Al tiempo que las amenazas en ciberseguridad crecen en sofisticación, las soluciones de seguridad que las protegen deben también evolucionar. Los desarrolladores ya no se adhieren de forma estricta al estándar de mapeo basado en Puerto/Protocolo/Aplicación. Las nuevas aplicaciones son capaces de operar en puertos no estándar, así como en puertos que mutan su función durante el tiempo a través de claves secretas entre la app y el server (Port Hopping). Igualmente, los usuarios pueden forzar las aplicaciones para ejecutarse en puertos no estándar, volviendo así a los firewalls de primera generación inefectivos en el ambiente de amenazas actual.
Es aquí donde entrar a tener un “next-generation firewall” (NGFW), la siguiente etapa tecnológica de firewall y sistemas de prevención de intrusión (IPS, por sus siglas en ingles).
Una forma simple de explicar que es un NGFW es que es una plataforma de redes que combina el firewall tradicional con un control de aplicaciones para IPS, sin embargo, el empacar los firewalls tradicionales con el control de aplicaciones IPS no da como resultado un NGFW. Un verdadero NGFW enfatiza la integración nativa, clasifica el tráfico basado en las aplicaciones y no en puertos, realiza inspecciones profundas al tráfico y bloquea los ataques antes de que la red pueda ser infiltrada. Aquí mostramos una lista de las características principales de un verdadero NGFW para que tomes una mejor decisión de compra.
{{cta(‘b74494dd-1372-4000-8adc-30bf37f93d98’)}}
Identificar y controlar aplicaciones y funciones en todos los puertos, todo el tiempo.
Un NGFW debe poder identificar el tráfico en todos los puertos en todo momento y clasificar cada aplicación, mientras monitorea los cambios que pudieran indicar la posibilidad de uso de una función no permitida. Por ejemplo, utilizar Citrix GotoMeeting para compartir un escritorio está permitido, pero que un usuario externo tome el control no lo está.
Identificar usuarios independientemente del dispositivo o la dirección IP.
Conocer quien está usando que aplicaciones en la red y quien está transfiriendo archivos que pudieran contener amenazas, fortalece las políticas de seguridad de una organización y reduce los tiempos de respuesta ante un incidente. Un NGFW debe poder identificar la identidad de un usuario desde múltiples fuentes, sean estas soluciones VPN, controladores WLAN, servidores de directorio, etc. Y permitir políticas que de forma segura habiliten aplicaciones para un usuario, un grupo de usuarios, direcciones de entrada o salida.
Identificar y controlar tácticas de evasión de seguridad.
Existen dos diferentes clases de aplicaciones que evaden las políticas de seguridad: aplicaciones que están diseñadas para evadir seguridad, como proxies externos y túneles encriptados no relacionados a una VPN (ej. CGIProxy) y estos pueden ser adaptados para alcanzar la misma meta como, por ejemplo, herramientas de administración de un servidor / desktop (ej. TeamViewer). Un NGFW debe tener técnicas específicas para identificar y controlar todas las aplicaciones, independientemente del puerto, el protocolo, el tipo de encripción, u otras tácticas evasivas y saber que tan seguido la inteligencia del Firewall en este tema está siendo actualizada.
Decriptar e inspeccionar SSL y controlar SSH
Un NGFW debe ser capaz de reconocer y decriptar SSL y SSH en cualquier puerto, sea este de entrada o salida, ser capaz de aplicar políticas sobre lo decriptado y ofrecer el hardware necesario y elementos de software para realizar decripción SSL simultáneamente a través de decenas de miles de conexiones SSL con rendimiento predecible.
{{cta(‘6931b3e6-9263-4ab3-ac59-b188e5f0f000’)}}
Administrar tráfico desconocido sistemáticamente
El tráfico desconocido representa un riesgo significativo y está altamente correlacionado con las amenazas que se mueven a lo largo de la red. Un NGFW debe clasificar y administrar todo el tráfico en todos los puertos en una ubicación y rápido analizar el tráfico conocido y desconocido para determinar y es una aplicación propietaria o interna, una aplicación comercial sin firma o una amenaza.
Proteger la red contra amenazas conocidas y desconocidas en todas las aplicaciones y todos los puertos
Las aplicaciones habilitan negocios, pero también actúan como un vector de ciberamenazas, al utilizar tecnologías que son objetivos frecuentes para intrusiones. Un NGFW debe identificar que aplicación, como primer paso, determinar las funciones que son permitidas o serán bloqueadas y proteger la organización de amenazas conocidas o desconocidas, de puertas de entrada, así como de virus, malware o spyware. Esto debe ser hecho automáticamente con actualizaciones casi en tiempo real para proteger de las nuevas amenazas que a nivel global sean descubiertas.
Entregar control consistente de políticas sobre todo el tráfico, independientemente de la ubicación del usuario o el dispositivo utilizado.
Un NGFW debe proveer consistencia en la visibilidad y control sobre el tráfico, independientemente de donde este el usuario y que tipo de dispositivo esté utilizando sin ningún tipo de degradación en el rendimiento para este usuario, ni agregar trabajo administrativo al administrador de la red, o costos excesivos a la organización.
Simplificar la seguridad de la red
Para simplificar y administrar de manera efectiva los procesos de seguridad y los usuarios, un NGFW debe habilitar una fácil traducción de las políticas del negocio hacia reglas de seguridad. Esto permitirá crear políticas que estén alineadas a iniciativas de negocio.
Realizar tareas intensivas en poder de computo sin degradar el rendimiento
Un incremento en características de seguridad a menudo significa un menor rendimiento y capacidad de carga. Un NGFW deberá entregar la visibilidad y el control requeridos, incluyendo e escaneo del contenido, que requiere de un alto poder de computo, en redes de alta carga de trabajo y con muy poca tolerancia a la falla en latencia.
Entregar las mismas funciones de Firewall tanto en hardware como en forma virtualizada
Los ambientes virtualizados y el cloud computing introducen nuevos retos de seguridad, incluyendo funcionalidad inconsistente, administración dispar y una falta de puntos de integración. Un NGFW debe proveer flexibilidad e integración profunda con centros virtuales de datos en ambientes públicos o privados para facilitar la creación de políticas centradas en aplicaciones.
{{cta(‘ca35bcab-76ee-41a6-96ee-53f03034a25e’)}}