Anonim

Gorodenkoff / Shutterstock

Los posibles ataques, las vulnerabilidades de software y plataforma, el malware y los problemas de configuración incorrecta pueden representar serias amenazas para las organizaciones que buscan proteger datos privados, confidenciales o de propiedad. Afortunadamente, varias tecnologías, conocidas colectivamente como gestión unificada de amenazas (UTM), facilitan el uso de herramientas virtualizadas y / o basadas en dispositivos para proporcionar una cobertura de seguridad exhaustiva y completa.

Cuando se combinan con actualizaciones regulares, servicios de monitoreo y administración, y datos clave de investigación e inteligencia de seguridad, las organizaciones pueden erigir defensas utilizando UTM y una política de seguridad sólida para hacer frente a esta variedad de amenazas.

¿Qué implica la gestión unificada de amenazas?

La historia de la seguridad de la información y las tecnologías paliativas se remonta a la década de 1980, cuando los elementos de seguridad perimetral (a través de firewalls y enrutadores de detección) y protección contra malware (principalmente en forma de tecnologías antivirus tempranas) estuvieron disponibles. Con el tiempo, a medida que las amenazas evolucionaron en sofisticación y capacidad, otros elementos diseñados para proteger las redes y sistemas empresariales u organizacionales estuvieron disponibles para contrarrestar tales cosas. Estos incluyen comprobaciones de correo electrónico, detección de archivos, protección contra phishing y listas blancas y listas negras para direcciones IP y URL.

Desde mediados de la década de 1990 hasta la primera década del siglo XXI, hubo una increíble proliferación de soluciones puntuales para contrarrestar tipos específicos de amenazas, como malware, ataques basados ​​en IP, ataques distribuidos de denegación de servicio (DDoS) y ataques ilegales. sitios web con descargas automáticas. Esto condujo a una avalancha de soluciones de software y dispositivos de hardware diseñados para contrarrestar las clases individuales de amenazas. Desafortunadamente, una colección de sistemas de seguridad de enfoque único no puede evitar carecer de una coordinación consistente y coherente.

Por desgracia, esto no confiere la capacidad de detectar y mitigar los ataques híbridos que pueden comenzar con una URL deshonesta incrustada en un tweet o un mensaje de correo electrónico, continuar con una descarga automática cuando se accede a esa URL, y realmente comenzar cuando un keylogger instalado subrepticiamente se asocia con transmisiones cronometradas de datos capturados desde un cargador de puerta trasera. Peor aún, muchas de estas aplicaciones están basadas en la web y usan direcciones de puerto HTTP estándar, por lo que se hace necesaria una detección de contenido y actividad de alto nivel para detectar y luego contrarrestar las influencias no deseadas en el trabajo.

En pocas palabras, la premisa básica de UTM es crear arquitecturas informáticas de procesamiento potentes y personalizadas que puedan manejar, inspeccionar y (cuando sea necesario) bloquear grandes cantidades de tráfico de red a velocidades de cable o cercanas. Los mismos datos que se deben buscar para direcciones IP o URL en la lista negra se deben inspeccionar en busca de firmas de malware, probarse contra la fuga de datos y comprobarse para asegurarse de que los protocolos, las aplicaciones y los datos involucrados estén permitidos y sean benignos. Es por eso que las soluciones UTM típicas normalmente incluyen una gran cantidad de funciones, incluidas estas:

  • Los servicios proxy bloquean los detalles reveladores de las direcciones IP internas en las redes y examinan las comunicaciones y las transferencias de datos a nivel de aplicación.
  • La inspección de paquetes con estado distingue las comunicaciones de red legítimas de las formas de comunicación maliciosas sospechosas o conocidas.
  • La inspección profunda de paquetes permite verificar la porción de datos o la carga útil de los paquetes de red. Esta instalación no solo protege contra el malware, sino que también permite que las verificaciones de datos bloqueen la filtración de datos clasificados, privados, privados o confidenciales a través de los límites de la red. Este tipo de tecnología se llama prevención de pérdida de datos (DLP). La tecnología DPI también admite todo tipo de filtrado de contenido.
  • El descifrado de paquetes en tiempo real explota hardware especial (que esencialmente reproduce programas de software en forma de circuitos de alta velocidad para realizar análisis de datos complejos) para permitir una inspección profunda a velocidades de cable de red o cercanas. Esto permite a las organizaciones aplicar controles de nivel de contenido incluso a datos cifrados, y examinar dichos datos para el cumplimiento de políticas, el filtrado de malware y más.
  • El manejo del correo electrónico incluye detección y eliminación de malware, filtrado de spam y verificación de contenido para phishing, sitios web maliciosos y direcciones IP y URL en la lista negra.
  • La detección y bloqueo de intrusos observa los patrones de tráfico entrante para detectar y responder a los ataques DDoS, así como los intentos más matizados y malintencionados para violar la seguridad de la red y el sistema u obtener acceso no autorizado a los sistemas y datos.
  • El control de aplicaciones (o filtrado) observa las aplicaciones en uso, especialmente las aplicaciones y servicios basados ​​en la web, y aplica la política de seguridad para bloquear o privar a las aplicaciones no deseadas o no autorizadas de consumir recursos de red o lograr el acceso no autorizado a (o la transferencia) de datos.
  • La red privada virtual (VPN) o los dispositivos de acceso remoto permiten a los usuarios remotos establecer conexiones privadas seguras a través de enlaces de redes públicas (incluido Internet). La mayoría de las organizaciones utilizan dichas tecnologías para proteger el tráfico de la red de la indagación mientras está en ruta del remitente al receptor.

Los dispositivos UTM modernos incorporan todas estas funciones y más al combinar circuitos de red rápidos y potentes para fines especiales con instalaciones informáticas de uso general. La circuitería personalizada que expone el tráfico de red a análisis detallados y minuciosos y un manejo inteligente no ralentiza los paquetes benignos en tránsito. Sin embargo, puede eliminar paquetes sospechosos o cuestionables de los flujos de tráfico en curso, entregándolos a programas y filtros. A su vez, estas agencias pueden realizar análisis complejos o sofisticados para reconocer y frustrar ataques, filtrar contenido no deseado o malicioso, evitar la fuga de datos y asegurarse de que las políticas de seguridad se apliquen a todo el tráfico de red.

Proveedores unificados de gestión de amenazas

Los dispositivos UTM generalmente toman la forma de dispositivos de red de propósito especial que se ubican en el límite de la red, a caballo entre los enlaces que conectan las redes internas a las redes externas a través de enlaces de alta velocidad a proveedores de servicios o compañías de comunicación.

Por diseño, los dispositivos UTM coordinan todos los aspectos de la política de seguridad, por lo que aplican un conjunto coherente y coherente de controles y equilibrios al tráfico de red entrante y saliente. La mayoría de los fabricantes de dispositivos UTM construyen sus dispositivos para trabajar con consolas de administración centralizadas basadas en la web. Esto permite a las compañías de administración de red instalar, configurar y mantener dispositivos UTM para sus clientes. Alternativamente, los departamentos de TI centralizados pueden hacerse cargo de esta función por sí mismos. Tal enfoque asegura que las mismas verificaciones, filtros, controles y aplicación de políticas se apliquen a todos los dispositivos UTM por igual, evitando las brechas que pueden exponer la integración de múltiples soluciones de puntos dispares (firewalls discretos, dispositivos de correo electrónico, filtros de contenido, verificadores de virus, etc.).

Elegir los mejores proveedores de UTM

Gartner reportó $ 2.18 mil millones en ventas para el mercado UTM en 2017. Espera que este mercado continúe creciendo junto con la inversión general en TI en el futuro previsible (las tasas en el rango de 2-5% se aplican para la mayoría de las economías, pero son más altas para las economías líderes como los países BRIC).

Los compradores inteligentes buscan características como las descritas en la sección anterior (firewalls sofisticados con inspección profunda de paquetes, detección y prevención de intrusiones, control de aplicaciones, VPN, filtrado de contenido, protección de pérdida / fuga de datos, protección contra malware, etc.). En estos días, los compradores también buscan estas características:

  • Soporte para tecnologías de virtualización sofisticadas (para clientes y servidores virtuales, así como implementaciones virtualizadas para dispositivos UTM)
  • Controles de punto final que imponen políticas de seguridad corporativas en dispositivos remotos y sus usuarios
  • Controladores inalámbricos integrados para consolidar el tráfico alámbrico e inalámbrico en el mismo dispositivo, simplificando la implementación y aplicación de políticas de seguridad, y reduciendo la complejidad de la red

Finalmente, los dispositivos UTM avanzados también deben admitir arquitecturas flexibles cuyo firmware se pueda actualizar fácilmente para incorporar nuevos medios de filtrado y detección y para responder al panorama de amenazas en constante cambio. Los fabricantes de UTM generalmente operan equipos de seguridad grandes y continuos que monitorean, catalogan y responden a las amenazas emergentes lo más rápido posible, brindando advertencias y orientación a las organizaciones del cliente para evitar la exposición innecesaria a riesgos y amenazas.

Algunos de los nombres más conocidos en la industria informática ofrecen soluciones UTM a sus clientes, pero no todas las ofertas son iguales. Busque soluciones de compañías como Cisco, Netgear, SonicWall y Juniper. Seguro encontrará ofertas que brinden la combinación adecuada de funciones y controles, junto con características de tamaño, velocidad y costo diseñadas para satisfacer sus necesidades de seguridad sin romper su presupuesto.

Certificaciones de infosec de TI que abordan UTM

Como confirma una visita a la encuesta periódica de certificaciones de seguridad de la información en SearchSecurity, actualmente hay más de 100 credenciales activas y en curso disponibles en este amplio campo. Sin embargo, no todos abordan UTM directa o explícitamente. Si bien no existe una credencial que se centre exclusivamente en este aspecto de la seguridad de la información, las siguientes certificaciones bien conocidas incluyen la cobertura de este tema en sus objetivos de examen o el conjunto de conocimientos comunes asociados que los candidatos deben dominar:

  • Auditor de Sistemas de Información Certificado por ISACA (CISA)
  • Certificaciones de seguridad de Cisco: CCNA Security, CCNP Security, CCIE Security
  • Certificaciones de seguridad de enebro: JNCIS-SEC, JNCIP-SEC, JNCIE-SEC, JNCIA-SEC
  • (ISC) 2 Profesional certificado en seguridad de sistemas de información (CISSP)
  • SANS GIAC Certified Incident Handler (GCIH)
  • Administrador de seguridad de Windows SANS GIAC (GCWN)
  • Centro Global de Certificaciones de Seguridad Pública (CHPP y CHPA Niveles I-IV)

De estas credenciales, los elementos generalistas como CISA, CISSP, CHPP / CHPA y las dos certificaciones SANS GIAC (GCIH y GCWN) brindan diferentes niveles de cobertura sobre los principios básicos que rigen DLP y las mejores prácticas para su aplicación y uso dentro del contexto de una política de seguridad bien definida. De estos, el CISSP y el CISA son los certificados más avanzados y exigentes. Por otro lado, las credenciales de Cisco y Juniper se concentran más en los detalles de plataformas y sistemas específicos de aquellos proveedores diseñados para ofrecer soluciones UTM que funcionen.