Las amenazas de seguridad son cada vez más sofisticadas. Esto hace que en muchas ocasiones pasen desapercibidas para las organizaciones que las sufren. Es habitual que transcurran varios meses antes de que el ataque se detecte y, normalmente, la víctima sólo se entera cuando es alertada por las fuerzas de seguridad y cuando ya es demasiado tarde para evitar pérdidas tanto para el negocio como para la reputación de la marca.
Detectar una amenaza lo antes posible no siempre es sencillo. Para ello, es necesario contar con una infraestructura de seguridad basada en los conceptos de conocimiento e inteligencia, que sea capaz de relacionar en tiempo real los datos de toda la red para analizarlos, descubrir comportamientos anómalos y hacer cumplir las políticas de seguridad de forma automatizada. La buena noticia es que ya existen herramientas tecnológicas que facilitan esta labor.
Cisco, por ejemplo, propone, mediante Cisco Cyber Threat Defense, una nueva aproximación que abarca conceptos como visibilidad de la red, control, contexto e inteligencia. Es una oferta integral que permite a la organización detectar amenazas y entender su funcionamiento a través de distintas capacidades:
- Identificar patrones sospechosos en el tráfico de red.
- Analizar los archivos que recorren la red.
- Identificar vulnerabilidades que pueden comprometer el sistema.
- Descubrir actividades sospechosas que puede propagarse de forma furtiva durante periodos de tiempo ilimitados.
- Implementar automáticamente cambios en las políticas de seguridad en función del comportamiento de la red.
Esta propuesta global está compuesta por la integración de distintas soluciones de Cisco, entre las que destacan Cisco FireSIGHT, Cisco ISE, Trustsec, Lancope StealthWatch y NetFlow. Trabajando en conjunto, estos productos son capaces de detectar en tiempo record amenazas a partir de la monitorización del tráfico de la red y evitar sus efectos maliciosos poniendo en cuarentena los dispositivos afectados.
FireSIGHT monitoriza continuamente la red para identificar en tiempo real los cambios que se están produciendo en sus recursos y operaciones, lo que permite optimizar las políticas de seguridad de acuerdo a cada circunstancia. En el momento en el que se identifica una amenaza, entra en acción Cisco ISE (Identity Services Engine), una plataforma de gestión de políticas de seguridad que reúne datos sobre quién y qué está accediendo a la red con el fin de segmentar la red y controlar el acceso de acuerdo al rol de cada usuario, con independencia de si accede desde un dispositivo fijo, móvil o VPN para, de esta forma, contener las amenazas y poner en cuarentena los dispositivos que han podido ser afectados y evitar la propagación del ataque.
A su vez, esta política de segmentación centralizada definida por software es distribuida por Identity Services Engine a los dispositivos de red provistos con la tecnología TrustSec, con el fin de aplicar las decisiones sobre políticas en toda la red bloqueando el acceso a los puntos infectados. TrustSec clasifica el tráfico de acuerdo a la identidad de los terminales y no sobre la dirección IP. Al no basarse tampoco en listas de control de acceso (ACL), facilita el cambio de políticas sin tener que reconfigurar el diseño de la red.
El cuarto componente de esta solución integral de detección de amenazas es StealthWatch, solución que a través de la recopilación, agregación y análisis del flujo de datos de la red, es capaz de ofrecer un estudio y una visión global del tráfico de toda la red, ayudando a los responsables de la seguridad a obtener un conocimiento en tiempo real de los usuarios, dispositivos y tráfico, lo que permite dar una respuesta rápida y eficaz a los incidentes de seguridad antes, durante y después de que se produzcan.
Por último, Cisco cuenta también en esta lucha contra la ciberdelincuncia con el conocimiento de la red que le ofrece NetFlow, un protocolo de red que, de forma transparente, es capaz de recolectar toda la información sobre el tráfico IP, y que StealthWatch es capaz de agregar a un único dispositivo de alta velocidad.
La combinación de estas herramientas de Cisco permite dar una respuesta contundente a las amenazas de seguridad logrando reducir el tiempo de detección de un ataque a una red corporativa a un promedio de 17 horas. Todo un hito en el ámbito de la seguridad.