El valor de la plataforma de seguridad de nueva generación

La opinión de Federico García, Ingeniero de Seguridad en Distecna

Como consecuencia de la combinación de entornos de TI complejos y modernos, y de la rápida evolución del panorama de amenazas, muchas empresas tienen que enfrentarse al reto de controlar los costos a la vez que protegen de forma eficaz los sistemas de los que dependen sus operaciones.

En numerosos casos, los retos se deben a la combinación de soluciones de seguridad demasiado dispares entre sí que no comparten contexto y al hecho de no disponer de suficiente tiempo o conocimientos.

Para abordar estos desafíos, las organizaciones buscan formas de consolidar su infraestructura de seguridad con el fin de mejorar su estrategia de seguridad y reducir el costo total de propiedad.

La plataforma de seguridad de nueva generación de Palo Alto Networks permite impulsar una empresa mediante el uso de un motor de software de un único paso que proporciona información completa del contexto de la aplicación, su contenido y el usuario. Cuando la plataforma observa primero el tráfico de la red, el software de un único paso determina de inmediato tres elementos esenciales que impulsan su política de seguridad: la identidad de las aplicaciones, con independencia del puerto; el contenido, malicioso o de otro tipo; y la identidad del usuario. Con estos tres elementos conformando la base de su política de seguridad, puede reducir la superficie expuesta a amenazas, prevenir ataques y asignar políticas a usuarios.

Gracias a la plataforma de seguridad de nueva generación, las empresas podrán conseguir lo siguiente:

  • Reducir la superficie expuesta a amenazas. Clasificar todo el tráfico, en todos los puertos y en todo momento. Hoy en día, las aplicaciones y su contenido asociado pueden eludir fácilmente un firewall basado en puertos mediante diversas técnicas. La plataforma de seguridad de Palo Alto Networks aplica de forma nativa múltiples mecanismos de clasificación al flujo de tráfico para identificar las aplicaciones, las amenazas y el malware. Se clasifica todo el tráfico, con independencia del puerto, el tipo de cifrado (SSL o SSH) o las técnicas evasivas empleadas. Las aplicaciones no identificadas (que suelen representar un pequeño porcentaje del tráfico, pero suponen un elevado riesgo potencial) se categorizan automáticamente para su gestión sistemática. Con el modelo de control positivo, un diseño exclusivo de esta plataforma, puede habilitar políticas según las aplicaciones o funciones y bloquear todo lo demás (de forma implícita o explícita), con lo que se reduce la superficie expuesta a amenazas.
  • Vincular políticas a usuarios. A fin de mejorar la estrategia de seguridad y reducir los tiempos de respuesta ante incidentes, resulta esencial asignar el uso de una aplicación a un usuario y un tipo de dispositivo, así como poder aplicar ese contexto a sus políticas de seguridad. La integración con una amplia gama de repositorios de usuarios empresariales permite identificar al usuario y el dispositivo de Microsoft Windows, Mac OS X, Linux, Android o iOS que están accediendo a la aplicación. La combinación de la visibilidad y el control sobre los usuarios y los dispositivos implica que puede habilitar de forma segura el uso de cualquier aplicación que atraviese la red, con independencia de la ubicación del usuario o el tipo de dispositivo empleado. La determinación del contexto de las aplicaciones específicas en uso, el contenido o la amenaza que pueden conllevar y el usuario o el dispositivo asociados ayuda a optimizar la gestión de políticas, mejorar la estrategia de seguridad y agilizar la investigación de incidentes.
  • Prevenir ataques conocidos y desconocidos. Una vez reducida la superficie expuesta a amenazas permitiendo aplicaciones concretas y denegando todas las demás, pueden aplicarse métodos de prevención de ciberataques coordinados a fin de bloquear sitios de malware conocidos y frenar exploits de vulnerabilidad, virus, spyware y consultas de DNS maliciosas.

El malware personalizado o desconocido se analiza e identifica ejecutando los archivos y observando directamente su comportamiento malicioso en un espacio aislado virtualizado. Cuando se descubre nuevo malware, se genera y entrega automáticamente una firma para el archivo infectado y para el tráfico relacionado. Las políticas de prevención de amenazas solo se aplican a flujos de aplicaciones específicos, no de manera global a puertos determinados.

(*) Federico García: Ingeniero de Seguridad en Distecna