva NIS: consulte la Directiva de seguridad de la información y las redes (NIS) . nonce: Ver vector de inicialización (IV). North American Electric Reliability Corporation (NERC): una organización internacional sin fines de lucro autoridad reguladora responsable de asegurar la confiabilidad del sistema eléctrico a granel (BES) en los Estados Unidos continentales, Canadá y la parte norte de Baja California, México. Ver también sistema eléctrico a granel (BES) y Protección de infraestructura crítica (CIP) . ofuscación: Una técnica de programación utilizada para hacer que el código sea ilegible. Se puede implementar utilizando un cifrado de sustitución simple, como una operación XOR, o un cifrado más sofisticado algoritmos, como AES. Consulte también Estándar de cifrado avanzado (AES) , exclusivo o (XOR) , y empaquetador . octeto: grupo de 8 bits en una dirección IPv4 de 32 bits. Consulte Dirección de Protocolo de Internet (IP) . función hash unidireccional: una función matemática que crea una representación única (un hash valor) de un conjunto más grande de datos de una manera que sea fácil de calcular en una dirección (entrada para salida), pero no en sentido inverso (salida a entrada). La función hash no puede recuperar el texto original del valor hash. Sin embargo, un atacante podría intentar adivinar lo que el original text era y ver si produce un valor hash coincidente. Modelo de interconexión de sistemas abiertos (OSI): un modelo de red de siete capas que consta de © 2021 Palo Alto Networks, Inc. 296 Página 297 la Aplicación (Capa 7 o L7), Presentación (Capa 6 o L6), Sesión (Capa 5 o L5), Transporte (Capa 4 o L4), Red (Capa 3 o L3), Enlace de datos (Capa 2 o L2) y Físico (Capa 1 o L1) capas. Define protocolos estándar para la comunicación y la interoperabilidad utilizando una capa enfoque en el que los datos se pasan de la capa más alta (aplicación) hacia abajo a través de cada capa a la capa más baja (física), luego se transmite a través de la red a su destino, luego pasó hacia arriba desde la capa más baja a la capa más alta. Consulte también encapsulación de datos . portadora óptica: una especificación estándar para el ancho de banda de transmisión de señales digitales en Redes de fibra óptica SONET. Las velocidades de transmisión de la portadora óptica están designadas por el número entero valor del múltiplo de la tasa base (51.84Mbps). Por ejemplo, OC-3 designa un 155.52Mbps (3 x 51,84) y OC-192 designa una red de 9953,28 Mbps (192 x 51,84). Ver también Redes ópticas síncronas (SONET) . Modelo OSI: consulte el modelo de interconexión de sistemas abiertos (OSI). PaaS: ver plataforma como servicio (PaaS) . empaquetador: una herramienta de software que se puede utilizar para ofuscar código comprimiendo un programa de malware para su entrega, luego descomprimiéndolo en la memoria en tiempo de ejecución. Véase también ofuscación . captura de paquetes (pcap): Intercepción de tráfico de paquetes de datos que se pueden utilizar para análisis. Red de conmutación de paquetes: una red en la que los dispositivos comparten ancho de banda en las comunicaciones. enlaces para transportar paquetes entre un remitente y un receptor a través de una red. PAP: consulte el Protocolo de autenticación de contraseña (PAP) . Protocolo de autenticación de contraseña (PAP): un protocolo de autenticación utilizado por PPP para validar usuarios con una contraseña no cifrada. Consulte también Protocolo punto a punto (PPP) . Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS): información patentada estándar de seguridad exigido y administrado por el PCI Security Standards Council (SSC), y aplicable a cualquier organización que transmita, procese o almacene tarjetas de pago (como tarjetas de débito) y tarjetas de crédito) información. Consulte también PCI Security Standards Council (SSC) . pcap: Ver captura de paquetes (pcap). PCI: consulte los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). PCI DSS: consulte los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). PCI Security Standards Council (SSC): un grupo que comprende Visa, MasterCard, American Express, Discover y JCB que mantiene, evoluciona y promueve PCI DSS. Ver también Pago Estándares de seguridad de datos de la industria de tarjetas (PCI DSS) . PDU: Ver unidad de datos de protocolo (PDU). Ley de Protección de la Información Personal y Documentos Electrónicos (PIPEDA): una ley de privacidad que define los derechos individuales con respecto a la privacidad de sus información, y gobierna cómo las organizaciones del sector privado recopilan, usan y divulgan información personal información en el curso del negocio. información de identificación personal (PII): definida por el Instituto Nacional de Estándares de EE. UU. y Tecnología (NIST) como "cualquier información sobre un individuo mantenida por una agencia, https://translate.googleusercontent.com/translate_f 240/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo ... y (2) cualquier otra información que esté vinculada o que pueda vincularse a un individuo ... " pharming: un tipo de ataque que redirige el tráfico de un sitio web legítimo a un sitio falso. PHI: consulte la información médica protegida (PHI). PII: consulte la información de identificación personal (PII). PIPEDA: Ver Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA). © 2021 Palo Alto Networks, Inc. 297 Página 298 PKI: consulte infraestructura de clave pública (PKI) . plataforma como servicio (PaaS): un modelo de servicio de computación en la nube en el que los clientes pueden implementar aplicaciones compatibles en la infraestructura de nube del proveedor, pero el cliente no tiene conoce y no gestiona ni controla la infraestructura de nube subyacente. El cliente tiene control sobre las aplicaciones implementadas y ajustes de configuración limitados para la aplicaciónentorno de alojamiento. La empresa es propietaria de las aplicaciones y los datos implementados y, por lo tanto, es responsable de la seguridad de esas aplicaciones y datos. Playbooks: flujos de trabajo gráficos basados en tareas que ayudan a visualizar los procesos en todos los productos de seguridad. Los libros de jugadas pueden ser completamente automáticos, completamente manuales o en cualquier lugar intermedio. También conocido como Manuales. PoE: consulte Alimentación a través de Ethernet (PoE). Protocolo punto a punto (PPP): una capa de protocolo de capa 2 (enlace de datos) que se utiliza para establecer una conexión entre dos nodos. Protocolo de túnel punto a punto (PPTP): un método obsoleto para implementar redes privadas, con muchos problemas de seguridad conocidos, que utilizan un canal de control TCP y un GRE túnel para encapsular paquetes PPP. Consulte también Protocolo de control de transmisión (TCP) , genérico Encapsulación de enrutamiento (GRE) y Protocolo punto a punto (PPP) . polimorfismo: una técnica de programación utilizada para alterar una parte del código de malware con cada iteración, para evitar la detección por software anti-malware basado en firmas. Por ejemplo, un La clave de cifrado o la rutina de descifrado pueden cambiar con cada iteración, pero la carga útil del malware permanece sin cambios. Véase también metamorfismo . POP3: consulte Protocolo de oficina postal versión 3 (POP3). Protocolo de oficina postal versión 3 (POP3): un protocolo de recuperación de correo electrónico que permite a un cliente de correo electrónico para acceder al correo electrónico en un servidor de correo electrónico remoto. Power over Ethernet (PoE): un estándar de red que proporciona energía eléctrica a ciertos dispositivos de red a través de cables Ethernet. PPP: consulte Protocolo punto a punto (PPP) . PPTP: consulte Protocolo de túnel punto a punto (PPTP). clave precompartida (PSK): un secreto compartido, utilizado en la criptografía de clave simétrica que se ha intercambiado entre dos partes que se comunican a través de un canal cifrado. nube privada: un modelo de computación en la nube que consta de una infraestructura en la nube que se utiliza exclusivamente por una sola organización. integraciones de productos (o aplicaciones): mecanismos a través de los cuales las plataformas SOAR se comunican con otros productos. Estas integraciones se pueden ejecutar a través de API REST, webhooks y otras técnicas. Una integración puede ser unidireccional o bidireccional, permitiendo esta última ambos productos para ejecutar acciones entre consolas. Consulte también orquestación de seguridad, automatización y respuesta (SOAR) , transferencia de estado representacional (REST) y programación de aplicaciones interfaz (API) . proteger la superficie: en una arquitectura Zero Trust, la superficie de protección consta de los elementos más críticos y datos, activos, aplicaciones y servicios valiosos (DAAS) en una red. información de salud protegida (PHI): definida por HIPAA como información sobre la estado de salud, prestación de atención médica o pago por atención médica que incluya identificadores como nombres, identificadores geográficos (más pequeños que un estado), fechas, números de teléfono y fax, correo electrónico direcciones, números de seguro social, números de historia clínica o fotografías. Ver también Salud © 2021 Palo Alto Networks, Inc. 298 Página 299 https://translate.googleusercontent.com/translate_f 241/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) . unidad de datos de protocolo (PDU): Unidad autónoma de datos (que consta de datos de usuario o control información y direccionamiento de red). PSK: consulte la clave precompartida (PSK) . nube pública: un modelo de implementación de computación en la nube que consta de una infraestructura en la nube que abierto al público en general. Infraestructura de clave pública (PKI): un conjunto de roles, políticas y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar el cifrado de clave pública. QoS: consulte calidad de servicio (QoS) . calidad de servicio (QoS): El rendimiento general de aplicaciones o servicios específicos en un red, incluida la tasa de error, la tasa de bits, el rendimiento, el retardo de transmisión, la disponibilidad, la fluctuación, etc. QoS Las políticas se pueden configurar en ciertas redes y dispositivos de seguridad para priorizar cierto tráfico, como voz o video, sobre otro tráfico menos intensivo en rendimiento, como transferencias de archivos. RADIUS: consulte Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) . tabla de arco iris: una tabla precalculada que se utiliza para encontrar el valor original de un hash criptográfico función. RARP: consulte el Protocolo de resolución de dirección inversa (RARP). RASP: consulte la autoprotección de aplicaciones en tiempo de ejecución (RASP). RBAC: consulte control de acceso basado en roles (RBAC). consulta de DNS recursiva: una consulta de DNS que se realiza (si el servidor DNS permite consultas) cuando un servidor DNS no tiene autoridad para un dominio de destino. El no autoritario El servidor DNS obtiene la dirección IP del servidor DNS autorizado para el dominio de destino y envía la solicitud de DNS original a ese servidor para que se resuelva. Véase también Sistema de nombres de dominio (DNS) y servidor DNS autorizado . Servicio de usuario de acceso telefónico de autenticación remota (RADIUS): un protocolo cliente-servidor y software que permite que los servidores de acceso remoto se comuniquen con un servidor central para autenticarse usuarios y autorizan el acceso a un sistema o servicio. Llamada a procedimiento remoto (RPC): un protocolo de comunicación entre procesos (IPC) que permite la aplicación se ejecutará en una computadora o red diferente, en lugar de en la computadora local en que está instalado. repetidor: un dispositivo de red que aumenta o retransmite una señal para extender físicamente el rango de un red cableada o inalámbrica. Transferencia de estado representacional (REST): un estilo de programación arquitectónica que normalmente se ejecuta a través de HTTP, y se usa comúnmente para aplicaciones móviles, sitios web de redes sociales y mashup instrumentos. Consulte también Protocolo de transferencia de hipertexto (HTTP) . REST: Ver transferencia de estado representacional (REST) . Protocolo de resolución de dirección inversa (RARP): un protocolo que traduce una MAC física dirección a una dirección lógica. Consulte también la dirección de control de acceso a medios (MAC) . topología de anillo: una topología de LAN en la que todos los nodos están conectados en un bucle cerrado que forma un anillo continuo. En una topología de anillo, todas las comunicaciones viajan en una sola dirección alrededor del anillo. Las topologías en anillo eran comunes en las redes token ring. Consulte también red de área local (LAN) . control de acceso basado en roles (RBAC): un método para implementar controles de acceso discrecional en cuyas decisiones de acceso se basan en la pertenencia al grupo, de acuerdo con la organización o roles funcionales. © 2021 Palo Alto Networks, Inc. 299 Página 300 enraizamiento: el equivalente de Google Android al jailbreak. Ver jailbreak . enrutador: un dispositivo de red que envía paquetes de datos a una red de destino a lo largo de una ruta de red. RPC: consulte llamada a procedimiento remoto (RPC) . Autoprotección de aplicaciones en tiempo de ejecución (RASP): tecnología que detecta ataques contra un aplicación en tiempo real. RASP monitorea continuamente el comportamiento de una aplicación y el contexto de comportamiento para identificar y prevenir inmediatamente actividades maliciosas. SaaS: consulte software como servicio (SaaS). salt: datos generados aleatoriamente que se utilizan como una entrada adicional a una función hash unidireccional que hash una contraseña o frase de contraseña. El mismo texto original mezclado con diferentes sales da como resultado diferentes valores hash. Consulte también la función hash unidireccional . https://translate.googleusercontent.com/translate_f 242/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Ley Sarbanes-Oxley (SOX): una ley de EE. UU. Que aumenta la gobernanza financiera y la responsabilidad en empresas que cotizan en bolsa. SASE: consulte Secure Access Service Edge (SASE). SCM: consulte gestión de configuración de software (SCM). script kiddie: alguien con habilidades limitadas de piratería y / o programación que utiliza programas (malware) escritos por otros para atacar una computadora o red. Consulte también malware . SCTP: consulte Protocolo de transmisión de control de flujo (SCTP). SD-WAN: consulte la red de área amplia definida por software (SD-WAN). Secure Access Service Edge (SASE): una solución integrada que proporciona servicios de redes y seguridad y acceso a aplicaciones en la nube entregadas a través de un marco de referencia. Secure Shell (SSH): una alternativa más segura a Telnet para el acceso remoto. SSH establece una túnel cifrado entre el cliente y el servidor, y también puede autenticar al cliente en el servidor. Consulte también telnet . Capa de sockets seguros (SSL): un protocolo criptográfico para gestionar la autenticación y comunicación cifrada entre un cliente y un servidor para proteger la confidencialidad y la integridad de datos intercambiados en la sesión. puerta de enlace web segura (SWG): una plataforma o servicio de seguridad que está diseñado para mantener visibilidad en el tráfico web. La funcionalidad adicional puede incluir el filtrado de contenido web. orquestación, automatización y respuesta de seguridad (SOAR): tecnología que ayuda a coordinar, ejecutar y automatizar tareas entre varias personas y herramientas, lo que permite a las empresas responder rápidamente a los ataques de ciberseguridad y mejorar su postura de seguridad general. Uso de herramientas SOAR manuales para automatizar y coordinar los flujos de trabajo que pueden incluir cualquier número de herramientas de seguridad y tareas humanas. Consulte también el libro de jugadas . sin servidor: generalmente se refiere a un modelo operativo en la computación en nube en el que las aplicaciones Confíe en servicios administrados que abstraen la necesidad de administrar, parchear y proteger la infraestructura. y máquinas virtuales. Las aplicaciones sin servidor se basan en una combinación de servicios gestionados en la nube y ofertas de FaaS. Consulte también función como servicio (FaaS) . identificador de conjunto de servicios (SSID): un identificador alfanumérico de 32 caracteres que distingue entre mayúsculas y minúsculas identifica de forma única una red Wi-Fi. Protocolo de inicio de sesión (SIP): estándar de protocolo de señalización abierto para establecer, administrar y finalizar comunicaciones en tiempo real como voz, video y texto en grandes Redes basadas en IP. Protocolo simple de transferencia de correo (SMTP): protocolo que se utiliza para enviar y recibir correo electrónico © 2021 Palo Alto Networks, Inc. 300 Página 301 Internet. Protocolo simple de administración de red (SNMP): protocolo que se utiliza para recopilar información colegios electorales y envío de trampas (o alertas) a un puesto de gestión. SIP: consulte Protocolo de inicio de sesión (SIP). SMTP: consulte Protocolo simple de transferencia de correo (SMTP). SNMP: consulte Protocolo simple de administración de redes (SNMP). SOAR: vea orquestación, automatización y respuesta de seguridad (SOAR). software como servicio (SaaS): una categoría de servicios de computación en la nube en la que el cliente proporcionó acceso a una aplicación alojada que es mantenida por el proveedor de servicios. Red de área amplia definida por software (SD-WAN): un servicio virtualizado que separa Procesos de control y gestión de la red desde el hardware subyacente en un área amplia. red y los pone a disposición como software. Gestión de configuración de software (SCM): La tarea de rastrear y controlar los cambios en software. SONET: Ver redes ópticas síncronas (SONET). SOX: Ver Ley Sarbanes-Oxley (SOX) . spear phishing: un ataque de phishing altamente dirigido que utiliza información específica sobre el objetivo para que el intento de phishing parezca legítimo. SSH: consulte Secure Shell (SSH) . SSID: consulte el identificador de conjunto de servicios (SSID) . SSL: consulte Capa de sockets seguros (SSL). STIX: consulte Expresión estructurada de información sobre amenazas (STIX). https://translate.googleusercontent.com/translate_f 243/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS Stream Control Transmission Protocol (SCTP): un protocolo orientado a mensajes (similar a UDP) que asegura un transporte en secuencia confiable con control de congestión (similar a TCP). Ver también User Datagram Protocol (UDP) y Transmission Control Protocol (TCP) . Expresión estructurada de información sobre amenazas (STIX): formato XML para transmitir datos sobre amenazas de ciberseguridad en un formato estandarizado. Consulte también Lenguaje de marcado extensible (XML) . máscara de subred: un número que oculta la parte de red de una dirección IPv4, dejando solo el host parte de la dirección IP. Consulte también la dirección de Protocolo de Internet (IP) . división en subredes: técnica utilizada para dividir una red grande en subredes múltiples más pequeñas. superredes: una técnica utilizada para agregar múltiples redes contiguas más pequeñas en un mayor red para permitir un enrutamiento de Internet más eficiente. SWG: consulte puerta de enlace web segura (SWG). conmutador: un concentrador inteligente que reenvía paquetes de datos solo al puerto asociado con el dispositivo de destino en una red. Red óptica síncrona (SONET): un protocolo que transfiere múltiples flujos de bits digitales. sincrónicamente a través de fibra óptica. T-carrier: un sistema de transmisión digital full-duplex que usa múltiples pares de alambre de cobre para transmitir señales eléctricas a través de una red. Por ejemplo, un circuito T-1 consta de dos pares de alambre de cobre - un par transmite, el otro par recibe - que se multiplexan para proporcionar un total de 24 canales, cada uno de los cuales entrega 64 Kbps de datos, para un ancho de banda total de 1.544 Mbps. TCP: consulte Protocolo de control de transmisión (TCP). Segmento TCP: una PDU definida en la capa de transporte del modelo OSI. Ver también datos de protocolo © 2021 Palo Alto Networks, Inc. 301 Página 302 unidad (PDU) y modelo de interconexión de sistemas abiertos (OSI) . Modelo TCP / IP: consulte el modelo Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) . deuda técnica: Un concepto de desarrollo de software, que también se ha aplicado de manera más general a TI, en la que se anticipan costos futuros adicionales para reelaborar debido a una decisión o curso anterior de acción que era necesaria para la agilidad, pero no necesariamente la más óptima o apropiada decisión o curso de acción. telnet: un emulador de terminal que se utiliza para proporcionar acceso remoto a un sistema. Apretón de manos de tres vías: una secuencia utilizada para establecer una conexión TCP. Por ejemplo, una PC inicia una conexión con un servidor enviando un paquete TCP SYN (Sincronizar). El servidor responde con un paquete SYN ACK (Sincronizar acuse de recibo). Finalmente, la PC envía un ACK o paquete SYN-ACK-ACK, reconociendo el reconocimiento del servidor y los datos comienza la comunicación. Consulte también Protocolo de control de transmisión (TCP) . vector de amenaza: Ver vector de ataque. TLD: consulte dominio de nivel superior (TLD). TLS: consulte Seguridad de la capa de transporte (TLS) . dominio de nivel superior (TLD): el dominio de nivel más alto en DNS, representado por la última parte de un FQDN (por ejemplo, .com o .edu). Los TLD más utilizados son genéricos de nivel superior. dominios (gTLD) como .com, edu, .net y .org, y dominios de nivel superior con código de país (ccTLD) como .ca y .us. Consulte también Sistema de nombres de dominio (DNS) . Protocolo de control de transmisión (TCP): Orientado a la conexión (una conexión directa entre dispositivos de red se establece antes de que se transfieran los segmentos de datos) protocolo que proporciona entrega confiable (los segmentos recibidos son reconocidos y la retransmisión de los se solicitan segmentos corruptos) de datos. Modelo de Protocolo de control de transmisión / Protocolo de Internet (TCP / IP): una red de cuatro capas modelo que consta de la Aplicación (Capa 4 o L4), Transporte (Capa 3 o L3), Internet (Capa 2 o L2) y capas de acceso a la red (capa 1 o L1). Seguridad de la capa de transporte (TLS): el sucesor de SSL (aunque todavía se denomina comúnmente como SSL). Consulte también Capa de sockets seguros (SSL) . Hipervisor de tipo 1: consulte hipervisor nativo . Hipervisor de tipo 2: consulte hipervisor alojado. UDP: consulte Protocolo de datagramas de usuario (UDP). Datagrama UDP: Una PDU definida en la capa de transporte del modelo OSI. Ver también datos de protocolo unidad (PDU), protocolo de datagramas de usuario (UDP) y modelo de interconexión de sistemas abiertos (OSI) . UEBA: ver análisis de comportamiento de usuarios y entidades (UEBA). Análisis de comportamiento de usuarios y entidades (UEBA): un tipo de solución o característica de ciberseguridad que https://translate.googleusercontent.com/translate_f 244/245 20/12/21 15:22 GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS descubre amenazas identificando la actividad que se desvía de una línea de base normal. identificador uniforme de recursos (URI): una cadena de caracteres que identifica de forma única un recurso, utilizando una sintaxis predefinida en un esquema de nomenclatura jerárquico. localizador uniforme de recursos (URL): una referencia única (o dirección) a un recurso de Internet, como como una página web. URI: consulte el identificador uniforme de recursos (URI). URL: consulte el localizador uniforme de recursos (URL) . Protocolo de datagramas de usuario (UDP): sin conexión (una conexión directa entre redes dispositivos no se establece antes de que se transfieran los datagramas) protocolo que proporciona el mejor esfuerzo © 2021 Palo Alto Networks, Inc. 302 Página 303 entrega (los datagramas recibidos no son reconocidos y los datagramas faltantes o dañados no son solicitado) de datos. enmascaramiento de subred de longitud variable (VLSM): una técnica que permite que los espacios de direcciones IP sean dividido en diferentes tamaños. Consulte también la dirección de Protocolo de Internet (IP) . Red de área local virtual (VLAN): una red lógica que se crea dentro de un local físico red de área. máquina virtual (VM): una emulación de un sistema informático físico (hardware) que incluye CPU, memoria, disco, sistema operativo, interfaces de red, etc. realidad virtual (VR): una experiencia digital simulada. VLAN: consulte red de área local virtual (VLAN) . VLSM: consulte el enmascaramiento de subred de longitud variable (VLSM) . VM: consulte máquina virtual (VM). Protocolo de voz sobre Internet (VoIP): tecnología que proporciona comunicación de voz a través de un Red basada en Protocolo de Internet (IP). También conocida como telefonía IP. VoIP: consulte Protocolo de voz sobre Internet (VoIP) . VR: vea la realidad virtual (VR). vulnerabilidad: un error o falla que existe en un sistema o software y crea un riesgo de seguridad. WAN: consulte red de área amplia (WAN). abrevadero: un ataque que compromete sitios web que es probable que sean visitados por un objetivo víctima para entregar malware a través de una descarga automática. Consulte también descarga desde un vehículo . Web 2.0: término popularizado por Tim O'Reilly y Dale Dougherty que se refiere extraoficialmente a un nueva era de la World Wide Web, que se caracteriza por contenido dinámico o generado por el usuario, interacción y colaboración, y el crecimiento de las redes sociales. Consulte también Enterprise 2.0 . Web 3.0: como se define en ExpertSystem.com, Web 3.0 se caracteriza por los siguientes cinco características: web semántica, inteligencia artificial, gráficos 3D, conectividad y ubicuidad. caza de ballenas: un tipo de ataque de spear phishing que se dirige específicamente a altos ejecutivos u otros objetivos de alto perfil dentro de una organización. Consulte también suplantación de identidad (spear phishing) . red de área amplia (WAN): una red informática que conecta varias LAN u otras WAN en un área geográfica relativamente grande, como una ciudad pequeña, una región o un país, un red empresarial, o en todo el planeta (por ejemplo, Internet). Véase también red de área local. (LAN) . repetidor inalámbrico: un dispositivo que retransmite la señal inalámbrica desde un enrutador inalámbrico o AP a ampliar el alcance de una red Wi-Fi. XML: consulte Lenguaje de marcado extensible (XML) . XOR: Ver exclusivo o (XOR) . XR: Ver realidad extendida (XR). Amenaza de día cero: la ventana de vulnerabilidad que existe desde el momento en que una nueva (desconocida) amenaza se publica hasta que los proveedores de seguridad publiquen un archivo de firma o un parche de seguridad para la amenaza. zombie: Ver bot . © 2021 Palo Alto Networks, Inc. https://translate.googleusercontent.com/translate_f 303 245/245