Check Point IPS y Firewall Core Security: un enfoque de seguridad por capas

Jun 26, 2020 | Ciberseguridad

Por Winston Lalgee y Eddie Doyle

No mucho después de que se estableció Internet, los atacantes descubrieron una nueva forma de comprometer los activos de TI. Este nuevo exploit se logró al encontrar errores en el software empresarial o en los protocolos utilizados para la comunicación, como HTTP, SMTP, FTP, entre otros. Estos errores o vulnerabilidades se aprovecharon para lanzar ciberataques sofisticados. Los atacantes escribirían código malicioso que explotaría estas vulnerabilidades de software. Cuando se compila, el código malicioso a menudo se ofusca en aplicaciones, archivos o protocolos confiables y se difunde por Internet. Estas hazañas traspasarían las defensas perimetrales, ya que los firewalls eran incapaces de detectar este tipo de ataques. Una vez dentro de la red, las vulnerabilidades pueden provocar la pérdida de datos, la toma de cuenta, la denegación de servicio y muchas otras formas de ataques.

Para contrarrestar intrusiones basadas en aplicaciones o protocolos, los ingenieros de seguridad desarrollaron el Sistema de detección de intrusiones (IDS). Un IDS escanea paquetes y los compara con una base de datos de firmas de exploits conocidos. Algunas soluciones IDS también recolectan muestras de protocolos para realizar análisis heurísticos (también conocidos como «regla general») para detectar exploits desconocidos basados ​​en anomalías de comportamiento. Usando estos dos métodos, un IDS detectará el ataque, registrará el evento y creará alertas que brinden visibilidad a los administradores sobre el evento sospechoso. Desafortunadamente, un IDS solo detecta y, por lo tanto, permite que el ataque tenga éxito, mientras intenta mitigarlo después del evento. Esto puede provocar daños importantes y pérdida de datos. La recuperación requerirá investigación y remediación que requieren mucho tiempo en el mejor de los casos, o una falla catastrófica del negocio en el peor.

En lugar de detección, se desarrolló el Sistema de prevención de intrusiones (IPS) para prevenir ataques. Un IPS detectará y bloqueará las intrusiones antes de que afecten a los entornos de TI; resultando en menos tiempo, esfuerzo y costo para investigar, remediar y restaurar las operaciones comerciales. Un IPS también genera registros detallados para los ataques detectados y evitados, proporciona alertas sobre anomalías en la red y proporciona un contexto útil para la investigación por parte de profesionales de la seguridad.

¿Por qué necesitas un IPS?

Si todo el software de su organización estuviera libre de vulnerabilidades de seguridad, no necesitaría un IPS. Sin embargo, las decenas de miles de líneas de código en las que se basa su organización seguramente contienen múltiples fallas de seguridad (algunas conocidas y otras esperando ser descubiertas). Además, en la carrera por traer productos de software al mercado, los desarrolladores a menudo están más preocupados por hacer que su software funcione correctamente que por garantizar que el software esté libre de fallas de seguridad. Algunas organizaciones pueden continuar utilizando software heredado que ya no recibe actualizaciones de software o pueden optar por aprovechar las aplicaciones locales, que se implementan en la producción con una conciencia de vulnerabilidad limitada. En todos los escenarios, la seguridad puede no ser lo más importante, lo que lleva a muchas vías explotables para los atacantes.

Los investigadores de amenazas cibernéticas encuentran e informan vulnerabilidades de seguridad a los proveedores de software que emiten parches para reparar las vulnerabilidades. En los mejores casos, los proveedores de nivel 1 pueden tardar 6 meses o más en desarrollar y distribuir parches, lo que deja a los clientes totalmente abiertos a intrusiones. En el peor de los casos, las organizaciones pueden tener sistemas heredados que ya no son compatibles con el proveedor, lo que brinda opciones limitadas al cliente.

La cuchilla de la aplicación IPS de Check Point se activa con un clic del mouse; no se requiere hardware, firmware ni controladores. Nuestro IPS se puede implementar en detección, prevención o en modo mixto, proporcionando una configuración de seguridad personalizada para cualquier organización. El motor IPS de Check Point proporciona un conjunto único de capacidades tales como:

  • Interfaz de administración simple totalmente integrada en la GUI de administración central
  • Navegación fácil desde la descripción general de nivel empresarial hasta la captura de paquetes para un solo ataque
  • Acelerador de recursos para que la alta actividad de IPS no afecte la funcionalidad de otras características de seguridad
  • Herramienta de optimización automatizada ( TailoredSafe ) que identifica configuraciones erróneas, verdaderos / falsos positivos, protecciones contra golpes y expone aplicaciones vulnerables que están en uso en la red
  • Generación automática de políticas IPS para dispositivos IoT, personalizadas para los dispositivos IoT utilizados en la organización
  • Cobertura de seguridad n. ° 1 en la industria para las vulnerabilidades de Microsoft y Adobe

Las organizaciones pueden usar un IPS como una capa adicional de seguridad en una red. IPS de Check Point monitorea el flujo de paquetes para que pueda usarse para controlar el uso de la red de ciertas aplicaciones. Esto es parte de la gestión de vulnerabilidades, como evitar el uso de versiones débiles de SSL. Un IPS a menudo se usa para imponer medidas preventivas contra exploits de software conocidos y desconocidos, incluso antes de que los administradores de TI implementen parches de proveedores. Este enfoque a menudo se conoce como parche virtual y se puede usar para proteger tanto a los clientes como a los servidores.

Cómo funcionan juntos Check Point IPS y Firewall Blades

El blade de software de firewall realiza una inspección profunda de paquetes en conexiones nuevas o existentes para determinar qué paquetes están permitidos o denegados. Además, el firewall realiza una inspección de protocolo ( protecciones centrales ) para identificar el uso indebido del protocolo al comparar el comportamiento con una línea base conocida ( detección basada en anomalías ). Esta primera capa, se conoce como Control de acceso a la red. Nuestro IPS realiza otra capa de inspección para identificar ataques basados ​​en la red que aprovechan las vulnerabilidades de las aplicaciones. El motor IPS compara el flujo de paquetes con una base de datos de miles de firmas y protecciones preventivas y de comportamiento, para identificar una coincidencia antes de invocar las acciones : prevenir o detectar. La combinación de ambas tecnologías proporciona a las organizaciones múltiples capas de defensa, que permiten excelentes capacidades de detección y prevención de amenazas conocidas y, en algunos casos, ataques futuros.

Conclusión

A medida que nos conectamos cada vez más, el paisaje del ciberataque continúa evolucionando. De hecho, uno puede identificar claramente las fases generacionales de los ataques cibernéticos y nuestras respuestas tecnológicas, en relación con la seguridad cibernética. Comprender cómo han avanzado las empresas y los ciberdelincuentes nos ayuda a aclarar la necesidad de una tecnología de prevención de amenazas de múltiples capas y, lo que es más importante, dónde IPS encaja dentro de la estrategia general.

Un IPS es una tecnología imprescindible para todas las corporaciones y se adapta de manera efectiva a la protección contra ataques de la generación tres, como se describe a continuación:

  • st Generación – ataques de malware que afectan a los ordenadores independientes, que afectó a todos los negocios; respuesta de seguridad: antivirus .
  • ª Generación – ataques dirigidos que emanan de fuentes anónimas a través de Internet; respuesta de seguridad – Cortafuegos .
  • ª Generación – ataques que aprovechan las vulnerabilidades de aplicaciones; respuesta de seguridad – IPS .
  • ª Generación – dirigidos desconocidas, ataques, polimórficos y evasivas; respuesta de seguridad: Anti-Bot y Sandboxing .
  • ª generación – a gran escala, multi-vector, las mega ataques utilizando herramientas de ataques anticipados; respuesta de seguridad – Prevención avanzada de amenazas .
  • th Generaciones – ataques de alto poder destructivo que las herramientas de apalancamiento que puede piratear todo lo digital; respuesta de seguridad: IOT y Nano Security .

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *