Академический Документы
Профессиональный Документы
Культура Документы
RECOMENDADAS
CON FIREWALLS
PARA BLOQUEAR EL
Este exploit en concreto utilizado por el Wanna y el Petya se conoce como EternalBlue. El EternalBlue permite
la ejecución remota de código mediante el envío de mensajes cuidadosamente diseñados a través de la red al
servicio SMB vulnerable en ordenadores que ejecutan Microsoft Windows.
En general, todos los sistemas en red, ya ejecuten Windows, Linux, Mac OS o cualquier otro sistema operativo,
dependen de una serie de servicios para la funcionalidad de red y, de vez en cuando, se descubren nuevas
vulnerabilidades en estos servicios que pueden tener consecuencias nefastas si se explotan con fines
maliciosos.
En el caso del exploit EternalBlue, Microsoft publicó rápidamente un parche una vez que se dio a conocer,
pero los hackers aprovecharon el hecho de que desplegar parches en organizaciones supone un trabajo
considerable, y pudieron lanzar estos ataques antes de que muchos sistemas se hubieran actualizado.
Incluso en las organizaciones más diligentes, siempre hay un desfase entre la detección de la vulnerabilidad
y el desarrollo del parche, y por esto es tan importante contar con tecnología de última generación líder para
proteger su red y sus endpoints de este tipo de ataque.
Así pues, ¿cómo puede proteger su organización impidiendo que estos ataques penetren en la red? Y si
de algún modo un ataque llega a penetrar en su red, ¿cómo puede evitar que se propague o se mueva
lateralmente e infecte otros sistemas a su paso?
Al igual que el exploit EternalBlue descrito arriba, normalmente estos ataques intentan enviar entradas
maliciosas a una aplicación o servicio del host para comprometerlo y conseguir cierto nivel de control para, en
última instancia, ejecutar un código, como una carga de ransomware en el caso del Wanna y el Petya.
Como resultado de esta nueva clase de malware basado en archivos, la tecnología de espacio seguro se ha
convertido en una capa de seguridad fundamental en el perímetro de la red. Afortunadamente, la tecnología de
espacio seguro en la nube no suele requerir la implementación de hardware o software adicional; simplemente
identifica los archivos sospechosos en la puerta de enlace y los envía a una infraestructura de espacio seguro
en la nube para detonar el contenido activo y supervisar el comportamiento durante un tiempo. Puede ser
sumamente efectiva en el bloqueo de amenazas desconocidas como nuevos ataques de ransomware antes
de que entren en la red.
ÌÌ Asegúrese de que tiene la protección adecuada, incluidos un motor IPS en un firewall de última
generación y de alto rendimiento y una solución de espacio seguro.
ÌÌ Reduzca el área de la superficie de ataque lo máximo posible revisando exhaustivamente todas las
reglas de enrutamiento de puertos a fin de eliminar cualquier puerto abierto no esencial. Un puerto abierto
representa una posible vía de entrada en su red. Siempre que sea posible, utilice una conexión VPN para
acceder a los recursos de la red interna desde el exterior en lugar del enrutamiento de puertos.
ÌÌ Asegúrese de proteger debidamente cualquier puerto abierto aplicando una protección IPS
adecuada a las reglas que gestionan el tráfico.
ÌÌ Aplique la tecnología de espacio seguro al tráfico de correo electrónico y web para garantizar que
todos los archivos activos sospechosos que lleguen a través de descargas web y archivos adjuntos de
correo electrónico se analicen debidamente para detectar comportamientos maliciosos antes de que
penetren en la red.
ÌÌ Minimice el riesgo de movimiento lateral dentro de la red segmentando las redes LAN en zonas
aisladas más pequeñas o redes VLAN protegidas y conectadas por el firewall. Asegúrese de aplicar
políticas IPS adecuadas a las reglas que gestionan el tráfico que atraviesa estos segmentos de la LAN
para evitar que los exploits, gusanos y bots se propaguen entre ellos.
ÌÌ Aísle los sistemas infectados automáticamente. Cuando se produzca una infección, es importante
que su solución de seguridad TI pueda identificar rápidamente los sistemas comprometidos y aislarlos
automáticamente hasta que se puedan limpiar (ya sea de forma automática o a través de una
intervención manual).
Host infectado
Internet
Firewall Conmutador
Host infectado
La práctica recomendada es segmentar la LAN en subredes más pequeñas utilizando zonas o redes VLAN y
conectarlas después a través del firewall, a fin de permitir la aplicación de una protección IPS y antimalware
entre los segmentos que pueda identificar y bloquear de forma efectiva las amenazas que intenten moverse
lateralmente en la red.
Zona/VLAN 2
Firewall
Conmutador Endpoint
Zona/VLAN 1
Se utilizan zonas o redes VLAN en función de la estrategia y el alcance de la segmentación de red, pero ambas
ofrecen unas funciones de seguridad similares y la opción de aplicar una seguridad y un control adecuados
sobre el movimiento de tráfico entre segmentos. Las zonas son ideales para estrategias de segmentación
más pequeñas o redes con conmutadores no administrados. Las VLAN son el método de preferencia para
segmentar redes internas en la mayoría de los casos y ofrecen una mayor flexibilidad y escalabilidad, pero
requieren el uso (y la configuración) de conmutadores de capa 3 administrados.
Si bien segmentar la red es una práctica recomendada, no hay una forma mejor que otra de hacerlo. Puede
segmentar la red por tipo de usuario (interno, contratista, invitado), por departamento (ventas, marketing,
ingeniería), por tipo de rol, dispositivo o servicio (VoIP, Wi-Fi, IoT, ordenadores, servidores) o cualquier
combinación que resulte adecuada para la estructura de su red. No obstante, por lo general es conveniente
segmentar las partes menos fiables y más vulnerables de la red del resto, y también segmentar grandes redes
en segmentos más pequeños, todo ello con el objetivo de reducir el riesgo de penetración y propagación de
amenazas.
Sophos XG Firewall
Sophos XG Firewall incluye toda la tecnología necesaria para ayudar a proteger su organización de los últimos
ataques como el Wanna y el Petya. En concreto, XG Firewall incluye uno de los motores IPS más efectivos y
con un mejor rendimiento del mercado, tal como ha confirmado NSS Labs recientemente. Nuestros patrones
IPS se actualizan frecuentemente para detectar las últimas vulnerabilidades y, en el caso del Wanna y el Petya,
habían recibido actualizaciones de patrones mucho antes de que se iniciaran los ataques. Y, desde los ataques
iniciales, se han añadido más patrones a fin de detectar nuevas variantes.
XG Firewall también permite una protección excelente contra la propagación de los ataques dentro de la
red pero, como en el caso de cualquier producto de seguridad, es necesario crear las condiciones para que
pueda cumplir con función. Una implementación y una configuración correctas son clave para reducir el área
de la superficie de ataque y minimizar el riesgo y el posible alcance de la propagación. XG Firewall ofrece
herramientas para una segmentación sencilla y flexible como zonas y redes VLAN para proteger su LAN y
reducir el riesgo de movimiento lateral.
Por ejemplo, XG Firewall funciona con Sophos Intercept X, nuestra solución antiransomware y
antivulnerabilidades probada para detener el ransomware en el endpoint. Comparten información sobre
el estado y las amenazas en tiempo real a través de nuestra tecnología patentada Security Heartbeat™ y
responden automáticamente a los ataques, identificando y aislando al instante los sistemas infectados de la
red mientras se limpian.
Y no tendrá que eliminar ni reemplazar ninguno de sus recursos actuales para disfrutar de todas las grandes
ventajas de XG Firewall, Intercept X y Seguridad Sincronizada. Puede desplegar XG Firewall junto a su firewall
existente e Intercept X junto a su cliente antivirus de escritorio actual. Juntos le brindarán una protección
inigualable contra el ransomware y otros ataques avanzados. Contará con una protección de última generación
contra las amenazas de última generación.
Más información
y evaluación gratuita en
es.sophos.com/xgfirewall