Академический Документы
Профессиональный Документы
Культура Документы
Heartbeat
posibilita la sincronizacin de la
seguridad
Las organizaciones mejor protegidas de hoy en da despliegan mltiples capas de
productos de seguridad y proteccin en sus redes y estaciones de trabajo en un
esfuerzo por defenderse de las amenazas conocidas y emergentes. Mientras que
estas implantaciones de firewalls y hosts basados en red, inspectores de contenido,
analizadores de malware y administradores de eventos hacen un trabajo respetable
de defensa; hay una deficiencia fundamental en su implantacin, bsicamente
no logran que uno haga su trabajo mejor que otro. Nuestra industria describe la
condicin subyacente como "ensilaje", dado que nuestros puntos de control y
aplicacin funcionan de forma aislada en vez de compartiendo informacin de
manera rpida, prctica o con sentido. Tal falta de sincronizacin o comunicacin
significa que a lo largo del tiempo nos hemos estado perdiendo la oportunidad de
hacer que nuestros firewalls fueran ms inteligentes proporcionndoles informacin
contextual a nivel de procesos que nicamente nuestras estaciones de trabajo
pueden tener, o proporcionando a nuestros sistemas de proteccin de estaciones
de trabajo la posibilidad de evaluar objetivamente su estado de integridad o de
compromiso en base al contexto y actividad de la red. La oportunidad de mejorar
parece obvia y extensa.
La respuesta a esta reconocida debilidad ha sido aadir ms tecnologa y personal en vez de intentar
superar esta falta de comunicacin entre las defensas de la red y las de las estaciones de trabajo. A
pesar de que los equipos de TI reciben cada da propuestas de multitud de herramientas tipo SIEM
para recabar informacin, alertas y eventos en un solo lugar de ambos mundos, el de proteccin de
redes y el de estaciones de trabajo, esta propuesta tiene 3 desafos fundamentales. En primer lugar,
ponen todo el esfuerzo en normalizar y estructurar los datos de eventos de fuentes dispares, y muy
poco en extraer informacin til del mar de datos resultante. En segundo lugar, son herramientas de
investigacin que van solamente detrs de los datos. Y en tercer lugar, incrementan las necesidades
de personal para ensamblar y supervisar las reglas de correlacin frgiles y complejas sobre las que
dependen. E incluso entonces, para cuando un analista (siempre y cuando dispusiera de uno) hubiera
logrado dar sentido a todos los eventos, sus atacantes ya se habran marchado con los datos que
buscaban.
Los productos para estaciones de trabajo y red de Sophos son simples pero poderosos, eficientes
y eficaces, pero tambin tenan el problema hasta ahora de que trabajaban de forma aislada, sin
comunicarse bien los unos con los otros. De hecho, hasta ahora, aunar la informacin proporcionada
por los productos a fin de actuar con eficacia en toda la organizacin era lento y tedioso y a menudo
poco prctico. Tras darnos cuenta de la existencia de este problema entre nuestros clientes, en
Sophos creamos una nueva y revolucionaria tecnologa a la que hemos llamado Sophos Security
Heartbeat.
Una solucin creada para funcionar en sincrona, posibilitando la comunicacin entre los productos
dedicados a las estaciones de trabajo y a los de redes, y permitiendo as una comunicacin coordinada
y automatizada, a la par que un pase a la accin, y todo sin crear otra capa de complejidad o costes
adicionales. Sophos Security Heartbeat ha sido diseada para ofrecer un nuevo nivel de proteccin
para las empresas y sus equipos de seguridad informtica escasos de personal. Este informe da a
conocer el diseo bsico y el funcionamiento de Sophos Security Heartbeat, as como muestra cmo
ofrece una mayor y mejor proteccin gracias al concepto de seguridad sincronizada.
Lidiar con estas amenazas y su complejidad ha creado desafos casi insuperables para incluso las
organizaciones ms grandes del mundo. Han desplegado decenas de analistas y nuevas tecnologas tales como
grandes almacenes de datos con sistemas de seguridad de la informacin y de gestin de eventos (Security
Information and Event Managers, SIEMs) para coordinar y dar sentido a este silo distribuido de soluciones para
estaciones de trabajo y de red. La implantacin tpica tiene el aspecto de la retratada en la figura 1.
Seguridad tpica
Figura 1: Las soluciones tpicas
intentan correlacionar y buscar
sentido a los datos y requieren
personal y un cierto nivel de
conocimientos
SIEM
Estacin de trabajo
Gestin
Redes
Gestin
Estacin de trabajo
Red
Y aunque esta forma de trabajar tiene su mrito, requiere muchsimos recursos, incluyendo a personal
altamente especializado, a fin de dar con problemas entre las seales que se reciben. Pero incluso en ese caso,
no hace nada para acelerar el proceso de respuesta ante nuevas amenazas. Dado que la gestin e implantacin
de los productos para las redes y estaciones de trabajo sigue estando aislada, es altamente complejo y frgil
coordinar la actividad entre estos productos.
La mayora de empresas de seguridad informtica no puede contratar, o reaccionar con la suficiente rapidez,
como para protegerse a s mismas mediante la implantacin, mantenimiento y uso de estos productos
complejos y aislados en silos. Esto conlleva una gran ineficacia. Y cuando esto sucede, los atacantes suelen
ganar.
Ahora por primera vez, la proteccin de estaciones de trabajo y redes puede funcionar como si de un sistema
integrado se tratara, permitiendo a las organizaciones prevenir, detectar, investigar y remediar las amenazas de
forma ms rpida y eficaz. Tal y como se muestra en la figura 2, surge un marco de trabajo de seguridad
sincronizada alternativo en el que se unifica la gestin, y que conecta las estaciones de trabajo y las soluciones
de seguridad directamente la una con la otra, permitindoles comunicarse mutuamente en tiempo real.
Seguridad sincronizada
Gestin unificada en la nube
Usuarios finales
Redes
Security Heartbeat
Mediante el intercambio de inteligencia a travs de un "pulso cardaco de seguridad", este marco puede
descubrir y entender ms rpidamente amenazas avanzadas y automatizar la correlacin entre terminales
y redes, as como automatizar y ampliar la proteccin y acelerar la respuesta a incidentes. La gestin
simplificada hace que el marco de trabajo sea fcil de configurar y administrar sin necesidad de tener que
contar con analistas o gestores de eventos adicionales. En resumen, la seguridad sincronizada ofrece una
mejor proteccin con una mejor relacin tiempo y dinero invertido que cualquier otra frmula. El cuadro 1
resume la diferencia entre estos enfoques.
Seguridad sincronizada
Seguridad tpica
Inteligencia
Compartida
Aislada
Correlacin
Automatizada
Manual y parcialmente
Cuadro 1: Caractersticas de la
seguridad sincronizada frente a la
seguridad tpica
automatizada
Deteccin de amenazas
Ayudada contextualmente
No ayudada
Altamente orientada
Imprecisa
Ninguno
Significativa
Simple y unificada
Compleja y en silos
desconocidas
y personal
Administracin
Tal y como se muestra en la figura 3, Sophos Security Heartbeat es una capacidad que est integrada
en los productos de seguridad Sophos Next Generation Enduser Security y Network Firewall. Sophos
Heartbeat permite a las soluciones de seguridad para redes y estaciones de trabajo de Sophos compartir
informacin significativa de forma continuada sobre comportamientos sospechosos o malignos en todo el
amplio ecosistema de TI de la organizacin.
Mediante la implantacin de Sophos Security Heartbeat, las organizaciones pueden detectar antes
amenazas sofisticadas, identificar automticamente los sistemas comprometidos, automatizar la
respuesta ante incidentes y ver en tiempo real el estado de seguridad de las estaciones de trabajo.
Tan pronto como se registre el primer firewall en Cloud, lo siguiente sucede automticamente:
Los equipos reciben informacin de seguridad que habilita una conexin mediante Heartbeat al firewall.
El firewall recibe la informacin de seguridad que permite remitir un Heartbeat a los ordenadores.
Cada ordenador comienza a enviar solicitudes de conexin a un firewall que pudiera protegerlo.
Los ordenadores se conectan al firewall registrado disponible ms cercano (su puerta de enlace
predeterminada).
Si el Firewall ve una solicitud de conexin, revisa la informacin de seguridad para confirmar que es una
de sus estaciones de trabajo y, si es vlida, completa la conexin.
El ordenador tambin valida que el firewall sea suyo consultando los datos de seguridad recibidos de
Sophos Cloud.
Eso es todo! Sin reglas, configuraciones o actualizaciones complejas. Ya est listo para ver Sophos
Heartbeat en accin.
Rojo
Amarillo
Verde
desencadenantes de
alertas
Aplicacin maliciosa
X - activo
X - inactivo
detectada
Aplicaciones no
X - detectado
deseadas
Trfico de red malicioso
X Comunicacin desde
una estacin de trabajo
a un host malicioso o
sospechoso de serlo
carecer de proteccin
correctamente
No se detecta nada, el
software de seguridad
funciona correctamente
Adems, el software de Sophos Endpoint utiliza a Security Heartbeat para enviar informacin detallada al
panel de control del firewall de red, permitiendo as al personal conocer los detalles tal y como se
muestra en la figura 7.
Figura 7: Al analizar en detalle el
panel de control de la salud del
cliente se ven detalles del estado de
salud y de los mecanismos de disparo
de alerta habilitados para cada cliente
La figura 9 muestra la pantalla de bloqueo que un usuario final recibir despus de que se aplique la regla
mbar desde Sophos Firewall.
Figura 9: Mensaje para el usuario final
despus de aplicar la regla mbar
Sin embargo, esto es solo el comienzo de los beneficios que aporta la sincronizacin de la seguridad
gracias a Security Heartbeat y Sophos Cloud. Tras enviar la solicitud de ATP al cliente, se pide
automticamente al ordenador que informe de la alerta a Sophos Cloud, tal y como se muestra en la
figura 11.
Sophos Cloud indica entonces a la funcin HIPS del cliente de Sophos que busque si puede identificar
de forma positiva malware y arreglar la mquina. Dado que hay sospechas de malware activo en el
ordenador, su estado de salud se vuelve rojo. Sophos Firewall proporciona ahora proteccin adicional
al obligar la aplicacin de polticas como la regla roja descrita anteriormente, eliminando cualquier
dao mientras tiene lugar el proceso de arreglo.
Resumen
El ltimo ejemplo de proteccin de amenazas avanzada es una demostracin sobresaliente del poder
y la simplicidad de la seguridad sincronizada mediante Sophos Security Heartbeat. Todo esto ocurre
sin intervencin manual, sin realizar investigaciones ni procesos manuales, y ofreciendo a la par una
visibilidad total y una auditora de actividades. Sin personal, sin los, sin retrasos. Tan solo seguridad
sincronizada que logra una mayor y ms rpida proteccin sin necesidad de contratar personal
adicional.
Las amenazas a las que se enfrentan las organizaciones hoy en da pueden dar miedo, y las respuestas
tpicas requieren un nivel de recursos, conocimientos especializados y personal con el que no
siempre cuentan la mayora de organizaciones. Synchronized Security cambia la dinmica de esto, al
proporcionar una mejor proteccin gracias a una gestin y unas comunicaciones simples pero potentes
entre soluciones anteriormente aisladas, y todo sin tener que aadir complejidades o personal. Las
organizaciones que implementan Sophos Security Heartbeat logran una visibilidad instantnea del
estado de salud de las estaciones de trabajo, localizan ms rpidamente las amenazas avanzadas y
responden automticamente a los incidentes.
Para obtener ms informacin y ver cmo la seguridad sincronizada y Sophos Security Heartbeat
pueden ayudarle a ganar la batalla en el beligerante mundo de hoy da, visite Sophos.com/heartbeat.
10
Ventas en Espaa:
Tel.: (+34) 913 756 756
Correo electrnico: seusales@sophos.com
Oxford (Reino Unido) | Boston (EE.UU.)
Copyright 2015. Sophos Ltd. Todos los derechos reservados.
Constituida en Inglaterra y Gales e inscrita con el N. 2096520, en The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los dems productos y empresas mencionados son marcas comerciales o registradas de
sus respectivos propietarios.
2015.10.26 WP-NA (GH)