Cómo Zyxel Cloud ayuda a su puerta de enlace local a reflejar las amenazas
Hablando de seguridad (y no solo en TI), es costumbre asustar al consumidor.
“Aquí vienen los hackers malvados y entran en la red. Por lo tanto, es necesario, necesario, necesario ... y luego una larga lista de todo lo que necesita comprar, configurar, ordenar, realizar y, lo más importante, asignar una gran cantidad de dinero para esto ".
Las historias aterradoras sobre los misteriosos secuestros de "bases de clientes" que causaron el colapso completo de la compañía se conectan a Internet.
De hecho, comprar la base de datos de clientes de otra persona es solo una de las formas adicionales de mejorar su negocio, pero no es una panacea para los malos ingresos. Todavía es necesario poder aprovechar esta oportunidad para beneficio propio.
Pero al mismo tiempo, existen amenazas reales que cualquier organización, cualquier persona puede enfrentar.
Que podria pasar
En primer lugar, cualquier piratería, incluso simplemente desfigurar el sitio, es un duro golpe para la reputación. Existe una opinión bien fundada de que si la infraestructura de TI de una organización se piratea fácilmente, y la administración "no dirige un oído y no parpadea", entonces algo está mal con esta organización en su conjunto ... Con una advertencia, se puede decir algo similar sobre las personas descuidadas que no piensan en problemas de seguridad.
Es especialmente desagradable cuando, usando su nombre, personas extrañas acuden a sus parejas y tratan de inventar sus malas acciones.
Porque cuando se revela el engaño, no se sospechará de algunos enemigos ocultos, sino primero de ti. Lo más simple es culpar a una de las partes afectadas por el crimen, cuyo nombre honesto fue utilizado.
Incluso cuando se utilizan fuentes de información oficiales, hay muchas oportunidades para el fraude, y si un atacante obtiene acceso a documentos internos, cuentas, etc., espere a que surjan problemas.
En segundo lugar, las violaciones en el sistema de seguridad son robos comunes de dinero de las cuentas (incluidas las tarjetas de salario de los empleados). No hay nada que comentar.
En tercer lugar, este es un simple intento de eliminar a los competidores.
El ejemplo con la copia de la base de clientes se consideró anteriormente.
Pero puede ser mucho peor cuando interceptan no proveedores, sino proveedores.
Porque puede haber muchos clientes y relaciones establecidas en las entregas, a veces "una y dos veces".
Por supuesto, la invasión desde el exterior está lejos de ser el único peligro. Los empleados ofendidos no pueden hacer menos daño que los intrusos externos. Sin embargo, la protección deficiente de la red puede proporcionar una asistencia invaluable para las "figuras" internas y externas en sus planes insidiosos.
¿Cómo ayudará la nube?
En nuestro mundo problemático, el número de todo tipo de mecanismos de defensa está creciendo y reponiéndose en proporción al número de amenazas emergentes. Por supuesto, para garantizar todo esto, se requiere cada vez más capacidad.
Como de costumbre, hay varias rutas de implementación.
La opción más simple es restringirse a una puerta de enlace local.La esencia de este enfoque es realizar todas las operaciones estrictamente en el dispositivo de seguridad local: la puerta de enlace, el enrutador, el servidor, etc.
Por supuesto, tendrá que fortalecerse todo el tiempo, incluida la actualización del hardware. Y un día tendrá que ser reemplazado.
Figura 1. Protección de la red local.Cuando todo el equipo de protección se concentra en el dispositivo local, solo parece que cualquier bagatela está bajo supervisión vigilante.
Resulta que no todo está bajo control. El mayor problema es que no puede predecir con precisión la aparición de nuevas amenazas y, por lo tanto, no puede planificar el cronograma y los costos de actualización.
Encontrar equipos obsoletos que NO cumplan con los nuevos requisitos es una perspectiva muy realista.
Y luego surge otro punto interesante: es necesario actualizar o reemplazar todas las (!) Puertas de enlace en la red. Si el 90% del equipo está listo para hacer frente al aumento de carga y el 10% no está listo, esto significa que este sistema de protección simplemente no está listo para nuevas amenazas, independientemente del porcentaje.
¿Y puede llevar toda la protección a los recursos externos?Este modelo de protección existe desde hace mucho tiempo. Por ejemplo, algunos proveedores de servicios de Internet ofrecen servicios de verificación de tráfico.
Figura 2. Protección del lado del proveedor de servicios de Internet.Con este enfoque, hay una ventaja innegable: "dar y olvidar" y al mismo tiempo hay muchas desventajas: por ejemplo, el precio, las herramientas utilizadas y el nivel de protección, el rendimiento general del sistema ("Internet de repente comenzó a disminuir") puede no ser adecuado para usted, y así sucesivamente.
Y gracias a este inconveniente, "dar y olvidar" no funciona. Tenemos que "dar" y algo más para monitorear constantemente, escribir aplicaciones, etc.
Pero la mayor molestia que a veces surge es la mala gestión de los servicios externos. Supongamos que el antivirus en la puerta de enlace del proveedor bloquea el archivo deseado y útil. Interacción "por llamada telefónica" o escribiendo cartas entre lágrimas por correo electrónico: "Por favor, por favor, devuélvame el archivo enviado" - esto no es adecuado para el funcionamiento normal.
En consecuencia, el proveedor debe proporcionar una herramienta conveniente para la gestión completa del servicio, que debería funcionar de manera extremadamente confiable. Pero la comprensión de la "integridad", "conveniencia" y "confiabilidad" del proveedor de servicios y del consumidor puede diferir significativamente.
Por la misma razón, el uso de otros servicios "del proveedor", por ejemplo, el bloqueo de recursos no deseados, también puede no ser adecuado para todos.
Pero independientemente de las comodidades proporcionadas, la protección de la red de la organización por parte del proveedor está de alguna manera en las manos equivocadas y depende de muchos factores, incluida la integridad y las calificaciones de la persona en particular que hará esto.
Y aquí viene una idea interesante:
“¿Pero es posible dejar prácticamente todo el conjunto de funciones de protección para ellos mismos, habiendo dado las operaciones más costosas a un lado? ¿Y al mismo tiempo deshacerse del notorio "factor humano" mediante la automatización de todos los procesos tanto como sea posible? "
La solución en la nube viene al rescateIntentemos dividir nuestro sistema de seguridad en funciones separadas, mientras que cada una de ellas se deja en el dispositivo local o se envía para su procesamiento a un recurso externo, en la "nube".
Figura 3. Protección sin uso de soporte en la nube.Por ejemplo, un análisis detallado de un archivo en busca de un componente malicioso requiere recursos de hardware adicionales. Por lo tanto, sería más prudente enviar el archivo sospechoso a la "nube" para su verificación.
Al mismo tiempo, el resultado de la comprobación de "nube" se puede guardar y reutilizar. Si la suma de verificación en la siguiente solicitud para el mismo archivo coincide, entonces el veredicto se emite sin el costo de la verificación.
Tenga en cuenta: todos los controles (!) Necesarios se encuentran en el dispositivo local y, como dicen, están siempre a mano. Solo los procesos de verificación automatizados se transfieren a la "nube". Vale la pena señalar que todo el procedimiento para dicha interacción ha sido verificado y resuelto muchas veces.
Además, el anonimato es mayor que cuando se verifica con el proveedor. Se ve así: un archivo y / o incluso una parte de un archivo ingresa a la "nube" sin ningún dato de identificación que sea "legible" desde el punto de vista de una persona. Se utiliza un cifrado, mediante el cual el sistema mismo determina de dónde proviene este archivo y qué hacer con él.
Con un sistema de verificación basado en la nube, el dispositivo local siempre está en contacto con un servicio externo y obtiene acceso a las últimas firmas, algoritmos y otras herramientas para proteger la red.
Solución llave en mano: Firewall Zyxel ZyWALL ATP200 con servicios de seguridad en la nube
De hecho, este es un dispositivo bastante simple desde el punto de vista, que puede ser instalado y configurado por cualquier administrador del sistema.
Figura 4. Interfaz web para configurar el firewall Zyxel ZyWALL ATP200 con servicios de seguridad en la nube.Considere algunos de los detalles técnicos de la solución de firewall Zyxel ZyWALL ATP200 junto con el servicio de seguridad en la nube Zyxel Cloud.
Cloud Intelligence Zyxel Cloud identifica archivos desconocidos en todos los firewalls ZyWALL ATP que se utilizan en todo el mundo y almacena toda la información sobre cada nueva amenaza detectada.
Organiza los resultados en la base de datos de amenazas de la nube y envía actualizaciones diarias a todas las actualizaciones de ATP.
Con cada ataque, la base de datos acumula cada vez más información útil sobre posibles amenazas, lo que aumenta el nivel de protección, incluso debido a la capacidad de analizar el tráfico en busca de posibles amenazas.
Por lo tanto, se produce el
aprendizaje automático de la nube y Zyxel Cloud se adapta constantemente a los nuevos ataques.
Para aplicar este conocimiento, junto con Zyxel ZyWALL ATP200 en combinación con Zyxel Cloud, se entrega un conjunto completo de herramientas potentes, en particular, protección multinivel Protección multicapa. Los siguientes servicios y características están disponibles:
- Bloqueador de malware : además de la protección tradicional en el modo de transmisión de antivirus, este módulo se sincroniza diariamente con la base de datos de amenazas de la nube, por lo tanto, la protección contra el código malicioso en ATP no se limita solo al nivel local, sino que debido al intercambio global a través de la nube proporciona protección integral a nivel global;
- Application Security : incluye las funciones de Application Patrol y Email Security , que no solo bloquean los ataques cibernéticos, sino que también proporcionan un control personalizable para optimizar el tráfico de aplicaciones y bloquear aplicaciones no deseadas;
- Prevención de intrusiones (IDP) : realiza una verificación en profundidad para bloquear las debilidades en la protección de la aplicación y el uso de estas debilidades de los ataques, proporcionando seguridad completa;
- Sandboxing es un entorno aislado en la nube donde se colocan archivos sospechosos para identificar nuevos tipos de código malicioso, lo que mejora enormemente la protección contra ataques de día cero;
- Seguridad web : incluye las funciones de filtro de botnet y filtro de contenido que proporcionan verificación de las direcciones URL e IP utilizando categorías de direcciones sincronizadas con la nube, que pueden evolucionar con el crecimiento de la base de la nube;
- Geo Enforcer : puede restringir el acceso desde aquellos países donde las amenazas se encuentran con mayor frecuencia y averiguar la dirección geográfica del iniciador o la posible víctima de un ataque al convertir las direcciones IP de GeoIP en direcciones físicas;
- SecuReporter : realiza un análisis exhaustivo de registros con correlación de datos e informes sobre parámetros especificados por el usuario. Esta es una herramienta necesaria para los proveedores de servicios.
Por supuesto, en un breve artículo no puede describir todas las funciones útiles que aparecieron en el arsenal para proteger la red gracias a Zyxel Cloud.
En el próximo artículo sobre este tema, hablaremos con más detalle sobre cada uno de los métodos de protección utilizados. Una cosa está clara: en la etapa inicial, las herramientas ordinarias "no en la nube" protegen bien el perímetro de la red, pero con el crecimiento de los requisitos, los recursos "en la nube" amplían significativamente las posibilidades en términos de seguridad.
Fuentes
[1]
Página del sitio web de Zyxel en el firewall
Zyxel ZyWALL ATP200 con servicios de seguridad basados en la nube.
[2]
Artículo "Creación de un sistema de protección antivirus ampliado para una pequeña empresa. Parte 3 ".