Una de las tendencias que más auge tiene en cuanto a la manera en que utilizamos los servicios de la Internet, es por medio de aplicaciones.
Tenemos un número abismal de ellas, tanto para temas de Salud, Trabajo, Escuela, Música, Profesiones, etc. Todas ellas manejando información valiosa para quienes las emplean, por lo que la mayoría de ellas ya manejan tráfico cifrado haciendo más difícil su control ya que muchas están utilizando puertos no estándar para su comunicación.
Para las empresas, es indispensable contar con una herramienta la cual sea capaz de poder autorizarlas y controlarlas de una manera segura y eficiente, evitando que malware pueda infiltrase en la aplicación o trate de aparentar serlo.
La plataforma de seguridad de Palo Alto Networks integra una patente llamada APP-ID que es gestor de aplicación de control, con la cual usando múltiples técnicas de identificación, puede determinar con exactitud la identidad de la aplicación que está viajando en su red.
Hasta este punto pudiéramos decir, que cualquier NGFW lo podría hacer, pero Palo Alto con su APP-ID, puede hacer esta identificación sobre cualquier puerto, protocolo, táctica evasiva o incluso si hace uso de puertos cifrados (TLS/SSL o SSH), A diferencia de la demás competencia que solo hace sobre puertos standard y con ciertas dificultades.
La tarea principal de APP-ID es la de identificar las aplicaciones y proveer el conocimiento pleno necesario para poder habilitar de manera segura las aplicaciones en su organización.
Gracias al conocimiento provisto por la herramienta, brinda un completo entendimiento sobre el valor del negocio y del riesgo asociado de las aplicaciones que están viajando en la red corporativa.
Cuando esta herramienta se usa en conjunto con User-ID, puede uno ver exactamente la identidad del usuario que está empleando dicha aplicación, ver sus consumos, amenazas, tráfico no deseado que trata de ocultarse sobre la aplicación legítima y muchas cosas más.
Gracias a que la Plataforma de Palo Alto integra un potente reporteador, uno puede obtener estadísticas en tiempo real o hacer un comparativo de uso en determinados intervalos de tiempo y ver cómo ha sido el uso que ha tenido dicha aplicación y que archivos viajaron a través de ella.
A continuación, se presenta un diagrama sobre cómo opera App-ID:
Palo Alto cuenta con una red de inteligencia muy amplia y activa, por lo que nuevas aplicaciones son continuamente añadidas a la base de datos semanalmente.
Pero, ¿Cómo funciona la tecnología de clasificación de Tráfico de APP-ID?
El uso de hasta 4 diferentes técnicas de clasificación, APP-ID determina que aplicación es tan pronto el trafico llega al firewall, sin considerar el puerto, protocolo, encriptación o táctica evasiva.
- Firmas de aplicaciones:
El uso de las firmas es la primera sección para poder mirar las propiedades únicas de una aplicación, así como las características de transacción de paquetes con el fin de identificar correctamente la aplicación sin importar el puerto o protocolo empleado. El uso de la firma permite identificar si la aplicación está siendo utilizada bajo su puerto standard o no.
- Descifrado de TLS/SSL y SSH:
Si APP-ID determina que se hace uso de TLS/SSL y existe una política para realizar el descifrado del tráfico activa, ésta se aplica y entonces el tráfico es pasado por los mecanismos de identificación necesarios.
- Decodificación de protocolos y aplicación:
El uso de decodificadores para protocolos conocidos, son usados para aplicar una detección adicional basada en el contexto de las firmas, con el fin de detectar otras aplicaciones que pueden ir tunelizadas dentro de un protocolo.
Validando ésta información, se tiene un apoyo extra en identificar funciones individuales dentro la misma aplicación. Por ejemplo: El compartir archivos dentro de una aplicación de mensajería como WhatsApp o Skype.
Permite también el identificar archivos u otro contenido para ser escaneado en busca de amenazas o datos sensibles.
- Heurística:
En ciertos casos, muchas aplicaciones utilizan técnicas evasivas para evitar ser detectadas por filtros como lo son basados en firmas o en análisis de protocolos.
En estas situaciones es necesario aplicar la heurística para poder identificar ciertas aplicaciones como P2P o VoIP apps las cuales usan cifrados propios.
En conjunto con las demás técnicas nos proveen una visibilidad dentro de las aplicaciones que nos ayudan a tener una identificación positiva de las mismas.
Con el uso de estas herramientas, APP-ID es parte fundamental de la plataforma de seguridad de Palo Alto Networks ayudando a su equipo de seguridad a tener un control completo sobre todas las aplicaciones que corren sobre la red.
{{cta('a9819265-de9a-4a9a-8c8e-9a1b887fe39a')}}
{{cta('35008bef-15dd-477b-baf3-dbcb0552d308')}}