CIS Control #12: Defensa Perimetral

Detectar / prevenir / corregir el flujo de información que transfiere redes de diferentes niveles de confianza con un enfoque en los datos que dañan la seguridad.

Los atacantes se centran en los sistemas a los que pueden acceder a través de Internet, aprovechan la configuración y las debilidades arquitectónicas para obtener acceso inicial a una organización y luego adentrarse más en el límite para robar información o establecer una presencia persistente para ataques posteriores. Los equipos de Seguridad TI deben controlar el flujo de tráfico a través del perímetro de la red buscando ataques y evidencia de máquinas comprometidas.

Recomendaciones:

  • Denegue las comunicaciones con (o limite el flujo de datos a) direcciones IP maliciosas conocidas (listas negras) o limite el acceso solo a sitios confiables (listas blancas). Las pruebas se pueden realizar periódicamente enviando paquetes desde direcciones IP de origen (direcciones IP no enrutables o no utilizadas) a la red para verificar que no se transmiten a través de los perímetros de la red. Las listas de direcciones están disponibles públicamente en Internet a partir de varias fuentes.
  • En las redes DMZ, configure los sistemas de monitoreo (que pueden estar integrados en los sensores IDS o implementados como una tecnología separada) para registrar al menos la información del encabezado del paquete y, preferiblemente, el encabezado completo del paquete y las cargas útiles del tráfico destinado o que pasa a través del borde de la red.
  • Este tráfico debe enviarse a un sistema de análisis de registros o gestión de eventos de información de seguridad (SIEM) configurado correctamente para que los eventos puedan correlacionarse desde todos los dispositivos de la red.

Herramientas que pueden ayudar

  1. Sophos

En la protección del perímetro sophos nos puede ayudar con:

  • Sophos Firewall / UTM: XG Firewall incluye IPS, APT, AV, Sandboxing con Deep Learning y Web Protection para monitorear y bloquear el tráfico malicioso, anómalo y explotador del acceso entrante o saliente.
  • Secure Email Gateway y Secure Web Gateway: análisis de amenazas las 24 horas del día para protegerse contra la naturaleza cambiante del correo electrónico y las amenazas basadas en la web.
  • Sophos Sandstorm: una tecnología de espacio aislado en la nube opcional que se puede integrar completamente en las soluciones de seguridad de Sophos para proporcionar una capa adicional de seguridad. Sandstorm inspecciona y bloquea los ejecutables y los documentos que contienen contenido ejecutable antes de que el archivo se envíe al dispositivo del usuario.
  1. Check Point

Uno de los líderes en el ámbito de la seguridad perimetral es Check Point que proporciona a los clientes de todos los tamaños la protección de seguridad de red y datos más reciente en plataformas integradas de prevención de amenazas de próxima generación, lo que reduce la complejidad y el costo total de propiedad. Ya sea que necesite seguridad de próxima generación para su centro de datos, empresa, pequeña empresa u oficina en casa, Check Point tiene la solución.

  1. Securonix

Basado en big data, Securonix Next-Gen SIEM combina la gestión de registros; análisis de comportamiento de usuarios y entidades (UEBA); y orquestación, automatización y respuesta de la seguridad en una plataforma completa de operaciones de seguridad de extremo a extremo. Recopila volúmenes masivos de datos en tiempo real, utiliza algoritmos de aprendizaje automático patentados para detectar amenazas avanzadas y proporciona capacidades de respuesta a incidentes de seguridad basadas en inteligencia artificial para una reparación rápida.

  1. Netskope

Los servicios de Netskope NG-SWG, Cloud Firewall y Private Access, permiten implementar diferentes controles de seguridad reduciendo la superficie de ataque cuando los usuarios consumen servicios en Internet y la nube. Es así como a través de las funcionalidades de NG-SWG se ofrece un control granular de las acciones que los usuarios pueden realizar en sitios de internet y aplicaciones nube (corporativas o de uso personal), aplicar perfiles de protección de amenazas en el acceso a sitios maliciosos, actividad de control & command, phishing, etc. De igual forma, Netskope Cloud Firewall permitirá un control del tráfico asociado a otros protocolos diferentes a HTTP-HTTPS, y por último Netskope Private Access garantizará el acceso remoto seguro hacia aplicaciones internas bajo un modelo de seguridad de Zero Trust Network Access, permitiendo consolidar una sólida estrategia de seguridad para los usuarios. 

  1. AppGate

Los métodos de autenticación y cifrado por VPN pueden ser evadidos con facilidad, permitiendo que actores maliciosos tomen control sobre las redes de una organización. AppGate, compañía de infraestructura segura, entrega detalles sobre los beneficios de adoptar un Perímetro Definido por Software (SDP), que brinda seguridad al momento de acceder a información sensible de las organizaciones.