La seguridad sincronizada o por qué necesitas una comunicación entre todos los componentes de seguridad

entrevista-sophos-muycanal
Por Óscar López, Sales Engineer de Sophos Iberia

La ciberseguridad, sigue siendo este año 2020 un mercado al alza. Principalmente, debido a las cada vez más complejas técnicas de ataque de los ciberdelincuentes. Cada día, llegan a los laboratorios de Sophos más de 400.000 muestras de malware único. Con estas cifras, es cuestión de tiempo que seamos atacados, por lo que debemos estar preparados para el fatídico día. Necesitamos herramientas que no sólo nos protejan, sino que además, interfieran lo más mínimo en el día a día de los trabajadores y, por supuesto, que nos permitan seguir una estrategia de confianza cero o “Zero trust”, es decir, supondremos que incluso los administradores pueden verse afectados. De hecho, lejos ha quedado el tiempo en que los administradores podían hacer y deshacer lo que ellos quisieran.

Una de las necesidades para realizar una configuración “zero trust” es que cada uno de los componentes de seguridad conozcan la existencia de los demás y que, además, puedan trabajar entre ellos, colaborar entre sí. De este modo, si un administrador se ve infectado con un malware, su endpoint debe de hablar con el firewall para que éste le bloquee el acceso, por ejemplo, a la DMZ donde se encuentran todos los servidores. Así, estamos evitando que un administrador, que a priori tiene acceso para todo, pueda acceder a una zona sensible hasta que su máquina no esté limpia.

Sophos ha sido pionero en trabajar con la seguridad sincronizada

En esto se ha especializado Sophos, en conseguir esta comunicación entre sus diferentes componentes, lo que hemos llamado Seguridad Sincronizada. Lo primero para conseguirla, es que cada uno de sus elementos sea líder, no basta con poner a hablar elementos que, o bien no lo son o bien, no están óptimamente integrados. Los elementos de “Sophos Syncronized Security” son líderes en sus respectivos cuadrantes de los principales analistas del mercado pero además, Sophos como fabricante, desarrolla todos y cada uno de los elementos, si bien es cierto que algunos de ellos provienen de compras, rápidamente fueron integrados y desde entonces se desarrollan íntegramente por el fabricante, por lo que esa comunicación entre elementos es nativa. Sophos ha sido pionero en trabajar con la seguridad sincronizada, por lo que le lleva mucha ventaja a otros fabricantes que ahora comienzan a hablar de esta conexión entre Endpoint y Firewall.

Synchronized-Security1

Además, no solo dispone de comunicación firewall endpoint, también puede comunicarse con el resto de su portfolio, por ejemplo:

  • MDM o endpoint y Wireless, en caso de que el móvil o el endpoint se vea comprometido se le retira el SSID de WIFI.
  • Endpoint – Email: en caso de que el usuario haga clic en algún enlace malicioso se marca dicho usuario como de riego (risky user) y se le puede enviar un escaneo a la maquina o incluso enrolarlo dentro de la herramienta que Sophos tiene de educación (Phish Threat) para que el usuario realice una formación online y aprenda que no debe hacer ciertas cosas.

Una amenaza sin seguridad sincronizada puede tardar en ser detectada/limpiada varias semanas, llegando incluso a meses en algunas ocasiones. Con seguridad sincronizada, en apenas unos minutos esta solucionada y además tenemos toda la información de qué hizo y por donde pasó.

La necesidad de soluciones Next-Gen

Los ciberdelincuentes sofistican sus ataques y los hacen cada vez más inteligentes, por eso, Sophos, sigue incorporando tecnologías, en este caso, utilizando la inteligencia artificial a través del Deep Learning, el mismo sistema que utilizan otros fabricantes como Tesla en sus coches autónomos, Facebook o Google. Dicho sistema, está basado en redes neuronales, lo cual permite crear un motor pequeño, rápido y efectivo, por lo que puede alojarse localmente y funcionar sin necesidad de internet y por supuesto, sin firmas, de tal forma que una maquina sin conexión a internet estará protegida de igual manera que una que si lo esté, y todo ello sin la necesidad bloquear ficheros hasta que la maquina tenga internet de nuevo.

Synchronized-Security

Pero si además necesitamos más información o hacer threat hunting, Sophos dispone de EDR, mediante el cual podemos hacer cualquier tipo de investigación. Mediante consultas OSQuery, podremos saber qué parches tiene una máquina, si tiene alguna vulnerabilidad de la tabla de MITRE, hacer inventariado… el esquema de OSquery incluye más de 200 tablas que nos permitirá realizar prácticamente todas las consultas que necesitemos en tiempo real.

Pero si aun así, no queremos o no podemos hacer esas consultas, nuestros clientes y partners pueden dejar en manos de nuestros expertos la gestión de la seguridad de sus máquinas con nuestro servicio de MTR, que gestionara todos los endpoints en busca de problemas o brechas de seguridad.

Sophos Sync Academy

En esta línea, Sophos hemos trabajado con nuestros partners los últimos años, consiguiendo la satisfacción de clientes de diferentes tamaños y sectores. Una de las claves es que nuestros partners conozcan en profundidad todas las tecnologías del porfolio, empezando por nuestro buque insignia: la Seguridad Sincronizada. Por este motivo comenzamos el pasado mes de junio una serie de talleres: los Sophos Sync Academy.

Lo escuche y lo olvide. Lo vi y lo entendí. Lo hice y lo aprendí» Confucio.

Cada vez más, atendemos a charlas donde alguien nos cuenta su historia, unas veces técnica, otras veces comercial y de vez en cuando alguna que otra charla TED. Todas tienen algo en común, en pocos días están olvidadas (“Lo escuche y lo olvide”). El siguiente nivel, podrían ser los webinar, donde no solo te cuentan cosas, sino que además te las enseñan, productos en funcionamiento donde podemos apreciar todo su potencial, esto supone una gran mejora respecto a una mera charla, porque entendemos exactamente lo que el orador pretende (“Lo vi y lo entendí”) . Sin embargo, podemos mejorarlo, si además de contarnos y enseñarnos cómo funciona, también nos dan la oportunidad de que seamos nosotros los que lo hacemos, ese conocimiento se reforzará y permanecerá en nosotros mucho más tiempo.

Esa es la idea de Sync Academy, un taller práctico donde el alumno no sólo escuche y vea cómo funciona un producto, sino que tendrá la oportunidad de hacerlo él mismo, configurar un firewall, configurar un endpoint y ponerlos a trabajar juntos. Ejecutaremos un malware y veremos cómo tanto endpoint como firewall colaboran para evitar la amenaza, y no solo eso, sino que al ejecutar aplicaciones veremos como el firewall, con la ayuda del Endpoint, podrá identificarla a pesar de que no exista firma para ella.

Lo hice y lo aprendí»

Una vez realizado el taller, el alumno sabrá cómo configurar un entorno de Sophos utilizando seguridad sincronizada, además de que habrá practicado con ella y le será más sencillo enfrentarse a un proyecto con un cliente real, o incluso, en el caso de preventas, al terminar el taller tendrán un entorno virtual funcional, con el cual podrán realizar sus demos futuras

El siguiente paso natural, la certificación de ingeniero de central o de XG firewall, pero con la ventaja de que todos los aspectos, no serán nuevos, los recordaremos del taller de Sync Academy y nos facilitara la realización de dicha certificación que recordamos son gratuitas y se pueden realizar online a través de nuestro Portal de Partners o contactando con alguno de nuestros Mayoristas.

Más información | Sophos Sync Academy

Artículo realizado en colaboración con Sophos

Artículo AnteriorSiguiente Artículo