Actualmente, se están produciendo cambios en la arquitectura de amenazas y un fuerte aumento en el número y la complejidad de los sistemas de seguridad y, por supuesto, hay una evolución en el desarrollo de herramientas de seguridad, incluidos los firewalls.
El firewall de próxima generación (NGFW) es una plataforma integrada que combina el ME clásico y el enrutamiento con las últimas ideas de filtrado de tráfico, como el análisis de tráfico de inspección profunda de paquetes (DPI), autenticación de usuario de cualquier manera, sistema de prevención Sistema de prevención de intrusiones (IPS), intrusiones, etc.
En este artículo intentaré revelar las características de la clase NGFW en general y de la solución Sophos XG Firewall en particular. Le contaré acerca de la interacción entre el ME y el lugar de trabajo, identificando usuarios de riesgo y realizando una auditoría: todas las técnicas en el complejo le permiten automatizar la respuesta al incidente, reduciendo significativamente el tiempo que lleva resolverlo.
Contenido
Cortafuegos hoy
Sophos XG Firewall
Identificación de riesgos ocultos.
Centro de control
Control sincronizado de aplicaciones
Principales usuarios en riesgo
Una amplia gama de informes listos para usar.
Bloqueo de amenazas desconocidas
Gestión de reglas unificadas
Gestión de seguridad de un vistazo
Filtrado web empresarial
Aplicación empresarial y plantillas de reglas NAT
Sandstorm Sandbox
Protección avanzada contra amenazas
Respuesta automática a incidentes en 8 segundos
Latidos de seguridad
Agregue XG Firewall a cualquier red: fácil
Cortafuegos hoy
Anteriormente, los cortafuegos funcionaban en los niveles más bajos de la pila de red, proporcionando enrutamiento básico, así como filtrado de paquetes basado en comprobaciones de puertos y protocolos para reenviar o restablecer el tráfico. Eran efectivos para su tiempo.
A medida que las amenazas han pasado de los ataques directamente a la red para infectar los sistemas internos, generalmente a través de vulnerabilidades en aplicaciones y servidores o mediante el uso de ingeniería social, se deben desarrollar soluciones de protección de red para resistir nuevos vectores de ataque. Las organizaciones, que tienen que agregar y actualizar constantemente una flota de dispositivos de seguridad de red a su perímetro de red para evitar intrusiones, filtros web, antispam y firewall de aplicaciones web (WAF) incurrieron en costos de material y tiempo. La necesidad de administrar una variedad de productos de seguridad de red condujo a la creación de la Administración de amenazas unificadas (UTM); tales soluciones permitieron a las organizaciones combinar todo en un solo dispositivo.
La tecnología de firewall también ha evolucionado, subiendo la pila al nivel 7 y superior para poder identificar y controlar el tráfico de las aplicaciones. Los cortafuegos también han comenzado a incorporar tecnologías para una comprensión más profunda del contenido de los paquetes de red y la búsqueda de amenazas. Tuvieron la oportunidad de clasificar y administrar el tráfico creado por el usuario o la aplicación y no depender únicamente de protocolos y puertos. Esta transición ha generado una nueva categoría de seguridad de red: firewall de próxima generación (NGFW).
El firewall de próxima generación combina métodos tradicionales junto con una inspección profunda de paquetes, que incluye prevención de intrusiones, información de aplicaciones, políticas de usuario y la capacidad de escanear tráfico encriptado.
La seguridad de la red continúa evolucionando y creciendo para contrarrestar las amenazas en constante cambio. Las amenazas modernas, como el ransomware y las botnets, son más avanzadas, esquivas y específicas que nunca. Estas amenazas avanzadas (APT) utilizan métodos de día cero y son extremadamente difíciles de detectar.
Muchas organizaciones en un momento "perfecto" comprometieron los sistemas en su red, convirtiéndose en víctimas de la APT o botnet, y en muchos casos ni siquiera son conscientes de estas infecciones. Lamentablemente, este es un problema generalizado.
La naturaleza de las amenazas actuales y la infraestructura de red moderna crea la necesidad de cambios fundamentales en el enfoque de la seguridad de la red:
- Los sistemas de seguridad de red de hoy deben integrar nuevas tecnologías para detectar comportamientos maliciosos entre la red de carga útil sin utilizar las firmas antivirus tradicionales. Tecnologías como la caja de arena, hasta hace poco, eran soluciones que solo las grandes empresas podían permitirse, eran accesibles para las organizaciones pequeñas y medianas y son una parte integral de la protección efectiva contra el malware moderno.
- Los sistemas de seguridad que solían ser aislados e independientes, como un firewall y un antivirus, ahora necesitan integración y colaboración para detectar, identificar y responder de manera rápida y eficiente a las amenazas avanzadas antes de que puedan causar daños significativos.
- Se necesitan nuevas tecnologías de administración de aplicaciones dinámicas para identificar y administrar correctamente aplicaciones desconocidas, dada la creciente ineficiencia de los mecanismos de firma para identificar los últimos protocolos de aplicación, aplicaciones de usuario y aplicaciones que utilizan protocolos HTTP / HTTPS comunes.
Para empeorar las cosas, la mayoría de los firewalls modernos se están volviendo más complejos, usando varias soluciones separadas débilmente integradas contra varios vectores de amenazas y el cumplimiento de diferentes requisitos. Como resultado, administrar un zoológico de soluciones de este tipo se ha vuelto muy difícil, y la cantidad de información y datos producidos por estos sistemas es simplemente enorme.
De hecho, una revisión reciente de la satisfacción de los firewalls de los administradores de TI (Encuesta de Satisfacción de Firewall de los administradores de IT) reveló una serie de problemas comunes para la mayoría de los firewalls en uso hoy en día:
- Se necesita mucho tiempo para obtener la información necesaria.
- No se proporciona un nivel aceptable de detección de amenazas y riesgos en la red
- Muchas funciones, pero demasiado difícil de entender cómo usarlas
Sophos XG Firewall
Desde el principio, Sophos XG Firewall fue diseñado para abordar los desafíos actuales y emergentes, así como para proporcionar una plataforma que se adapte a la arquitectura de red cambiante. XG Firewall ofrece un nuevo enfoque para identificar riesgos ocultos, asegurar la red, identificar y responder a las amenazas.
XG Firewall proporciona una visibilidad inigualable para usuarios en riesgo, aplicaciones no deseadas, datos sospechosos y amenazas persistentes. Tiene un conjunto completo de tecnologías modernas para proteger contra amenazas y, al mismo tiempo, es fácil de configurar y mantener. A diferencia de cualquier otro firewall anterior, XG Firewall interactúa con otros sistemas de seguridad en la red, lo que le permite convertirse efectivamente en un punto confiable de protección, disuadir amenazas, bloquear el malware para que no propague o filtre datos de la red, automáticamente, en tiempo real.
Sophos XG Firewall tiene tres ventajas principales sobre otros firewalls:
- Identificación de riesgos ocultos: XG Firewall hace un excelente trabajo al identificar riesgos ocultos mediante un panel visual, una amplia selección de informes listos para usar e información de riesgos única.
- Bloquee amenazas desconocidas: XG Firewall bloquea las amenazas desconocidas de manera más fácil y eficiente con un conjunto completo de métodos de protección contra ataques avanzados que son muy fáciles de configurar y administrar.
- Respuesta automática a incidentes: XG Firewall con seguridad sincronizada responde automáticamente a incidentes de red con la tecnología Security Heartbeat.
Identificación de riesgos ocultos.
Es fundamental que un firewall moderno analice la gran cantidad de datos que recopila, correlaciona los datos donde sea posible y resalta solo los más importantes que requieren acción, idealmente, antes de que sea demasiado tarde.
Centro de control
El XG Firewall Management Center proporciona un nivel de visibilidad sin precedentes de la actividad, los riesgos y las amenazas en su red.
Utiliza indicadores de estilo de "semáforo" para llamar su atención sobre lo que es realmente importante:
Si algo está resaltado en rojo, requiere atención inmediata. Si algo está resaltado en amarillo, esto es una indicación de un problema potencial. Si todo es verde, no se requiere ninguna otra acción. Cada widget en el Centro de control ofrece información adicional que es fácil de abrir simplemente haciendo clic en este widget. Por ejemplo, el estado de las interfaces en un dispositivo se puede obtener fácilmente haciendo clic en el widget "Interfaces" en el Centro de control.
El host, el usuario y la fuente de la amenaza avanzada también son fáciles de identificar simplemente haciendo clic en el widget ATP (protección contra amenazas avanzadas) en el panel de control.
Los gráficos del sistema también muestran el ancho de banda en una línea de tiempo con una opción de período, ya sea que necesite ver las últimas dos horas o el último mes o año. Y proporcionan acceso rápido a las herramientas de solución de problemas de uso común.
La visualización de registros en tiempo real está disponible desde cada pantalla con solo un clic. Puede abrirlo en una nueva ventana para monitorear el registro correspondiente mientras trabaja en la consola. Consiste en dos pestañas, un formato de columna simple basado en el módulo de firewall, y también proporciona una vista unificada más detallada con amplias opciones de filtro y clasificación, que agrega los registros de todo el sistema en una sola vista en tiempo real.
Si usted, como la mayoría de los administradores de red, probablemente se está preguntando, ¿hay demasiadas reglas y cuáles son realmente necesarias y cuáles no se usan realmente? Con Sophos XG Firewall, esto dejará de preocuparte.
El widget Reglas de firewall activo muestra los gráficos del flujo de tráfico procesado en tiempo real, ordenados por el tipo de regla: aplicación comercial, usuario y reglas de red. También muestra los totales activos para cada regla y estado, incluidas las reglas no utilizadas que puede eliminar. Al igual que en otras áreas del Centro de control, al hacer clic en cualquiera de ellas se expandirá la tabla de reglas ordenada por tipo o estado de la regla.
Control sincronizado de aplicaciones
Hoy, el problema de administrar aplicaciones en cada firewall de próxima generación es que la mayor parte del tráfico de aplicaciones permanece sin ser reconocido.
Este problema tiene una razón simple: todos los mecanismos de control de aplicaciones usan firmas y plantillas para identificar aplicaciones. Y, como puede esperar, cualquier aplicación de marketing personalizada, como aplicaciones médicas o financieras, nunca tendrá firmas, y algunos tipos de aplicaciones, como clientes bittorrent o aplicaciones de VoIP y mensajería, cambian constantemente su comportamiento y firmas para evitar detección y control. Muchas aplicaciones usan cifrado para evitar la detección, mientras que otras simplemente recurren al uso de conexiones comunes, como un navegador web, para comunicarse a través de un firewall, porque los puertos 80 y 443 generalmente están desbloqueados en la mayoría de ellos.
El resultado final es una falta total de visibilidad de las aplicaciones en la red, y no puede controlar lo que no ve.
La solución a este problema es muy elegante y efectiva: Control de aplicaciones sincronizadas , que utiliza la tecnología exclusiva de seguridad sincronizada junto con los productos de Sophos en los dispositivos finales.
Cuando XG Firewall ve el tráfico de la aplicación que no puede identificar por firma, puede preguntarle al punto final qué aplicación genera este tráfico. Luego, el software en el punto final puede ver el archivo ejecutable, la ruta y, a menudo, determinar la categoría de la aplicación y transferir esta información nuevamente a XG. Entonces, XG Firewall, en la mayoría de los casos, puede usar esta información para clasificar y administrar automáticamente la aplicación.
Si XG Firewall no puede determinar automáticamente la categoría apropiada para la aplicación, el administrador puede establecer la categoría deseada o asignar una política existente a la aplicación.
Después de clasificar la aplicación, ya sea automática o por el administrador de la red, la aplicación está sujeta a las mismas políticas que todas las demás aplicaciones en esta categoría, lo que facilita el bloqueo de todas las aplicaciones no identificadas que no son necesarias y prioriza las aplicaciones necesarias.
El Control de aplicaciones sincronizadas es un avance en la visualización y el control de las aplicaciones, brindando una claridad absoluta de propósito para todas las aplicaciones que anteriormente funcionaban en la red y permanecieron sin identificar y sin control.
Principales usuarios en riesgo
Los estudios han demostrado que los usuarios son el eslabón más débil en la cadena de seguridad, y los modelos de comportamiento humano pueden usarse para predecir y prevenir ataques. Además, los patrones de uso pueden ayudar a ilustrar cómo los recursos corporativos se usan de manera eficiente y la necesidad de ajustar las políticas de los usuarios.
User Threat Factor (UTQ) ayuda al administrador de seguridad a identificar a los usuarios que presentan riesgos basados en comportamientos sospechosos de Internet y un historial de amenazas e infecciones. Una evaluación de alto riesgo de UTQ de un usuario puede ser un signo de acción no intencional debido a la falta de conocimiento de seguridad, infección de malware o acción intencional.
El conocimiento de las acciones del usuario que causaron el riesgo puede ayudar al administrador de seguridad de la red a tomar las acciones necesarias y educar a sus usuarios con altos UTQ o aplicar políticas más estrictas o más apropiadas para controlar su comportamiento.
Una amplia gama de informes listos para usar.
XG Firewall es un producto UTM único que proporciona una selección completa y amplia de informes listos para usar sin costo adicional. Por supuesto, también se ofrece una plataforma de informes centralizada e independiente de Sophos iView si necesita agregar informes de diferentes XG en un servidor separado. Sophos iView es gratuito hasta 100 GB de registros. Pero la mayoría de las organizaciones pequeñas y medianas aprecian la capacidad de recibir informes en el propio dispositivo, sin el costo de los sistemas de almacenamiento adicionales.
XG Firewall proporciona un conjunto completo de informes, convenientemente organizados por tipo, con varios paneles integrados para elegir. Hay literalmente cientos de informes con configuraciones personalizables en todas las áreas del Firewall XG, incluyendo actividad de tráfico, seguridad, usuarios, aplicaciones, web, redes, amenazas, VPN, correo electrónico y cumplimiento de los requisitos de la industria. Según los resultados de la auditoría, puede generar fácilmente un informe en PDF sobre el estado de seguridad de toda la red: Informe de auditoría de seguridad. Puede programar informes periódicos por correo electrónico para usted o sus destinatarios y guardar los informes en formatos HTML, PDF o CSV.
Bloqueo de amenazas desconocidas
La protección contra las últimas amenazas de red requiere una amplia gama de tecnologías que funcionan juntas y son administradas por el administrador. Desafortunadamente, la mayoría de los productos son más como un "juego de malabarismo con cuchillos arrojadizos", con la configuración de reglas de firewall en un área, la política web en otra, la verificación SSL en otro lugar y el control de aplicaciones en una parte completamente diferente del producto.
Sophos cree que existe una necesidad urgente de las tecnologías de seguridad más avanzadas, que debería ser fácil de configurar y administrar, porque la protección configurada incorrectamente es a menudo peor que no tenerla.
El compromiso con la simplicidad siempre ha sido una parte clave de Sophos. Pero lo más importante, Sophos está listo para aceptar los cambios y tomar medidas audaces para proporcionar el mejor nivel de protección y la mejor interfaz de usuario.
Gestión de reglas unificadas
La administración de firewall puede ser increíblemente compleja. Para estos fines, se pueden crear muchas reglas, políticas y configuraciones de seguridad que se distribuyen en diferentes áreas funcionales.
XG Firewall redefine completamente cómo se organizan las reglas y cómo se gestionan las disposiciones de seguridad. En lugar de buscar las políticas correctas en la consola de administración, todo se ensambla en una sola pantalla, tanto reglas como controles. Ahora puede ver, filtrar, buscar, editar, agregar, modificar y organizar todas las reglas de firewall en un solo lugar.
Las reglas para usuarios, aplicaciones comerciales, NAT y redes facilitan la visualización de las políticas necesarias, proporcionando una pantalla conveniente para la administración.
Los íconos indicadores proporcionan información importante sobre políticas como tipo, estado, uso y más.
Gestión de seguridad de un vistazo
XG Firewall simplifica la configuración y administración de protección avanzada al colocar todas las configuraciones en una pantalla.
, SSL, , IPS, , -, , Heartbeat , NAT, , .
, , , , .
, , , Active Directory, eDirectory LDAP, NTLM, RADIUS, TACACS+, RSA, Captive Portal. Sophos Transparent Authentication Suite (STAS) , Microsoft Active Directory, , . SATC (Sophos Authentication For Thin Client), , XG — .
-
- , , , . - Sophos - -, SWG . , . , , — , . , XG , .
, Sophos , - — . , (, ) URL-, , , .
- , . , , , , . XG Firewall - -, , .
, , . , .
- .
- NAT
, - -, Exchange, SharePoint -, , . . - , . .
-, , , . , , , .
WAF , . . XG Firewall.
Sandstorm
, , , ( ). , , . , , Sophos Sandstorm, . , .
Sophos Sandstorm , , , - — . XG Firewall , , . , , .
Sophos Sandstorm XG Firewall Control Center , .
, XG Firewall Sophos Sandstorm , .
Advanced Threat Protection
Advanced Threat Protection , , . XG Firewall , - C&C. IPS, DNS URL-, , .
, . , XG Firewall Control Center . , , . Sophos Synchronized Security XG Firewall, , , .
8
.
Sophos XG Firewall — , . Sophos Security Heartbeat , .
XG Firewall , , . , .
Security Heartbeat
Sophos Security Heartbeat ( un artículo sobre el concentrador sobre seguridad sincronizada) intercambia información en tiempo real, utilizando una comunicación segura https, entre puntos finales y un firewall. Este simple paso de sincronizar productos de seguridad que anteriormente funcionaban de forma independiente crea una protección más efectiva contra malware y ataques dirigidos.
Security Heartbeat no solo puede detectar instantáneamente la presencia de amenazas avanzadas, sino que también se puede utilizar para transmitir información importante sobre la naturaleza de la amenaza, el sistema host y el usuario. Y, quizás lo más importante, Security Heartbeat también se puede usar para tomar medidas automáticamente para aislar o restringir el acceso a un sistema comprometido hasta que se limpie. Esta es una tecnología emocionante que cambia la forma en que funcionan las soluciones de seguridad de la información y responden a amenazas complejas.
Security Heartbeat se ejecuta en estaciones de trabajo o servidores. Los latidos pueden estar en uno de tres estados:
El estado de latido verde indica que el lugar de trabajo está operativo y se permitirá el acceso a todos los recursos de red relevantes.
El estado de latido amarillo indica una advertencia de que el sistema puede tener una aplicación potencialmente no deseada (PUA), no cumple con los requisitos o tiene algún otro problema. Puede elegir qué recursos de red se les permite acceder a los sistemas con un estado amarillo hasta que se resuelva el problema.
El estado de latido rojo indica un sistema que está en riesgo de infección con amenazas avanzadas y puede intentar contactar una botnet o un servidor C&C. Con las políticas de seguridad de Heartbeat, puede aislar fácilmente los sistemas con este estado hasta que se limpien para reducir el riesgo de pérdida de datos o infección adicional.
Solo Sophos puede proporcionar una solución como Security Heartbeat, porque solo Sophos es líder en software para endpoints y soluciones de seguridad de red. Por ejemplo, puede ver las pruebas de NSS Labs Advanced Endpoint Protection, 2019:
- N ° 1 calificación de rendimiento de seguridad y
- Rating No. 1 a la mejor oferta de precio
Agregue XG Firewall a cualquier red: fácil
El último hardware de la serie XG ofrece una implementación más flexible con puertos de apertura de fallas en todos los modelos 1U, así como en los últimos dispositivos 2U del nuevo puerto FleXi. Los nuevos puertos permiten que el XG Firewall se instale en modo puente con el equipo existente, y si el XG Firewall se apaga o reinicia para actualizar el firmware, los puertos permitirán que el tráfico continúe sin fallas: omisión del hardware. Esta característica le permite utilizar nuevos parámetros de instalación que son completamente seguros y simples, sin reemplazar la infraestructura de red existente. Y lo que es más, el antivirus de próxima generación, Intercept X , funciona con cualquier producto antivirus existente, lo que le permite implementar la solución completa de seguridad sincronizada de Sophos en cualquier red sin reemplazar nada.
Es seguridad hecha simple.
Este artículo se escribió utilizando el resumen de la solución de firewall de Sophos XG .
Si está interesado en la solución, puede contactarnos: empresa del Grupo Factor , distribuidor de Sophos. Es suficiente escribir de forma gratuita a sophos@fgts.ru .