Sophos Security

Heartbeat
posibilita la sincronizacin de la
seguridad
Las organizaciones mejor protegidas de hoy en da despliegan mltiples capas de
productos de seguridad y proteccin en sus redes y estaciones de trabajo en un
esfuerzo por defenderse de las amenazas conocidas y emergentes. Mientras que
estas implantaciones de firewalls y hosts basados en red, inspectores de contenido,
analizadores de malware y administradores de eventos hacen un trabajo respetable
de defensa; hay una deficiencia fundamental en su implantacin, bsicamente
no logran que uno haga su trabajo mejor que otro. Nuestra industria describe la
condicin subyacente como "ensilaje", dado que nuestros puntos de control y
aplicacin funcionan de forma aislada en vez de compartiendo informacin de
manera rpida, prctica o con sentido. Tal falta de sincronizacin o comunicacin
significa que a lo largo del tiempo nos hemos estado perdiendo la oportunidad de
hacer que nuestros firewalls fueran ms inteligentes proporcionndoles informacin
contextual a nivel de procesos que nicamente nuestras estaciones de trabajo
pueden tener, o proporcionando a nuestros sistemas de proteccin de estaciones
de trabajo la posibilidad de evaluar objetivamente su estado de integridad o de
compromiso en base al contexto y actividad de la red. La oportunidad de mejorar
parece obvia y extensa.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

La respuesta a esta reconocida debilidad ha sido aadir ms tecnologa y personal en vez de intentar
superar esta falta de comunicacin entre las defensas de la red y las de las estaciones de trabajo. A
pesar de que los equipos de TI reciben cada da propuestas de multitud de herramientas tipo SIEM
para recabar informacin, alertas y eventos en un solo lugar de ambos mundos, el de proteccin de
redes y el de estaciones de trabajo, esta propuesta tiene 3 desafos fundamentales. En primer lugar,
ponen todo el esfuerzo en normalizar y estructurar los datos de eventos de fuentes dispares, y muy
poco en extraer informacin til del mar de datos resultante. En segundo lugar, son herramientas de
investigacin que van solamente detrs de los datos. Y en tercer lugar, incrementan las necesidades
de personal para ensamblar y supervisar las reglas de correlacin frgiles y complejas sobre las que
dependen. E incluso entonces, para cuando un analista (siempre y cuando dispusiera de uno) hubiera
logrado dar sentido a todos los eventos, sus atacantes ya se habran marchado con los datos que
buscaban.
Los productos para estaciones de trabajo y red de Sophos son simples pero poderosos, eficientes
y eficaces, pero tambin tenan el problema hasta ahora de que trabajaban de forma aislada, sin
comunicarse bien los unos con los otros. De hecho, hasta ahora, aunar la informacin proporcionada
por los productos a fin de actuar con eficacia en toda la organizacin era lento y tedioso y a menudo
poco prctico. Tras darnos cuenta de la existencia de este problema entre nuestros clientes, en
Sophos creamos una nueva y revolucionaria tecnologa a la que hemos llamado Sophos Security
Heartbeat.
Una solucin creada para funcionar en sincrona, posibilitando la comunicacin entre los productos
dedicados a las estaciones de trabajo y a los de redes, y permitiendo as una comunicacin coordinada
y automatizada, a la par que un pase a la accin, y todo sin crear otra capa de complejidad o costes
adicionales. Sophos Security Heartbeat ha sido diseada para ofrecer un nuevo nivel de proteccin
para las empresas y sus equipos de seguridad informtica escasos de personal. Este informe da a
conocer el diseo bsico y el funcionamiento de Sophos Security Heartbeat, as como muestra cmo
ofrece una mayor y mejor proteccin gracias al concepto de seguridad sincronizada.

La seguridad sincronizada, una solucin sencilla a un

problema difcil
Imagine que pone personal de seguridad en el exterior de su edificio pero no les entrega ningn
tipo de intercomunicador. Imagine que cada una de esas personas enva informacin a un sistema
centralizado en el que un humano tiene que analizar todos y cada uno de los datos recibidos buscando
cul de ellos puede resultar til para el resto de guardias individuales. Ahora imagine que hay un
montn de edificios con vallas y guardias a su alrededor y otros guardias en todas y cada una de las
habitaciones, y que todos ellos envan resmenes de lo que ven a una autoridad central que tiene
que entender qu sentido tienen dichas seales. Ahora imagine qu ocurrira si los guardias en el
exterior trabajaran para un gestor distinto al que lo hacen los del interior. Y an peor, qu ocurrira si
los identificadores de sus radios estuvieran cambiando constantemente, con lo que resultara difcil
identificar quin est enviando cualquier mensaje. Y finalmente, sitese en un entorno en el que los
intrusos estn desafiando constantemente sus defensas con tcnicas nuevas, innovadoras y sigilosas.
Sorprendentemente, esta es precisamente la situacin que encaran hoy los equipos de seguridad.

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Lidiar con estas amenazas y su complejidad ha creado desafos casi insuperables para incluso las
organizaciones ms grandes del mundo. Han desplegado decenas de analistas y nuevas tecnologas tales como
grandes almacenes de datos con sistemas de seguridad de la informacin y de gestin de eventos (Security
Information and Event Managers, SIEMs) para coordinar y dar sentido a este silo distribuido de soluciones para
estaciones de trabajo y de red. La implantacin tpica tiene el aspecto de la retratada en la figura 1.

Seguridad tpica
Figura 1: Las soluciones tpicas
intentan correlacionar y buscar
sentido a los datos y requieren
personal y un cierto nivel de
conocimientos

SIEM

Estacin de trabajo
Gestin

Redes
Gestin

Estacin de trabajo

Red

Y aunque esta forma de trabajar tiene su mrito, requiere muchsimos recursos, incluyendo a personal
altamente especializado, a fin de dar con problemas entre las seales que se reciben. Pero incluso en ese caso,
no hace nada para acelerar el proceso de respuesta ante nuevas amenazas. Dado que la gestin e implantacin
de los productos para las redes y estaciones de trabajo sigue estando aislada, es altamente complejo y frgil
coordinar la actividad entre estos productos.
La mayora de empresas de seguridad informtica no puede contratar, o reaccionar con la suficiente rapidez,
como para protegerse a s mismas mediante la implantacin, mantenimiento y uso de estos productos
complejos y aislados en silos. Esto conlleva una gran ineficacia. Y cuando esto sucede, los atacantes suelen
ganar.
Ahora por primera vez, la proteccin de estaciones de trabajo y redes puede funcionar como si de un sistema
integrado se tratara, permitiendo a las organizaciones prevenir, detectar, investigar y remediar las amenazas de
forma ms rpida y eficaz. Tal y como se muestra en la figura 2, surge un marco de trabajo de seguridad
sincronizada alternativo en el que se unifica la gestin, y que conecta las estaciones de trabajo y las soluciones
de seguridad directamente la una con la otra, permitindoles comunicarse mutuamente en tiempo real.

Seguridad sincronizada
Gestin unificada en la nube

Usuarios finales

Figura 2: La seguridad sincronizada

simplifica y unifica la comunicacin y
la gestin

Redes

Security Heartbeat

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Mediante el intercambio de inteligencia a travs de un "pulso cardaco de seguridad", este marco puede
descubrir y entender ms rpidamente amenazas avanzadas y automatizar la correlacin entre terminales
y redes, as como automatizar y ampliar la proteccin y acelerar la respuesta a incidentes. La gestin
simplificada hace que el marco de trabajo sea fcil de configurar y administrar sin necesidad de tener que
contar con analistas o gestores de eventos adicionales. En resumen, la seguridad sincronizada ofrece una
mejor proteccin con una mejor relacin tiempo y dinero invertido que cualquier otra frmula. El cuadro 1
resume la diferencia entre estos enfoques.
Seguridad sincronizada

Seguridad tpica

Inteligencia

Compartida

Aislada

Correlacin

Automatizada

Manual y parcialmente

Cuadro 1: Caractersticas de la
seguridad sincronizada frente a la
seguridad tpica

automatizada
Deteccin de amenazas

Ayudada contextualmente

No ayudada

Respuesta ante incidentes

Altamente orientada

Imprecisa

Inversin adicional en productos

Ninguno

Significativa

Simple y unificada

Compleja y en silos

desconocidas

y personal
Administracin

Sophos Security Hearbeat posibilita la sincronizacin de

la seguridad
Sophos Security Heartbeat conecta los clientes de Sophos Endpoint con las pasarelas de seguridad de red
Sophos Network Security Gateway, creando as un canal que permite intercambiar informacin en tiempo
real entre productos. Security Heartbeat es fcil de configurar y administrar, y se activa y gestiona desde
Sophos Cloud. Utiliza comunicaciones seguras para transmitir datos de inteligencia, eventos, informacin y
comandos entre las estaciones de trabajo y los firewalls de la red.

Figura 3: Sophos Security Heartbeat

conecta Sophos Next Generation
Endpoint y Network Protection

Tal y como se muestra en la figura 3, Sophos Security Heartbeat es una capacidad que est integrada
en los productos de seguridad Sophos Next Generation Enduser Security y Network Firewall. Sophos
Heartbeat permite a las soluciones de seguridad para redes y estaciones de trabajo de Sophos compartir
informacin significativa de forma continuada sobre comportamientos sospechosos o malignos en todo el
amplio ecosistema de TI de la organizacin.

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Mediante la implantacin de Sophos Security Heartbeat, las organizaciones pueden detectar antes
amenazas sofisticadas, identificar automticamente los sistemas comprometidos, automatizar la
respuesta ante incidentes y ver en tiempo real el estado de seguridad de las estaciones de trabajo.

Configuracin de Sophos Security Heartbeat, solo

hay que registrarse y listo!
Configurar Sophos Heartbeat es rpido, sencillo y simple.
Solo tiene que introducir sus credenciales de Sophos Cloud en la interfaz de usuario de Sophos
Firewall y el firewall se identificar a s mismo inmediatamente y se registrar en Sophos Cloud. A
partir de entonces, ya puede ver y acceder a todos los firewalls registrados desde la interfaz de usuario
de Sophos Cloud. Esto se muestra en las figuras 4 y 5.
Figura 4: Introduzca simplemente
sus credenciales de Sophos Cloud
para registrar un firewall en Security
Heartbeat

Figura 5: El firewall de Sophos est

ahora registrado con la nube de
Sophos

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Tan pronto como se registre el primer firewall en Cloud, lo siguiente sucede automticamente:
Los equipos reciben informacin de seguridad que habilita una conexin mediante Heartbeat al firewall.
El firewall recibe la informacin de seguridad que permite remitir un Heartbeat a los ordenadores.
Cada ordenador comienza a enviar solicitudes de conexin a un firewall que pudiera protegerlo.
Los ordenadores se conectan al firewall registrado disponible ms cercano (su puerta de enlace
predeterminada).
Si el Firewall ve una solicitud de conexin, revisa la informacin de seguridad para confirmar que es una
de sus estaciones de trabajo y, si es vlida, completa la conexin.
El ordenador tambin valida que el firewall sea suyo consultando los datos de seguridad recibidos de
Sophos Cloud.
Eso es todo! Sin reglas, configuraciones o actualizaciones complejas. Ya est listo para ver Sophos
Heartbeat en accin.

Security Heartbeat en accin

Con los clientes de las estaciones de trabajo y el firewall ya conectados mediante Security Heartbeat, la
informacin sobre la salud del sistema ahora comienza a fluir desde las estaciones de trabajo conectadas al
firewall as como tambin al sistema de gestin Sophos Cloud.
Como se muestra en la figura 6, el panel de control de Sophos Firewall ahora muestra el nmero de
estados y la salud de todos los equipos conectados a dicho firewall. El estado de salud del cliente puede ser
rojo, amarillo o verde.
Figura 6: El panel de control del
firewall muestra la salud de las
estaciones de trabajo conectadas en
colores: rojo, amarillo o verde. En este
caso, 97 estaciones estn en verde,
una en rojo y dos en amarillo.

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Qu te dice el estado de salud?

El cuadro 2 resume el significado de los indicadores de color verde, rojo y amarillo. Los indicadores de
color rojo indican emergencias que han de ser solventadas inmediatamente, mientras que las de color
amarillo indican riesgo pero no urgencia.
Posibles

Rojo

Amarillo

Verde

desencadenantes de
alertas
Aplicacin maliciosa

X - activo

X - inactivo

detectada
Aplicaciones no

Cuadro 2: Las estaciones de

trabajo informan acerca de
su estado de salud a Sophos
Firewall y a Cloud siguiendo
unos protocolos simples pero
potentes, permitiendo as
alertar al personal y descubrir
y priorizar su seguimiento.

X - detectado

deseadas
Trfico de red malicioso

X Comunicacin desde
una estacin de trabajo
a un host malicioso o
sospechoso de serlo

El software de seguridad X - El sistema puede

de Sophos no funciona

carecer de proteccin

correctamente
No se detecta nada, el

software de seguridad
funciona correctamente

Adems, el software de Sophos Endpoint utiliza a Security Heartbeat para enviar informacin detallada al
panel de control del firewall de red, permitiendo as al personal conocer los detalles tal y como se
muestra en la figura 7.
Figura 7: Al analizar en detalle el
panel de control de la salud del
cliente se ven detalles del estado de
salud y de los mecanismos de disparo
de alerta habilitados para cada cliente

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Extendiendo la proteccin de la red mediante Security

Heartbeat y las polticas de firewall
Conocer el estado de salud del cliente es una cosa, pero actuar eficaz y rpidamente es otro tema. Sophos
Security Heartbeat permite a los administradores de Firewall configurar polticas sencillas pero altamente
eficaces para sacar partido a los conocimientos sobre la salud de cliente mientras se proporciona, a la vez y de
forma automtica, una eficaz proteccin a la red de la organizacin.
Como se muestra en la figura 8, se pueden crear fcilmente reglas para el Firewall, aprovechndonos as de
esta visibilidad. Aqu hemos creado 2 reglas, la mbar y la Roja. La regla mbar permite el acceso a Internet a
aquellos sistemas que tengan un estado de salud rojo o amarillo, pero bloquea el acceso a Salesforce.com
como medida de precaucin. La regla Roja bloquea el acceso a Internet de todos los clientes con estado rojo.
Cuando un sistema cambia de estado, estas reglas proporcionan proteccin a nivel de red antes de proceder a
arreglar el sistema, reduciendo as de forma considerable la posibilidad de que se produzcan prdidas.
Figura 8: Se puede establecer
una poltica de firewall sencilla
para mejorar la proteccin y
para aprovechar la informacin
proporcionada por Sophos Security
Heartbeat.

La figura 9 muestra la pantalla de bloqueo que un usuario final recibir despus de que se aplique la regla
mbar desde Sophos Firewall.
Figura 9: Mensaje para el usuario final
despus de aplicar la regla mbar

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Proteccin de amenazas avanzada y mejorada que

alerta y acta gracias a Sophos Security Heartbeat
Sophos Security Heartbeat mejora la proteccin de amenazas avanzada (Advanced Threat Protection,
ATP) al remitir alertas a Sophos Firewall y Sophos Cloud, reduciendo as de forma considerable el
tiempo necesario para investigar problemas y automatizando la deteccin y solucin de amenazas.
Digamos que la funcin de ATP en el firewall detecta el trfico sospechoso. El firewall utilizar Security
Heartbeat para ver si el trfico proviene de una estacin de trabajo con un Heartbeat (o latido de
corazn) activo. Si este es el caso, el firewall utilizar Security Heartbeat para conseguir el nombre
de la mquina, el usuario conectado y el nombre el proceso que activ la proteccin de amenazas
avanzada en el firewall. Este paso nicamente podra demorar horas y das de trabajo manual en
entornos tradicionales que no tuvieran un Heartbeat en servicio.
Esta informacin se muestra a continuacin en la pantalla de alertas del sistema de proteccin
avanzada, tal y como se muestra en la figura 10.
Figura 10: Alerta de proteccin de
amenazas avanzada en la interfaz del
usuario del firewall

Sin embargo, esto es solo el comienzo de los beneficios que aporta la sincronizacin de la seguridad
gracias a Security Heartbeat y Sophos Cloud. Tras enviar la solicitud de ATP al cliente, se pide
automticamente al ordenador que informe de la alerta a Sophos Cloud, tal y como se muestra en la
figura 11.

Monogrficos de Sophos. Octubre de 2015.

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Figura 11: Alerta de proteccin

de amenazas avanzada notificada
automticamente en Sophos Cloud
Manager

Sophos Cloud indica entonces a la funcin HIPS del cliente de Sophos que busque si puede identificar
de forma positiva malware y arreglar la mquina. Dado que hay sospechas de malware activo en el
ordenador, su estado de salud se vuelve rojo. Sophos Firewall proporciona ahora proteccin adicional
al obligar la aplicacin de polticas como la regla roja descrita anteriormente, eliminando cualquier
dao mientras tiene lugar el proceso de arreglo.

Resumen
El ltimo ejemplo de proteccin de amenazas avanzada es una demostracin sobresaliente del poder
y la simplicidad de la seguridad sincronizada mediante Sophos Security Heartbeat. Todo esto ocurre
sin intervencin manual, sin realizar investigaciones ni procesos manuales, y ofreciendo a la par una
visibilidad total y una auditora de actividades. Sin personal, sin los, sin retrasos. Tan solo seguridad
sincronizada que logra una mayor y ms rpida proteccin sin necesidad de contratar personal
adicional.
Las amenazas a las que se enfrentan las organizaciones hoy en da pueden dar miedo, y las respuestas
tpicas requieren un nivel de recursos, conocimientos especializados y personal con el que no
siempre cuentan la mayora de organizaciones. Synchronized Security cambia la dinmica de esto, al
proporcionar una mejor proteccin gracias a una gestin y unas comunicaciones simples pero potentes
entre soluciones anteriormente aisladas, y todo sin tener que aadir complejidades o personal. Las
organizaciones que implementan Sophos Security Heartbeat logran una visibilidad instantnea del
estado de salud de las estaciones de trabajo, localizan ms rpidamente las amenazas avanzadas y
responden automticamente a los incidentes.
Para obtener ms informacin y ver cmo la seguridad sincronizada y Sophos Security Heartbeat
pueden ayudarle a ganar la batalla en el beligerante mundo de hoy da, visite Sophos.com/heartbeat.

Monogrficos de Sophos. Octubre de 2015.

10

Sophos Security Heartbeat posibilita la sincronizacin de la seguridad

Sophos Security Heartbeat

Para obtener ms informacin, visite sophos.
com/es-es/heartbeat

Ventas en Espaa:
Tel.: (+34) 913 756 756
Correo electrnico: seusales@sophos.com
Oxford (Reino Unido) | Boston (EE.UU.)
Copyright 2015. Sophos Ltd. Todos los derechos reservados.
Constituida en Inglaterra y Gales e inscrita con el N. 2096520, en The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los dems productos y empresas mencionados son marcas comerciales o registradas de
sus respectivos propietarios.
2015.10.26 WP-NA (GH)