Cybersecurity Survival Guide Español

Página 1
Lawrence C. Miller, CISSP
LA
SEGURIDAD
CIBERNÉTI
CA
GUÍA DE
SUPERVIVE
NCIA
Principios y mejores prácticas
Tercera edición | Agosto 2018
Página 2
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2018 Palo Alto Networks - todos los derechos reservados.
Aperture, AutoFocus, GlobalProtect, Palo Alto Networks, PAN-OS, Panorama, Traps y WildFire son marcas comerciales de Palo Alto
Networks, Inc. Todos los demás
Las Marcas registradas son propiedad de sus respectivos dueños.
www.paloaltonetworks.com/academy
Panel de asesoría:
Brian Adams
Jim Boardman
Steve Bradshaw
Keith Cantillon
James Dalton
Matthew Frohlich
Thomas Trevethan
Página 3
GUÍA DE SUPERVIVENCIA A LA CIBERSEGURIDAD, Tercera edición i
Tabla de contenido
Tabla de contenido ...............................................
.................................................. .... yo
Tabla de Figuras ...............................................
.................................................. ..... vi
Lista de tablas ...............................................
.................................................. ....... viii
Prólogo ................................................. ..................................................
............ ix
Introducción .................................................
.................................................. ......... X
Módulo 1 - Fundación de Ciberseguridad .............................................
................... 1
1.1
Paisaje de ciberseguridad ................................................ ..................................................
1
1.1.1
Tendencias informáticas modernas ...............................................
......................................... 2
1.1.2
Nuevo marco de aplicación y vectores de amenazas ............................................ ...........
8
1.1.3
Turbulencia en la nube .............................................. ............................................ 10
1.1.4
Riesgos de la aplicación SaaS ...............................................
............................................... 12
1.1.5
El cumplimiento y la seguridad no son lo mismo ........................................... .................
13
1.1.6
Ejemplos recientes de ciberataques de alto perfil .......................................... ..................
dieciséis
1,2
Amenazas cibernéticas ................................................. ..................................................
................ 20
1.2.1
Perfiles y motivaciones del atacante .............................................. ............................ 20
1.2.2
Estrategia moderna de ciberataque ............................................. ...................................
22
1.3
Conceptos básicos de seguridad de puntos finales ...............................................
.................................................. 27
1.4
Técnicas y tipos de ciberataques ............................................ .................................. 27
1.4.1
Malware ................................................. .................................................. ............... 28
1.4.2
Vulnerabilidades y exploits ............................................... ...................................... 33
1.4.3
Spam y phishing ............................................... ........................................... 35
1.4.4
Bots y botnets ............................................... .................................................. .... 37
1,5
Wi-Fi y amenazas persistentes avanzadas ........................................... ..............................
42
1.5.1
Vulnerabilidades de Wi-Fi .............................................. ..................................................
42
1.5.2
Wi-Fi ataques de hombre en el medio ....................................... .....................................
48
1.5.3
Amenazas persistentes avanzadas ............................................... ...................................
52
Módulo 2 - Puerta de enlace de seguridad cibernética
............................................. ...................... 56
2.1
El globo conectado ............................................... .................................................. .... 57
2.1.1
El NET: cómo se conectan las cosas ............................................ .....................................
57
2.1.2
Introducción a los dispositivos de red .............................................. ......................... 57
Página 4
ii PALO ALTO NETWORKS®
2.1.3
Protocolos enrutados y de enrutamiento ..............................................
................................... 59
2.1.4
Redes de área y topologías .............................................. .................................. 61
2.1.5
Sistema de nombres de dominio (DNS) ............................................
...................................... 66
2.2 2.2
Direccionamiento físico, lógico y virtual ........................................... ............................
69
2.2.1
Conceptos básicos de direccionamiento IP ...............................................
................................................. 74
2.2.2
Introducción a las subredes ............................................... ...................................... 78
2.3
Encapsulación de paquetes y ciclo de vida ..............................................
.................................. 80
2.3.1
Los modelos OSI y TCP / IP ........................................... .......................................... 81
2.3.2
Encapsulación de datos ................................................ ................................................. 87
2,4
Modelos de seguridad de red ...............................................
................................................ 88
2.4.1
Estrategia de seguridad de red basada en el perímetro ............................................
............... 89
2.4.2
Seguridad Zero Trust ............................................... .................................................. 90
2.5
Seguridad en la nube y en el centro de datos .............................................
........................................ 97
2.5.1
La computación en la nube depende de la virtualización .............................................
.............. 98
2.5.2
Consideraciones y requisitos de seguridad de la computación en la nube
........................... 98
2.5.3
Debilidades de la solución de seguridad de datos tradicional
............................................. ........ 101
2.5.4
Protección del tráfico este-oeste ............................................. .....................................
102
2.5.5
Implementación de seguridad en centros de datos virtualizados
............................................ ... 104
2.6
Tecnologías de seguridad de red ............................................... .....................................
107
2.6.1
Cortafuegos ................................................. .................................................. ............. 107
2.6.2
Sistemas de detección y prevención de intrusiones ............................................. ...........
110
2.6.3
Filtros de contenido web ............................................... ................................................
111
2.6.4
Redes privadas virtuales ............................................... ........................................ 112
2.6.5
Prevención de pérdida de datos ...............................................
.............................................. 115
2.6.6
Gestión Unificada de Amenazas ............................................... ................................. 116
2.6.7
Información de seguridad y gestión de eventos ............................................. ......... 117
2.7
Puesto final de Seguridad ................................................ ..................................................
....... 119
2.7.1
Anti-malware ............................................... .................................................. ....... 119
2.7.2
Anti-spyware ............................................... .................................................. ....... 123
2.7.3
Cortafuegos personales ................................................ ..................................................
123
2.7.4
Sistemas de prevención de intrusiones basados en el host (HIPS)
......................................... ........ 124
2.7.5
Gestión de dispositivos móviles ............................................... .................................. 124
Página 5
GUÍA DE SUPERVIVENCIA A LA CIBERSEGURIDAD, Tercera edición iii
2.8
Nube, virtualización y seguridad de almacenamiento ...........................................
...................... 126
2.8.1
Computación en la nube ................................................ ..................................................
126
2.8.2
Virtualización ................................................. .................................................. ...... 128
2.8.3
Almacenamiento local y remoto .............................................. .......................................
130
2.9
Conceptos de redes ................................................ .................................................. 131
2.9.1
Servidor y administración del sistema .............................................. .......................... 132
2.9.2
Directorio de Servicios ................................................ ..................................................
133
2.9.3
Solución de problemas estructurados de host y red ............................................. ........
133
2.9.4
Fundamentos de ITIL ................................................ ..................................................
136
2.9.5
Mesa de ayuda y soporte técnico ............................................. ............................. 137
Módulo 3 - Elementos esenciales de seguridad cibernética
............................................. .................. 138
3.1
Plataforma Operativa de Seguridad ...............................................
......................................... 138
3.2
Seguridad de la red ................................................ .................................................. ........
140
3.2.1
Cortafuegos de próxima generación ..............................................
....................................... 140
3.2.2
Palo Alto Networks Expedition (Herramienta de migración) ..........................................
........ 164
3.2.3
Gestión de seguridad de red (Panorama) ............................................ ............ 165
3,3
Protección de punto final ................................................ ..................................................
... 171
3.3.1
Protección avanzada de punto final (trampas) ............................................ .....................
171
3.3.2
Seguridad móvil y gestión de VPN (GlobalProtect) ...................................... 184
3.4
Seguridad en la nube ................................................ ..................................................
............ 191
3.4.1
Monitoreo y cumplimiento en la nube (Evidente) ........................................... .............
191
3.4.2
Seguridad SaaS (Apertura) ............................................. .......................................... 193
3.5
Marco de aplicación y servicio de registro ............................................. .................. 198
3.5.1
Análisis de comportamiento (lupa) ............................................. .............................. 199
3.5.2
Gestión de registros (Servicio de registro) ............................................ ..........................
202
3.5.3
Inteligencia de amenazas (AutoFocus) ............................................. ...............................
204
3.5.4
Uso compartido de indicadores de amenazas (MineMeld) ............................................
....................... 208
3.5.5
Análisis de malware (WildFire) ............................................. .....................................
210
Apéndice A - Respuestas de verificación de conocimiento
............................................ ............ 216
Sección 1.1 Verificación de conocimiento ..............................................
.................................................. 216
.................................................. 216
.................................................. 216
Página 6
iv PALO ALTO NETWORKS®
.................................................. 217
.................................................. 217
.................................................. 217
.................................................. 217
.................................................. 217
.................................................. 218
.................................................. 218
.................................................. 218
.................................................. 219
.................................................. 219
.................................................. 219
.................................................. 219
.................................................. 219
.................................................. 220
.................................................. 220
.................................................. 221
Apéndice B - Glosario ..............................................
...................................... 222
Apéndice C - Programas de capacitación y certificación de Palo Alto
Networks ........... 242
Firewall 8.1 Essentials: Configuración y administración (EDU-210)
...................................... 242
Objetivos del Curso ................................................ ..................................................
............. 242
Alcance ................................................. ..................................................
................................ 242
Público objetivo ................................................ ..................................................
................ 243
Prerrequisitos ................................................. ..................................................
.................... 243
Sesiones ................................................. ..................................................
............................ 243
Firewall 8.1: Optimización de la prevención de amenazas de firewall (EDU-214)
...................................... ....... 244
............. 244
Alcance ................................................. ..................................................
................................ 244
................ 244
Prerrequisitos ................................................. ..................................................
.................... 244
Sesiones ................................................. ..................................................
............................ 245
Panorama 8.1: Gestión de firewalls a escala (EDU-220) ......................................
.................... 245
............. 245
Página 7
GUÍA DE SUPERVIVENCIA A LA CIBERSEGURIDAD, Tercera edición v
Alcance ................................................. ..................................................
................................ 246
................ 246
Prerrequisitos ................................................. ..................................................
.................... 246
Sesiones ................................................. ..................................................
............................ 246
Firewall 8.1: Solución de problemas (EDU-330) .........................................
....................................... 247
............. 247
Alcance ................................................. ..................................................
................................ 247
................ 247
Prerrequisitos ................................................. ..................................................
.................... 248
Sesiones ................................................. ..................................................
............................ 248
Trampas 4.2: Instalar, configurar y administrar (EDU-281) ....................................
......................... 248
............. 248
Alcance ................................................. ..................................................
................................ 249
................ 249
Prerrequisitos ................................................. ..................................................
.................... 249
Sesiones ................................................. ..................................................
............................ 249
Trampas 4.2: Implementar y optimizar (EDU-285) .......................................
..................................... 250
............. 250
Alcance ................................................. ..................................................
................................ 250
................ 250
Prerrequisitos ................................................. ..................................................
.................... 250
Sesiones ................................................. ..................................................
............................ 250
Trampas: Operaciones de servicio en la nube (EDU-290) ........................................
.................................... 251
............. 251
Alcance ................................................. ..................................................
................................ 251
................ 251
Prerrequisitos ................................................. ..................................................
.................... 251
Sesiones ................................................. ..................................................
............................ 251
Certificaciones ................................................. ..................................................
........................ 252
Ingeniero de configuración acreditado (ACE) ............................................
............................... 252
Ingeniero de seguridad de redes certificado de Palo Alto Networks (PCNSE)
.................................... 252
Página 8
vi PALO ALTO NETWORKS®
Tabla de figuras
Figura 1-1: El ciclo de vida de Cyber-Attack ........................................
................................................. 22
Figura 1-2: Las vulnerabilidades pueden explotarse desde el momento en que se
implementa el software hasta que se implementa
parcheado ................................................. ..................................................
...................................... 34
Figura 1-3: Los exploits se basan en una serie de técnicas de ataque central para tener
éxito .................................. 35
Figura 1-4: La infraestructura distribuida de C&C de una botnet
...................................... ................... 38
Figura 1-5: Jasager finge ser el punto de acceso solicitado por la baliza del cliente 50
Figura 1-6: Man-in-the-middle con SSLstrip ....................................
............................................ 52
Figura 2-1: Operación DHCP ...........................................
.................................................. ............. 72
Figura 2-2: El modelo OSI y el modelo TCP / IP ....................................
.................................... 86
Figura 2-3: Arquitectura conceptual Zero Trust .........................................
................................... 93
Figura 2-4: Los centros de datos están evolucionando para incluir una combinación de
hardware y computación en la nube
tecnologías .................................................. ..................................................
............................. 97
Figura 2-5: Arquitectura típica de diseño del centro de datos virtual
....................................... ................. 102
Figura 2-6: Aplicación de tres niveles alojada en un centro de datos virtual
................................... .......... 103
Figura 2-7: Tiempo promedio de detección por vector de aplicación
...................................... ............... 121
Figura 2-8: El modelo de responsabilidad compartida .........................................
..................................... 128
Figura 3-1: Plataforma operativa de seguridad de Palo Alto Networks
....................................... .............. 139
Figura 3-2: Los NGFW de Palo Alto Networks utilizan una arquitectura de un solo
paso ................................... .. 141
Figura 3-3: La clasificación de tráfico centrada en la aplicación identifica aplicaciones
específicas en el
red, independientemente del puerto y protocolo en uso ........................................
....................... 142
Figura 3-4: Cómo Palo Alto Networks App-ID clasifica las aplicaciones
.................................... ....... 144
Figura 3-5: el Control de función de aplicación maximiza la productividad al habilitar
de forma segura
aplicación en sí (Microsoft SharePoint) o funciones individuales
......................................... ...... 147
Figura 3-6: La identificación del usuario integra directorios empresariales para políticas
basadas en el usuario,
informes y análisis forense .............................................. ..................................................
.............. 149
Figura 3-7: El escaneo basado en flujo ayuda a minimizar la latencia y maximizar el
rendimiento
actuación ................................................. ..................................................
............................ 154
Figura 3-8: ACC proporciona una gestión de seguridad altamente visual, interactiva y
personalizable
tablero ................................................. ..................................................
................................ 156
Figura 3-9: El widget ACC "Uso de la aplicación" muestra el tráfico de la aplicación
por tipo, cantidad,
riesgo y categoría .............................................. ..................................................
........................ 157
Figura 3-10: La conciencia de geolocalización en ACC proporciona información
valiosa sobre la fuente y
destino de todo el tráfico de aplicaciones .............................................
............................................... 157
Figura 3-11: El widget ACC "Aplicaciones que usan puertos no estándar" destaca el
salto de puertos
y muestra la importancia de la aplicación frente al control de puertos
......................................... .. 158
Figura 3-12: Se puede elegir una gran variedad de widgets para personalizar pestañas
en el ACC ............... 159
Página 9
GUÍA DE SUPERVIVENCIA A LA CIBERSEGURIDAD, Tercera edición vii
Figura 3-13: Las capacidades interactivas con un solo clic proporcionan información
adicional y la capacidad de
aplicar cualquier elemento como filtro global ...........................................
.................................................. ..... 160
Figura 3-14: El motor de correlación automatizado resalta automáticamente los hosts
comprometidos en
ACC mediante la correlación de indicadores de compromiso (IoC)
......................................... ......................... 161
Figura 3-15: Apilamiento de plantillas en Panorama .........................................
.................................... 167
Figura 3-16: Grupos de dispositivos jerárquicos en Panorama ........................................
........................ 167
Figura 3-17: La integración con Splunk extiende las capacidades de visibilidad y
prevención a toda su
infraestructura de red................................................ ..................................................
.............. 169
Figura 3-18: Traps bloquea un conjunto básico de técnicas para detener ataques
avanzados ........................... 172
Figura 3-19: Prevención de ejecutables maliciosos, un enfoque de varios niveles
............................... 173
Figura 3-20: La integración de WildFire con Traps permite la evaluación en tiempo
real de los veredictos de hash ... 174
Figura 3-21: Captura la prevención de malware de métodos múltiples
....................................... ....................... 178
Figura 3-22: Las trampas EPM protegen los procesos de aplicación contra
vulnerabilidades ....................... 178
Figura 3-23: Solo una técnica necesita ser bloqueada para que un exploit falle
............................... 179
Figura 3-24: Cuando se intenta un exploit, Traps lo bloquea antes de que se realice
cualquier actividad maliciosa
iniciado ................................................. ..................................................
.................................... 182
Figura 3-25: Las trampas evitan este ejemplo de ataque en cualquiera de los diez pasos
críticos ...................... 184
Figura 3-26: Los componentes de GlobalProtect trabajan juntos para asegurar el acceso
de todos los usuarios en el
empresa, independientemente de su ubicación o dispositivo ...........................................
.................................... 187
Figura 3-27: Los componentes de GlobalProtect LSVPN trabajan juntos para extender
de forma segura un
red empresarial a oficinas remotas .............................................
........................................... 188
Figura 3-28: Servicio en la nube GlobalProtect ..........................................
......................................... 189
Figura 3-29: Impactos de aplicaciones SaaS sancionadas y no sancionadas
............................... 194
Figura 3-30: Ejemplo de controles granulares compatibles con App-ID
.................................... ....... 195
Figura 3-31: visibilidad y control completos de SaaS con la seguridad de las redes de
Palo Alto
Plataforma Operativa ................................................ ..................................................
................... 196
Figura 3-32: La plataforma operativa de seguridad previene amenazas en todo el ciclo
de vida del ataque ...
Figura 3-33: Interfaz web de lupa ..........................................
............................................... 201
Figura 3-34: La lupa descubre ataques analizando datos de NGFW y Pathfinder
análisis de punto final ................................................ ..................................................
...................... 202
Figura 3-35: El servicio de registro de redes de Palo Alto .......................................
......................... 203
Figura 3-36: Palo Alto Networks AutoFocus Threat Intelligence Cloud
..................................... 205
Figura 3-37: MineMeld agrega y correlaciona los datos de inteligencia de amenazas
........................... 209
Figura 3-38: WildFire proporciona análisis de malware basado en la nube y prevención
de amenazas ........... 211
Página 10
viii PALO ALTO NETWORKS®
Lista de tablas
Tabla 2-1: Notación decimal, hexadecimal y binaria ......................................
......................... 70
Tabla 2-2: Valores de posición de bit en una dirección IPv4 ......................................
................................... 74
Tabla 2-3: Notación binaria de valores de octeto ........................................
.......................................... 75
Tabla 2-4: Clases de direcciones IP ..........................................
.................................................. ............ 75
Página 11
GUÍA DE SUPERVIVENCIA A LA CIBERSEGURIDAD, Tercera edición ix
Prefacio
¿Sabes lo que me gusta de mi trabajo? Cambia todo el tiempo. Siempre hay algo nuevo
aprender; algo nuevo para descubrir; Algo nuevo para separar. La tecnología cambia así
rápido. Los adversarios son muy ágiles. Siempre hay algo emocionante a la vuelta de la
esquina
eso desafiará todo lo que creías haber aprendido hasta este punto. Eso me encanta Vos si
¿Sabes lo que odio de mi trabajo? Siempre hay algo nuevo que aprender; algo nuevo
para
descifrar; Algo nuevo para separar.
Dicho esto, tener una base de conceptos básicos permitirá a los defensores de la red ser
ágiles en
su pensamiento Les permitirá comprender de inmediato el impacto de los cambios en
tecnología, procesos y tácticas adversarias. De hecho, sin esa base, los defensores de la
red
probablemente fracasará en su misión de prevención de amenazas porque el ritmo
operativo del cambio
fluirá justo por ellos. No podrán mantenerse al día.
Este libro proporciona una visión de esos conceptos básicos de ciberseguridad. Desearía
haberlo tenido
cuando comenzaba mi carrera El autor, Larry Miller, con Scott Simkin, Sebastian
Goodwin, Tim Treat y otros líderes de Palo Alto Networks pensaron que se habían
superado
poniendo este material juntos Proporcionan un marco sobre cómo pensar en la
ciberseguridad
y cómo la plataforma Palo Alto Networks puede ayudarlo a adaptarse al cambio
constante más
eficientemente. En otras palabras, leer este libro te mantendrá del lado de "Amo mi
trabajo" más
a menudo que "Odio mi trabajo".
Rick Howard
Director de seguridad - Palo Alto Networks
Pagina 12
x PALO ALTO NETWORKS®
Introducción
El panorama moderno de amenazas continúa evolucionando y se ha vuelto más
complejo y
más peligroso que nunca Los riesgos para la empresa hoy incluyen ataques nuevos y
emergentes
técnicas y vectores, pérdida accidental de datos y robo de datos, una red en constante
expansión y
perímetro de la nube y sanciones por incumplimiento normativo y otras consecuencias.
Tendencias de la industria como Traiga sus propias aplicaciones / dispositivo (BYOA /
BYOD), computación en la nube,
consumerización, informática móvil, redes y almacenamiento definidos por software y
datos virtuales
Los centros complican aún más los desafíos modernos de seguridad de la red. Como
resultado, muchos principios básicos
de seguridad de red: conceptos tradicionales como defensa en profundidad y basada en
el perímetro
seguridad: también debe evolucionar para abordar estos desafíos.
Esta guía está dividida en los siguientes módulos:
Módulo 1: La Fundación de Ciberseguridad explica la naturaleza y el alcance de la
ciberseguridad actual
desafíos Este módulo explora el panorama de la seguridad cibernética, las amenazas
cibernéticas, el malware y
spam, y Wi-Fi y amenazas avanzadas.
El Módulo 2: Puerta de enlace de seguridad cibernética explica los conceptos de red,
los fundamentos
tecnologías Este módulo explora el funcionamiento básico de las redes de
computadoras; común
dispositivos de red; protocolos enrutados y de enrutamiento; tipos de red y topologías;
DNS; físico,
direccionamiento lógico y virtual; Direccionamiento IP y subredes; los modelos OSI y
TCP / IP;
modelos de seguridad de red, seguridad de centro de datos y nube, tecnologías de
seguridad de red, nube
informática, virtualización y tecnologías de almacenamiento; y fundamentos de
operaciones de red.
Módulo 3: Cybersecurity Essentials presenta información detallada sobre la próxima
generación
soluciones de ciberseguridad disponibles de Palo Alto Networks. Este módulo
demuestra lo real
Aplicación mundial de las mejores prácticas y principios de diseño de ciberseguridad
presentados en el Módulo
2, para abordar el panorama de ciberseguridad y los desafíos de amenazas descritos en
el Módulo 1.
Página 13
GUÍA DE SUPERVIVENCIA A LA CIBERSEGURIDAD, Tercera edición 1
Módulo 1 - Fundación de Ciberseguridad
Objetivos de conocimiento
Describa el panorama de la seguridad cibernética, incluidas las tendencias informáticas
modernas y la aplicación.
frameworks y vectores de amenazas, computación en la nube y software como servicio
(SaaS)
desafíos de aplicaciones, seguridad de la información y regulaciones de protección de
datos y
estándares y recientes ataques cibernéticos.
Discuta las amenazas cibernéticas, incluidas las motivaciones de los atacantes y el ciclo
de vida del ataque cibernético.
Describa los desafíos y soluciones de seguridad de los puntos finales.
Describa las técnicas y los tipos de ataques cibernéticos, incluidos malware,
vulnerabilidades, exploits,
spam, phishing, bots y botnets.
Discutir sobre Wi-Fi y amenazas avanzadas, incluidas las vulnerabilidades de Wi-Fi,
Wi-Fi man-in-the-
ataques medios, ataques de denegación de servicio distribuidos (DDoS) y persistente
avanzado
amenazas (APT).
1.1 Paisaje de ciberseguridad
El paisaje moderno de ciberseguridad es un entorno hostil y de rápida evolución
cargado de
amenazas avanzadas y actores de amenazas cada vez más sofisticados. Esta sección
describe la computación
tendencias que están dando forma al panorama de ciberseguridad, marcos de
aplicaciones y amenazas
vectores, computación en la nube y desafíos de seguridad de aplicaciones SaaS,
seguridad de información variada
y normas y normas de protección de datos, y algunos ejemplos recientes de
ciberataques.
Página 14
2 PALO ALTO NETWORKS, INC.®
1.1.1 Tendencias informáticas modernas
La naturaleza de la informática empresarial ha cambiado drásticamente en la última
década. Núcleo
Las aplicaciones de negocios ahora se instalan comúnmente junto con "aplicaciones" de
Web 2.0 en una variedad de
Los puntos finales y las redes que se diseñaron originalmente para compartir archivos e
impresoras ahora se usan
para recopilar grandes volúmenes de datos, intercambiar información en tiempo real,
realizar transacciones comerciales en línea,
y permitir la colaboración global.
Del mismo modo, Web 3.0 transformará el panorama de la informática empresarial en la
próxima década y
más allá. Web 3.0, como se define en ExpertSystem.com, se caracteriza por cinco
características principales:
Términos clave
Web 2.0 es un término popularizado por Tim O'Reilly y Dale Dougherty que
extraoficialmente se refiere a una nueva era de la World Wide Web, que se caracteriza
por contenido dinámico o generado por el usuario, interacción y colaboración, y el
crecimiento de las redes sociales.
Un punto final es un dispositivo informático como una computadora de escritorio o
portátil,
escáner de mano, terminal de punto de venta (POS), impresora, radio satelital, seguridad
o cámara de videoconferencia, quiosco de autoservicio, servidor, internet de las cosas
(IoT)
dispositivo o sensor (como un medidor inteligente, dispositivo inteligente, dispositivo
portátil o
vehículo autónomo), televisión inteligente, teléfono inteligente, tableta o voz sobre
Internet
Teléfono de protocolo (VoIP). Aunque los puntos finales pueden incluir servidores y
redes
equipo, el término se usa generalmente para describir dispositivos de usuario final.
Nota
Los términos "empresa" y "empresa" se utilizan a lo largo de esta guía para
Describir organizaciones, redes y aplicaciones en general. El uso de estos
los términos no pretenden excluir otros tipos de organizaciones, redes o
aplicaciones, y debe entenderse que incluye no solo grandes empresas y
empresas, pero también pequeñas y medianas empresas (PYMES), gobierno,
empresas estatales (SOE), servicios públicos, militares, sanitarios y no estatales
beneficios, entre otros.
Página 15
Web semántica. "La web semántica mejora las tecnologías web para generar,
compartir y conectarse a través de búsquedas y análisis basados en la capacidad de
comprender el
significado de las palabras, en lugar de palabras clave y números ".
Inteligencia artificial. "... las computadoras pueden entender información como los
humanos para
proporcionar resultados más rápidos y más relevantes ".
Gráficos 3D El diseño 3D es "... usado ampliamente en sitios web y servicios".
Conectividad “… La información está más conectada gracias a los metadatos
semánticos. Como un
Como resultado, la experiencia del usuario evoluciona a otro nivel de conectividad que
aprovecha todos los
información disponible."
Ubicuidad. "El contenido es accesible por múltiples aplicaciones, cada dispositivo está
conectado a
la web, [y] los servicios se pueden usar en todas partes ". 1
Muchas aplicaciones Web 2.0 están disponibles como software como servicio (SaaS),
aplicaciones web o móviles.
que pueden instalar fácilmente los usuarios finales, o pueden ejecutarse sin instalar
ningún programa local o
servicios en el punto final. El uso de aplicaciones Web 2.0 en la empresa a veces se
denomina
Enterprise 2.0, aunque no todas las aplicaciones Web 2.0 se consideran aplicaciones
Enterprise 2.0.
1Sistema experto. 2017. "5 características principales de la Web 3.0". Consultado el 3 de junio de 2018.
http://www.expertsystem.com/web-
3-0 / .
Términos clave
El software como servicio (SaaS) es un modelo de servicio de computación en la nube,
definido por el
Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), en el que "el
la capacidad proporcionada al consumidor es usar las aplicaciones del proveedor que se
ejecutan
en una infraestructura en la nube. El consumidor no gestiona ni controla el
infraestructura de nube subyacente que incluye red, servidores, sistemas operativos,
almacenamiento, o incluso capacidades de aplicaciones individuales, con la posible
excepción
de ajustes de configuración de aplicación específicos de usuario limitados ".
Enterprise 2.0 es un término introducido por Andrew McAfee y definido como "el uso
de
plataformas emergentes de software social dentro de las empresas o entre empresas
y sus socios o clientes ".
Página 16
Las aplicaciones comerciales básicas típicas incluyen:
El software de contabilidad se utiliza para procesar y registrar datos y transacciones
contables
tales como cuentas por pagar, cuentas por cobrar, nómina, saldos de prueba y libro
mayor
(GL) entradas. Ejemplos de software de contabilidad incluyen Intacct, Microsoft
Dynamics AX
y GP, NetSuite, Quickbooks y Sage.
El software de inteligencia empresarial (BI) y análisis empresarial consta de
herramientas y
Técnicas utilizadas para mostrar grandes cantidades de datos no estructurados sin
procesar de una variedad de
fuentes (como almacenes de datos y data marts). Software de análisis de negocios y BI
realiza una variedad de funciones, incluida la gestión del rendimiento empresarial, los
datos
minería, procesamiento de eventos y análisis predictivo. Ejemplos de software de BI y
análisis.
incluyen IBM Cognos, MicroStrategy, Oracle Hyperion y SAP.
Sistemas de gestión de contenido (CMS) y gestión de contenido empresarial (ECM)
Los sistemas se utilizan para almacenar y organizar archivos desde una interfaz de
administración central, con
características como indexación, publicación, búsqueda, gestión de flujo de trabajo y
control de versiones.
Entre los ejemplos de software CMS y ECM se incluyen EMC Documentum, HP
Autonomy,
Microsoft SharePoint y OpenText.
El software de gestión de relaciones con el cliente (CRM) se utiliza para gestionar un
información del cliente (o cliente) de la organización, incluida la validación de clientes
potenciales, ventas pasadas,
registros de comunicación e interacción, e historial de servicio. Ejemplos de suites
CRM
incluyen Microsoft Dynamics CRM, Salesforce.com, SugarCRM y ZOHO.
Los sistemas de gestión de bases de datos (DBMS) se utilizan para administrar bases
de datos, incluido el
esquemas, tablas, consultas, informes, vistas y otros objetos que comprenden una base
de datos.
Ejemplos de software DBMS incluyen Microsoft SQL Server, MySQL, NoSQL y
Oracle
Base de datos.
Los sistemas de planificación de recursos empresariales (ERP) proporcionan una
visión integrada del negocio principal
procesos tales como planificación de productos y costos, fabricación o entrega de
servicios,
gestión de inventario, y envío y pago. Los ejemplos de software ERP incluyen
NetSuite, Oracle JD Edwards EnterpriseONE y PeopleSoft y SAP.
El software de gestión de activos empresariales (EAM) se utiliza para administrar el
contenido de una organización
activos físicos a lo largo de todo su ciclo de vida, incluida la adquisición, actualización,
mantenimiento, reparación, reemplazo, desmantelamiento y eliminación. EAM es
comúnmente
implementado como un módulo integrado de sistemas ERP. Ejemplos de software EAM
incluyen IBM Maximo, Infor EAM y SAP.
Página 17
El software de gestión de la cadena de suministro (SCM) se utiliza para gestionar las
transacciones de la cadena de suministro,
relaciones con proveedores y diversos procesos comerciales, como órdenes de compra
procesamiento, gestión de inventario y gestión de almacenes. El software SCM es
comúnmente integrado con sistemas ERP. Ejemplos de software SCM incluyen
Fishbowl
Inventario, Freightview, Infor Supply Chain Management y Sage X3.
El software de administración de contenido web (WCM) se usa para administrar el
contenido del sitio web
incluyendo administración, autoría, colaboración y publicación. Ejemplos de web
El software de gestión de contenido incluye Drupal, IBM FileNet, Joomla y WordPress.
Las aplicaciones y servicios comunes de Web 2.0 (muchos de los cuales también son
aplicaciones SaaS) incluyen:
Los servicios de sincronización y uso compartido de archivos se utilizan para
administrar, distribuir y proporcionar acceso a
contenido en línea, como documentos, imágenes, música, software y video. Ejemplos
incluyen Apple iCloud, Box, Dropbox, Google Drive, Microsoft OneDrive, Spotify y
Youtube.
La mensajería instantánea (IM) se usa para intercambiar mensajes cortos en tiempo
real. Ejemplos
incluyen Facebook Messenger, Skype, Snapchat y WhatsApp.
Los servicios web de microblogging permiten a un suscriptor transmitir mensajes
cortos a otros
suscriptores. Los ejemplos incluyen Tumblr y Twitter.
Los paquetes de productividad de Office consisten en procesamiento de texto basado
en la nube, hoja de cálculo y
software de presentación. Los ejemplos incluyen Google Apps y Microsoft Office 365.
El software de acceso remoto se utiliza para compartir y controlar de forma remota un
punto final, generalmente
para fines de colaboración o resolución de problemas. Los ejemplos incluyen Ammyy
Admin,
LogMeIn y TeamViewer.
La curaduría social comparte contenido colaborativo sobre un tema o temas en
particular.
El marcador social es un tipo de curación social. Los ejemplos incluyen Cogenz,
Instagram,
Pinterest y Reddit.
• Las redes sociales se utilizan para compartir contenido con contactos comerciales o
personales. Ejemplos
incluyen Facebook, Google+ y LinkedIn.
El correo electrónico basado en la web es un servicio de correo electrónico de Internet
al que normalmente se accede a través de una web
navegador. Los ejemplos incluyen Gmail, Outlook.com y Yahoo! Correo.
Los wikis permiten a los usuarios contribuir, colaborar y editar el contenido del sitio.
Ejemplos incluyen
Texto social y Wikipedia.
Página 18
Según una investigación de McKinsey & Company y la Association for Information and
Image Management (AIIM), muchas organizaciones reconocen importantes beneficios
de
uso de aplicaciones y tecnologías Enterprise 2.0, incluida una mejor colaboración,
mayor
intercambio de conocimientos y gastos reducidos (por ejemplo, para viajes, operaciones
y
comunicaciones). 2 Por lo tanto, las infraestructuras empresariales (sistemas,
aplicaciones y redes) son
converge rápidamente con las tecnologías y aplicaciones personales y web 2.0,
definiendo
donde comienza internet y la infraestructura empresarial termina prácticamente
imposible. Esta
La convergencia está siendo impulsada por varias tendencias importantes que incluyen:
Computación en la nube. La popularidad de los modelos de servicios de computación
en la nube en general, y
Los servicios de aplicaciones SaaS en particular, continúan aumentando. Según un
enero de 2018
Artículo de McKinsey and Company, a pesar de que la adopción de la nube pública ha
sido
limitado a la fecha, la perspectiva es marcadamente diferente. Solo el 40 por ciento de
las empresas
estudiados tienen más del 10 por ciento de sus cargas de trabajo en plataformas de nube
pública; en
Por el contrario, el 80 por ciento planea tener más del 10 por ciento de sus cargas de
trabajo en público.
plataformas en la nube en tres años o planean duplicar su penetración en la nube. 3
Consumerización El proceso de consumerización se produce a medida que los usuarios
finales encuentran cada vez más
tecnología personal y aplicaciones que son más potentes o capaces, más convenientes,
menos
costoso, más rápido de instalar y más fácil de usar que las soluciones de TI
empresariales.
Traiga su propio dispositivo (BYOD). Estrechamente relacionado con la
consumerización está BYOD, una política
tendencia en la cual las organizaciones permiten a los usuarios finales usar sus propios
dispositivos personales,
principalmente teléfonos inteligentes y tabletas, para fines relacionados con el trabajo.
BYOD alivia
organizaciones desde el costo de proporcionar equipos a los empleados, pero crea una
desafío de gestión debido a la gran cantidad y tipo de dispositivos que deben ser
soportado.
Trae tus propias aplicaciones (BYOA). Las aplicaciones web 2.0 en dispositivos
personales son cada vez más
utilizado para fines relacionados con el trabajo. Como el límite entre el trabajo y la vida
personal.
2 "Uso de la aplicación e informe de riesgos: otoño de 2009." Redes de Palo Alto. Noviembre de 2009.
https://researchcenter.paloaltonetworks.com/2009/11/application-usage-risk-report-fall-2009/.
3 Elumalai, Arul, James Kaplan, Mike Newborn y Roger Roberts. "Hacer una transición segura al público
nube." McKinsey and Company. Enero de 2018. https://www.mckinsey.com/business-functions/digital-
mckinsey / our-insights / haciendo una transición segura a la nube pública .
Página 19
se vuelve menos distintivo, los usuarios finales prácticamente exigen que estas mismas
aplicaciones sean
disponible para ellos en sus lugares de trabajo.
Informática móvil. El apetito por el acceso rápido y bajo demanda a aplicaciones y
datos de
en cualquier lugar, en cualquier momento, en cualquier dispositivo es insaciable. Ahora
hay más de 4.400 millones.
suscripciones de teléfonos inteligentes en todo el mundo y el tráfico total de datos
móviles mensuales (incluidos
audio, uso compartido de archivos, redes sociales, carga y descarga de software, video,
web
navegación y otras fuentes) en el tercer trimestre de 2017 fue de aproximadamente 14
exabytes! 4 4
Las organizaciones a menudo no están seguras de los posibles beneficios comerciales y
los riesgos inherentes de
Estas tendencias, y por lo tanto:
Permitir implícitamente tecnologías y aplicaciones personales simplemente ignorando
su uso en el
lugar de trabajo, o
Prohíbe explícitamente su uso, pero no puede hacer cumplir efectivamente dichas
políticas con
firewalls tradicionales y tecnologías de seguridad
Si las tecnologías y aplicaciones personales están implícitamente permitidas (e
ignoradas) o explícitamente
prohibido (pero no aplicado), los resultados adversos de políticas ineficaces incluyen:
Pérdida de productividad porque los usuarios deben encontrar formas de integrar
estos no compatibles
tecnologías y aplicaciones (cuando esté permitido) con la infraestructura empresarial, o
use
aplicaciones que no les son familiares o menos eficientes (cuando las tecnologías
personales
y las aplicaciones están prohibidas)
Interrupción potencial de las operaciones comerciales críticas debido a la
clandestinidad o
procesos de canal posterior que se utilizan para realizar tareas de flujo de trabajo
específicas o para
eludir los controles, y solo unos pocos usuarios los conocen y dependen completamente
de sus
uso de tecnologías y aplicaciones personales
Exposición a riesgos adicionales para la empresa debido a desconocidos, y por lo tanto
sin parches: vulnerabilidades en tecnologías y aplicaciones personales, y un perpetuo
gato y ...
juego de mouse entre empleados que eluden los controles (por ejemplo, con
4"Informe de movilidad de Ericsson, noviembre de 2017". Ericsson Noviembre de 2017.
https://www.ericsson.com/assets/local/mobility-report/documents/2017/ericsson-mobility-report-november-
2017.pdf .
Página 20
servidores proxy, túneles encriptados y aplicaciones de escritorio remoto) y equipos de
seguridad que
gestionar estos riesgos
Sanciones por incumplimiento normativo , por ejemplo, la Protección general de
datos de la UE
Reglamento (GDPR), la Ley de Responsabilidad y Portabilidad del Seguro de Salud de
EE. UU. (HIPAA),
y el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
A medida que estas tendencias continúan desdibujando la distinción entre internet y la
empresa
red, surgen nuevos desafíos y riesgos de seguridad, que incluyen:
Nuevos vectores de amenazas de aplicaciones
Turbulencia en la nube
Riesgos de la aplicación SaaS
1.1.2 Nuevo marco de aplicación y vectores de amenazas
Los firewalls de próxima generación (NGFW) interrumpieron la tradicional amenaza
unificada y basada en puertos
Administre los cortafuegos aprovechando los avances en el procesamiento paralelo de
hardware para
inspeccione rápidamente todo el tráfico de red y brinde una mejor capacidad de
prevención de ataques. Eso es verdad
Los NGFW han proporcionado una protección mucho mejor para las redes físicas en el
sitio, pero ahora es una nueva
El modelo de consumo de aplicaciones basado en la nube está revolucionando la forma
en que lo hacen las organizaciones
negocio. En este nuevo modelo, ahora se pueden consumir aplicaciones como Microsoft
Office 365
y actualizado a través de redes en la nube sin infraestructura local adicional. Atacantes
también están constantemente innovando, y las organizaciones deben poder evaluar e
implementar rápidamente
Nuevas capacidades que detectan y previenen ataques cibernéticos exitosos en un
sistema altamente ágil y automatizado
manera, sin desplegar nueva infraestructura que necesita ser comprada (gastos de
capital)
y gestionado (gastos operativos). Para lidiar con estos cambios, un nuevo marco para
Proporcionar protección de ciberseguridad es necesario. Este nuevo marco
probablemente interrumpirá el
modelo tradicional de protección de ciberseguridad basado en puntos. El nuevo marco
tendrá que
Aproveche la innovación y el espíritu empresarial, el big data, el aprendizaje automático
y los avances en la nube
tecnología para proporcionar seguridad superior con alta consistencia.
Más allá de administrar los riesgos asociados con un conjunto relativamente limitado y
conocido de aplicaciones principales
que están autorizados y respaldados en la empresa, los equipos de seguridad ahora
deben administrar los riesgos
asociado con un número cada vez mayor de aplicaciones y tecnologías personales
desconocidas que
puede ser usado en la organización.
Clasificación de las aplicaciones como "buenas" (permitidas) o "malas" (bloqueadas) de
forma clara y
La manera consistente también se ha vuelto cada vez más difícil. Muchas aplicaciones
son claramente buenas
Página 21
(bajo riesgo, alta recompensa) o claramente malo (alto riesgo, baja recompensa), pero la
mayoría están en algún lugar de
entre - dependiendo de cómo se use la aplicación.
Por ejemplo, muchas organizaciones usan aplicaciones de redes sociales como
Facebook para
funciones comerciales importantes como reclutamiento, investigación y desarrollo,
mercadeo y
defensa del consumidor. Sin embargo, estas mismas aplicaciones se pueden usar para
fugas sensibles
información o causar daño a la imagen pública de una organización, ya sea
inadvertidamente o
con malevolencia.
Muchas aplicaciones están diseñadas para eludir los firewalls tradicionales basados en
puertos (discutido en
Sección 2.6.1), para que se puedan instalar y acceder fácilmente en cualquier
dispositivo, en cualquier lugar y
en cualquier momento, utilizando técnicas como:
Salto de puerto , en el que los puertos y protocolos se cambian aleatoriamente durante
una sesión
Uso de puertos no estándar , como ejecutar Yahoo! Messenger sobre el puerto TCP 80
(HTTP)
en lugar del puerto TCP estándar para Yahoo! Mensajero (5050)
Túnel dentro de los servicios de uso común , como cuando se comparten archivos P2P
(peer-to-peer)
o un cliente de mensajería instantánea (IM) como Meebo se ejecuta a través de HTTP
Ocultar dentro del cifrado SSL , que enmascara el tráfico de la aplicación, por
ejemplo, a través de TCP
puerto 443 (HTTPS). Más de la mitad de todo el tráfico web ahora está encriptado
Muchas aplicaciones comerciales tradicionales de cliente-servidor también se están
rediseñando para uso web, y
Emplee estas mismas técnicas para facilitar la operación mientras minimiza las
interrupciones. Por ejemplo,
la llamada a procedimiento remoto (RPC) y Microsoft SharePoint usan salto de puerto
porque es
crítico para el funcionamiento del protocolo o aplicación (respectivamente), en lugar de
como un medio para
evadir la detección o mejorar la accesibilidad.
Términos clave
La llamada a procedimiento remoto (RPC) es un protocolo de comunicación entre
procesos (IPC)
que permite que una aplicación se ejecute en una computadora o red diferente, en lugar
de
que la computadora local en la que está instalado.
Un vector de ataque (o amenaza ) es una ruta o herramienta que un atacante usa para
apuntar a un
red.
Página 22
Las aplicaciones también pueden ser secuestradas y reutilizadas por actores maliciosos,
como se hizo en el
2014 ataque de Heartbleed. Según un artículo de Palo Alto Networks de abril de 2014:
" [L] a historia del impacto de Heartbleed se ha centrado en el compromiso de HTTPS-
sitios web y aplicaciones web habilitados, como Yahoo !, Google, Dropbox, Facebook,
banca en línea y los miles de otros objetivos vulnerables en la web. Estos son
de gran impacto, pero todos esos sitios se actualizarán rápidamente ...
“Para los profesionales de seguridad, [el ataque Heartbleed inicial] es solo la punta del
iceberg. La vulnerabilidad pone las herramientas una vez reservadas para amenazas
verdaderamente avanzadas en
las manos del atacante promedio, en particular, la capacidad de violar organizaciones,
y
moverse lateralmente dentro de ellos. La mayoría de las empresas, incluso de tamaño
moderado, no tienen
buen manejo de los servicios que están ejecutando internamente utilizando encriptación
SSL.
Sin este conocimiento básico, es extremadamente difícil para los equipos de seguridad
endurecerse
su superficie de ataque interno contra las credenciales y las herramientas de robo de
datos
Heartbleed permite. Todos los puntos de apoyo para el atacante con una red
empresarial son
de repente de igual valor ". 5 5
Como las nuevas aplicaciones están cada vez más habilitadas para la web y basadas en
el navegador, HTTP y HTTPS ahora
representan aproximadamente dos tercios de todo el tráfico de red empresarial.
Cortafuegos tradicionales basados en puertos
y otra infraestructura de seguridad no puede distinguir si estas aplicaciones, que se
ejecutan en HTTP
y HTTPS, se están utilizando para fines comerciales legítimos.
Por lo tanto, las aplicaciones (incluido el malware) se han convertido en el vector de
ataque predominante para infiltrarse
redes y sistemas.
1.1.3 Turbulencia en la nube
Las tecnologías de computación en la nube permiten a las organizaciones evolucionar
sus centros de datos desde una
arquitectura centrada en hardware donde las aplicaciones se ejecutan en servidores
dedicados a una dinámica y
entorno automatizado donde los grupos de recursos informáticos están disponibles bajo
demanda, para
admite cargas de trabajo de aplicaciones a las que se puede acceder desde cualquier
lugar, en cualquier momento y desde cualquier dispositivo.
5Simkin, Scott. "Impacto en el mundo real de Heartbleed (CVE-2014-0160): la web es solo el comienzo". Redes de
Palo Alto.
Abril de 2014. https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-
web-solo-inicio .
Página 23
Sin embargo, muchas organizaciones se han visto obligadas a comprometerse
significativamente con respecto a sus
entornos de nube públicos y privados: función comercial, visibilidad y seguridad, por
simplicidad,
eficiencia y agilidad. Si una aplicación alojada en la nube no está disponible o no
responde, la red
Los controles de seguridad, que con demasiada frecuencia introducen demoras e
interrupciones, generalmente están "optimizados"
fuera del diseño de la nube. Las compensaciones de seguridad en la nube a menudo
incluyen
Simplicidad o función
Eficiencia o visibilidad
Agilidad o seguridad
Muchas de las características que hacen que la computación en la nube sea atractiva
para las organizaciones también son contrarias
a las mejores prácticas de seguridad de red. Por ejemplo:
La computación en la nube no mitiga los riesgos de seguridad de red existentes.
Los riesgos de seguridad
que amenazan su red hoy no desaparecen cuando se muda a la nube. los
El modelo de responsabilidad compartida define quién (cliente y / o proveedor) es
responsable de
qué (relacionado con la seguridad) en la nube pública. En términos generales, el
proveedor de la nube es
responsable de la seguridad "de" la nube, incluida la seguridad física de los datos de la
nube
centros, y para servicios básicos de redes, almacenamiento, cómputo y virtualización.
El cliente de la nube es responsable de la seguridad "en" la nube, que se delinea más
por el modelo de servicio en la nube. Por ejemplo, en un modelo de infraestructura
como servicio (IaaS),
El cliente de la nube es responsable de la seguridad de los sistemas operativos,
middleware,
tiempo de ejecución, aplicaciones y datos. En un modelo de plataforma como servicio
(PaaS), la nube
el cliente es responsable de la seguridad de las aplicaciones y los datos: la nube
El proveedor es responsable de la seguridad de los sistemas operativos, middleware y
ejecución
hora. En un modelo SaaS, el cliente de la nube solo es responsable de la seguridad del
datos, y el proveedor de la nube es responsable de la pila completa, desde la seguridad
física
de los centros de datos en la nube a la aplicación.
La separación y la segmentación son fundamentales para la seguridad; la nube se
basa en compartido
recursos Las mejores prácticas de seguridad dictan que las aplicaciones y datos de
misión crítica sean
separados en segmentos seguros en la red, basados en los principios de Zero Trust
(discutido
en la Sección 2.4.2). En una red física, Zero Trust es relativamente sencillo, utilizando
firewalls y políticas basadas en la aplicación y la identidad del usuario. En un entorno
de nube,
Se produce comunicación directa entre máquinas virtuales (VM) dentro de un servidor
host
constantemente, en algunos casos, a través de diversos niveles de confianza, lo que hace
que la segmentación sea
Reto real. Niveles mixtos de confianza, combinados con una falta de visibilidad del
tráfico dentro del host
Las ofertas de seguridad virtualizadas basadas en puertos pueden debilitar su postura de
seguridad.
Página 24
Las implementaciones de seguridad están orientadas a procesos; los entornos de
computación en la nube son
dinámica. La creación o modificación de sus cargas de trabajo en la nube a menudo se
puede hacer en
minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede
llevar horas, días o
semanas. Los retrasos de seguridad no están diseñados para ser onerosos; son el
resultado de un
proceso diseñado para mantener una postura de seguridad sólida. Los cambios de
política deben ser
aprobado, se deben identificar los firewalls apropiados y la política relevante
las actualizaciones necesitan ser determinadas. Por el contrario, la nube es un entorno
altamente dinámico,
con cargas de trabajo que se agregan, eliminan y cambian rápida y constantemente. El
resultado es
una desconexión entre la política de seguridad y las implementaciones de carga de
trabajo en la nube, lo que conduce a una
postura de seguridad debilitada. Por lo tanto, las tecnologías y procesos de seguridad
deben ser capaces de
escala automática para aprovechar la elasticidad de la nube mientras se mantiene una
fuerte
postura de seguridad.
1.1.4 riesgos de la aplicación SaaS
Los datos se encuentran en todas partes en las redes empresariales actuales, incluidas
muchas ubicaciones que son
no bajo el control de la organización. Surgen nuevos desafíos de seguridad de datos para
las organizaciones
que permiten el uso de SaaS en sus redes.
Con las aplicaciones SaaS, los datos a menudo se almacenan donde reside la aplicación,
en la nube. Así,
los datos ya no están bajo el control de la organización y, a menudo, se pierde
visibilidad. Vendedores de SaaS
hacen todo lo posible para proteger los datos en sus aplicaciones, pero en última
instancia no es su responsabilidad.
Al igual que en cualquier otra parte de la red, el equipo de TI es responsable de proteger
y
controlando los datos, independientemente de su ubicación.
Debido a la naturaleza de las aplicaciones SaaS, su uso es muy difícil de controlar, o
tener
visibilidad en: una vez que los datos salen del perímetro de la red. Esta falta de control
presenta un
importante desafío de seguridad: los usuarios finales ahora actúan como su propio
departamento de TI "en la sombra",
con control sobre las aplicaciones SaaS que usan y cómo las usan. Pero tienen poco o
no comprende la exposición inherente a los datos y los riesgos de inserción de amenazas
de SaaS, incluidos:
Extraños maliciosos. La fuente más común de infracciones para las redes en general
también es una
preocupación crítica para la seguridad SaaS. La aplicación SaaS se convierte en un
nuevo vector de amenaza y
punto de distribución de malware utilizado por adversarios externos. Algunos malware
incluso
apunte a las aplicaciones SaaS, por ejemplo, cambiando sus acciones a
"Público" para que cualquiera pueda recuperar los datos.
Exposición accidental de datos. Los usuarios finales bien intencionados a menudo no
están capacitados ni son conscientes
de los riesgos que sus acciones plantean en entornos SaaS. Porque las aplicaciones SaaS
son
diseñado para facilitar el intercambio fácil, es comprensible que los datos a menudo se
conviertan
Página 25
Involuntariamente expuesto. La exposición accidental de datos por parte de los usuarios
finales es sorprendentemente común
e incluye:
Parte accidental: una parte destinada a una persona en particular se envía
accidentalmente a
persona o grupo equivocado. Las acciones accidentales son comunes cuando un nombre
se llena automáticamente, o es
mal escrito, lo que puede causar una dirección de correo electrónico antigua o un
nombre, grupo o incluso incorrecto
un usuario externo, para tener acceso al recurso compartido.
Uso compartido promiscuo: se crea un uso compartido legítimo para un usuario, pero
ese usuario luego
comparte con otras personas que no deberían tener acceso. Acciones promiscuas a
menudo
dar como resultado que los datos se compartan públicamente porque pueden ir más allá
del control de
El dueño original.
Recurso compartido fantasma (o obsoleto): un recurso compartido permanece activo
para un empleado o proveedor que no
Ya no trabaja con la empresa, o ya no debería tener acceso. Sin visibilidad
y el control de las acciones, el seguimiento y la fijación de las acciones para garantizar
que todavía
válido es muy dificil.
Insiders maliciosos. El riesgo de aplicación SaaS menos común pero real es el usuario
interno
quien comparte datos maliciosamente con fines de robo o venganza. Por ejemplo, un
empleado
quién abandona la empresa puede establecer los permisos para compartir de una carpeta
en "público" o compartir
con una dirección de correo electrónico externa para luego robar los datos de una
ubicación remota.
1.1.5 El cumplimiento y la seguridad no son lo mismo
Un número rápido y cada vez mayor de empresas internacionales, multinacionales,
federales, regionales, estatales,
y las leyes y regulaciones locales exigen numerosas ciberseguridad y protección de
datos
requisitos para empresas y organizaciones en todo el mundo. Varias directivas de la
industria, como
el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), también
establece sus propios
estándares de seguridad cibernética y mejores prácticas para empresas y organizaciones
que operan bajo
Su competencia.
Este complejo entorno regulatorio se complica aún más por el hecho de que muchas
leyes y
las regulaciones son obsoletas, ambiguas, no están uniformemente apoyadas por las
comunidades internacionales,
y / o inconsistente (con otras leyes y regulaciones aplicables), lo que requiere
interpretación para determinar relevancia, intención y / o precedencia. Como resultado,
las empresas y
Las organizaciones en cada industria luchan por lograr y mantener el cumplimiento.
Debe comprender que el cumplimiento y la seguridad no son lo mismo. Una
organización
puede cumplir totalmente con las diversas leyes y regulaciones de ciberseguridad que
son aplicables
Page 26
para esa organización, aún no es seguro. Por el contrario, una organización puede ser
segura, pero no
ser totalmente obediente Como para subrayar este punto, el cumplimiento y las
funciones de seguridad en muchos
Las organizaciones están separadas.
Ejemplos pertinentes (ni exhaustivos ni exhaustivos) de las leyes actuales de seguridad
cibernética y
las regulaciones incluyen:
Ley de Protección de Información Personal y Documentos Electrónicos de Canadá
(PIPEDA).
PIPEDA define los derechos individuales con respecto a la privacidad de su personal
información, y rige cómo las organizaciones del sector privado recopilan, usan y
divulgan
información personal en el curso de los negocios.
Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE). El
GDPR se aplica a
cualquier organización que haga negocios con ciudadanos de la UE. Fortalece la
protección de datos para
Ciudadanos de la UE y aborda la exportación de datos personales fuera de la UE.
Directiva de seguridad de la red y la información de la UE (NIS): una directiva de la
UE que impone
requisitos de seguridad de red e información para bancos, compañías de energía,
proveedores de atención médica y proveedores de servicios digitales, entre otros.
Infraestructura crítica de la Corporación de Fiabilidad Eléctrica de América del
Norte (NERC)
Protección (CIP). NERC CIP define estándares de ciberseguridad para proteger lo
físico y
activos cibernéticos necesarios para operar el Sistema Eléctrico a Granel (BES) - la "red
eléctrica" - en
Estados Unidos y Canadá. Los estándares son obligatorios para todos los generadores de
BES
instalaciones con diferentes criterios basados en un sistema de clasificación por niveles
(alto, medio o
bajo impacto).
Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS). PCI
DSS se aplica a cualquier
organización que transmite, procesa o almacena tarjetas de pago (como débito y crédito)
tarjetas) información. PCI DSS es obligatorio y administrado por los Estándares de
Seguridad PCI
Consejo (SSC) compuesto por Visa, MasterCard, American Express, Discover y JCB.
Ley de Mejora de la Ciberseguridad de EE. UU. De 2014. Esta ley proporciona un
voluntario continuo
asociación público-privada para mejorar la ciberseguridad y fortalecer la ciberseguridad
investigación y desarrollo, desarrollo y educación de la fuerza laboral, y público
conciencia y preparación.
Ley de intercambio de información sobre ciberseguridad de EE. UU. (CISA). Este
acto mejora la información
compartir sobre amenazas de ciberseguridad al permitir que se comparta información de
tráfico de Internet
entre el gobierno de EE. UU. y las empresas de tecnología y fabricación.
Página 27
Ley de notificación de incumplimiento de datos de la Bolsa Federal de EE. UU. De
2015. Esta ley adicional
fortalece HIPAA al exigir intercambios de seguros de salud para notificar a las personas
cuyos
la información personal se ha visto comprometida como resultado de una violación de
datos tan pronto como
posible, pero a más tardar 60 días después del descubrimiento de incumplimiento.
Ley Federal de Modernización de la Seguridad de la Información de los Estados
Unidos (FISMA). Conocido como el Federal
Ley de Gestión de Seguridad de la Información anterior a 2014, FISMA implementa un
marco integral para proteger los sistemas de información utilizados en el gobierno
federal
agencias.
Ley de Gramm-Leach-Bliley de Estados Unidos (GLBA). También conocido como
los servicios financieros
Ley de Modernización de 1999, las disposiciones relevantes de GLBA incluyen la
Privacidad Financiera
Regla y la Regla de Salvaguardias, que requieren que las instituciones financieras
implementen la privacidad
y políticas de seguridad de la información para salvaguardar la información personal no
pública de
clientes y consumidores.
Ley de Responsabilidad y Portabilidad del Seguro de Salud de EE. UU. (HIPAA).
La privacidad de HIPAA
La norma establece normas nacionales para proteger los registros médicos de las
personas y otros
información personal de salud. Requiere salvaguardas apropiadas para la salud
protegida
información (PHI) y se aplica a las entidades cubiertas y sus socios comerciales.
Ley de avance de protección de ciberseguridad nacional de EE. UU. De 2015. Esta
ley modifica la
Ley de Seguridad Nacional de 2002 para mejorar el intercambio de información
multidireccional
relacionado con los riesgos de ciberseguridad y fortalece la protección de la privacidad
y las libertades civiles.
Página 28
Ley Sarbanes-Oxley de los Estados Unidos (SOX). Esta ley fue promulgada para
restaurar la confianza del público.
luego de varios escándalos de contabilidad corporativa de alto perfil, especialmente
Enron y
Worldcom, SOX aumenta la gobernanza financiera y la rendición de cuentas en las
empresas que cotizan en bolsa
compañías. La sección 404 de SOX aborda específicamente los controles internos,
incluidos
requisitos para salvaguardar la confidencialidad, integridad y disponibilidad de los
sistemas de TI.
1.1.6 Ejemplos recientes de ciberataques de alto perfil
Miles de ataques cibernéticos se perpetran contra las redes empresariales todos los días.
Desafortunadamente, muchos más de estos ataques tienen éxito de lo que generalmente
se informa en los medios de comunicación.
Los ejemplos recientes de alto perfil de tales ataques incluyen:
Objetivo. A finales de 2013, Target descubrió que los datos de la tarjeta de crédito y
débito de 40
millones de sus clientes, y la información personal de 70 millones adicionales de sus
clientes, habían sido robados durante un período de aproximadamente 19 días, del 27 de
noviembre al
15 de diciembre de 2013. Los atacantes pudieron infiltrarse en el punto de venta (POS)
de Target
sistemas mediante la instalación de malware (que se cree que es una variante de la
botnet financiera ZeuS) en
los sistemas informáticos de un contratista de HVAC (calefacción, ventilación y aire
acondicionado) para
credenciales de cosecha para un portal en línea utilizado por los proveedores de Target.
Anual 2016 de Target
El informe reveló que el costo total de la violación fue de US $ 292 millones.
Deposito de casa. En septiembre de 2014, Home Depot sufrió una violación de datos
que fue
Inadvertido durante unos cinco meses. Al igual que con la violación de datos de Target
(ver el anterior
ejemplo de ataque), los atacantes usaron las credenciales de un proveedor y explotaron
un día cero
Términos clave
La información de salud protegida (PHI) se define por HIPAA como información sobre
un
estado de salud del individuo, provisión de atención médica o pago de atención médica
que incluye identificadores como nombres, identificadores geográficos (más pequeños
que un
estado), fechas, números de teléfono y fax, direcciones de correo electrónico, números
de Seguro Social,
números de registros médicos o fotografías.
HIPAA define una entidad cubierta como un proveedor de atención médica que
electrónicamente
transmite PHI (como médicos, clínicas, psicólogos, dentistas, quiroprácticos,
hogares de ancianos y farmacias), un plan de salud (como un seguro de salud
compañía, organización de mantenimiento de salud, plan de salud de la compañía o
programa gubernamental que incluye Medicare, Medicaid, militares y veteranos '
asistencia sanitaria), o un centro de intercambio de información sanitaria.
Página 29
amenaza , basada en una vulnerabilidad de Windows, para obtener acceso a la red de
Home Depot.
Luego se instaló malware de raspado de memoria en más de 7,500 puntos de venta de
autoservicio
terminales para recolectar 56 millones de números de tarjetas de crédito de clientes en
todo Estados Unidos
Estados y Canadá. El informe anual de 2016 de Home Depot reveló que el costo total de
El incumplimiento fue de US $ 298 millones.
Himno. En febrero de 2015, Anthem reveló que sus servidores habían sido violados y
Información de identificación personal (PII) que incluye nombres, números de Seguro
Social,
las fechas de nacimiento, direcciones e información de ingresos de aproximadamente 80
millones de clientes habían sido
robado. La violación ocurrió el 10 de diciembre de 2014, cuando los atacantes
comprometieron un
Base de datos de Anthem utilizando las credenciales de un administrador de base de
datos. No se encontró la brecha.
hasta el 27 de enero de 2015, cuando el administrador de la base de datos descubrió un
cuestionable
consulta que se ejecuta con sus credenciales. Se espera que el costo total de la violación
alcance
US $ 31 mil millones.
Oficina de Administración de Personal de EE. UU. (OPM). Dos infracciones de
datos separadas descubiertas
en abril de 2015 y junio de 2015 resultó en el compromiso de la información personal
incluidos nombres, números de Seguro Social, fechas de nacimiento y otra información
confidencial de
alrededor de 24 millones de empleados federales actuales y futuros (junto con sus
cónyuges
y socios). Se cree que las infracciones se han relacionado con los datos de Anthem
incumplimiento (ver el ejemplo de ataque anterior) y puede haberse originado en China
tan pronto como
Marzo de 2014. Según algunas estimaciones, el costo total de la violación podría
superar los US $ 1 mil millones
durante la próxima década.
Yahoo! Mientras estaba en negociaciones para venderse a Verizon en septiembre de
2016, Yahoo!
anunció que había sido víctima de una violación de datos en 2014, probablemente por
un "patrocinio estatal
actor." El ataque comprometió los nombres reales, las direcciones de correo electrónico,
las fechas de nacimiento y el teléfono.
números de alrededor de 500 millones de usuarios y es la mayor violación de datos
hasta la fecha. Yahoo! dijo
la gran mayoría de las contraseñas involucradas habían sido procesadas usando el
robusto bcrypt
algoritmo. Como resultado directo de la violación, Yahoo! redujo su precio de venta a
Verizon en
US $ 350 millones.
Equifax En julio de 2017, Equifax descubrió una violación de datos que había
explotado un parche sin parchear
vulnerabilidad de seguridad (Apache Struts CVE-2017-5638 publicado el 10 de marzo
de 2017). Desde
desde mediados de mayo hasta julio de 2017, los ciberdelincuentes comprometieron
información personal diversa de
casi 148 millones de consumidores estadounidenses (a marzo de 2018), incluidos
pasaportes y conductores
datos de licencia y números de Seguro Social. El costo total de la violación al final de
2017 fue de US $ 439 millones y finalmente podría superar los US $ 600 millones.
Página 30
Las lecciones importantes que se pueden aprender de estos ataques incluyen:
Un ciberataque "bajo y lento" puede pasar desapercibido durante semanas, meses o
incluso años.
Un atacante no necesariamente necesita ejecutar un exploit sofisticado contra un
endurecido
sistema para infiltrarse en una organización objetivo. A menudo, un atacante apuntará a
un auxiliar
sistema u otro punto final vulnerable, luego gire el ataque hacia el objetivo principal.
Términos clave
Una amenaza de día cero es la ventana de vulnerabilidad que existe desde el momento
en que un nuevo
(desconocida) amenaza se libera hasta que los proveedores de seguridad liberen un
archivo de firma o
parche de seguridad para la amenaza.
La información de identificación personal (PII) está definida por el Instituto Nacional
de EE. UU.
de Estándares y Tecnología (NIST) como "cualquier información sobre un individuo
mantenido por una agencia, que incluye (1) cualquier información que pueda ser
utilizada para
distinguir o rastrear la identidad de un individuo ... y (2) cualquier otra información que
sea
vinculado o vinculable a un individuo ... ". Los ejemplos de PII incluyen:
Nombre (como nombre completo, apellido de soltera, apellido de soltera de la madre o
alias)
Número de identificación personal (como número de seguro social, pasaporte
número, número de licencia de conducir y número de cuenta financiera o crédito
número de tarjeta)
Información de dirección (como dirección o dirección de correo electrónico)
Información de activos (como IP o dirección MAC)
Números de teléfono (como teléfonos móviles, comerciales y personales)
Características personales (como fotografías, radiografías, huellas digitales y
Información biométrica)
Información sobre bienes de propiedad personal (como vehículos
número de registro o información del título)
Información vinculada o vinculable a cualquiera de los anteriores (como
fecha de nacimiento, lugar de nacimiento, raza, religión, altura, peso y empleo,
registros médicos, educativos y financieros)
Page 31
Las vulnerabilidades sin parches son un vector de ataque comúnmente explotado.
Los costos financieros directos e indirectos de una violación pueden ser devastadores
tanto para el
organización destinataria e individuos cuya información personal y financiera es robada
o comprometido
1.1 Verificación de conocimiento
Pon a prueba tu comprensión de los fundamentos en la sección anterior. revisión
Las respuestas correctas en el Apéndice A.
1. Opción múltiple. ¿En qué modelo de servicio de computación en la nube funciona
un proveedor?
las aplicaciones se ejecutan en una infraestructura en la nube y el consumidor no
administrar o controlar la infraestructura subyacente? (Elige uno.)
a) plataforma como servicio (PaaS)
b) infraestructura como servicio (IaaS)
c) software como servicio (SaaS)
d) nube pública
2. Verdadero o falso. El software de inteligencia empresarial (BI) consta de
herramientas y
técnicas utilizadas para mostrar grandes cantidades de datos no estructurados sin
procesar para
realizar una variedad de tareas que incluyen minería de datos, procesamiento de eventos
y
análisis predictivo
3. Verdadero o falso. El proceso en el que los usuarios finales encuentran tecnología
personal y
aplicaciones que son más potentes o capaces, más convenientes, menos costosas,
más rápido de instalar y más fácil de usar que las soluciones de TI empresariales se
conoce como
consumerización .
4. Verdadero o falso. Una organización puede cumplir con toda la seguridad aplicable
y las normas de privacidad para su industria, pero aún no son seguras.
5. Complete el espacio en blanco. La ley de los Estados Unidos que establece
estándares nacionales para proteger
los registros médicos de los individuos y otra información de salud se conocen como
.
6. Discusión en el aula. ¿Cuáles son las lecciones o temas comunes que pueden ser
derivado de Target, Home Depot, Anthem, OPM, Yahoo !, y Equifax
ejemplos de ciberataques?
Page 32
1.2 Ciberamenazas
Esta sección describe a los adversarios de ciberseguridad: los diversos actores de
amenazas, sus motivaciones,
y la estrategia de ciberataque.
1.2.1 Perfiles y motivaciones del atacante
En El arte de la guerra , Sun Tzu enseña "conoce a tu enemigo, conócete a ti mismo".
Mil batallas, un
mil victorias "(traducido en varias formas) para inculcar la importancia de comprender
el
fortalezas, debilidades, estrategias y tácticas de tu adversario, así como también las
tuyas.
Por supuesto, en la guerra cibernética moderna pueden ocurrir mil batallas en cuestión
de segundos y un
Una sola victoria de tu enemigo puede poner en peligro a toda tu organización. Por lo
tanto, conociendo a tus enemigos
- incluyendo sus medios y motivaciones - es más importante que nunca.
En los relativamente inocuos "buenos días" de los hackers y los niños del guión , la
motivación principal
para un ciberataque era notoriedad, y el objetivo del ataque generalmente se limitaba a
desfigurar o
"Poseer" un sitio web para causar molestias y / o vergüenza a la víctima.
Los ciberataques modernos son perpetrados por adversarios mucho más sofisticados y
peligrosos,
motivado por propósitos mucho más siniestros:
Cibercriminales. Actuando independientemente o como parte de una organización
criminal,
los cibercriminales cometen actos de robo de datos, malversación de fondos, fraude y / o
extorsión por
ganancia financiera. Según la Corporación RAND, "En ciertos aspectos, el mercado
negro
Términos clave
El término pirata informático se usó originalmente para referirse a cualquier persona
con conocimientos altamente especializados
habilidades informáticas, sin connotar buenos o malos propósitos. Sin embargo, común
El mal uso del término ha redefinido a un hacker como alguien que elude
seguridad informática con intenciones maliciosas, como un cibercriminal,
ciberterrorista,
o hacktivista, galleta y / o sombrero negro.
Un script kiddie es alguien con habilidades limitadas de piratería y / o programación
que
utiliza programas maliciosos (malware) escritos por otros para atacar una computadora
o
red.
Page 33
[para el cibercrimen] puede ser más rentable que el tráfico ilegal de drogas " 6 y por
muchos
Estimaciones, el cibercrimen es ahora una industria de US $ 1 billón.
Grupos afiliados al estado. Patrocinado o afiliado a estados-nación, estos
las organizaciones tienen los recursos para lanzar ataques muy sofisticados y
persistentes,
tienen gran profundidad técnica y enfoque, y están bien financiados. A menudo tienen
militares
y / u objetivos estratégicos como la capacidad de deshabilitar o destruir infraestructura
crítica
incluyendo redes eléctricas, suministros de agua, sistemas de transporte, respuesta a
emergencias y
sistemas médicos e industriales. El Centro de Estudios Estratégicos e Internacionales.
informa que "a nivel de estado-nación, Rusia, Irán y Corea del Norte están usando
coercitivos
ataques cibernéticos para aumentar su esfera de influencia, mientras que China, Rusia e
Irán tienen
Reconocimiento de redes críticas para la operación de la red eléctrica de los Estados
Unidos.
y otra infraestructura crítica sin penalización ". 7 7
Hacktivistas. Motivados por causas políticas o sociales, los grupos hacktivistas (como
Anónimo) generalmente ejecutan ataques de denegación de servicio (DoS) contra un
objetivo
organización al desfigurar sus sitios web o inundar sus redes con tráfico.
Cyberterrorists. Las organizaciones terroristas usan Internet para reclutar, capacitar,
instruir y
comunicarse y difundir el miedo y el pánico para avanzar en sus ideologías. a diferencia
de otros
actores de amenaza, los ciberterroristas son en gran medida indiscriminados en sus
ataques y sus
Los objetivos incluyen daño físico, muerte y destrucción.
Actores de amenazas externas, incluidos el crimen organizado, grupos afiliados al
estado, activistas, ex
los empleados y otros atacantes no afiliados o de otro modo desconocidos representan la
mayoría de
Violaciones de datos. Los actores de amenazas internas son responsables de
aproximadamente el 28 por ciento de los datos reportados
infracciones 8
6 Lillian Ablon, Martin Libicki y Andrea Golay. "Mercados de herramientas de cibercrimen y datos robados". RAND
Corporación, División de Investigación de Seguridad Nacional. 2014.
https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf .
7 Zheng, Denise E. "Pronóstico mundial 2016: interrumpir el statu quo cibernético". Centro de Estrategia e
Internacional
Estudios. 16 de noviembre de 2015. https://www.csis.org/analysis/disrupting-cyber-status-quo.
8 “2018 Informe de Investigaciones de violación de datos, 11 ª Edición”. Verizon Enterprise Solutions. 2018.
https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf .
34
1.2.2 Estrategia moderna de ciberataque
La estrategia moderna de ataque cibernético ha evolucionado a partir de un ataque
directo contra un servidor de alto valor o
activo ("conmoción y asombro") a un paciente, proceso de varios pasos que combina
exploits, malware, sigilo,
y evasión en un ataque de red coordinado ("bajo y lento").
El ciclo de vida de Cyber-Attack (ver Figura 1-1) ilustra la secuencia de eventos que un
atacante
pasa para infiltrarse en una red y exfiltrar (o robar) datos valiosos. Bloqueo de solo uno
este paso rompe la cadena y puede defender efectivamente la red y los datos de una
organización contra un
ataque.
Figura 1-1: El ciclo de vida del ataque cibernético
1. Reconocimiento. Al igual que los delincuentes comunes, los atacantes planifican
meticulosamente sus ataques cibernéticos.
Investigan, identifican y seleccionan objetivos, a menudo extrayendo información
pública de
perfiles de redes sociales de empleados específicos o de sitios web corporativos, que
pueden ser
útil para esquemas de ingeniería social y phishing. Los atacantes también usarán varias
herramientas
para buscar vulnerabilidades de red, servicios y aplicaciones que puedan explotar, como
como:
Analizadores de red (también conocidos como analizadores de paquetes, analizadores
de protocolos o paquetes).
sniffers) se utilizan para monitorear y capturar el tráfico de red sin procesar (paquetes).
Ejemplos
incluyen tcpdump y Wireshark (anteriormente Ethereal).
Los escáneres de vulnerabilidades de red generalmente consisten en un conjunto de
herramientas que incluyen
crackers de contraseñas, escáneres de puertos y escáneres de vulnerabilidades y se
utilizan para sondear
Una red para vulnerabilidades (incluyendo errores de configuración) que pueden ser
explotadas.
Los ejemplos incluyen Nessus y SAINT.
Los descifradores de contraseñas se utilizan para realizar ataques de diccionario de
fuerza bruta contra
hashes de contraseña Los ejemplos incluyen John the Ripper y THC Hydra.
Los escáneres de puertos se utilizan para buscar puertos TCP o UDP abiertos (incluido
ICMP) en un
punto final. Los ejemplos incluyen Nmap ("mapeador de red") y Nessus.
Página 35
Los escáneres de vulnerabilidad de aplicaciones web se utilizan para escanear
aplicaciones web para
vulnerabilidades como secuencias de comandos entre sitios, inyección de SQL y
recorrido de directorio.
Los ejemplos incluyen Burp Suite y OWASP Zed Attack Proxy (ZAP).
Los escáneres de vulnerabilidad de Wi-Fi se utilizan para escanear redes inalámbricas
en busca de vulnerabilidades
(incluidos los puntos de acceso abiertos y mal configurados), para capturar la red
inalámbrica
tráfico y descifrar contraseñas inalámbricas. Los ejemplos incluyen Aircrack-ng y
Wifite.
Romper el ciclo de vida del ataque cibernético en esta fase de un ataque comienza con
proactividad y
Capacitación efectiva de concientización de seguridad para el usuario final que se centra
en temas como el social
técnicas de ingeniería (por ejemplo, phishing, piggybacking y hombro surf),
redes sociales (por ejemplo, cuestiones de seguridad y privacidad) y políticas de
seguridad organizacional
(por ejemplo, requisitos de contraseña, acceso remoto y seguridad física). Otro
una contramedida importante es el monitoreo continuo y la inspección del tráfico de la
red
flujos para detectar y prevenir escaneos no autorizados de puertos y vulnerabilidades,
barridos de host y
Otra actividad sospechosa. Procesos efectivos de gestión de cambios y configuraciones
ayudar a garantizar que las aplicaciones y los puntos finales recientemente
implementados estén configurados correctamente
(por ejemplo, deshabilitar puertos y servicios innecesarios) y mantener.
2. Armamento. A continuación, los atacantes determinan qué métodos utilizar para
comprometer un
punto final objetivo. Pueden optar por incrustar el código de intrusos en aparentemente
inocuo
archivos como un documento PDF o Microsoft Word o un mensaje de correo
electrónico. O, por mucho
ataques dirigidos, los atacantes pueden personalizar las entregas para que coincidan con
los intereses específicos de
un individuo dentro de la organización objetivo.
Romper el ciclo de vida del ataque cibernético en esta fase de un ataque es un desafío
porque
La armamentización generalmente ocurre dentro de la red del atacante. Sin embargo, el
análisis de
los artefactos (tanto malware como armador) pueden proporcionar inteligencia de
amenazas importante para
habilite la protección efectiva de día cero cuando se intente la entrega (el siguiente
paso).
3. Entrega. Los siguientes atacantes intentan entregar su carga útil armada a un objetivo
punto final, por ejemplo, por correo electrónico, mensajería instantánea (IM), descarga
automática (un final
el navegador web del usuario se redirige a una página web que descarga
automáticamente malware
al punto final en segundo plano), o compartir archivos infectados.
Romper el ciclo de vida del ataque cibernético en esta fase de un ataque requiere
visibilidad en todos
tráfico de red (incluidos dispositivos remotos y móviles) para bloquear de manera
efectiva
sitios web, aplicaciones y direcciones IP arriesgadas, y prevenir conocidos y
desconocidos
malware y exploits.
Page 36
4. Explotación . Después de que una carga útil armada se entrega a un punto final
objetivo, debe ser
disparado Un usuario final puede activar involuntariamente un exploit, por ejemplo,
haciendo clic en un
enlace malicioso o abrir un archivo adjunto infectado en un correo electrónico, o un
atacante puede
desencadenar de forma remota un exploit contra una vulnerabilidad conocida del
servidor en la red de destino.
Romper el ciclo de vida del ataque cibernético en esta fase de un ataque, como durante
el
La fase de reconocimiento comienza con una conciencia proactiva y efectiva de
seguridad del usuario final
capacitación que se centra en temas como la prevención de malware y la seguridad del
correo electrónico. Otro
Las contramedidas de seguridad importantes incluyen la gestión de vulnerabilidades y
parches,
detección y prevención de malware, inteligencia de amenazas (incluidas conocidas y
desconocidas
amenazas), bloqueo de aplicaciones y servicios riesgosos, no autorizados o innecesarios,
gestión
permisos de archivo o directorio y privilegios de administrador o raíz, y registro y
Monitoreo de la actividad de la red.
5. Instalación . A continuación, un atacante aumentará los privilegios en el punto final
comprometido, por
ejemplo, estableciendo acceso remoto a shell e instalando rootkits u otro malware.
Con acceso de shell remoto, el atacante tiene control del punto final y puede ejecutar
comandos en modo privilegiado desde una interfaz de línea de comandos (CLI), como
si físicamente
sentado frente al punto final. El atacante se moverá lateralmente a través del objetivo.
red, ejecutando código de ataque, identificando otros objetivos de oportunidad, y
comprometer puntos finales adicionales para establecer la persistencia.
La clave para romper el ciclo de vida del ataque cibernético en esta fase de un ataque es
limitar o
restringir el movimiento lateral de los atacantes dentro de la red. Usar segmentación de
red
y un modelo Zero Trust que monitorea e inspecciona todo el tráfico entre zonas o
segmentos y control granular de aplicaciones que están permitidas en la red.
6. Comando y control . Los atacantes establecen canales de comunicación encriptados
de regreso a
servidores de comando y control (C&C) en Internet para que puedan modificar sus
Los objetivos y métodos de ataque como objetivos adicionales de oportunidad se
identifican dentro de
la red de víctimas, o para evadir cualquier nueva contramedida de seguridad que la
organización
puede intentar desplegarse si se descubren artefactos de ataque. La comunicación es
esencial para
un ataque porque permite al atacante dirigir el ataque de forma remota y ejecutar el
objetivos de ataque. Por lo tanto, el tráfico de C&C debe ser resistente y sigiloso para
un ataque a
tener éxito. El tráfico de comunicación de ataque generalmente se oculta con varias
técnicas y
herramientas que incluyen:
Cifrado con SSL, SSH (Secure Shell) o algún otro personalizado o propietario
cifrado
Page 37
La circunvalación a través de servidores proxy, herramientas de acceso remoto o
túneles. En algunos casos, use
de redes celulares permite eludir completamente la red objetivo para
atacar el tráfico C&C.
Evasión de puertos utilizando anonimizadores de red o saltos de puerto para atravesar
cualquier
Puertos abiertos disponibles.
Fast Flux (o DNS dinámico) a proxy a través de múltiples puntos finales infectados o
múltiples
servidores C&C en constante cambio para redirigir el tráfico y determinar el verdadero
destino o fuente de ataque difícil.
Romper el ciclo de vida del ataque cibernético en esta fase de un ataque requiere la
inspección de todos
tráfico de red (incluidas las comunicaciones cifradas), bloqueo de C&C salientes
comunicaciones con firmas anti-C y C (junto con cargas de patrones de archivos y
datos),
bloqueo de todas las comunicaciones salientes a URL maliciosas y direcciones IP
conocidas,
bloqueo de nuevas técnicas de ataque que emplean métodos de evasión de puertos,
prevención de
el uso de anonimizadores y proxies en la red, monitoreo de DNS para maliciosos
dominios y contrarrestar con hundimiento de DNS o envenenamiento de DNS, y
redireccionamiento de
comunicaciones salientes maliciosas a honeypots para identificar o bloquear
comprometidos
puntos finales y analizar el tráfico de ataque.
7. Acciones sobre el objetivo . Los atacantes a menudo tienen múltiples objetivos de
ataque diferentes.
incluido el robo de datos; destrucción o modificación de sistemas críticos, redes y datos;
y denegación de servicio (DoS). Esta última etapa del ciclo de vida de Cyber-Attack
también se puede usar
por un atacante para avanzar las primeras etapas del ciclo de vida del ataque cibernético
contra otro
objetivo. El Informe de investigaciones de violación de datos de Verizon 2018 (DBIR)
describe esto
estrategia como un motivo secundario en el que "[las aplicaciones web] están
comprometidas para ayudar y
incitar en el ataque de otra víctima ". 9 Por ejemplo, un atacante puede comprometer un
extranet de la compañía para violar a un socio comercial que es el objetivo principal. De
acuerdo a
el DBIR, en 2014 hubo 23,244 "incidentes donde las aplicaciones web fueron
comprometido con un motivo secundario ". 10 El atacante pivota el ataque contra el
9 Ibid.
10 Ibid.
38
red de víctimas inicial a una red de víctimas diferente, lo que hace que la víctima inicial
sea
cómplice involuntario
1. Verdadero o falso. La mayoría de los ciberataques de hoy son perpetrados por
amenazas internas
actores como empleados maliciosos que se dedican al espionaje corporativo.
2. Discusión en el aula. Describa las diferentes motivaciones de varios
adversarios, incluidos cibercriminales, ciberterroristas, patrocinados por el estado
organizaciones y hacktivistas.
3. Verdadero o falso. El ciclo de vida de Cyber-Attack es un proceso de cinco pasos
que un
el atacante atraviesa para atacar una red.
4. Respuesta múltiple. Enumere y describa los pasos del ciclo de vida de Cyber-
Attack.
5. Verdadero o falso . Un atacante necesita tener éxito en ejecutar solo un paso del
Cyber-Attack Lifecycle para infiltrarse en una red, mientras que un defensor debe "ser
siempre correcto "y rompe cada paso de la cadena para evitar un ataque.
6. Opción múltiple. Qué técnica no se usa para romper el comando-y-
fase de control (C&C) del ciclo de vida de Cyber-Attack? (Elige uno.)
a) bloquear el tráfico saliente a sitios maliciosos conocidos y direcciones IP
b) hundimiento de DNS y envenenamiento de DNS
c) gestión de vulnerabilidades y parches
Todo lo anterior
7. Verdadero o falso. La clave para romper el ciclo de vida de Cyber-Attack durante el
La fase de instalación es implementar la segmentación de la red, una confianza cero
modelo y control granular de aplicaciones para limitar o restringir el ataque de un
atacante
movimiento lateral dentro de la red.
Página 39
1.3 Conceptos básicos de seguridad del punto final
La mayoría de las organizaciones implementan varios productos de seguridad para
proteger sus puntos finales, incluidos
cortafuegos personales, sistemas de prevención de intrusiones basados en host (HIPS),
gestión de dispositivos móviles
(MDM), gestión de aplicaciones móviles (MAM), prevención de pérdida de datos
(DLP) y antivirus
software. Sin embargo, las infracciones cibernéticas continúan aumentando en
frecuencia, variedad y
sofisticación. Frente al panorama de amenazas que cambia rápidamente, la seguridad de
los endpoints tradicionales
Las soluciones y los antivirus ya no pueden evitar infracciones de seguridad en el punto
final.
La seguridad de punto final es un elemento esencial de la ciberseguridad porque el
firewall de red no puede
proteja completamente a los hosts de las vulnerabilidades de día cero. Día cero explota
objetivo desconocido
vulnerabilidades en el sistema operativo y el software de aplicación en máquinas host.
Red
es posible que los firewalls no puedan bloquear la entrega de un exploit de un día cero
por parte de un atacante hasta que un nuevo
La firma que identifica el ataque de día cero se ha desarrollado y entregado al firewall.
Los firewalls de red también pueden tener restricciones para descifrar todo el tráfico
debido a regulaciones y
leyes Esta restricción proporciona una ventana de oportunidad para que los atacantes
eviten el firewall
proteger y explotar una máquina host, lo que requiere protección de seguridad de punto
final. Punto final
La protección de seguridad la proporciona una aplicación que se ejecuta en la máquina
host. Eficaz
Endpoint Security debe poder detener el malware, los exploits y el ransomware antes de
que puedan
comprometer al anfitrión; proporcionar protección mientras los puntos finales están en
línea y fuera de línea; y detectar
amenazas y automatizar la contención para minimizar el impacto.
1.4 Técnicas y tipos de ataque cibernético
Los atacantes usan una variedad de técnicas y tipos de ataque para lograr sus objetivos.
Malware y
las hazañas son parte integral de la estrategia moderna de ataque cibernético. El spam y
el phishing son
técnicas comúnmente empleadas para entregar malware y exploits a un punto final a
través de un correo electrónico
1. Verdadero o falso. Los firewalls de red no pueden proteger completamente los hosts
de cero
hazañas del día.
2. Complete el espacio en blanco. _______________ explota vulnerabilidades
desconocidas objetivo en
sistema operativo y software de aplicación en una máquina host.
Page 40
ejecutable o un enlace web a un sitio web malicioso. Una vez que se compromete un
punto final, un atacante
Por lo general, instala puertas traseras, troyanos de acceso remoto y otro malware para
garantizar la persistencia.
Los puntos finales comprometidos ("bots") bajo el control de un atacante a menudo se
usan para perpetrar
ataques a gran escala contra otras organizaciones o redes como parte de una botnet. Esta
la sección describe diferentes tipos de malware, vulnerabilidades y exploits; correo
electrónico no deseado y
técnicas de phishing; y cómo funcionan los bots y las botnets, junto con diferentes tipos
de botnets.
1.4.1 Malware
El malware es un software o código malicioso que generalmente toma el control,
recopila información de,
o daña un punto final infectado. El malware incluye ampliamente:
Virus: malware que se auto-replica pero que primero debe infectar un programa host y
ser
ejecutado por un usuario o proceso
Gusanos: malware que generalmente se dirige a una red informática al replicarse en
esparcir rápidamente. A diferencia de los virus, los gusanos no necesitan infectar otros
programas y no
debe ser ejecutado por un usuario o proceso.
Caballos de Troya: Malware que se disfraza como un programa inofensivo, pero en
realidad da un
control total del atacante y privilegios elevados de un punto final cuando está instalado.
a diferencia de otros
tipos de malware, los caballos de Troya generalmente no se autorreplican.
Términos clave
El malware es un software o código malicioso que generalmente toma el control y
recopila
información de, o daña un punto final infectado. El malware incluye ampliamente
virus, gusanos, troyanos (incluidos troyanos de acceso remoto o RAT),
ransomware, anti-AV, bombas lógicas, puertas traseras, rootkits, bootkits, spyware y
(en menor medida) adware.
Un exploit es una pequeña pieza de código de software, parte de un archivo de datos con
formato incorrecto o un
secuencia (cadena) de comandos que aprovecha una vulnerabilidad en un sistema o
software, causando un comportamiento no deseado o no anticipado en el sistema o
software.
Una vulnerabilidad es un error o falla que existe en un sistema o software, y crea un
riesgo de seguridad.
Page 41
Ransomware: Malware que bloquea una computadora o dispositivo (Locker
ransomware) o
cifra los datos (Crypto ransomware) en un punto final infectado con una clave de
cifrado que
solo el atacante lo sabe, haciendo que los datos sean inutilizables hasta que la víctima
pague
rescate (generalmente criptomoneda, como Bitcoin). Reveton y LockeR son dos
ejemplos
del ransomware Locker. Locky, TeslaCrypt / EccKrypt, Cryptolocker y Cryptowall son
ejemplos de Crypto ransomware.
Anti-AV: malware que deshabilita el software antivirus instalado legítimamente en el
punto final comprometido, evitando así la detección automática y la eliminación de
otros
malware
Bombas lógicas: malware que se activa por una condición específica, como una fecha
determinada o
se deshabilita una cuenta de usuario en particular
Puertas traseras: malware que permite a un atacante evitar la autenticación para
obtener acceso a
un sistema comprometido
Rootkits: malware que proporciona acceso privilegiado (nivel raíz) a una computadora.
Rootkits
están instalados en el BIOS de una máquina, lo que significa seguridad a nivel del
sistema operativo
las herramientas no pueden detectarlos.
Bootkits: malware que es una variante en modo kernel de un rootkit, comúnmente
utilizado para atacar
computadoras que están protegidas por encriptación de disco completo
Spyware y adware: malware que recopila información, como navegar por Internet
comportamiento, credenciales de inicio de sesión e información de la cuenta financiera
en un punto final infectado.
El spyware a menudo cambia el navegador y otras configuraciones de software, y
ralentiza la computadora y
velocidades de Internet en un punto final infectado. Adware es spyware que muestra
molesto
anuncios en un punto final infectado, a menudo como pancartas emergentes.
Los primeros programas maliciosos generalmente consistían en virus que se mostraban
molestos, pero relativamente benignos,
errores, mensajes o gráficos.
El primer virus informático fue Elk Cloner, escrito en 1982 por un estudiante de
secundaria de noveno grado.
cerca de Pittsburgh, Pennsylvania. Elk Cloner era un virus del sector de arranque
relativamente benigno que
muestra un poema la quincuagésima vez que se inserta un disquete infectado en un
Apple II
computadora.
El primer virus de PC fue un virus del sector de arranque, escrito en 1986, llamado
Brain. El cerebro también era relativamente
benigno y muestra un mensaje con la información de contacto real de los creadores del
Page 42
virus. Brain fue escrito por dos hermanos paquistaníes que crearon el virus para que
pudieran
rastrear la piratería de su software médico.
Uno de los primeros gusanos informáticos en ganar notoriedad generalizada fue el
gusano Morris, escrito por
Robert Tappan Morris, estudiante de posgrado de la Universidad de Harvard y Cornell,
en 1988. El gusano
explotó contraseñas débiles y vulnerabilidades conocidas en varios programas de Unix y
se extendió
rápidamente a través de Internet (el gusano infectó hasta un 10 por ciento de todos los
Unix
máquinas conectadas a Internet en ese momento (alrededor de 6,000 computadoras), a
veces
infectar una computadora varias veces hasta el punto de que se volvió inútil, un ejemplo
de
Un ataque DoS temprano. La Oficina de Responsabilidad del Gobierno de los Estados
Unidos (GAO) calculó el daño
causado por el gusano Morris entre US $ 100,000 y US $ 10 millones.
Desafortunadamente, más de 35 años desde estos primeros ejemplos de malware,
malware moderno
ha evolucionado y se usa para propósitos mucho más siniestros. Los ejemplos de
malware moderno incluyen:
Quiero llorar. En un período de solo 24 horas en mayo de 2017, el ataque del
ransomware WannaCry
ha infectado a más de 230,000 computadoras con Windows vulnerables en más de 150
países
en todo el mundo. Aunque el ataque se detuvo rápidamente después del descubrimiento
de un "interruptor de matar"
El daño económico total se estima entre cientos de millones y hasta
US $ 4 mil millones, a pesar de que los autores recaudaron solo 327 pagos de rescate en
total
alrededor de US $ 130,000.
Términos clave
Un virus del sector de arranque se dirige al sector de arranque o al registro de arranque
maestro (MBR) de un
unidad de almacenamiento del punto final u otros medios de almacenamiento extraíbles.
Un sector de arranque contiene código de máquina que se carga en la memoria de un
punto final
por firmware durante el proceso de inicio, antes de cargar el sistema operativo.
Un registro de arranque maestro (MBR) contiene información sobre cómo
las particiones (o sistemas de archivos) se organizan en los medios de almacenamiento,
y un
gestor de arranque ejecutable que inicia el sistema operativo instalado.
Un disquete es un medio de almacenamiento magnético extraíble comúnmente utilizado
desde
mediados de la década de 1970 hasta aproximadamente 2007, cuando fue reemplazado
en gran parte por discos compactos y
Dispositivos de almacenamiento USB extraíbles. Los disquetes estaban típicamente
disponibles en 8 pulgadas,
Tamaños de 5¼ pulgadas y 3½ pulgadas con capacidades de 90 kilobytes a 200
megabytes.
Page 43
HenBox HenBox generalmente se disfraza como un sistema Android legítimo y
aplicaciones VPN,
y a veces incorpora aplicaciones legítimas. Aparece el objetivo principal de las
aplicaciones HenBox
para espiar a quienes los instalan. Al usar rasgos similares como aplicaciones legítimas,
para
ejemplo, iconografía de imitación y nombres de aplicaciones o paquetes, HenBox atrae
a las víctimas a
instalar las aplicaciones maliciosas, especialmente cuando están disponibles en los
llamados terceros (es decir,
tiendas que no son de Google Play) que a menudo tienen menos procedimientos de
seguridad y verificación para
Las aplicaciones que alojan. Al igual que con otros malware de Android, algunas
aplicaciones también pueden estar disponibles en
foros o sitios para compartir archivos, o incluso pueden enviarse a las víctimas como
archivos adjuntos de correo electrónico.
TeleRAT. Telegram Bots son cuentas especiales que no requieren un teléfono adicional
número para configurar y generalmente se utilizan para enriquecer los chats de
Telegram con contenido de
servicios externos o para recibir notificaciones y noticias personalizadas. Abusos de
TeleRAT
API de Bot de Telegram para C&C y exfiltración de datos.
Rarog Rarog es un troyano de minería de criptomonedas que se ha vendido en varios
foros clandestinos desde junio de 2017 y ha sido utilizado por innumerables
delincuentes desde
entonces. Rarog se ha utilizado principalmente para extraer la criptomoneda Monero.
De todos modos, eso
puede minar a otros. Viene equipado con varias características, incluida la minería.
estadísticas a los usuarios, configurando varias cargas de procesador para el minero en
ejecución, la capacidad
para infectar dispositivos USB y la capacidad de cargar archivos DLL adicionales en la
víctima. Rarog
proporciona una forma asequible para que los nuevos delincuentes ingresen a este tipo
particular de
malware
El malware moderno suele ser sigiloso y evasivo, y ahora juega un papel central en una
coordinación
ataque contra un objetivo (ver Sección 1.2.2).
El malware avanzado aprovecha las redes para obtener potencia y resistencia, y puede
actualizarse, solo
como cualquier otra aplicación de software, para que un atacante pueda cambiar de
rumbo y profundizar
en la red o hacer cambios y promulgar contramedidas.
Este es un cambio fundamental en comparación con los tipos anteriores de malware, que
generalmente eran
agentes independientes que simplemente se infectaron y se replicaron. Malware
avanzado
Cada vez más se ha convertido en una aplicación de red coordinada centralmente en un
sentido muy real. En
Términos clave
Una biblioteca de enlace dinámico (DLL) es un tipo de archivo utilizado en los sistemas
operativos de Microsoft
que permite que múltiples programas compartan programación simultáneamente
instrucciones contenidas en un solo archivo para realizar funciones específicas.
Page 44
de la misma manera que Internet cambió lo que era posible en la informática personal,
El acceso ubicuo a la red está cambiando lo que es posible en el mundo del malware.
Ahora todo
el malware del mismo tipo puede trabajar en conjunto hacia un objetivo común, con
cada infectado
punto final expandiendo el punto de apoyo del ataque y aumentando el daño potencial al
organización.
Las características y capacidades importantes del malware avanzado incluyen:
Arquitectura distribuida y tolerante a fallas. El malware avanzado aprovecha al
máximo el
resiliencia integrada en el propio internet. El malware avanzado puede tener control
múltiple
servidores distribuidos en todo el mundo con múltiples opciones de respaldo, y también
pueden
aprovechar otros puntos finales infectados como canales de comunicación,
proporcionando así una
Número infinito de rutas de comunicación para adaptarse a las condiciones cambiantes
o actualizar el código
según sea necesario.
Multifuncionalidad. Las actualizaciones de los servidores de C&C también pueden
cambiar completamente el
funcionalidad del malware avanzado. Esta capacidad multifuncional permite a un
atacante
utilizar varios puntos finales estratégicamente para lograr tareas específicas deseadas,
como
robar números de tarjetas de crédito, enviar spam que contiene otras cargas útiles de
malware (como
spyware), o instalar ransomware con el fin de extorsionar.
Polimorfismo y metamorfismo. Algunos malware avanzados tienen secciones enteras
de
código que no tiene otro propósito que cambiar la firma del malware, por lo tanto
produciendo un número infinito de hashes de firma únicos incluso para los más
pequeños de
programas de malware Se utilizan técnicas como el polimorfismo y el metamorfismo
para
evite la detección mediante herramientas y software antimalware basados en firmas
tradicionales. por
ejemplo, un cambio de un solo carácter o bit del archivo o código fuente completamente
cambia la firma hash del malware.
Ofuscación. El malware avanzado a menudo usa técnicas comunes de ofuscación para
esconderse
ciertas cadenas binarias que se usan de manera característica en malware y, por lo tanto,
son fácilmente
detectado por firmas antimalware o para ocultar un programa de malware completo.
Página 45
1.4.2 Vulnerabilidades y hazañas
Un exploit es un tipo de malware que aprovecha una vulnerabilidad en el punto final
instalado o
software de servidor como un navegador web, Adobe Flash, Java o Microsoft Office.
Un atacante
crea un exploit que apunta a una vulnerabilidad de software, haciendo que el software
realice funciones
o ejecutar código en nombre del atacante.
Las vulnerabilidades se descubren rutinariamente en el software a un ritmo alarmante.
Las vulnerabilidades pueden
existe en el software cuando el software se desarrolla y lanza inicialmente, o las
vulnerabilidades pueden
ser creado inadvertidamente, o incluso reintroducido, cuando las actualizaciones de
versiones posteriores o la seguridad
Los parches están instalados. Según una investigación realizada por Palo Alto
Networks, el 78 por ciento de los exploits toman
ventaja de vulnerabilidades que tienen menos de dos años.
Los proveedores de software desarrollan los parches de seguridad lo más rápido posible
después de una vulnerabilidad
ha sido descubierto en su software. Sin embargo, un atacante puede enterarse de una
vulnerabilidad y
comience a explotarlo antes de que el proveedor de software sea consciente de la
vulnerabilidad o tenga un
Términos clave
El polimorfismo altera parte del código de malware con cada iteración, como el
clave de cifrado o rutina de descifrado, pero la carga útil de malware permanece
sin alterar.
El metamorfismo usa técnicas más avanzadas que el polimorfismo para alterar
código de malware con cada iteración. Aunque la carga útil del malware cambia con
cada iteración, por ejemplo, mediante el uso de una estructura o secuencia de código
diferente, o
insertando código basura para cambiar el tamaño del archivo, el comportamiento
fundamental de
la carga útil del malware permanece sin cambios.
Una firma hash es una representación criptográfica de un archivo o programa completo
código fuente.
La ofuscación es una técnica de programación utilizada para hacer que el código sea
ilegible. Puede
implementarse utilizando un cifrado de sustitución simple, como un exclusivo o (XOR)
operación, en la que la salida es verdadera solo cuando las entradas son diferentes (para
ejemplo, VERDADERO y VERDADERO es igual a FALSO, pero VERDADERO y
FALSO es igual a VERDADERO), o
algoritmos de cifrado más sofisticados como el cifrado avanzado
Estándar (AES). Alternativamente, se puede usar un empaquetador para comprimir un
malware
programa para la entrega, luego descomprímalo en la memoria en tiempo de ejecución.
Page 46
oportunidad de desarrollar un parche. Este retraso entre el descubrimiento de una
vulnerabilidad y
El desarrollo y lanzamiento de un parche se conoce como amenaza de día cero (o
explotación). Puede ser
meses o años antes de que se anuncie públicamente una vulnerabilidad. Después de que
se convierte un parche de seguridad
disponible, inevitablemente se requiere tiempo para que las organizaciones prueben e
implementen correctamente el parche en
Todos los sistemas afectados. Durante este tiempo, un sistema que ejecuta el software
vulnerable está en riesgo de
siendo explotado por un atacante (ver Figura 1-2).
Figura 1-2: Las vulnerabilidades pueden explotarse desde el momento en que se implementa el software hasta que se repara
Las vulnerabilidades pueden integrarse en archivos de datos aparentemente inocuos
(como Microsoft Word
documentos, PDF y páginas web), o pueden dirigirse a servicios de red vulnerables. Las
hazañas son
particularmente peligroso porque a menudo se empaquetan en archivos legítimos que no
desencadenan
software anti-malware (o antivirus) y, por lo tanto, no se detectan fácilmente.
La creación de un archivo de datos de explotación es un proceso de dos pasos. El primer
paso es incrustar una pequeña pieza de
código malicioso dentro del archivo de datos. Sin embargo, el atacante aún debe
engañar a la aplicación para que
ejecutando el código malicioso. Por lo tanto, la segunda parte del exploit típicamente
involucra memoria
técnicas de corrupción que permiten insertar el código del atacante en el flujo de
ejecución de
El software vulnerable. Una vez que eso sucede, una aplicación legítima, como un
documento
visor o navegador web, realizará acciones en nombre del atacante, como establecer
comunicación y proporcionar la capacidad de cargar malware adicional al punto final de
destino.
Debido a que la aplicación que se está explotando es una aplicación legítima, tradicional
basada en firmas
El software antivirus y de lista blanca prácticamente no tiene efectividad contra estos
ataques.
Aunque hay muchos miles de exploits, todos se basan en un pequeño conjunto de
técnicas básicas.
que cambian con poca frecuencia. Por ejemplo, un rociador de pila es un intento de
insertar el código del atacante.
en múltiples ubicaciones dentro del montón de memoria, esperando que una de esas
ubicaciones sea
llamado por el proceso y ejecutado. Algunos ataques pueden involucrar más pasos,
algunos pueden involucrar
menos, pero generalmente se deben utilizar de tres a cinco técnicas principales para
explotar una aplicación.
Page 47
Independientemente del ataque o su complejidad, para que el ataque tenga éxito, el
atacante debe
Ejecutar una serie de estas técnicas principales de explotación en secuencia, como
navegar por un laberinto para alcanzar
su objetivo (ver Figura 1-3).
Figura 1-3: Los exploits dependen de una serie de técnicas de ataque central para tener éxito
1.4.3 Spam y phishing
Los correos electrónicos de spam y phishing son los métodos de entrega más comunes
para el malware. El volumen de
correo electrónico no deseado como porcentaje del tráfico total de correo electrónico
global fluctúa ampliamente de mes a mes
- típicamente del 45 al 75 por ciento. Aunque la mayoría de los usuarios finales de hoy
son capaces de identificar el spam
correos electrónicos y son más inteligentes sobre no hacer clic en los enlaces, abrir
archivos adjuntos o responder al correo no deseado
correos electrónicos, el spam sigue siendo un vector de infección popular y efectivo
para la propagación de malware.
Los ataques de phishing, en contraste con el spam, son cada vez más sofisticados y
difíciles de identificar.
Términos clave
Heap spray es una técnica utilizada para facilitar la ejecución de código arbitrario
inyectando
una cierta secuencia de bytes en la memoria de un proceso de destino.
48
Spear Phishing es una campaña de phishing dirigida que parece más creíble para sus
víctimas por
recopila información específica sobre el objetivo y, por lo tanto, tiene una mayor
probabilidad de éxito. UNA
el correo electrónico de spear phishing puede falsificar una organización (como una
institución financiera) o un individuo
que el destinatario realmente conoce y hace negocios, y puede contener información
muy específica
información (como el nombre del destinatario, en lugar de solo una dirección de correo
electrónico). De acuerdo a
El Informe de amenazas de seguridad de Internet de Symantec de 2018 , "Los correos
electrónicos de phishing han surgido como
vector de infección más utilizado, empleado por el 71 por ciento de [140 ataques
dirigidos conocidos]
grupos ". 11
La caza de ballenas es un tipo de ataque de spear phishing que se dirige
específicamente a altos ejecutivos o
otros objetivos de alto perfil dentro de una organización. Un correo electrónico de caza
de ballenas suele ser un
citación legal, queja del cliente u otro asunto grave.
El spear phishing y los ataques de phishing en general no siempre se realizan por correo
electrónico. Un enlace es todo
eso es obligatorio, como un enlace en Facebook o en un tablero de mensajes, o una
URL abreviada en
Gorjeo. Estos métodos son particularmente efectivos en los ataques de spear phishing
porque permiten
el atacante para recopilar una gran cantidad de información sobre los objetivos y luego
atraerlos
enlaces peligrosos a un lugar donde los usuarios se sientan cómodos.
Los ataques a los pozos de agua comprometen los sitios web que probablemente sean
visitados por una víctima objetivo, por
ejemplo, un sitio web de una compañía de seguros que puede ser visitado
frecuentemente por la atención médica
proveedores. El sitio web comprometido típicamente infectará a los visitantes
desprevenidos con malware
(conocido como "drive-by-download"). Los ataques de abrevaderos son los segundos
más populares
vector de infección para grupos de ataque dirigidos (24 por ciento), según Symantec. 12
Un ataque pharming redirige el tráfico de un sitio web legítimo a un sitio falso,
generalmente modificando
el archivo de host local de un punto final o comprometiendo un servidor DNS
("envenenamiento de DNS").
11 "Informe de amenazas de seguridad de Internet, volumen 23." Symantec 2018.https://www.symantec.com/security-
centro / informe de amenaza .
12 Ibid.
Página 49
1.4.4 Bots y botnets
Los bots y botnets son notoriamente difíciles para las organizaciones de detectar y
defenderse contra el uso
Soluciones antimalware tradicionales.
En una red de bots, el malware avanzado trabaja en conjunto hacia un objetivo común,
con cada bot
aumentando el poder y la destructividad de la botnet general. La botnet puede
evolucionar para perseguir
nuevos objetivos o adaptarse a medida que se implementan diferentes contramedidas de
seguridad. Comunicación
entre los bots individuales y la botnet más grande a través de servidores C&C
proporciona resistencia en
la botnet (ver Figura 1-4).
Términos clave
Los bots (o zombies ) son puntos finales individuales que están infectados con
malware que permite a un atacante tomar el control del punto final comprometido.
Una botnet es una red de bots (a menudo decenas de miles o más) que funcionan
juntos bajo el control de atacantes que utilizan numerosos servidores de C&C.
Términos clave
Spear Phishing es un ataque de phishing altamente dirigido que utiliza información
específica
sobre el objetivo para hacer que el intento de phishing parezca legítimo.
La caza de ballenas es un tipo de ataque de spear phishing dirigido específicamente a
personas mayores
ejecutivos u otros objetivos de alto perfil dentro de una organización.
Los ataques a los pozos de agua comprometen los sitios web que probablemente sean
visitados por un
víctima objetivo para entregar malware a través de una unidad de descarga. Un drive-
by-
La descarga es una descarga de software, típicamente malware, que ocurre sin un
conocimiento o permiso del usuario.
Pharming es un tipo de ataque que redirige el tráfico de un sitio web legítimo a un falso
sitio.
Página 50
Figura 1-4: La infraestructura distribuida de C&C de una botnet
Dada su flexibilidad y capacidad para evadir las defensas, las botnets presentan una
amenaza significativa para
organizaciones. El impacto final de una botnet depende en gran medida del atacante,
desde el envío
spam un día para robar datos de tarjetas de crédito al siguiente, y mucho más allá, ya
que muchos ataques cibernéticos van
sin ser detectado por meses o incluso años.
Las botnets en sí mismas son fuentes dudosas de ingresos para los cibercriminales. Las
botnets son creadas por
cibercriminales para cosechar recursos informáticos (bots). Control de botnets (a través
de servidores C&C)
luego se puede vender o alquilar a otros cibercriminales.
La clave para "derribar" o "decapitar" una botnet es separar los bots (puntos finales
infectados)
de sus cerebros (servidores C&C). Si los bots no pueden acceder a sus servidores, no
pueden obtener nuevos
instrucciones, subir datos robados o hacer cualquier cosa que haga que las botnets sean
tan únicas y peligrosas.
Aunque este enfoque puede parecer sencillo, generalmente se requieren recursos
extensos para
mapear la infraestructura distribuida de C&C de una botnet, y este enfoque casi siempre
requiere
una enorme cantidad de investigación, experiencia y coordinación entre numerosas
industrias,
organizaciones de seguridad y de aplicación de la ley en todo el mundo.
La desactivación de los servidores de C&C a menudo requiere tanto la incautación
física de los servidores como la apropiación
del dominio y / o rango de direcciones IP asociados con los servidores. Muy estrecha
coordinación
entre los equipos técnicos, los equipos legales y la policía es esencial para deshabilitar
los C&C
51
infraestructura de una botnet. Muchas botnets tienen servidores C&C en todo el mundo,
y lo harán
específicamente funcionan en países que tienen poca o ninguna aplicación de la ley por
delitos de internet.
Lo que complica aún más los esfuerzos de eliminación es el hecho de que una botnet
casi nunca depende de una sola
C&C server, sino que utiliza múltiples servidores C&C para fines de redundancia. Cada
servidor también es
normalmente aislado por una variedad de intermediarios para ocultar la verdadera
ubicación del servidor. Estas
los intermediarios incluyen redes P2P, blogs y sitios de redes sociales, e incluso
comunicaciones que se transmiten a través de otros bots infectados. Estas técnicas de
evasión hacen simplemente
Encontrar servidores C&C es un desafío considerable.
La mayoría de las botnets también están diseñadas para soportar la pérdida de un
servidor C&C, lo que significa que todo
La infraestructura de C&C de botnet debe deshabilitarse casi simultáneamente. Si algún
servidor C&C es
accesible o cualquiera de las opciones de reserva sobrevive, los bots podrán obtener
actualizaciones rápidamente
poblará un conjunto completamente nuevo de servidores de C&C, y la botnet se
recuperará rápidamente. Por lo tanto, incluso un
Un único servidor de C&C que permanezca funcional incluso por una pequeña cantidad
de tiempo puede darle al atacante
ventana necesaria para actualizar los bots y recuperar toda la botnet.
Según un informe de amenazas de botnet de 2017, Spamhaus Malware Labs identificó y
emitió
Spamhaus Block List (SBL) listados para más de 9,500 servidores de C&C de botnet en
1,122 diferentes
redes. 13 Los servidores C&C de Botnet se utilizan para controlar puntos finales
infectados (bots) y para filtrar
datos personales y / o valiosos de bots. Las botnets se pueden ampliar fácilmente para
enviar
volúmenes de spam, propagación de ransomware, lanzamiento de ataques DDoS,
cometer campañas de fraude de clics,
y / o minar criptomonedas (como Bitcoin).
1.4.4.1 Botnets de spam
Las botnets más grandes a menudo se dedican al envío de spam. La premisa es sencilla:
el
el atacante intenta infectar tantos puntos finales como sea posible, y los puntos finales
se pueden usar
para enviar mensajes de correo electrónico no deseado sin el conocimiento de los
usuarios finales. El impacto relativo de esto
El tipo de bot en una organización puede parecer bajo inicialmente, pero un punto final
infectado que envía spam
podría consumir ancho de banda adicional y, en última instancia, reducir la
productividad del usuario y
incluso la red misma. Quizás más importante es el hecho de que el correo electrónico de
la organización
el dominio y las direcciones IP también podrían aparecer fácilmente en varias listas de
agujeros negros en tiempo real
13 "Spamhaus Botnet Threat Report 2017." Spamhaus Malware Labs. Enero 2018.
https://www.spamhaus.org/news/article/772/spamhaus-botnet-threat-report-2017 .
Page 52
(RBL), lo que hace que otros correos electrónicos legítimos sean etiquetados como
spam y bloqueados por otras organizaciones, y
Dañando la reputación de la organización.
La botnet Rustock es un ejemplo de una botnet de spam. Podría enviar hasta 25,000
correos electrónicos no deseados
mensajes por hora de un bot individual y, en su apogeo, enviaron un promedio de 192
correos electrónicos no deseados
por minuto por bot. Se estima que Rustock ha infectado más de 2.4 millones de
computadoras
en todo el mundo. En marzo de 2011, la Oficina Federal de Investigaciones (FBI) de
EE. UU., En colaboración con
Microsoft y otros pudieron derribar la botnet Rustock, que había operado por más
de cinco años y en ese momento era responsable de enviar hasta el 60 por ciento del
mundo
correo no deseado.
1.4.4.2 botnets DDoS
Un ataque distribuido de denegación de servicio (DDoS) es un tipo de ciberataque en el
que es extremadamente alto
Se envían volúmenes de tráfico de red como paquetes, datos o transacciones a la víctima
objetivo
red para hacer su red y sistemas (como un sitio web de comercio electrónico u otro sitio
web
aplicación) no disponible o inutilizable. Una botnet DDoS usa bots como parte de un
ataque DDoS,
abrumando un servidor o red objetivo con tráfico de una gran cantidad de bots. De tal
ataques, los bots en sí mismos no son el objetivo del ataque. En cambio, los bots se usan
para inundar
algún otro objetivo remoto con tráfico. El atacante aprovecha la escala masiva de la
botnet para
generar tráfico que abruma los recursos de red y servidor del objetivo.
A diferencia de otros tipos de ataques cibernéticos, un ataque DDoS generalmente no
emplea un prolongado,
enfoque sigiloso. En cambio, un ataque DDoS a menudo toma la forma de un bruto
altamente visible.
Ataque forzado destinado a causar daños rápidamente en la red y los sistemas de la
víctima.
infraestructura, y a su negocio y reputación.
Los ataques DDoS a menudo se dirigen a organizaciones específicas por razones
personales o políticas, o para extorsionar a un
pago de rescate a cambio de detener el ataque DDoS. Los ataques DDoS a menudo son
utilizados por
hacktivistas (discutidos en la Sección 1.2.1) para promover o protestar contra una
agenda política particular o
causa social Los ataques DDoS también se pueden usar con fines de extorsión criminal
para extraer un fuerte
pago de rescate a cambio de terminar el ataque.
Las botnets DDoS representan un doble riesgo para las organizaciones: la organización
misma puede ser el objetivo de
un ataque DDoS, e incluso si la organización no es el objetivo final, cualquier punto
final infectado
participar en el ataque consumirá valiosos recursos de red y facilitará un acto criminal,
aunque sin darse cuenta.
Un ataque DDoS también se puede usar como parte de una estrategia específica para un
ataque posterior. Mientras la víctima
la organización está ocupada defendiéndose del ataque DDoS y restaurando la red y los
sistemas,
el atacante puede entregar un exploit a la red de la víctima (por ejemplo, causando un
buffer
Page 53
desbordamiento en una base de datos SQL) que permitirá una infección de malware y
establecerá un punto de apoyo en el
red. El atacante puede regresar más tarde para expandir el ataque (sigiloso) y extraer el
robo.
datos.
Los ejemplos de ataques DDoS recientes incluyen ataques contra registradores de
nombres de dominio Melbourne IT
y Dreamhost en abril de 2017 y agosto de 2017, respectivamente. La Lotería Nacional
del Reino Unido fue
dirigido en septiembre de 2017. Electroneum, una startup de criptomonedas, fue víctima
de un DDoS
ataque justo antes del lanzamiento de su aplicación de minería móvil en noviembre de
2017. The Boston Globe
también fue atacado en noviembre de 2017, no solo interrumpiendo el sitio web
bostonglobe.com, sino
también los teléfonos del periódico, el sistema de edición y otros sitios web propiedad
de la compañía.
1.4.4.3 Botnets financieras
Las botnets financieras, como ZeuS y SpyEye, son responsables del robo directo de
fondos de todos
tipos de empresas. Estos tipos de botnets generalmente no son tan grandes como el
spam o DDoS
botnets, que crecen lo más grande posible para un solo atacante. En cambio, las botnets
financieras son
a menudo se venden como kits que permiten a los atacantes licenciar el código y
construir sus propias botnets.
El impacto de una brecha financiera puede ser enorme, incluida la brecha de
consumidores sensibles.
e información financiera que conduce a daños financieros, legales y de marca
significativos. Como se informó
por Tech Republic:
" Se utilizó una variante de botnet Mirai en ataques contra al menos un sector
financiero
empresa en enero de 2018, posiblemente la primera vez que se observa una botnet IoT
en uso
en un ataque DDoS desde que la botnet Mirai eliminó varios sitios web en 2017, según
a un informe del jueves de Futuro grabado ". 14
14Rayome, Alison DeNisco. "La variante botnet Mirai lanza ataques IoT DDoS en el sector financiero". Tech
Republic.
5 de abril de 2018. https://www.techrepublic.com/article/mirai-variant-botnet-launches-iot-ddos-attacks-on-financial-
sector / .
Page 54
1.5 Wi-Fi y amenazas persistentes avanzadas
Esta sección describe las vulnerabilidades y ataques de Wi-Fi, y las amenazas
persistentes avanzadas (APT).
1.5.1 vulnerabilidades de Wi-Fi
Con el crecimiento explosivo en la cantidad de dispositivos móviles durante la última
década, la tecnología inalámbrica (Wi-
Fi) las redes están ahora en todas partes. Ya sea que esté en una oficina, hotel,
aeropuerto, escuela o café.
tienda, es probable que esté dentro del alcance de una red Wi-Fi en algún lugar.
1. Opción múltiple. ¿Qué opción describe el software o código malicioso que
normalmente toma el control, recopila información o daña a un infectado
punto final? (Elige uno.)
a) explotar
b) malware
c) vulnerabilidad
re. Ninguna de las anteriores
2. Opción múltiple. Qué opción es una característica o capacidad importante de
malware avanzado? (Elige uno.)
a) arquitectura distribuida y tolerante a fallas
b) multifuncionalidad
c) técnicas de ocultación tales como polimorfismo, metamorfismo y
ofuscación
Todo lo anterior
3. Verdadero o falso. Una vulnerabilidad es una pequeña pieza de código de software,
parte de un
archivo de datos con formato incorrecto o una secuencia (cadena) de comandos creados
por un
atacante para causar un comportamiento no intencionado o no anticipado en un sistema
o
software.
4. Verdadero o falso. Se pueden crear nuevos exploits a partir de cualquier cantidad de
más de un
mil técnicas básicas de explotación.
Página 55
Por supuesto, como profesional de seguridad, su primera preocupación cuando intenta
conectarse es "cómo
¿Es segura esta red Wi-Fi? ”. Pero para el usuario promedio, la desafortunada realidad
es que Wi-Fi
La conectividad se trata más de conveniencia que de seguridad.
Por lo tanto, el desafío es no solo asegurar sus redes Wi-Fi, sino también proteger el
móvil
dispositivos que los empleados de su organización utilizan para realizar trabajos y
acceder potencialmente
datos confidenciales, sin importar dónde se encuentren o en qué red estén.
La seguridad de Wi-Fi comienza, y termina, con la autenticación. Si no puede controlar
quién tiene acceso a
su red inalámbrica, entonces no puede proteger su red.
1.5.1.1 Privacidad equivalente por cable
El protocolo de privacidad equivalente por cable (WEP) fue el primer intento de la
industria inalámbrica de
seguridad. Como su nombre lo indica falsamente, WEP tenía la intención de
proporcionar confidencialidad de datos
equivalente a la seguridad de una red cableada. Sin embargo, WEP tenía muchos
conocidos y
publicó debilidades y no fue eficaz para establecer una red inalámbrica segura. Hoy,
WEP ni siquiera es una opción en la mayoría de las configuraciones de red inalámbrica
y, según las estadísticas
de Kaspersky Security Network (KSN), WEP se utilizó en aproximadamente el 3 por
ciento de casi 32 millones
Puntos de acceso Wi-Fi a los que acceden los usuarios de KSN en todo el mundo en
2016. 15
Una debilidad crítica en WEP está en cómo maneja el vector de inicialización (IV) para
RC4 de WEP
(Rivest Cipher 4) cifrado de flujo. En WEP, el IV es una clave de 24 bits que se
transmite en claro (o
sin cifrar). Con una clave de 24 bits, la generación de valores únicos se vuelve
imposible después del envío
2 ^ 24 (o 16,777,216) paquetes, y los IV se repetirán. En un entorno seguro, la clave
debería
ser reemplazado antes de agotar las vías intravenosas, pero no tiene forma de
automatizar el proceso en WEP.
Por lo tanto, dado el tráfico suficiente, se producirán colisiones IV, que, junto con otras
técnicas,
puede ayudar a un atacante a deducir la clave WEP.
Una clave WEP puede deducirse monitoreando y examinando pasivamente el tráfico de
red utilizando un
Tarjeta de red inalámbrica en modo promiscuo . El monitoreo pasivo no deja indicios de
que el
el punto de acceso inalámbrico (AP) está bajo ataque, porque el atacante no está
haciendo nada más que
haciendo copias de los paquetes en la red.
15Legezo, Denis. "Investigación sobre redes Wi-Fi no seguras en todo el mundo". SecureList. 24 de noviembre de
2016.
https://securelist.com/research-on-unsecured-wi-fi-networks-across-the-world/76733/ .
Page 56
Un atacante que envía tráfico directamente al AP objetivo puede reducir el tiempo para
entrar en un WEP-
red habilitada de días a minutos, lo que hace que WEP no sea mucho mejor que el 22
por ciento
de redes wifi abiertas en todo el mundo en 2016. 16
Los ataques a WEP no dependen de tener una gran cantidad de potencia informática y
no son
muy afectado por el tamaño de la clave de cifrado. El ataque no depende de qué tan
complejo
la frase de contraseña original es cualquiera. Es simplemente una cuestión de poder
recolectar suficiente tráfico.
Una vez que se hizo evidente que WEP tenía fallas de seguridad críticas e irreparables,
se realizaron esfuerzos
inmediatamente para desarrollar un sucesor. Debido a que se necesitaba con urgencia un
reemplazo para WEP, un
estándar provisional, el acceso protegido a Wi-Fi (WPA) se publicó en 2003. WPA fue
más allá
refinado como WPA2 en 2004, y WEP fue desaprobado como un estándar de seguridad
Wi-Fi.
1.5.1.2 Acceso protegido a Wi-Fi (WPA / WPA2 / WPA3)
WPA se publicó como estándar provisional en 2003, seguido rápidamente por WPA2 en
2004.
WPA / WPA2 contiene mejoras para proteger contra los defectos inherentes en WEP.
Estas
las mejoras incluyeron cambios en el cifrado para evitar muchos de los problemas que
plagaron
WEP
WPA2 se puede implementar de diferentes maneras. WPA2-Enterprise, también
conocido como WPA2-802.1x
modo, utiliza el Protocolo de autenticación extensible (EAP) y el Acceso telefónico de
autenticación remota
16 Ibid.
Términos clave
Un vector de inicialización (IV) o nonce es un número aleatorio que se usa solo una vez
en un
sesión, junto con una clave de cifrado, para proteger la confidencialidad de los datos.
En las redes de computadoras, el modo promiscuo se refiere al hardware Ethernet,
normalmente una tarjeta de interfaz de red (NIC), que recibe todo el tráfico en una red
segmento, incluso si el tráfico no se dirige al hardware.
Un punto de acceso inalámbrico (AP) es un dispositivo de red que se conecta a un
enrutador o
red cableada y transmite una señal de Wi-Fi para que los dispositivos inalámbricos
puedan conectarse
a una red inalámbrica (o Wi-Fi).
57
Servicio de usuario (RADIUS) para autenticación. Numerosos tipos de EAP también
están disponibles para su uso en
WPA2-Enterprise.
Sin embargo, el uso de una clave precompartida (PSK) es, con mucho, el más común,
particularmente en los hogares,
pequeñas empresas y redes de invitados Wi-Fi. WPA2-PSK se puede implementar solo
con el AP
y el cliente, que no requiere un servidor de autenticación 802.1 x de terceros ni un
usuario individual
cuentas
WPA2-PSK admite claves de 256 bits, que requieren 64 caracteres hexadecimales.
Porque requiere
que los usuarios ingresen una clave de caracteres hexadecimales de 64 no es práctico,
WPA2 incluye una función que
genera una clave de 256 bits basada en una frase de contraseña mucho más corta creada
por el administrador de
la red Wi-Fi y el identificador de conjunto de servicios (SSID) del AP utilizado como
sal para el unidireccional
función hash .
En WPA2, el nombre del SSID se usa para la sal. Una manera fácil de hacer que su
seguridad Wi-Fi
más fuerte (y hacer que los ataques de la mesa del arco iris no sean prácticos) es
cambiar su SSID a algo que
No es común o fácil de adivinar.
Para ejecutar un ataque en una frase de contraseña WPA2, un atacante debe poder
probar un gran
número de candidatos de frase de contraseña. Entonces, aunque WPA2 sigue siendo
criptográficamente seguro (el
la clave no es recuperable por simple observación del tráfico, como con WEP), existen
métodos para
prueba las frases de acceso fuera de línea reuniendo los paquetes de protocolo de enlace
entre el AP y un legítimo
usuario.
Términos clave
El protocolo de autenticación extensible (EAP) es una autenticación ampliamente
utilizada
marco que incluye alrededor de 40 métodos de autenticación diferentes.
El Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un
protocolo cliente-servidor
y software que permite a los servidores de acceso remoto comunicarse con una central
servidor para autenticar usuarios y autorizar el acceso a un sistema o servicio.
Una clave precompartida (PSK) es un secreto compartido, utilizado en criptografía de
clave simétrica,
que se ha intercambiado entre dos partes que se comunican a través de un
canal encriptado
58
Para recopilar los paquetes necesarios para descifrar una frase de contraseña WPA2, un
atacante podría recopilar pasivamente
tráfico cuando un usuario legítimo se une a la red. Sin embargo, este método requiere
tiempo, porque
el atacante no sabe cuándo alguien se unirá a la red.
Para un atacante impaciente, la solución es emplear un ataque activo. Mientras sea un
legítimo
el usuario ya está en línea, el atacante puede obligar al dispositivo cliente del usuario a
desconectarse del AP
con paquetes de des autentificación falsificados. Después de desconectarse, el
dispositivo cliente
intentará reconectarse automáticamente, proporcionando al atacante los paquetes de
apretón de manos
necesario para el análisis de frase de contraseña fuera de línea. Por lo tanto, a diferencia
de WEP, los ataques a WPA2 pueden realizarse
sin pasar una cantidad significativa de tiempo cerca de la red objetivo, una vez que
Se han capturado paquetes de apretón de manos.
A continuación, el atacante debe recuperar (o encontrar) la frase de contraseña en sí, que
requiere lo siguiente:
Una prueba para verificar millones de posibles frases de contraseña hasta que encuentre
la frase de contraseña correcta. A
evitar la detección, un atacante no puede usar el objetivo real, porque la víctima sería
capaz de ver esta actividad de ataque. La alternativa es utilizar un método fuera de línea
de prueba que
usa los paquetes de apretón de manos.
Términos clave
Un identificador de conjunto de servicios (SSID) es un alfanumérico de 32 caracteres
que distingue entre mayúsculas y minúsculas
Identificador que identifica de forma exclusiva una red Wi-Fi.
En criptografía, una sal son datos generados aleatoriamente que se utilizan como un
adicional
entrada a una función hash unidireccional que "codifica" una contraseña o frase de
contraseña. los
el mismo texto original en hash con diferentes sales da como resultado diferentes
valores de hash.
Una función unidireccional (hash) es una función matemática que crea una función
única.
representación (un valor hash) de un conjunto de datos más grande de una manera fácil
de
calcular en una dirección (entrada a salida), pero no en la dirección inversa
(salida a entrada). La función hash no puede recuperar el texto original del hash
valor. Sin embargo, un atacante podría intentar adivinar cuál era el texto original.
y vea si produce un valor hash coincidente.
Una tabla de arcoíris es una tabla precalculada que se usa para encontrar el valor
original de un
función hash criptográfica.
Page 59
Una metodología para adivinar frases de contraseña. El peor de los casos es "fuerza
bruta"
frase de contraseña, probando todas las combinaciones posibles de números y caracteres
hasta obtener una correcta
Se encuentra el valor. Este esfuerzo puede producir un resultado correcto dado el tiempo
suficiente y
poder computacional. Sin embargo, es mucho más rápido hacer conjeturas educadas sin
tener
recurrir a la fuerza bruta. Mediante el uso de conjeturas educadas sobre posibles
candidatos de frase de contraseña,
el atacante puede intentar una lista mucho más corta.
Este proceso básico para recuperar frases de contraseña de Wi-Fi es similar a descifrar
contraseñas de usuario. En el
primeros días del descifrado de contraseñas, un atacante podría tener conocimiento del
sistema de un objetivo
función hash y una lista de los valores hash de la contraseña de usuario del sistema. Sin
embargo, el atacante
no tenía forma de descifrar la contraseña, porque el texto original no se puede recuperar
de un hash.
Pero al encriptar una lista de palabras con la misma función hash unidireccional (un
ataque de diccionario), un
el atacante puede comparar los valores hash resultantes con los valores hash
almacenados para los distintos
cuentas de usuario en el sistema. Entonces, aunque la contraseña en sí no está
descifrada, una entrada dada que
produce un resultado dado, se puede encontrar una coincidencia de contraseña. Con la
adición de más computación
poder, un atacante podría probar listas de palabras más largas y una mayor cantidad de
variaciones de cada palabra.
El proceso para atacar las frases de contraseña WPA2 es similar.
WPA3 se publicó en 2018 e introduce mejoras de seguridad como un bruto más robusto.
protección de ataque forzado, "punto de acceso" mejorado y seguridad de acceso de
invitados, integración más sencilla con
dispositivos que tienen una interfaz de usuario limitada o nula (como dispositivos IoT) y
un conjunto de seguridad de 192 bits.
Es probable que los enrutadores Wi-Fi más nuevos y los dispositivos cliente admitan
tanto WPA2 como WPA3 para garantizar
compatibilidad con versiones anteriores en entornos mixtos.
Según la Wi-Fi Alliance, las características de WPA3 incluyen seguridad mejorada para
dispositivos IoT como
como bombillas inteligentes, electrodomésticos inalámbricos, parlantes inteligentes y
otros dispositivos sin pantalla que hacen
tareas cotidianas más fáciles. La Wi-Fi Alliance aún no ha detallado los detalles
específicos, pero WPA3 es
se espera que admita un sistema de configuración de un toque que haga dispositivos sin
pantallas (como IoT
dispositivos y altavoces inteligentes como Google Home y Amazon Echo) más fáciles
de conectar. Será
similar al protocolo de configuración protegida de Wi-Fi existente, que implica
presionar un botón
enrutador para conectar un dispositivo.
Según un artículo reciente de VentureBeat , WPA3 también "admite un cifrado mucho
más fuerte
algoritmo que WPA2 ... destinado a aplicaciones industriales, de defensa y
gubernamentales en lugar de
que casas y oficinas. Específicamente, incluye un conjunto de seguridad de 192 bits que
está alineado con el
60
Conjunto de algoritmos comerciales de seguridad nacional (CNSA), una característica
solicitada por el Comité
en Sistemas de Seguridad Nacional (CNSS), una parte de la Agencia de Seguridad
Nacional de los Estados Unidos [NSA] ". 17
WPA3 proporciona protección contra ataques de diccionario de fuerza bruta mediante la
implementación de "un robusto
apretón de manos [llamado protocolo Dragonfly, también conocido como Autenticación
simultánea de
Igual] que no es vulnerable a exploits inalámbricos como KRACK, y endurece la
seguridad en ese momento
cuando la clave de red se intercambia entre un dispositivo y el punto de acceso ". 18 Al
limitar la
cantidad de intentos de contraseña de red por usuario, WPA3 también reduce la eficacia
de
ataques comunes de diccionario.
"WPA3 presenta el cifrado inalámbrico oportunista (OWE), o cifrado de datos
individualizado,
que encripta cada conexión entre un dispositivo y el enrutador con una clave única.
Incluso si
el punto de acceso no requiere una contraseña, los datos de su dispositivo no estarán
expuestos a
red." 19
1.5.2 Ataques de Wi-Fi man-in-the-middle
En lugar de entrar en una red inalámbrica, un atacante puede engañar a las víctimas para
que se conecten a un
red inalámbrica que controla el atacante. Estas técnicas son parte de un conjunto más
amplio de ataques.
conocidos como ataques de hombre en el medio. Con un exploit man-in-the-middle en
el lugar en un Wi-Fi
red, un atacante puede servir prácticamente cualquier contenido, por ejemplo:
Si un usuario intenta descargar un archivo legítimo, el atacante puede enviar malware
móvil
en lugar.
Cuando un usuario intenta visitar una página web legítima, el atacante puede alterar el
contenido.
para aprovechar una vulnerabilidad que existe en el navegador del dispositivo, lo que
permite al atacante
intensificar aún más un ataque.
17 Wiggers, Kyle. "¿Qué es WPA3, por qué es importante y cuándo se puede esperar?" VentureBeat. 19 de mayo de
2018.
https://venturebeat.com/2018/05/19/what-is-wpa3-why-does-it-matter-and-when-can-you-expect-it/ .
18 Ibid.
19 Ibid.
Página 61
Las direcciones de correo electrónico y la información de la cuenta financiera se pueden
obtener de los usuarios conectados.
punto final, que permite a un atacante crear un ataque de phishing muy específico y
convincente
engañar a más usuarios en una red para que divulguen información confidencial.
1.5.2.1 gemelo malvado
Quizás la forma más fácil para que un atacante encuentre una víctima para explotar es
configurar un acceso inalámbrico
punto que sirve como puente a una red real. Un atacante inevitablemente puede atraer a
algunas víctimas.
con "acceso gratuito a Wi-Fi".
El principal problema con este enfoque es que requiere que una víctima potencial
tropiece con
punto de acceso y conexión. El atacante no puede apuntar fácilmente a una víctima
específica porque el ataque
depende de que la víctima inicie la conexión.
Una ligera variación en este enfoque es usar un nombre más específico que imite un
punto de acceso real
normalmente se encuentra en un lugar particular: el Evil Twin. Por ejemplo, si su
aeropuerto local
proporciona servicio de Wi-Fi y lo llama "Wi-Fi del aeropuerto", el atacante podría
crear un punto de acceso con
el mismo nombre usando un punto de acceso que tiene dos radios. Los usuarios
promedio no pueden discernir fácilmente
cuando están conectados al punto de acceso real o falso, por lo que este enfoque
atraparía un
mayor número de usuarios que un método que intenta atraer víctimas al azar. Aún así, el
usuario
tiene que seleccionar la red para que haya una pequeña posibilidad de tratar de llegar a
un determinado
objetivo.
La principal limitación del ataque Evil Twin es que el atacante no puede elegir a la
víctima. en un
ubicación abarrotada, el atacante podrá conseguir que una gran cantidad de personas se
conecten al
red inalámbrica para exponer sin saberlo sus nombres de cuenta y contraseñas. Sin
embargo, no es
un enfoque efectivo si el objetivo es apuntar a los empleados en una organización
específica.
1.5.2.2 Jasager
Para comprender un enfoque más específico que el ataque de Evil Twin, piense en lo
que sucede.
cuando devuelva su dispositivo inalámbrico a una ubicación que haya visitado
anteriormente. por
ejemplo, cuando lleva su computadora portátil a casa, no tiene que elegir qué punto de
acceso desea
use porque su dispositivo recuerda los detalles de las redes inalámbricas a las que
previamente
conectado. Lo mismo vale para visitar la oficina o su cafetería favorita.
Su dispositivo móvil detecta cuándo está cerca de una conexión inalámbrica conocida
anteriormente
red enviando una baliza para ver si una red preferida está dentro del alcance. Bajo
normal
condiciones, cuando un dispositivo inalámbrico envía una baliza, los puntos de acceso
no coincidentes ignoran
eso. La baliza queda sin respuesta, excepto cuando se encuentra cerca de la preferida
red.
Page 62
El ataque Jasager toma un enfoque más activo hacia las solicitudes de baliza. Jasager,
alemán para
"El Sí hombre" responde a todas las solicitudes de baliza, adoptando así un enfoque
muy permisivo hacia
quien puede conectarse El usuario no tiene que elegir manualmente el punto de acceso
del atacante.
En cambio, el atacante pretende ser cualquier punto de acceso al que el usuario
normalmente se conecta (ver
Figura 1-5). En lugar de intentar que las víctimas se conecten al azar, ahora el atacante
simplemente
necesita estar dentro de la proximidad del objetivo.
Figura 1-5: Jasager finge ser el punto de acceso solicitado por la baliza del cliente
Este proceso intercepta la comunicación desde computadoras portátiles, teléfonos
móviles y tabletas. Muchos (si
no la mayoría) Los dispositivos móviles 3G / 4G / LTE cambian automáticamente a Wi-
Fi cuando reconocen que
están cerca de una red que conocen.
Un atacante puede usar el mismo método para capturar paquetes de protocolo de enlace
WPA2 (discutido en
Sección 1.5.1) para desconectar a los usuarios de una red Wi-Fi mediante el uso de des
autentificación falsificada
paquetes Cuando los usuarios se vuelven a conectar, sin darse cuenta se conectarán al
punto de acceso modificado.
A diferencia del ataque Evil Twin, el atacante no tiene que esperar a que una víctima se
conecte al
punto de acceso modificado; con este enfoque, todos los que se encuentren cerca
automáticamente
conectarse y convertirse en una víctima potencial.
Jasager se ejecuta en cualquier cantidad de dispositivos, pero quizás sea una de las
formas más efectivas de emplearlo
es con el punto de acceso de piña. La piña es simplemente un punto de acceso con
modificaciones
firmware que incorpora una serie de herramientas para pruebas de "penetración"
inalámbricas. También tiene un
cantidad de accesorios, como soporte para tarjetas USB celulares para proporcionar
conectividad de red
cuando no está disponible en la ubicación de destino y los paquetes de baterías
funcionan como
Unidad independiente. También se oculta fácilmente porque se puede disfrazar en
cualquier número de
Los alojamientos se encuentran típicamente enchufados en la oficina.
Page 63
Una vez que el atacante tiene a la víctima conectada a un punto de acceso malicioso, el
hombre en el medio
el ataque puede continuar, y el atacante no solo puede observar y capturar el tráfico de
red, sino también
modificarlo
1.5.2.3 SSLstrip
Después de que un usuario se conecta a una red Wi-Fi que se ha visto comprometida, o
al Wi-Fi de un atacante
red disfrazada de red legítima: el atacante puede controlar el contenido que
La víctima ve. El atacante simplemente intercepta el tráfico web de la víctima, redirige
el tráfico de la víctima.
navegador a un servidor web que controla y sirve cualquier contenido que el atacante
desee.
Un ataque de hombre en el medio se puede usar para robar el correo electrónico
corporativo o bancario en línea de una víctima
Credenciales de cuenta. Normalmente, este tipo de tráfico se consideraría seguro porque
el
La página web generalmente usa encriptación Secure Sockets Layer (SSL). Por
supuesto, solo el usuario promedio
sabe que un candado en algún lugar de la barra de direcciones significa que su
navegador es seguro,
¿correcto?
Pero el candado aparece de manera diferente, y en diferentes ubicaciones, en diferentes
navegadores. Cómo
Cómo aparece el candado en Internet Explorer? ¿Qué pasa con Mozilla Firefox, Google
Chrome y
Safari de manzana? Y también aparece de manera diferente en diferentes teléfonos
inteligentes y tabletas. Es no
Me pregunto si los usuarios finales típicos, incluso muchos profesionales de seguridad,
pueden ser fácilmente engañados.
SSLstrip elimina el cifrado SSL de una sesión "segura". Cuando un usuario conectado a
un
la red Wi-Fi comprometida intenta iniciar una sesión SSL, el punto de acceso
modificado
intercepta la solicitud SSL (ver Figura 1-6). El punto de acceso modificado luego
completa el SSL
sesión en nombre del dispositivo de la víctima. Luego, el túnel SSL entre el dispositivo
de la víctima y
el servidor web seguro legítimo se termina, y se descifra, en la versión modificada
punto de acceso, lo que permite al atacante ver las credenciales de la víctima y otros
datos confidenciales
información, en texto claro.
Con SSLstrip, el punto de acceso modificado muestra un candado falso en el navegador
web de la víctima.
Las páginas web pueden mostrar un pequeño icono llamado favicon junto a la dirección
de un sitio web en el navegador
Barra de dirección. SSLstrip reemplaza el favicon con un candado que parece SSL para
un desprevenido
usuario.
Términos clave
Un favicon ("icono favorito") es un pequeño archivo que contiene uno o más iconos
pequeños
asociado con un sitio web o página web en particular.
Página 64
Figura 1-6: Man-in-the-middle con SSLstrip
1.5.3 Amenazas persistentes avanzadas
Las amenazas persistentes avanzadas (APT) son una clase de amenazas que son mucho
más deliberadas y
potencialmente devastador que otros tipos de ataques cibernéticos. Como su nombre lo
indica, un APT tiene tres
definir características. Un APT es:
Avanzado. Los atacantes usan malware y exploits avanzados y, por lo general, también
tienen
habilidades y recursos necesarios para desarrollar herramientas y técnicas adicionales de
ataque cibernético,
y puede tener acceso a sofisticados equipos de vigilancia electrónica, satélite
imágenes e incluso activos de inteligencia humana.
Persistente. Un APT puede tener lugar durante un período de varios años. Los atacantes
persiguen
objetivos específicos y utilice un enfoque "bajo y lento" para evitar la detección. Los
atacantes
están bien organizados y generalmente tienen acceso a un respaldo financiero sustancial,
como
organización criminal del estado-nación u organizada, para financiar sus actividades.
Amenaza. Un APT es deliberado y centrado, en lugar de oportunista. Los APT están
diseñados
causar daños reales, incluidas pérdidas financieras significativas, destrucción de
sistemas y
infraestructura o daño físico y pérdida de vidas.
Ejemplos recientes de campañas APT incluyen:
Página 65
MONZÓN. Monsoon es una campaña de APT que parece haber comenzado en
diciembre
2015. Según Forcepoint Security Labs, "la campaña general parece
apuntar a ciudadanos chinos dentro de diferentes industrias y agencias gubernamentales
en
Asia meridional ". 20 A julio de 2016, más de 110 países víctimas diferentes y 6.300
se identificaron las direcciones IP de las víctimas. 21 "Los componentes de malware
utilizados en
MONSOON generalmente se distribuye a través de documentos [armados] enviados a
través de e-
correo a objetivos elegidos específicamente. Los temas de estos documentos son
generalmente políticos en
naturaleza y tomado de publicaciones recientes sobre temas de actualidad. Varios
malware
los componentes se han utilizado en esta operación, incluido Unknown Logger Public,
TINYTYPHON, BADNEWS y una puerta trasera AutoIt [3] ". 22
1937CN. En 2017, FortiGuard Labs descubrió varios documentos maliciosos que
explotó la vulnerabilidad de desbordamiento del búfer CVE-2012-0158 (ListView /
TreeView ActiveX
controles en la biblioteca MSCOMCTL.OCX). "Se creía ... que la campaña de piratería
donde se utilizaron estos documentos fue liderado por el grupo de piratería chino
1937CN. los
el enlace al grupo se encontró a través de dominios maliciosos utilizados como
comando y control
servidores por el atacante ... Similar a otros ataques APT, como MONSOON APT, este
APT
utiliza el secuestro de DLL para evadir [Host Intrusion Prevention Systems, o HIPS] ".
23
Scarlet Mimic. Los ataques Scarlet Mimic comenzaron en 2011. Su patrón de
orientación sugiere
que la misión principal de este adversario es recopilar información sobre los derechos
de las minorías
activistas Aunque no hay evidencia que vincule directamente estos ataques a un
gobierno
fuente, la información derivada de sus actividades respalda una evaluación de que
grupo (o grupos) con motivaciones similares a la posición declarada de los chinos
gobierno en relación con activistas uigures y tibetanos, y aquellos interesados en
20 Settle, Andy, Nicholas Griffin y Abel Toro. "Monzón - Análisis de una campaña APT: espionaje y pérdida de datos
Al amparo de los asuntos actuales. Forcepoint ™ Security Labs ™. 2016
https://www.forcepoint.com/sites/default/files/resources/files/forcepoint-security-labs-monsoon-analysis-
report.pdf.
21 Ibid.
22 Ibid.
23 Manuel, Jasper y Artem Semenchenko. "RAT repetida utilizada en la campaña APT contra vietnamitas
Organizaciones ". Fortinet®. 5 de septiembre de 2017.https://www.fortinet.com/blog/threat-research/rehashed-rat-
used-
in-apt-campaign-against-vietnamese-organisations.html .
Página 66
sus causas, está involucrado. "Los ataques Scarlet Mimic se centran principalmente en
el uso de un
La puerta trasera de Windows llamada "FakeM". Fue descrita por primera vez por
Trend Micro en 2013 y
fue nombrado FakeM porque su tráfico principal de comando y control imitaba a
Windows
Messenger y Yahoo! Tráfico de la red de mensajería para evadir la detección ". 24
mímico escarlata
también ha "desplegado troyanos que se dirigen a los sistemas operativos Mac OS X y
Android". 25
Lázaro. El grupo APT Lazarus es un actor de amenazas vinculado a Corea del Norte y
se cree que
estar detrás de los ataques contra contratistas de defensa estadounidenses y otros ataques
mundiales
campañas, incluido el robo cibernético de Bangladesh (US $ 81 millones fueron
subrepticiamente
transferido de la cuenta del Banco de la Reserva Federal de Nueva York de Bangladesh
en febrero
2016) 26 , la Operación Troya (ataques contra la infraestructura de Corea del Sur en
2013) 27 , el
Operación DarkSeoul (ataques basados en malware que borraron decenas de miles de
discos duros
unidades pertenecientes a redes y bancos de televisión de Corea del Sur en marzo de
2013) 28 , y
el truco de Sony Picture (correos electrónicos de los empleados e información personal,
incluidos salarios,
direcciones y números de la Seguridad Social revelados, películas inéditas publicadas en
el archivo
compartir sitios y sistemas informáticos internos cerrados en 2014). 29
24 Falcone, Robert y Jen Miller-Osborn. "Scarlet Mimic: la campaña de espionaje de años se dirige a la minoría
Activistas ". Redes de Palo Alto. 24 de enero de 2016.https://researchcenter.paloaltonetworks.com/2016/01/scarlet-
mímico-años-largo-espionaje-objetivos-minoritarios-activistas /.
25 Ibid.
26 Paganini, Pierluigi. "Estados Unidos culpa a Corea del Norte por el robo cibernético de Bangladesh por $ 81
millones". Asuntos de seguridad. marzo
24 de 2017. http://securityaffairs.co/wordpress/57396/cyber-crime/bangladesh-cyber-heist.html.
27 Paganini, Pierluigi. "Los hackers atacaron a Corea del Sur también difundieron spyware para robar secretos
militares". Asuntos de seguridad. julio
9, 2013. http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-steal-military-
secretos.html .
28 Ibid.
29 Weisman, Aly. "Una línea de tiempo de los locos eventos en el escándalo de piratería de Sony". Business Insider. 9
de diciembre de 2014.
http://www.businessinsider.com/sony-cyber-hack-timeline-2014-12 .
Page 67
1. Verdadero o falso. Wired Equivalent Privacy (WEP) es un protocolo efectivo para
asegurando redes inalámbricas.
2. Complete el espacio en blanco. UNA
es un matemático
función que crea una representación única de un conjunto de datos más grande en un
manera que es fácil de calcular en una dirección, pero no en el reverso
dirección.
Página 68
Módulo 2 - Puerta de enlace de seguridad
cibernética
Describir el funcionamiento básico de las redes de computadoras e Internet, incluidas
las comunes.
dispositivos de red, protocolos de enrutamiento y enrutamiento, diferentes tipos de redes
de área y
topologías y el Sistema de nombres de dominio (DNS).
Explicar la función de direccionamiento físico, lógico y virtual en redes.
Discuta los fundamentos de direccionamiento y subred de IPv4 e IPv6.
Discutir el modelo de referencia OSI y el modelo TCP / IP incluyendo análisis de
paquetes, protocolo
y filtrado de paquetes, y encapsulación TCP / IP.
Explicar varios modelos de seguridad de red, conceptos y principios, incluido el
perímetro.
seguridad basada y el modelo Zero Trust.
Analice los conceptos de diseño de seguridad de la nube y del centro de datos, incluida
la computación en la nube
Consideraciones y requisitos de seguridad, el papel de la virtualización en la
computación en la nube,
debilidades existentes de la solución de seguridad de datos, protección del tráfico este-
oeste y seguridad en
centros de datos virtualizados.
Describir las tecnologías de seguridad de red, incluidos los firewalls, los sistemas de
detección de intrusiones.
y sistemas de prevención de intrusiones (IDS / IPS), filtros de contenido web, redes
privadas virtuales
(VPN), prevención de pérdida de datos (DLP), gestión unificada de amenazas (UTM) y
seguridad
gestión de información y eventos (SIEM).
Explicar los conceptos y desafíos de seguridad en la nube, virtualización y
almacenamiento.
Discutir conceptos de operaciones de red, incluidos análisis de tráfico, resolución de
problemas y
Servidor y administración de sistemas.
Discutir servicios de directorio, optimización de dispositivos de red y host estructurado
y
Solución de problemas de red.
Describir los conceptos de la Biblioteca de infraestructura de TI (ITIL) y la mesa de
ayuda y soporte técnico.
funciones
Página 69
2.1 El globo conectado
Con más de cuatro mil millones de usuarios de Internet en todo el mundo en 2018, lo
que representa más de la mitad
la población mundial, internet conecta empresas, gobiernos y personas en todo el
globo. Nuestra dependencia de Internet seguirá creciendo, con casi 30 mil millones de
dispositivos y
"Cosas", incluidos vehículos autónomos, electrodomésticos, tecnología portátil y
más: conectarse a Internet de las cosas (IoT) y más de 7.300 millones en todo el mundo
suscripciones de teléfonos inteligentes que descargan 17 gigabytes (GB) de datos
mensuales para 2023 30 .
2.1.1 The NET: cómo se conectan las cosas
En la década de 1960, la Agencia de Proyectos de Investigación Avanzada de Defensa
de los Estados Unidos (DARPA) creó ARPANET,
el precursor de la internet moderna. ARPANET fue la primera red de conmutación de
paquetes. UNA
la red de conmutación de paquetes divide los datos en pequeños bloques (paquetes),
transmite a cada individuo
paquete de nodo a nodo hacia su destino, luego vuelve a ensamblar los paquetes
individuales en
El orden correcto en el destino.
Hoy, cientos de millones de enrutadores (discutidos en la Sección 2.1.2) entregan
Control de Transmisión
Paquetes de Protocolo / Protocolo de Internet (TCP / IP) que utilizan varios protocolos
de enrutamiento (discutido en
Sección 2.1.3) en redes de área local y redes de área amplia (LAN y WAN,
respectivamente, discutido en la Sección 2.1.4). El Sistema de nombres de dominio
(DNS, discutido en la Sección
2.1.5) permite que las direcciones de Internet, como www.paloaltonetworks.com , se
traduzcan a
Direcciones IP enrutables.
2.1.2 Introducción a dispositivos de red
Los enrutadores son dispositivos físicos o virtuales que envían paquetes de datos a las
redes de destino a lo largo de un
ruta de red usando direcciones lógicas (discutido en la Sección 2.2). Los enrutadores
utilizan varias rutas
protocolos (discutidos en la Sección 2.1.3) para determinar la mejor ruta a un destino,
basado en
variables como ancho de banda, costo, demora y distancia. Un enrutador inalámbrico
combina el
funcionalidad de un enrutador y un punto de acceso inalámbrico (AP) para proporcionar
enrutamiento entre un cable
y red inalámbrica. Un AP es un dispositivo de red que se conecta a un enrutador o red
cableada
y transmite una señal de Wi-Fi para que los dispositivos inalámbricos puedan
conectarse a una red inalámbrica (o Wi-Fi)
30"Informe de movilidad de Ericsson, noviembre de 2017". Ericsson Noviembre de 2017.
https://www.ericsson.com/assets/local/mobility-report/documents/2017/ericsson-mobility-report-november-
2017.pdf .
Page 70
red. Un repetidor inalámbrico retransmite la señal inalámbrica desde un enrutador
inalámbrico o AP a
ampliar el alcance de una red wifi.
Un concentrador (o concentrador ) es un dispositivo de red que conecta varios
dispositivos, como el escritorio
computadoras, estaciones de conexión para computadoras portátiles e impresoras, en
una red de área local (LAN). Red
el tráfico que se envía a un concentrador se transmite desde todos los puertos en el
concentrador, lo que puede crear una red
congestión e introduce riesgos potenciales de seguridad (los datos de transmisión
pueden ser interceptados).
Un conmutador es esencialmente un concentrador inteligente que usa direcciones físicas
(discutido en la Sección 2.2)
reenviar paquetes de datos a dispositivos en una red. A diferencia de un concentrador,
un interruptor está diseñado para reenviar
paquetes de datos solo al puerto que corresponde al dispositivo de destino. Esta
transmisión
El método (denominado microsegmentación) crea segmentos de red separados y
aumenta efectivamente las velocidades de transmisión de datos disponibles en los
segmentos de red individuales.
Además, se puede usar un conmutador para implementar LAN virtuales (VLAN), que
segregan lógicamente un
red y dominios de difusión limitada y dominios de colisión .
Términos clave
Un enrutador es un dispositivo de red que envía paquetes de datos a una red de destino.
a lo largo de una ruta de red.
Un repetidor inalámbrico retransmite la señal inalámbrica desde un enrutador
inalámbrico o AP
para ampliar el alcance de una red Wi-Fi.
Un concentrador (o concentrador ) es un dispositivo utilizado para conectar múltiples
dispositivos en red.
en una red de área local (LAN).
Un conmutador es un concentrador inteligente que envía paquetes de datos solo al
puerto
asociado con el dispositivo de destino en una red.
Una LAN virtual (VLAN) es una red lógica que se crea dentro de una LAN física.
Un dominio de difusión es la parte de una red que recibe paquetes de difusión
enviado desde un nodo en el dominio.
Un dominio de colisión es un segmento de red en el que los paquetes de datos pueden
colisionar con
entre sí durante la transmisión.
Page 71
2.1.3 Protocolos enrutados y de enrutamiento
Los protocolos enrutados, como el Protocolo de Internet (IP), direccionan paquetes con
información de enrutamiento
eso permite que esos paquetes sean transportados a través de redes utilizando protocolos
de enrutamiento . IP es
discutido más adelante en las Secciones 2.2 y 2.2.1.
Los protocolos de enrutamiento se definen en la capa de red del modelo OSI (discutido
en la Sección 2.3.1)
y especifique cómo los enrutadores se comunican entre sí en una red. Los protocolos de
enrutamiento pueden
sea estático o dinámico .
Un protocolo de enrutamiento estático requiere que las rutas se creen y actualicen
manualmente en un enrutador o
otro dispositivo de red. Si una ruta estática está inactiva, el tráfico no se puede redirigir
automáticamente a menos que
Se ha configurado una ruta alternativa. Además, si la ruta está congestionada, el tráfico
no puede ser
redirigido automáticamente sobre la ruta alternativa menos congestionada. El
enrutamiento estático es práctico solo en
redes muy pequeñas o para escenarios de enrutamiento de casos especiales muy
limitados (por ejemplo, un
destino al que solo se puede acceder a través de un solo enrutador o cuando se usa como
ruta de respaldo). Sin embargo,
el enrutamiento estático tiene bajos requisitos de ancho de banda (la información de
enrutamiento no se transmite a través del
red) y algo de seguridad incorporada (los usuarios solo pueden llegar a los destinos
especificados en
rutas definidas estáticamente).
Un protocolo de enrutamiento dinámico puede aprender automáticamente nuevas rutas
(o alternativas) y determinar
La mejor ruta a un destino. La tabla de enrutamiento se actualiza periódicamente con el
enrutamiento actual
información. Los protocolos de enrutamiento dinámico se clasifican además como:
Vector de distancia. Un protocolo de vector de distancia toma decisiones de
enrutamiento basadas en dos
factores: la distancia (conteo de saltos u otra métrica) y el vector (el enrutador de salida
interfaz). Informa periódicamente a sus pares y / o vecinos de los cambios de topología.
Convergencia , el tiempo requerido para que todos los enrutadores de una red actualicen
su enrutamiento
las tablas con la información más actualizada (como los cambios de estado del enlace),
pueden ser un
problema significativo para protocolos de vector de distancia. Sin convergencia, algunos
enrutadores en
una red puede ignorar los cambios de topología, lo que hace que el enrutador envíe
tráfico
Términos clave
Una dirección de Protocolo de Internet (IP) es un identificador de 32 bits o 128 bits
asignado a un
dispositivo en red para comunicaciones en la capa de red del modelo OSI
(discutido en la Sección 2.3.1) o la capa de Internet del modelo TCP / IP (discutido
en la Sección 2.3.2).
Page 72
a un destino no válido Durante la convergencia, la información de enrutamiento se
intercambia
entre enrutadores, y la red se ralentiza considerablemente. La convergencia puede tomar
varios minutos en redes que usan protocolos de vector de distancia.
El Protocolo de información de enrutamiento (RIP) es un ejemplo de un protocolo de
enrutamiento de vector de distancia
que usa el conteo de saltos como su métrica de enrutamiento. Para evitar bucles de
enrutamiento, en los que los paquetes
efectivamente se atasca rebotando entre varios nodos del enrutador, RIP implementa un
límite de salto
de 15, que limita el tamaño de las redes que RIP puede admitir. Después de que un
paquete de datos se cruza
15 nodos de enrutador (saltos) entre una fuente y un destino, el destino es
considerado inalcanzable. Además de los límites de salto, RIP emplea otros cuatro
mecanismos.
para evitar bucles de enrutamiento:
Horizonte dividido. Impide que un enrutador anuncie una ruta de regreso a través de la
misma
interfaz desde la cual se aprendió la ruta.
Actualizaciones activadas Cuando se detecta un cambio, la actualización se envía de
inmediato
en lugar de esperar 30 segundos para enviar una actualización RIP.
Envenenamiento de ruta. Establece el conteo de saltos en una ruta incorrecta a 16, que
efectivamente
anuncia la ruta como inalcanzable.
Temporizadores de retención. Hace que un enrutador inicie un temporizador cuando
el enrutador recibe
información de que un destino es inalcanzable. Actualizaciones posteriores sobre eso
el destino no será aceptado hasta que expire el temporizador. Este temporizador también
ayuda a evitar
problemas asociados con el aleteo. El aleteo ocurre cuando una ruta (o interfaz)
cambia repetidamente el estado (arriba, abajo, arriba, abajo) durante un corto período de
tiempo.
Estado de enlace. Un protocolo de estado de enlace requiere que cada enrutador calcule
y mantenga un
mapa completo, o tabla de enrutamiento, de toda la red. Enrutadores que usan un estado
de enlace
el protocolo transmite periódicamente actualizaciones que contienen información sobre
adyacentes
conexiones, o estados de enlace, a todos los otros enrutadores de la red. Los protocolos
de estado de enlace son
Términos clave
La convergencia es el tiempo requerido para que todos los enrutadores de una red
actualicen sus
tablas de enrutamiento con la información de enrutamiento más actualizada sobre la red.
El conteo de saltos generalmente se refiere a la cantidad de nodos de enrutador que un
paquete debe
pasar para llegar a su destino.
Page 73
computacional, pero pueden calcular la ruta más eficiente a un destino. Ellos
considere numerosos factores como la velocidad del enlace, el retraso, la carga, la
confiabilidad y el costo (un
peso asignado arbitrariamente o métrico). La convergencia ocurre muy rápidamente (en
segundos)
con protocolos de estado de enlace.
Open Shortest Path First (OSPF) es un ejemplo de un protocolo de enrutamiento de
estado de enlace que es
A menudo se utiliza en grandes redes empresariales. OSPF enruta el tráfico de red
dentro de un solo
sistema autónomo (AS). Las redes OSPF se dividen en áreas identificadas por área de
32 bits
identificadores Los identificadores de área pueden (pero no tienen que) corresponder a
las direcciones IP de la red
y puede duplicar direcciones IP sin conflictos.
Vector de ruta. Un protocolo de vector de ruta es similar a un protocolo de vector de
distancia, pero sin
Los problemas de escalabilidad asociados con conteos de saltos limitados en protocolos
de vector de distancia.
Cada entrada de la tabla de enrutamiento en un protocolo de vector de ruta contiene
información de ruta que obtiene
actualizado dinámicamente
Border Gateway Protocol (BGP) es un ejemplo de un protocolo de vector de ruta
utilizado entre
sistemas autónomos separados. BGP es el protocolo central utilizado por el servicio de
Internet
Proveedores (ISP), proveedores de servicios de red (NSP) y en IP privada muy grande
redes.
2.1.4 Redes de área y topologías
La mayoría de las redes de computadoras se clasifican en términos generales como
redes de área local (LAN) o redes de área amplia.
redes de área (WAN).
Una red de área local (LAN) es una red informática que conecta dispositivos de usuario
final como
computadoras portátiles y de escritorio, servidores, impresoras y otros dispositivos para
que las aplicaciones,
bases de datos, archivos, almacenamiento de archivos y otros recursos en red se pueden
compartir entre los autorizados
usuarios en la LAN. Una LAN opera en un área geográfica relativamente pequeña,
como un piso, un
edificio, o un grupo de edificios, generalmente a velocidades de hasta 10 megabits por
segundo (Mbps -
Ethernet), 100Mbps (Fast Ethernet), 1,000Mbps (o 1 gigabit por segundo [1Gbps] -
Gigabit
Términos clave
Un sistema autónomo (AS) es un grupo de rangos de direcciones IP contiguas bajo el
control de una sola entidad de internet. A los sistemas autónomos individuales se les
asigna un
Número AS (ASN) de 16 o 32 bits que identifica de forma exclusiva la red en
Internet. Los ASN son asignados por la Autoridad de Números Asignados de Internet
(IANA).
Page 74
Ethernet) en redes cableadas y 11Mbps (802.11b), 54Mbps (802.11ayg), 450Mbps
(802.11n), 1.3Gbps (802.11ac) y 14Gbps (802.11ax - teórico) en redes inalámbricas.
UNA
LAN puede ser cableada, inalámbrica o una combinación de cableada e inalámbrica.
Ejemplos de redes
Los equipos comúnmente utilizados en LAN incluyen puentes , concentradores,
repetidores , conmutadores e inalámbricos.
puntos de acceso (AP).
Dos topologías de red básicas (y muchas variaciones) se usan comúnmente en LAN:
Estrella. Cada nodo de la red está conectado directamente a un conmutador,
concentrador o concentrador,
y todas las comunicaciones de datos deben pasar a través del conmutador, concentrador
o concentrador. los
interruptor, concentrador o concentrador puede convertirse en un cuello de botella de
rendimiento o un punto único
de falla en la red. Una topología en estrella es ideal para entornos de prácticamente
cualquier tamaño.
y es la topología básica de LAN más utilizada. Una topología en estrella también es
fácil de
instalar y mantener, y las fallas de la red se aíslan fácilmente sin afectar el resto de
la red
Malla. Todos los nodos están interconectados para proporcionar múltiples rutas a todos
los demás recursos. UNA
la topología de malla se puede usar en toda la red o solo para los más críticos
componentes de red, como enrutadores, conmutadores y servidores, para eliminar el
rendimiento
cuellos de botella y puntos únicos de falla.
Otras topologías de red que alguna vez fueron populares, como el anillo y el bus , rara
vez se encuentran en los modernos
redes.
Términos clave
Una red de área local (LAN) es una red de computadoras que conecta computadoras
portátiles y
computadoras de escritorio, servidores, impresoras y otros dispositivos para que las
aplicaciones,
se pueden compartir bases de datos, archivos y almacenamiento de archivos, y otros
recursos en red
a través de un área geográfica relativamente pequeña, como un piso, un edificio o un
grupo de
edificios
Un puente es un dispositivo de red con cable o inalámbrico que extiende una red o se
une
segmentos de red separados.
Un repetidor es un dispositivo de red que aumenta o retransmite una señal físicamente
ampliar el alcance de una red cableada o inalámbrica.
Página 75
Una red de área amplia (WAN) es una red informática que conecta múltiples LAN u
otras WAN
a través de un área geográfica relativamente grande, como una pequeña ciudad, una
región o país, un
red empresarial, o el planeta entero (por ejemplo, internet).
Una WAN conecta redes utilizando circuitos de telecomunicaciones y tecnologías como
cable de banda ancha , línea de abonado digital (DSL), fibra óptica, soporte óptico
(por ejemplo, OC-3),
y T-carrier (por ejemplo, T-1), a varias velocidades que generalmente varían de 256
Kbps a varias
cien megabits por segundo. Ejemplos de equipos de red comúnmente utilizados en
WAN
incluyen servidores de acceso, Unidades de servicio de canal / Unidades de servicio de
datos (CSU / DSU), firewalls,
módems, enrutadores, puertas de enlace de red privada virtual (VPN) y conmutadores
WAN.
El modelo de interconexión jerárquica es un diseño de red de mejores prácticas,
originalmente propuesto
por Cisco, que comprende tres capas:
Acceso. Los puntos finales de usuario y los servidores se conectan a la red en esta capa,
generalmente a través de
conmutadores de red. Los interruptores en esta capa pueden realizar algo de Capa 3
(discutido en la Sección
2.3.1) funciona y también puede proporcionar energía eléctrica a través de alimentación
a través de Ethernet (PoE)
Términos clave
En una topología de anillo , todos los nodos están conectados en un bucle cerrado que
forma un
anillo continuo En una topología de anillo, toda la comunicación viaja en una sola
dirección alrededor del anillo. Las topologías de anillo eran comunes en las redes de
token ring.
En una topología de bus (o bus lineal) , todos los nodos están conectados a un solo
cable (el
columna vertebral) que se termina en ambos extremos. En el pasado, las redes de
autobuses eran
comúnmente utilizado para redes muy pequeñas porque eran económicas y
relativamente fácil de instalar, pero hoy en día las topologías de bus rara vez se usan. El
cable
los medios tienen limitaciones físicas (la longitud del cable), la columna vertebral es un
punto único
de falla (una interrupción en cualquier parte de la red afecta a toda la red) y
rastrear una falla en una red grande puede ser extremadamente difícil.
Términos clave
Una red de área amplia (WAN) es una red informática que conecta múltiples LAN
u otras WAN en un área geográfica relativamente grande, como una ciudad pequeña, un
región o país, una red empresarial global o todo el planeta (por ejemplo,
La Internet).
Page 76
puertos a otros equipos conectados a la red, como AP inalámbricos o voz en off
Teléfonos IP (VoIP).
Distribución. Esta capa realiza cualquier enrutamiento intensivo de cómputo y
funciones de conmutación
en la red, como enrutamiento complejo, filtrado y calidad de servicio (QoS).
Interruptores
en esta capa puede haber interruptores de capa 7 (discutidos en la sección 2.3.1) y
conectarse a
Finalice los conmutadores de capa de acceso y los conmutadores de capa principal de
gama alta.
Núcleo. Esta capa es responsable del enrutamiento y conmutación de alta velocidad.
Enrutadores y
Los conmutadores en esta capa están diseñados para el enrutamiento y reenvío de
paquetes de alta velocidad.
Términos clave
El cable de banda ancha es un tipo de acceso a Internet de alta velocidad que ofrece
diferentes
cargar y descargar velocidades de datos a través de un medio de red compartido. El
general
la velocidad varía según la carga de tráfico de red de todos los suscriptores en
El segmento de red.
La línea de suscriptor digital (DSL) es un tipo de acceso a Internet de alta velocidad
que ofrece
diferentes velocidades de carga y descarga de datos. La velocidad general depende del
distancia desde el hogar o la ubicación comercial hasta la oficina central (CO) del
proveedor.
La tecnología de fibra óptica convierte las señales de datos eléctricos en luz y ofrece
velocidades de datos constantes en las direcciones de carga y descarga a través de un
dedicado
cable de fibra óptica medio. La tecnología de fibra óptica es mucho más rápida y segura.
que otros tipos de tecnología de red.
La portadora óptica es una especificación para el ancho de banda de transmisión de
señales digitales
en redes de fibra óptica de red óptica síncrona (SONET). Soporte óptico
las velocidades de transmisión se designan por el valor entero del múltiplo de
tasa base (51.84Mbps). Por ejemplo, OC-3 designa un 155.52Mbps (3 x 51.84)
network y OC-192 designa una red 9953.28Mbps (192 x 51.84).
T-carrier es un sistema de transmisión digital full-duplex que utiliza múltiples pares de
cable de cobre para transmitir señales eléctricas a través de una red. Por ejemplo, un T-1
El circuito consta de dos pares de cable de cobre: un par transmite, el otro par
recibe - que se multiplexan para proporcionar un total de 24 canales, cada uno
entregando
64 Kbps de datos, para un ancho de banda total de 1.544 Mbps.
Page 77
Además de las LAN y WAN, se utilizan muchos otros tipos de redes de área para
diferentes
propósitos:
Las redes de área del campus (CAN) y las redes de área inalámbricas del campus
(WCAN) se conectan
múltiples edificios en una red de alta velocidad (por ejemplo, en una empresa o
universidad
instalaciones).
Redes de área metropolitana (MAN) y redes inalámbricas de área metropolitana
(WMAN)
extender redes a través de un área relativamente grande, como una ciudad.
Las redes de área personal (PAN) y las redes inalámbricas de área personal (WPAN) se
conectan
los dispositivos electrónicos de un individuo, como computadoras portátiles, teléfonos
inteligentes, tabletas,
Asistentes personales virtuales (por ejemplo, Amazon Alexa, Apple Siri, Asistente de
Google y
Microsoft Cortana), y tecnología portátil, entre sí o para una red más grande.
Las redes de área de almacenamiento (SAN) conectan servidores a un dispositivo de
almacenamiento físico separado
(normalmente una matriz de discos).
Las redes de valor agregado (VAN) son un tipo de extranet que permite a las empresas
dentro de un
industria para compartir información o integrar procesos comerciales compartidos.
Las redes de área local virtuales (VLAN) segmentan dominios de difusión en una LAN,
generalmente en
grupos lógicos (como departamentos comerciales). Las VLAN se crean en
conmutadores de red.
Las redes inalámbricas de área local (WLAN), también conocidas como redes Wi-Fi,
usan redes inalámbricas
puntos de acceso (AP) para conectar dispositivos con capacidad inalámbrica a una LAN
con cable.
Términos clave
Power over Ethernet (PoE) es un estándar de red que proporciona energía eléctrica
a ciertos dispositivos de red a través de cables Ethernet.
Voz sobre IP (VoIP) o telefonía IP es una tecnología que proporciona voz
comunicación a través de una red basada en el Protocolo de Internet (IP).
La calidad de servicio (QoS) es el rendimiento general de aplicaciones específicas o
servicios en una red que incluyen tasa de error, tasa de bits, rendimiento, transmisión
retraso, disponibilidad y jitter. Las políticas de QoS se pueden configurar en ciertas
redes
y dispositivos de seguridad para priorizar cierto tráfico, como voz o video, sobre
otro tráfico menos intensivo en rendimiento.
78 de 1189.
Las redes inalámbricas de área amplia (WWAN) amplían la cobertura de la red
inalámbrica en un gran
área, como una región o país, que generalmente utiliza tecnología móvil celular.
2.1.5 Sistema de nombres de dominio (DNS)
El Sistema de nombres de dominio (DNS) es una base de datos distribuida y jerárquica
de Internet que se asigna completamente
nombres de dominio calificados (FQDN) para computadoras, servicios y otros recursos,
como un
dirección del sitio web (también conocida como un localizador uniforme de recursos o
URL) - a direcciones IP (discutido
en las Secciones 2.2 y 2.2.1), similar a cómo una lista de contactos en un teléfono
inteligente asigna los nombres de
empresas e individuos a números telefónicos. Para crear un nuevo nombre de dominio
que será
accesible a través de Internet, debe registrar su nombre de dominio único con un
nombre de dominio
registrador , como GoDaddy o Network Solutions, similar a enumerar un nuevo
número de teléfono en un
directorio telefonico. El DNS es crítico para el funcionamiento de internet.
Un servidor de nombres raíz es el servidor de nombres autorizado para una zona raíz
DNS. En todo el mundo, 13 root
se configuran servidores de nombres (en realidad 13 redes que comprenden cientos de
servidores de nombres raíz),
llamado a.root-servers.net a través de m.root-servers.net. Los servidores DNS
generalmente se configuran con
un archivo de sugerencias de raíz que contiene los nombres y las direcciones IP de los
servidores raíz.
Un host (como un navegador web en una computadora de escritorio) en una red que
necesita conectarse
otro host (como un servidor web en Internet) primero debe traducir el nombre del
host de destino desde su URL a una dirección IP. El host de conexión (el cliente DNS)
envía un
Solicitud de DNS a la dirección IP del servidor DNS que se especifica en la
configuración de red de
El cliente DNS. Si el servidor DNS tiene autoridad para el dominio de destino, el
servidor DNS
resuelve la dirección IP del host de destino y responde la solicitud de DNS del DNS
cliente. Por ejemplo, está intentando conectarse a un servidor de intranet en su
Términos clave
El Sistema de nombres de dominio (DNS) es una base de datos jerárquica distribuida
que asigna
el nombre de dominio completo (FQDN) para computadoras, servicios o cualquier
recurso
conectado a Internet o una red privada a una dirección IP.
Un nombre de dominio completo (FQDN) es el nombre de dominio completo para un
computadora, servicio o recurso específico conectado a internet o privado
red.
Un registrador de nombres de dominio es una organización acreditada por un nivel
superior
registro de dominio (TLD) para administrar registros de nombres de dominio.
Página 79
red desde la computadora de escritorio en su oficina. Si la dirección del servidor DNS
que está configurada
en su computadora hay un servidor DNS interno que tiene autoridad para su dominio de
intranet, el
El servidor DNS resuelve la dirección IP del servidor de la intranet. Su computadora
luego encapsula el
dirección IP de destino resuelta en el Protocolo de transferencia de hipertexto (HTTP) o
Transferencia de hipertexto
Paquetes de solicitud de Protocolo seguro (HTTPS) que se envían al servidor de la
intranet.
Si un servidor DNS no tiene autoridad para el dominio de destino, por ejemplo, un sitio
web de Internet
dirección, entonces el servidor DNS realiza una consulta recursiva (si está configurada
para realizar recursiva
consultas) para obtener la dirección IP del servidor DNS autorizado y envía el DNS
original
solicitud al servidor DNS autorizado. Este proceso es un proceso de arriba hacia abajo
en el que el DNS
el servidor primero consulta su archivo de sugerencias de raíz y consulta un servidor de
nombres de raíz para identificar
servidor DNS autorizado para el TLD (por ejemplo, .com) asociado con la consulta
DNS. los
El servidor DNS luego consulta al servidor TLD para identificar el servidor autorizado
para el específico
dominio que se está consultando (por ejemplo, paloaltonetworks.com). Este proceso
continúa hasta
Se identifica y consulta el servidor autorizado para el FQDN. El servidor DNS recursivo
entonces
responde la solicitud del cliente DNS original con la información DNS del DNS
autorizado
servidor.
Los tipos básicos de registros DNS son:
A (IPv4) o AAAA (IPv6) (Dirección). Asigna un dominio o subdominio a una
dirección IP o
múltiples direcciones IP
CNAME (Nombre canónico). Asigna un dominio o subdominio a otro nombre de host
MX (Intercambiador de correo). Especifica el nombre de host o los nombres de host de
los servidores de correo electrónico para un
dominio
PTR (puntero). Apunta a un CNAME; comúnmente utilizado para búsquedas inversas
de DNS que asignan un
Dirección IP a un host en un dominio o subdominio
SOA (inicio de autoridad). Especifica información autorizada sobre una zona DNS
como
servidor de nombres primario, dirección de correo electrónico del administrador del
dominio y serie del dominio
número
NS (servidor de nombres). El registro NS especifica un servidor de nombres autorizado
para un host determinado
TXT (Texto). Almacena información basada en texto
80
Términos clave
Un dominio de nivel superior (TLD) es el dominio de nivel más alto en DNS,
representado por el
última parte de un FQDN (por ejemplo, .com o .edu). Los TLD más utilizados
son dominios genéricos de nivel superior (gTLD) como .com, edu, .net y .org, y
dominios de nivel superior de código de país (ccTLD) como .ca y .us.
Un servidor DNS autorizado es el sistema de registro para un dominio dado.
Una intranet es una red privada que proporciona información y recursos, como
como directorio de la empresa, políticas y formularios de recursos humanos,
departamento o
archivos de equipo y otra información interna, a los usuarios de una organización.
Como el
Internet, una intranet utiliza los protocolos HTTP y / o HTTPS, pero el acceso a un
la intranet generalmente está restringida a los usuarios internos de una organización.
Microsoft
SharePoint es un ejemplo popular de software de intranet.
El Protocolo de transferencia de hipertexto (HTTP) es un protocolo de aplicación
utilizado para transferir
datos entre servidores web y navegadores web.
El protocolo seguro de transferencia de hipertexto (HTTPS) es una versión segura de
HTTP que utiliza
Cifrado Secure Sockets Layer (SSL) o Transport Layer Security (TLS).
Se realiza una consulta DNS recursiva (si el servidor DNS permite consultas recursivas)
cuando un servidor DNS no tiene autoridad para un dominio de destino. El no
el servidor DNS autorizado obtiene la dirección IP del servidor DNS autorizado
para el dominio de destino y envía la solicitud DNS original a ese servidor a
ser resuelto.
Página 81
2.2 Direccionamiento físico, lógico y virtual
El direccionamiento físico, lógico y virtual en redes informáticas requiere una
comprensión básica de
numeración decimal (base10), binaria (base2) y hexadecimal (base16) (consulte la
Tabla 2-1).
El sistema de numeración decimal (base10) es, por supuesto, lo que a todos nos enseñan
en la escuela. Eso
comprende los números del 0 al 9. Después del número 9, agregamos un dígito ("1") en
las "decenas"
posición y comenzar de nuevo en cero en la posición "unos", creando así el número 10.
Los humanos usan el sistema de numeración decimal, literalmente, porque tenemos diez
dedos, así que un
Los sistemas de numeración base10 son más fáciles de entender para los humanos.
envía paquetes de datos al destino
redes a lo largo de una ruta de red utilizando direcciones lógicas.
2. Opción múltiple. ¿Qué opción es un ejemplo de un protocolo de enrutamiento
estático?
(Elige uno.)
a) Abrir primero la ruta más corta (OSPF)
b) Protocolo de puerta de enlace fronterizo (BGP)
c) Protocolo de información de enrutamiento (RIP)
d) horizonte dividido
3. Opción múltiple. ¿Qué tres opciones son los protocolos de enrutamiento dinámico?
(Elige tres.)
a) vector distancia
b) vector de ruta
c) estado de enlace
d) punto a punto
4. Verdadero o falso. Internet es un ejemplo de una red de área amplia (WAN).
5. Complete el espacio en blanco. los
es un distribuido,
base de datos jerárquica de Internet que asigna FQDN a direcciones IP.
Page 82
Tabla 2-1: notación decimal, hexadecimal y binaria
Decimal
Hexadecimal
Binario
00
00
0000
1
1
0001
2
2
0010
3
3
0011
44
44
0100
55
55
0101
66
66
0110
77
77
0111
8
8
1000
99
99
1001
10
UNA
1010
11
si
1011
12
C
1100
13
re
1101
14
mi
1110
15
F
1111
Un sistema de numeración binario (base2) consta de solo dos dígitos: 1 ("encendido") y
0 ("apagado"). Binario
la numeración se usa en computadoras y redes porque usan transistores eléctricos (más
bien
que los dedos, como los humanos) para contar. La función básica de un transistor es una
puerta, cuando es eléctrica
la corriente está presente, la puerta está cerrada ("1" o "encendido"). Cuando no hay
corriente eléctrica presente, el
la puerta está abierta ("0" o "apagado"). Con solo dos dígitos, un sistema de numeración
binaria aumenta a
siguiente posición con más frecuencia que un sistema de numeración decimal. Por
ejemplo, el decimal
el número uno se representa en binario como "1", el número dos se representa como
"10", el número tres
se representa como "11" y el número cuatro se representa como "100".
Un sistema de numeración hexadecimal (base16) comprende 16 dígitos (0 a 9 y A a F).
Se usa la numeración hexadecimal porque es más conveniente representar un byte (que
consta de 8 bits) de datos como dos dígitos en hexadecimal, en lugar de ocho dígitos en
binario. los
Page 83
los números decimales del 0 al 9 se representan como en hexadecimal "0" a "9",
respectivamente.
Sin embargo, el número decimal 10 se representa en hexadecimal como "A", el número
11 es
representado como "B", el número 12 se representa como "C", el número 13 se
representa como "D"
el número 14 se representa como "E" y el número 15 se representa como "F". El número
16
luego se incrementa a la siguiente posición numérica, representada como "10".
La dirección física de un dispositivo de red, conocida como dirección de control de
acceso a medios (MAC) (también
denominada dirección grabada [BIA] o dirección de hardware), se utiliza para reenviar
tráfico en un
segmento de red local. La dirección MAC es un identificador único de 48 bits asignado
a la red.
controlador de interfaz (NIC) de un dispositivo. Si un dispositivo tiene varias NIC, cada
NIC debe tener una única
Dirección MAC. La dirección MAC generalmente es asignada por el fabricante del
dispositivo y se almacena en
la memoria de solo lectura (ROM) o firmware del dispositivo. Las direcciones MAC
generalmente se expresan en
formato hexadecimal con dos puntos o guiones que separan cada sección de 8 bits. Un
ejemplo de un 48-
la dirección MAC de bit es:
00: 40: 96: 9d: 68: 16
La dirección lógica de un dispositivo de red, como una dirección IP, se utiliza para
enrutar el tráfico desde uno
red a otra. Una dirección IP es una única de 32 o 128 bits (IPv4 e IPv6,
respectivamente)
dirección asignada a la NIC de un dispositivo. Si un dispositivo tiene varias NIC, se
puede asignar cada NIC
Se puede asignar una dirección IP única o múltiples NIC a una dirección IP virtual para
habilitar el ancho de banda
capacidades de agregación o conmutación por error. Las direcciones IP son estáticas o
dinámicas (más comúnmente
usando el Protocolo de configuración dinámica de host , o DHCP) asignado,
generalmente por una red
administrador o proveedor de servicios de red. Las direcciones IPv4 generalmente se
expresan en puntos
notación decimal con un punto que separa cada sección decimal (conocida como un
octeto ). Un ejemplo
de una dirección IPv4 es:
192.168.0.1
Las direcciones IPv6 generalmente se expresan en formato hexadecimal (32 números
hexadecimales
agrupados en ocho bloques) con dos puntos que separan cada bloque de cuatro dígitos
hexadecimales (conocidos
como un hextet ). Un ejemplo de una dirección IPv6 es:
2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a
El direccionamiento IPv4 e IPv6 se explica con más detalle en la Sección 2.2.1.
El Protocolo de resolución de direcciones (ARP) traduce una dirección lógica, como
una dirección IP, a un
Dirección MAC física. El protocolo de resolución de dirección inversa (RARP) traduce
un
Dirección MAC a una dirección lógica.
84
El Protocolo de configuración dinámica de host (DHCP) es un protocolo de
administración de red utilizado para
Asigna dinámicamente direcciones IP a dispositivos que no tienen una asignación
estática (manualmente
configurado) dirección IP en una red TCP / IP. BOOTP es un protocolo de
administración de red similar
que se usa comúnmente en redes UNIX y Linux TCP / IP. Cuando un dispositivo
conectado a la red
que no tiene una dirección IP asignada estáticamente está encendido, el software del
cliente DHCP está encendido
el dispositivo transmite un mensaje DHCPDISCOVER en el puerto UDP 67. Cuando un
servidor DHCP en el
misma subred (o una subred diferente si se ha configurado un DHCP Helper o DHCP
Relay Agent) como
el cliente recibe el mensaje DHCPDISCOVER, se reserva una dirección IP para el
cliente y envía un
Mensaje DHCPOFFER al cliente en el puerto UDP 68. El mensaje DHCPOFFER
contiene el MAC
dirección del cliente, la dirección IP que se ofrece, la máscara de subred, la duración del
arrendamiento,
y la dirección IP del servidor DHCP que realizó la oferta. Cuando el cliente recibe el
DHCPOFFER, emite un mensaje DHCPREQUEST en el puerto UDP 67, solicitando la
dirección IP
eso fue ofrecido. Un cliente puede recibir mensajes DHCPOFFER de múltiples
servidores DHCP en un
subred, pero solo puede aceptar una oferta. Cuando se transmite el mensaje
DHCPREQUEST, el
otros servidores DHCP que enviaron una oferta que no fue solicitada (en efecto,
aceptada) en el
El mensaje DHCPREQUEST retirará sus ofertas. Finalmente, cuando el servidor DHCP
correcto
recibe el mensaje DHCPREQUEST, envía un mensaje DHCPACK (reconocimiento) en
UDP
puerto 68 y se completa el proceso de configuración de IP (consulte la Figura 2-1).
Figura 2-1: operación de DHCP
Page 85
La traducción de direcciones de red (NAT) virtualiza las direcciones IP mediante el
mapeo de IP privada, no enrutable
direcciones (discutidas en la Sección 2.2.1) que se asignan a dispositivos de red internos
a IP pública
direcciones cuando se requiere comunicación a través de Internet. NAT se implementa
comúnmente
en firewalls y enrutadores para conservar las direcciones IP públicas.
Términos clave
Una dirección de control de acceso a medios (MAC) es un identificador único de 48 o
64 bits.
asignado a un controlador de interfaz de red (NIC) para comunicaciones en los datos
Capa de enlace del modelo OSI (discutido en la Sección 2.3.1).
El Protocolo de configuración dinámica de host (DHCP) es una gestión de red
protocolo que asigna dinámicamente (alquila) direcciones IP y otras redes
parámetros de configuración (como la puerta de enlace predeterminada y el Sistema de
nombres de dominio
[DNS] información) a dispositivos en una red.
Una puerta de enlace predeterminada es un dispositivo de red, como un enrutador o
conmutador, al que
el punto final envía tráfico de red cuando una dirección IP de destino específica no es
especificado por una aplicación o servicio, o cuando el punto final no sabe cómo
para llegar a un destino específico.
El Sistema de nombres de dominio (DNS) es un servicio de directorio jerárquico
descentralizado.
que asigna direcciones IP a nombres de dominio para computadoras, servidores y otros
recursos en una red e internet. DNS es análogo a una guía telefónica para
La Internet.
Un octeto es un grupo de 8 bits en una dirección IPv4 de 32 bits.
Un hextet es un grupo de cuatro dígitos hexadecimales de 4 bits en una dirección IPv6
de 128 bits.
El Protocolo de resolución de direcciones (ARP) traduce una dirección lógica, como
una IP
dirección, a una dirección MAC física. El protocolo de resolución de dirección inversa
(RARP) traduce una dirección MAC física a una dirección lógica.
La traducción de direcciones de red (NAT) virtualiza las direcciones IP mediante el
mapeo privado,
direcciones IP no enrutables asignadas a dispositivos de red internos a IP pública
direcciones.
86
2.2.1 Conceptos básicos de direccionamiento IP
Los paquetes de datos se enrutan a través de un Protocolo de Control de Transmisión /
Protocolo de Internet (TCP / IP)
red utilizando información de direccionamiento IP. IPv4, que es la versión de IP más
implementada,
consiste en una dirección IP lógica de 32 bits. Los primeros cuatro bits en un octeto se
conocen como orden superior.
bits (el primer bit en el octeto se conoce como el bit más significativo ); los últimos
cuatro bits en un
el octeto se conoce como los bits de orden inferior (el último bit en el octeto se conoce
como el menor
bit significativo ).
Cada posición de bit representa su valor (consulte la Tabla 2-2) si el bit está "activado"
(1); de lo contrario, el bit es
el valor es cero ("apagado" o 0).
Tabla 2-2: Valores de posición de bit en una dirección IPv4
Bits de alto orden
Bits de bajo orden
128
64
32
dieciséis
8
44
2
1
Términos clave
Los primeros cuatro bits en un octeto de dirección IPv4 de 32 bits se denominan de alto
orden
bits
Los últimos cuatro bits en un octeto de dirección IPv4 de 32 bits se denominan de bajo
orden
bits
El primer bit en un octeto de dirección IPv4 de 32 bits se conoce como el más
significativo
poco.
El último bit en un octeto de dirección IPv4 de 32 bits se conoce como el bit menos
significativo .
Page 87
Cada octeto contiene un número de 8 bits con un valor de 0 a 255. La tabla 2-3 muestra
una lista parcial de
valores de octeto en notación binaria.
Tabla 2-3: Notación binaria de valores de octeto
Decimal Binario Decimal Binario Decimal Binario Decimal Binario
255 1111 1111 200 1100 1000 128 1000 0000
8
0000 1000
254 1111 1110192 1100 0000120 0111 1000
77
0000 0111
253 1111 1101 180 1011 0100 110 0110 1110
66
0000 0110
252 1111 1100 172 1010 1100 100 0110 0100
55
0000 0101
251 1111 1011 170 1010 1010
96
0110 0000
44
0000 0100
250 1111 1010 160 1010 0000
90
0101 1010
3
0000 0011
249 1111 1001 150 1001 0110
64
0100 0000
2
0000 0010
248 1111 1000140 1000 1100
32
0010 0000
1
0000 0001
224 1110 0000130 1000 0010
dieciséis
0001 0000
00
0000 0000
Las cinco clases diferentes de direcciones IPv4 (indicadas por los bits de orden
superior) se muestran en la Tabla 2-4.
Tabla 2-4: Clases de direcciones IP
Clase
Propósito
Bits de orden superior Rango de direcciones Máx. # de hosts
UNA
Grandes redes
00
1 a 126
16.777.214
si
Talla mediana
redes
10
128 a 191
65,534
C
Redes pequeñas
110
192 a 223
254
re
Multidifusión
1110
224 a 239
─
mi
Experimental
1111
240 a 254
─
El rango de direcciones 127.0.0.1 a 127.255.255.255 es una red de bucle invertido
utilizada para pruebas y
solución de problemas. Los paquetes enviados a una dirección de bucle invertido (o
localhost), como 127.0.0.1, son
inmediatamente enrutado de nuevo al dispositivo fuente.
Page 88
Una máscara de subred es un número que oculta la parte de red de una dirección IPv4,
dejando solo el
porción de host de la dirección IP. La porción de red de una máscara de subred está
representada por
bits "on" (1) contiguos que comienzan con el bit más significativo. Por ejemplo, en la
subred
máscara 255.255.255.0, los primeros tres octetos representan la porción de red y el
último octeto
representa la parte del host de una dirección IP. Recordemos que el número decimal 255
está representado
en notación binaria como 1111 1111 (consulte la Tabla 2-2).
Las máscaras de subred predeterminadas (o estándar) para las redes de clase A, B y C
son:
Clase A: 255.0.0.0
Clase B: 255.255.0.0
Clase C: 255.255.255.0
Varios rangos de direcciones IPv4 están reservados para su uso en redes privadas y no
son enrutables en
Internet, que incluye:
10.0.0.0–10.255.255.255 (Clase A)
172.16.0.0–172.31.255.255 (Clase B)
192.168.0.0–192.168.255.255 (Clase C)
El espacio de direcciones de 32 bits de una dirección IPv4 limita el número total de IP
públicas únicas
se dirige a unos 4,3 mil millones. El uso generalizado de NAT (discutido en la Sección
2.2) retrasó el
agotamiento inevitable de las direcciones IPv4 pero, a partir de 2018, el conjunto de
direcciones IPv4 disponibles que
se puede asignar a organizaciones que se ha agotado oficialmente (un pequeño grupo de
direcciones IPv4 tiene
ha sido reservado por cada registro regional de internet para facilitar la transición a
IPv6). IPv6
direcciones, que utilizan un espacio de direcciones hexadecimales de 128 bits que
proporciona aproximadamente 3,4 x 10 38 (340
cien undecillion) direcciones IP únicas, se creó para reemplazar IPv4 cuando la
dirección IPv4
El espacio estaba agotado.
Las direcciones IPv6 consisten en 32 números hexadecimales agrupados en ocho
hextetos de cuatro
dígitos hexadecimales, separados por dos puntos. Un dígito hexadecimal está
representado por 4 bits (consulte
Términos clave
Una máscara de subred es un número que oculta la porción de red de una dirección
IPv4,
dejando solo la parte del host de la dirección IP.
Page 89
Tabla 2-1), por lo que cada hexteto tiene 16 bits (cuatro dígitos hexadecimales de 4 bits)
y ocho hextetos de 16 bits
es igual a 128 bits.
Una dirección IPv6 se divide en dos segmentos de 64 bits: el primero (también
denominado
"Superior" o "superior") 64 bits representan la parte de red de la dirección, y el último
(también referido
como "inferior" o "inferior") 64 bits representan el nodo o la parte de interfaz de la
dirección. los
La parte de red se subdivide en una dirección de red global de 48 bits y una subred de
16 bits. los
la parte del nodo o interfaz de la dirección se basa en la dirección MAC (discutida en la
Sección 2.2) de
el nodo o la interfaz
El formato básico para una dirección IPv6 es:
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx
donde x representa un dígito hexadecimal (0 – f).
Este es un ejemplo de una dirección IPv6:
2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a
El IETF ha definido varias reglas para simplificar una dirección IPv6:
Se pueden omitir los ceros iniciales en un hextet individual, pero cada hextet debe tener
menos un dígito hexadecimal, excepto como se indica en la siguiente regla. Aplicando
esta regla a la
El ejemplo anterior arroja este resultado: 2001: db8: 0: 0: 8: 800: 200c: 417a.
Se pueden usar dos puntos (: :) para representar uno o más grupos de 16 bits de ceros, y
ceros iniciales o finales en una dirección; :: puede aparecer solo una vez en una
dirección IPv6.
La aplicación de esta regla al ejemplo anterior produce este resultado: 2001: db8 :: 8:
800: 200c: 417a.
En entornos mixtos de IPv4 e IPv6, se puede usar la forma x: x: x: x: x; x: dddd, en la
que x
representa los seis hextetos de 16 bits de alto orden de la dirección yd representa los
cuatro
octetos de 8 bits de bajo orden (en notación IPv4 estándar) de la dirección. Por ejemplo,
0db8: 0: 0: 0: 0: FFFF: 129.144.52.38 es una dirección IPv6 válida. Aplicación de los
dos anteriores.
Las reglas para este ejemplo arrojan este resultado: db8 :: ffff: 129.144.52.38.
Las características de seguridad de IPv6 se especifican en la Solicitud de comentarios
(RFC) 7112 e incluyen
Técnicas para prevenir las vulnerabilidades de fragmentación en los encabezados IPv6 y
la implementación de Internet
Protocolo de seguridad (IPsec, discutido en la Sección 2.6.4) en la capa de red del
modelo OSI
(discutido en la Sección 2.3.1).
Página 90
2.2.2 Introducción a las subredes
La división en subredes es una técnica utilizada para dividir una red grande en subredes
múltiples más pequeñas por
segmentar una dirección IP en dos partes: la red y el host. Las subredes se pueden usar
para
limitar el tráfico de red o limitar el número de dispositivos que son visibles o pueden
conectarse a cada uno
otro. Los enrutadores examinan las direcciones IP y los valores de subred (llamados
máscaras) y determinan si
para reenviar paquetes entre redes. Con el direccionamiento IP, se requiere la máscara
de subred
elemento.
Para una dirección IPv4 de Clase C, hay 254 posibles direcciones de nodo (o host) (2 8 o
256 potenciales
direcciones, pero pierde dos direcciones para cada red: una para la dirección de red base
y
el otro para la dirección de transmisión). Una red típica de clase C usa una subred
predeterminada de 24 bits
máscara (255.255.255.0). Este valor de máscara de subred identifica la porción de red
de una dirección IPv4
con los primeros tres octetos siendo todos unos (11111111 en notación binaria, 255 en
notación decimal).
La máscara muestra el último octeto como cero (00000000 en notación binaria). Para
una clase C IPv4
dirección con la máscara de subred predeterminada, el último octeto es donde los
valores específicos del nodo de la
Se asignan direcciones IPv4.
Por ejemplo, en una red con una dirección IPv4 de 192.168.1.0 y un valor de máscara
de
255.255.255.0, la porción de red de la dirección es 192.168.1 y hay 254 nodos
direcciones (192.168.1.1 a 192.168.1.254) disponibles. Recuerda, la primera dirección
(192.168.1.0) es la red base y la última dirección (192.168.1.255) es la dirección de
transmisión.
Las direcciones IPv4 de Clase A y Clase B utilizan valores de máscara más pequeños y
admiten un mayor número de
nodos que las direcciones de Clase C IPv4 para sus asignaciones de direcciones
predeterminadas. Las redes de clase A utilizan un
máscara de subred predeterminada de 8 bits (255.0.0.0), que proporciona un total de
más de 16 millones (256 x 256
x 256) direcciones de nodo IPv4 disponibles. Las redes de clase B utilizan una subred
predeterminada de 16 bits (255.255.0.0)
máscara, que proporciona un total de 65.534 (256x256, menos la dirección de red y la
transmisión
dirección) direcciones de nodo IPv4 disponibles.
A diferencia de las subredes, que divide una dirección IPv4 a lo largo de una clase
arbitraria (predeterminada) de 8 bits
límite (8 bits para una red de clase A, 16 bits para una red de clase B, 24 bits para una
clase C
red), el enrutamiento entre dominios sin clase (CIDR) asigna espacio de direcciones en
cualquier bit de dirección
Términos clave
La división en subredes es una técnica utilizada para dividir una red grande en múltiples
más pequeñas
subredes.
Page 91
límite (conocido como enmascaramiento de subred de longitud variable o VLSM). Por
ejemplo, usando CIDR, una clase
A una red se le podría asignar una máscara de 24 bits (255.255.255.0, en lugar de la
predeterminada de 8 bits
255.0.0.0 máscara) para limitar la subred a solo 254 direcciones, o una máscara de 23
bits (255.255.254.0) a
Limite la subred a 512 direcciones.
CIDR se utiliza para reducir el tamaño de las tablas de enrutamiento en los enrutadores
de Internet agregando múltiples
prefijos de red contiguos (conocidos como superredes ) y también ayudaron a frenar el
agotamiento de
direcciones IPv4 públicas (discutidas en la Sección 2.2.1).
Una dirección IP se puede representar con su valor de máscara de subred, utilizando la
notación "netbit" o CIDR. UNA
El valor de netbit representa el número de unidades en la máscara de subred y se
muestra después de una IP
dirección, separada por una barra diagonal. Por ejemplo, 192.168.1.0/24 representa una
máscara de subred
que consta de 24 unos:
11111111.11111111.11111111.00000000 (en notación binaria)
o
255.255.255.0 (en notación decimal)
Términos clave
El enrutamiento entre dominios sin clase (CIDR) es un método para asignar direcciones
IP y
Enrutamiento IP que reemplaza el direccionamiento IP con clase (por ejemplo, Clase A,
ByC
redes) con direccionamiento IP sin clase.
El enmascaramiento de subred de longitud variable (VLSM) es una técnica que permite
la dirección IP
espacios para ser divididos en diferentes tamaños.
La superredes agrega múltiples redes contiguas más pequeñas en una más grande
red para permitir un enrutamiento de Internet más eficiente.
Página 92
2.3 Encapsulación de paquetes y ciclo de vida
En una red con conmutación de circuitos, se establece, mantiene y mantiene una ruta de
circuito físico dedicada.
terminado entre el emisor y el receptor a través de una red para cada comunicación
sesión. Antes del desarrollo de Internet, la mayoría de las redes de comunicaciones,
como
las redes de las compañías telefónicas fueron conmutadas por circuito. Como se discutió
en la Sección 2.1.1, internet
es una red de paquetes conmutados que comprende cientos de millones de enrutadores y
miles de millones de servidores
y puntos finales de usuario. En una red de paquetes conmutados, los dispositivos
comparten el ancho de banda en
enlaces de comunicaciones para transportar paquetes entre un remitente y un receptor a
través de una red.
Este tipo de red es más resistente al error y la congestión que las redes con conmutación
de circuitos .
1. Opción múltiple. ¿Qué opción es un ejemplo de una dirección lógica? (Escoger
uno.)
a) dirección IP
b) dirección de hardware
c) dirección MAC
d) dirección quemada
2. Complete el espacio en blanco. Una dirección IPv4 consta de cuatro
octetos de bits.
3. Complete el espacio en blanco.
es una técnica utilizada para dividir un gran
red en subredes múltiples más pequeñas segmentando una dirección IPv4
en una porción de red y host.
Términos clave
En una red con conmutación de circuitos, se establece una ruta de circuito físico
dedicada,
mantenido y terminado entre el emisor y el receptor a través de una red
para cada sesión de comunicación.
En una red de paquetes conmutados , los dispositivos comparten el ancho de banda en
los enlaces de comunicaciones
para transportar paquetes entre un remitente y un receptor a través de una red.
Página 93
Una aplicación que necesita enviar datos a través de la red, por ejemplo, de un servidor
a un
La computadora cliente primero crea un bloque de datos y lo envía a la pila TCP en el
servidor. El TCP
stack coloca el bloque de datos en un búfer de salida en el servidor y determina el
Máximo
Tamaño de segmento (MSS) de bloques TCP individuales (segmentos) permitidos por
el servidor operativo
sistema. La pila TCP luego divide los bloques de datos en segmentos de tamaño
apropiado (para
ejemplo, 1460 bytes), agrega un encabezado TCP y envía el segmento a la pila IP en el
servidor.
La pila IP agrega direcciones IP de origen (remitente) y de destino (receptor) al
segmento TCP
(que ahora se llama paquete IP) y notifica al sistema operativo del servidor que tiene un
mensaje saliente que está listo para enviarse a través de la red. Cuando el servidor opera
el sistema está listo, el paquete IP se envía a la tarjeta de interfaz de red (NIC), que
convierte la IP
paquete a bits y envía el mensaje a través de la red.
En su camino hacia la computadora de destino, los paquetes generalmente atraviesan
varias redes y
dispositivos de seguridad como conmutadores, enrutadores y firewalls antes de llegar al
destino
computadora, donde se invierte el proceso de encapsulación descrito.
2.3.1 Los modelos OSI y TCP / IP
La interconexión de sistemas abiertos (OSI) y el Protocolo de control de transmisión /
Protocolo de Internet
Los modelos (TCP / IP) definen protocolos estándar para la comunicación de red y la
interoperabilidad.
Usando un enfoque por capas, los modelos OSI y TCP / IP:
Aclarar las funciones generales de los procesos de comunicación.
Reduzca los procesos de red complejos en subcapas y componentes más simples.
Promueva la interoperabilidad a través de interfaces estándar
Permita que los proveedores cambien características individuales en una sola capa en
lugar de reconstruir
pila de protocolos completa
Facilitar la solución lógica de problemas
Definido por la Organización Internacional de Normalización (ISO, no un acrónimo,
sino el
adoptó el nombre de la organización del idioma griego, que significa "igual"), el modelo
OSI
consta de siete capas:
Aplicación (Capa 7 o L7). Esta capa identifica y establece la disponibilidad de
socios de comunicación, determina la disponibilidad de recursos y sincroniza
comunicación. Los protocolos que funcionan en la capa de aplicación incluyen:
Page 94
Protocolo de transferencia de archivos (FTP). Se usa para copiar archivos de un
sistema a otro en TCP
puertos 20 (el puerto de datos) y 21 (el puerto de control)
Protocolo de transferencia de hipertexto (HTTP). Se utiliza para la comunicación entre
servidores web.
y navegadores web en el puerto TCP 80
Protocolo de transferencia de hipertexto seguro (HTTPS). Utilizado para enchufes
seguros
Layer / Transport Layer Security (SSL / TLS) comunicaciones cifradas entre la web
servidores y navegadores web en el puerto TCP 443 (y otros puertos, como 8443)
Protocolo de acceso a mensajes de Internet (IMAP). Un correo electrónico de almacenar
y reenviar
protocolo que permite que un cliente de correo electrónico acceda, administre y
sincronice el correo electrónico en un
servidor de correo remoto en el puerto TCP y UDP 143
Protocolo de oficina de correos versión 3 (POP3). Un protocolo de recuperación de
correo electrónico que permite un
cliente de correo electrónico para acceder al correo electrónico en un servidor de correo
remoto en el puerto TCP 110
Protocolo simple de transferencia de correo (SMTP). Se utiliza para enviar y recibir
correos electrónicos a través de
Internet en el puerto TCP / UDP 25
Protocolo simple de administración de red (SNMP). Se utiliza para recopilar
información de la red.
por mesas electorales y enviando trampas (o alertas) a una estación de administración en
Puertos TCP / UDP 161 (agente) y 162 (administrador)
Telnet Proporciona emulación de terminal para acceso remoto a recursos del sistema en
TCP / UDP puerto 23
Presentación (Capa 6 o L6). Esta capa proporciona funciones de codificación y
conversión (como
como representación de datos, conversión de caracteres, compresión de datos y cifrado
de datos) a
asegúrese de que los datos enviados desde la capa de aplicación de un sistema sean
compatibles con
Capa de aplicación del sistema receptor. Protocolos que funcionan en la Presentación
capa incluye:
Código Estándar Americano para el Intercambio de Información (ASCII). Una
codificación de caracteres
esquema basado en el alfabeto inglés, que consta de 128 caracteres
Código de intercambio decimal con código binario extendido (EBCDIC). Un
personaje de 8 bits
esquema de codificación ampliamente utilizado en computadoras mainframe y de rango
medio
Formato de intercambio de gráficos (GIF). Un formato de imagen de mapa de bits
que permite hasta 256
colores y es adecuado para imágenes o logotipos (pero no fotografías)
Page 95
Grupo Conjunto de Expertos en Fotografía (JPEG). Un método de compresión
fotográfica.
utilizado para almacenar y transmitir fotografías
Motion Picture Experts Group (MPEG). Un método de compresión de audio y video.
utilizado para almacenar y transmitir archivos de audio y video
Sesión (Capa 5 o L5). Esta capa gestiona sesiones de comunicación (solicitudes de
servicio
y respuestas de servicio) entre sistemas en red, incluida la conexión
establecimiento, transferencia de datos y liberación de conexión. Protocolos que
funcionan en el
La capa de sesión incluye:
Sistema de archivos de red (NFS). Facilita el acceso transparente de los usuarios a los
recursos remotos.
en una red TCP / IP basada en UNIX
llamada a procedimiento remoto (RPC). Un protocolo de redirección de red cliente-
servidor
Secure Shell (SSH). Establece un túnel cifrado entre un cliente y un servidor.
Protocolo de inicio de sesión (SIP). Un protocolo de señalización abierto estándar para
establecer, gestionar y finalizar comunicaciones en tiempo real, como voz,
video y texto: a través de grandes redes basadas en IP
Transporte (Capa 4 o L4). Esta capa proporciona transporte de datos transparente y
confiable y
Control de transmisión de extremo a extremo. Las funciones específicas de la capa de
transporte incluyen:
Control de flujo (gestión de la transmisión de datos entre dispositivos garantizando que
el dispositivo transmisor no envía más datos de los que puede procesar el dispositivo
receptor)
Multiplexación (permitiendo que los datos de múltiples aplicaciones sean
simultáneamente
transmitido a través de un solo enlace físico)
Gestión de circuito virtual (establecimiento, mantenimiento y finalización de virtual
circuitos)
Comprobación y recuperación de errores (detectar errores de transmisión y tomar
medidas para
resolver cualquier error que ocurra, como solicitar que los datos se retransmitan)
Los números de puerto TCP y UDP asignados a aplicaciones y servicios se definen en
Capa de transporte. Los protocolos que funcionan en la capa de transporte incluyen:
Protocolo de control de transmisión (TCP). Una conexión orientada (una conexión
directa
entre dispositivos de red se establece antes de que se transfieran los segmentos de datos)
protocolo que proporciona una entrega confiable (los segmentos recibidos son
reconocidos y
Page 96
se solicita la retransmisión de segmentos faltantes o dañados) de datos. TCP
Las conexiones se establecen mediante un apretón de manos de tres vías. La sobrecarga
adicional
asociado con el establecimiento de la conexión, el reconocimiento y la corrección de
errores
significa que TCP es generalmente más lento que los protocolos sin conexión, como el
Usuario
Protocolo de datagramas (UDP).
Protocolo de datagramas de usuario (UDP). Un sin conexión (una conexión directa
entre
los dispositivos de red no se establecen antes de transferir los datagramas) protocolo que
proporciona la entrega de mejor esfuerzo (los datagramas recibidos no se reconocen y
faltan
o no se solicitan datagramas corruptos) de datos. UDP no tiene sobrecarga asociada
con establecimiento de conexión, acuse de recibo, secuenciación o verificación de
errores y
recuperación. UDP es ideal para datos que requieren una entrega rápida, siempre que
esos datos no sean
sensible a la pérdida de paquetes y no necesita fragmentarse. Aplicaciones que usan
UDP incluye Sistema de nombres de dominio (DNS), Protocolo simple de
administración de red
(SNMP) y transmisión de audio o video.
Protocolo de transmisión de control de flujo (SCTP). Un protocolo orientado a
mensajes (similar
a UDP) que garantiza un transporte confiable en secuencia con control de congestión
(similar
a TCP)
Red (Capa 3 o L3). Esta capa proporciona enrutamiento y funciones relacionadas que
permiten
datos para ser transportados entre sistemas en la misma red o en interconectados
redes. Los protocolos de enrutamiento (discutidos en la Sección 2.1.3) se definen en
esta capa. Lógico
el direccionamiento de dispositivos en la red se logra en esta capa usando enrutado
protocolos como el Protocolo de Internet (IP). Los enrutadores operan en la capa de red
del
Modelo OSI.
Enlace de datos (capa 2). Esta capa garantiza que los mensajes se entreguen al
dispositivo adecuado.
a través de un enlace de red física. Esta capa también define el protocolo de red (para
ejemplo, Ethernet) utilizado para enviar y recibir datos entre dispositivos individuales y
formatea mensajes de las capas superiores en cuadros para su transmisión, maneja punto
a
sincronización de puntos y control de errores, y puede realizar cifrado de enlaces.
Interruptores
normalmente operan en la capa 2 del modelo OSI (aunque los conmutadores multicapa
que funcionan
en diferentes capas también existen). La capa de enlace de datos se divide en dos
subcapas:
Control de enlace lógico (LLC). La subcapa LLC proporciona una interfaz para el
MAC
subcapa gestiona el control, la secuencia y el reconocimiento de tramas siendo
pasado a la capa de red o abajo a la capa física; y maneja el tiempo
y control de flujo .
Page 97
Control de acceso a medios (MAC). La subcapa MAC es responsable de enmarcar y
realiza el control de errores utilizando una verificación de redundancia cíclica (CRC),
identifica MAC
direcciones (discutidas en la Sección 2.2) y controla el acceso a los medios.
Física (Capa 1 o L1). Esta capa envía y recibe bits a través del medio de la red.
(cableado o enlaces inalámbricos) de un dispositivo a otro. Especifica el eléctrico,
requisitos mecánicos y funcionales de la red, incluida la topología de la red,
cableado y conectores, y tipos de interfaz, y el proceso para convertir bits a
señales eléctricas (o luminosas) que pueden transmitirse a través del medio físico.
El modelo TCP / IP fue desarrollado originalmente por el Departamento de Defensa de
los Estados Unidos (DoD) y
en realidad precedió al modelo OSI. Mientras que el modelo OSI es un modelo teórico
utilizado para
describe lógicamente los procesos de red, el modelo TCP / IP define la red real
Términos clave
Un segmento TCP es una unidad de datos de protocolo (PDU) definida en la capa de
transporte del
Modelo OSI.
Una unidad de datos de protocolo (PDU) es una unidad de datos autónoma (que consta
de datos de usuario
o información de control y direccionamiento de red).
En TCP, se utiliza un protocolo de enlace de tres vías para establecer una conexión. Por
ejemplo, un
La PC inicia una conexión con un servidor enviando un TCP SYN (Sincronizar)
paquete. El servidor responde con un paquete SYN ACK (Sincronizar
Reconocimiento). Finalmente, la PC envía un paquete ACK o SYN-ACK-ACK,
acuse de recibo del servidor y comunicación de datos
comienza
Un datagrama UDP es una PDU definida en la capa de transporte del modelo OSI.
El control de flujo supervisa el flujo de datos entre dispositivos para garantizar que un
dispositivo receptor, que no necesariamente funciona a la misma velocidad que
el dispositivo transmisor no deja caer paquetes.
Una verificación de redundancia cíclica (CRC) es una suma de verificación utilizada
para crear un perfil de mensaje.
El CRC es recalculado por el dispositivo receptor. Si el CRC recalculado no lo hace
coincide con el CRC recibido, el paquete se descarta y una solicitud para reenviar el
el paquete se transmite de vuelta al dispositivo que envió el paquete.
98
requisitos, por ejemplo, para la construcción del marco. El modelo TCP / IP consta de
cuatro capas.
(ver Figura 2-2):
Aplicación (Capa 4 o L4). Esta capa consta de aplicaciones y procesos de red,
y corresponde libremente a las capas 5 a 7 del modelo OSI.
Transporte (Capa 3 o L3). Esta capa proporciona entrega de extremo a extremo y
corresponde a
Capa 4 del modelo OSI.
Internet (capa 2 o L2). Esta capa define el datagrama IP y el enrutamiento, y
corresponde a la capa 3 del modelo OSI.
Acceso a la red (Capa 1 o L1). También denominada capa de enlace, esta capa
contiene
rutinas para acceder a redes físicas y corresponde a las capas 1 y 2 del OSI
modelo.
Figura 2-2: El modelo OSI y el modelo TCP / IP
Page 99
2.3.2 Encapsulación de datos
En los modelos OSI y TCP / IP, los datos se pasan desde la capa más alta (L7 en el
modelo OSI, L4 en
el modelo TCP / IP) hacia abajo a través de cada capa hasta la capa más baja (L1 en el
modelo OSI y
Modelo TCP / IP), y luego se transmite a través del medio de red al nodo de destino,
donde se pasa hacia arriba desde la capa más baja a la capa más alta. Cada capa se
comunica
solo con la capa adyacente inmediatamente encima y debajo de ella. Esta comunicación
se logra
a través de un proceso conocido como encapsulación de datos (u ocultación de datos ),
que envuelve el protocolo
información de la capa inmediatamente superior en la sección de datos de la capa
inmediatamente
abajo.
Una unidad de datos de protocolo (PDU) describe una unidad de datos en una capa
particular de un protocolo. por
Por ejemplo, en el modelo OSI, una PDU de capa 1 se conoce como bit, una PDU de
capa 2 se conoce como trama,
una PDU de capa 3 se conoce como paquete, y una PDU de capa 4 se conoce como
segmento o datagrama.
Cuando una aplicación cliente o servidor envía datos a través de una red, un encabezado
(y un avance en el
caso de tramas de capa 2) se agrega a cada paquete de datos desde la capa adyacente
debajo de ella
pasa a través de la pila de protocolos. En el extremo receptor, se eliminan los
encabezados (y trailers)
de cada paquete de datos a medida que pasa a través de la pila de protocolos a la
aplicación receptora.
Términos clave
La encapsulación de datos (u ocultación de datos ) envuelve la información del
protocolo del (OSI o
TCP / IP) capa inmediatamente superior en la sección de datos de la capa siguiente.
Página 100
2.4 Modelos de seguridad de red
Esta sección describe los modelos de seguridad de red basados en perímetro y Zero
Trust.
1. Opción múltiple. El modelo OSI consta de cuántas capas? (Elige uno.)
a) cuatro
b) seis
c) siete
d) nueve
2. Opción múltiple. ¿Qué dos protocolos funcionan en la capa de transporte de la
Modelo OSI? (Escoge dos).
a) Protocolo de control de transmisión (TCP)
b) Protocolo de Internet (IP)
c) Protocolo de datagramas de usuario (UDP)
d) Protocolo de transferencia de hipertexto (HTTP)
3. Complete el espacio en blanco. La capa de enlace de datos del modelo OSI se divide
además en
estas dos subcapas:
y
.
4. Opción múltiple. ¿Qué cuatro capas comprenden el modelo TCP / IP? (Escoger
cuatro.)
a) Solicitud
b) transporte
c) física
d) Internet
e) Acceso a la red
5. Complete el espacio en blanco. El proceso que envuelve la información del
protocolo del (OSI
o TCP / IP) capa inmediatamente superior en la sección de datos de la capa
inmediatamente debajo se conoce como
.
Page 101
2.4.1 Estrategia de seguridad de red basada en el perímetro.
Los modelos de seguridad de red basados en el perímetro se remontan a la era temprana
de mainframe (aproximadamente tarde
1950), cuando las grandes computadoras centrales se ubicaron en "salas de máquinas"
físicamente seguras
a eso solo puede acceder un número relativamente limitado de entrada de trabajo remoto
(RJE) "tonto"
terminales que se conectaron directamente a la unidad central y también se ubicaron en
un lugar físicamente seguro
zonas Los centros de datos actuales son el equivalente moderno de las salas de
máquinas, pero están basados en el perímetro.
la seguridad física ya no es suficiente por varias razones obvias, pero importantes:
Las computadoras mainframe son anteriores a internet. De hecho, las computadoras
mainframe son anteriores a
ARPANET, que es anterior a internet. Hoy, un atacante usa internet para
obtener acceso, en lugar de violar físicamente el perímetro del centro de datos.
Hoy en día, millones de dispositivos de punto final remoto acceden de forma remota a
los centros de datos desde
en cualquier lugar y en cualquier momento. A diferencia de los RJEs de la era del
mainframe, los puntos finales modernos
(incluidos los dispositivos móviles) son mucho más potentes que muchos de los
primeros mainframe
computadoras y son objetivos en sí mismos.
El valor principal de la computadora central era su poder de procesamiento. El
relativamente
Los datos limitados que se producían generalmente se almacenaban en medios cercanos
a la línea, como la cinta.
Hoy en día, los datos son el objetivo, se almacenan en línea en centros de datos y en la
nube, y es un
objetivo de alto valor para cualquier atacante.
El problema principal con una estrategia de seguridad de red basada en el perímetro en
la que las contramedidas
se implementan en un puñado de puntos de entrada y salida bien definidos a la red es
que
se basa en la suposición de que se puede confiar en todo en la red interna. Sin embargo,
esto
La suposición ya no es segura, dadas las condiciones comerciales modernas y la
informática
ambientes donde:
Los empleados remotos, los usuarios móviles y las soluciones de computación en la
nube difuminan
entre "interno" y "externo".
Tecnologías inalámbricas, la proliferación de conexiones de socios y la necesidad de
soporte
los usuarios invitados introducen innumerables vías adicionales en las sucursales de la
red
que pueden estar ubicados en países o regiones no confiables.
Los iniciados, ya sean intencionalmente maliciosos o simplemente descuidados, pueden
presentar una muy real
trato de Seguridad.
Las estrategias de enfoque basadas en el perímetro no tienen en cuenta:
Page 102
El potencial de las ciberamenazas sofisticadas para penetrar las defensas perimetrales,
en las que
caso tendrían paso libre en la red interna
Escenarios donde usuarios malintencionados pueden obtener acceso a la red interna y
sensibles
recursos utilizando las credenciales robadas de usuarios confiables
La realidad de que las redes internas rara vez son homogéneas, sino que incluyen
bolsillos
de usuarios y recursos con niveles inherentemente diferentes de confianza / sensibilidad
que deberían
idealmente estar separado en cualquier evento (por ejemplo, investigación y desarrollo y
financiero
sistemas versus servidores de impresión / archivos)
Un modelo de confianza roto no es el único problema con los enfoques de red centrados
en el perímetro
seguridad. Otro factor que contribuye es que los dispositivos y tecnologías de seguridad
tradicionales (como
como cortafuegos basados en puertos) comúnmente utilizados para construir perímetros
de red dejan demasiados elementos no deseados
tráfico a través. Las deficiencias típicas a este respecto incluyen la incapacidad de:
Definitivamente distinguir las buenas aplicaciones de las malas (lo que lleva a
excesivamente
configuración de control de acceso permisivo)
Tener en cuenta adecuadamente el tráfico de aplicaciones cifradas
Identifique y controle con precisión a los usuarios (independientemente de dónde se
encuentren o cuáles
dispositivos que están usando)
Filtra el tráfico permitido no solo para amenazas conocidas transmitidas por
aplicaciones, sino también para amenazas desconocidas
unos
El resultado neto es que rediseñando las defensas de una manera que crea una confianza
interna generalizada
los límites son, por sí mismos, insuficientes. También debe asegurarse de que los
dispositivos y tecnologías
utilizado para implementar estos límites en realidad proporcionan visibilidad, control y
amenaza
capacidades de inspección necesarias para habilitar de forma segura aplicaciones
comerciales esenciales mientras aún
frustrar el malware moderno, los ataques dirigidos y la exfiltración no autorizada de
información confidencial
datos.
2.4.2 Seguridad de confianza cero
Introducido por Forrester Research, el modelo de seguridad Zero Trust aborda algunos
de los
limitaciones de las estrategias de seguridad de red basadas en el perímetro al eliminar la
suposición de confianza
de la ecuación Con Zero Trust, las capacidades de seguridad esenciales se implementan
de una manera que
proporciona cumplimiento y protección de políticas para todos los usuarios,
dispositivos, aplicaciones, recursos de datos,
y el tráfico de comunicaciones entre ellos, independientemente de su ubicación.
Page 103
En particular, con Zero Trust no existe una confianza predeterminada para ninguna
entidad, incluidos usuarios, dispositivos,
aplicaciones y paquetes, independientemente de lo que sea y su ubicación en o en
relación con el
red empresarial. Verificación de que las entidades autorizadas siempre están haciendo
solo lo que son
permitido hacer también ya no es opcional en un modelo Zero Trust; Ahora es
obligatorio.
Las implicaciones para estos dos cambios son, respectivamente:
La necesidad de establecer límites de confianza que compartimenten efectivamente
diferentes
segmentos del entorno informático interno. La idea general es mover seguridad
funcionalidad más cercana a los diferentes bolsillos de recursos que requieren
protección. Esta
forma en que la seguridad siempre se puede hacer cumplir independientemente del
punto de origen del asociado
tráfico de comunicaciones
La necesidad de límites de confianza para hacer más que solo autorización inicial y
acceso
control de la aplicación. Para "verificar siempre" también se requiere un monitoreo
continuo y
inspección del tráfico de comunicaciones asociado para actividades subversivas (como
amenazas).
Los beneficios de implementar una red Zero Trust incluyen:
Eficacia claramente mejorada para mitigar la pérdida de datos con visibilidad y
habilitación segura
de aplicaciones, y detección y prevención de ciberamenazas
Mayor eficiencia para lograr y mantener el cumplimiento de la seguridad y la
privacidad.
mandatos, utilizando límites de confianza para segmentar aplicaciones, sistemas y datos
confidenciales
Capacidad mejorada para habilitar de manera segura iniciativas de TI transformadoras,
como la movilidad de los usuarios,
BYOD / BYOA, virtualización de infraestructura y computación en la nube
Costo total de propiedad (TCO) más bajo con una seguridad consolidada y totalmente
integrada
plataforma operativa, en lugar de una gran variedad de puntos de seguridad diseñados
especialmente
productos
2.4.2.1 Principios de diseño de Core Zero Trust
Los principios básicos de Zero Trust que definen los objetivos operativos de un Zero
Trust
la implementación incluye:
Asegúrese de acceder a todos los recursos de forma segura, independientemente de
su ubicación. Este principio
sugiere no solo la necesidad de múltiples límites de confianza sino también un mayor
uso de
Acceso seguro para la comunicación hacia o desde los recursos, incluso cuando las
sesiones están confinadas
a la red "interna". También significa garantizar que los únicos dispositivos que tienen
acceso a
Página 104
la red tiene el estado y la configuración correctos, tiene un cliente VPN aprobado y
códigos de acceso adecuados, y no están ejecutando malware.
Adopte una estrategia de privilegios mínimos y aplique estrictamente el control de
acceso. La meta es
minimizar el acceso permitido a los recursos como un medio para reducir las vías
disponibles para
malware y atacantes para obtener acceso no autorizado, y posteriormente propagarse
lateralmente y / o infiltrarse en datos sensibles.
Inspeccione y registre todo el tráfico. Este principio reitera la necesidad de "verificar
siempre" mientras que también
Reforzar que la protección adecuada requiere algo más que la estricta aplicación de
control de acceso. También se debe prestar atención cercana y continua a exactamente
qué
Las aplicaciones "permitidas" realmente están funcionando, y la única forma de lograr
estos objetivos es
para inspeccionar el contenido en busca de amenazas.
2.4.2.2 Arquitectura conceptual de confianza cero
Los componentes principales de una arquitectura conceptual Zero Trust (que se muestra
en la Figura 2-3) incluyen:
Plataforma de segmentación de confianza cero. Se hace referencia a la plataforma de
segmentación de confianza cero
como puerta de enlace de segmentación de red de Forrester Research. Es el componente
utilizado para
definir límites internos de confianza. Es decir, proporciona la mayor parte de la
seguridad.
funcionalidad necesaria para cumplir con los objetivos operativos de Zero Trust,
incluido el
habilidad para:
Habilite el acceso seguro a la red
Controle granularmente el flujo de tráfico hacia y desde los recursos
Monitorear continuamente las sesiones permitidas para cualquier actividad de amenaza
Términos clave
El principio de menor privilegio en la seguridad de la red requiere que solo el
Se otorgan los permisos o derechos de acceso necesarios para realizar una tarea
autorizada.
Page 105
Figura 2-3: Arquitectura conceptual de confianza cero
Aunque la Figura 2-3 muestra la Plataforma de Segmentación Cero Confianza como
una sola
componente en una sola ubicación física, en la práctica, debido al rendimiento,
escalabilidad y limitaciones físicas: es más probable que una implementación efectiva
implique
múltiples instancias distribuidas a través de la red de una organización. La solución
también es
designado como una "plataforma" para reflejar que es una agregación de múltiples
distintivos (y
potencialmente distribuidas) tecnologías de seguridad que operan como parte de una
amenaza holística
marco de protección para reducir la superficie de ataque y correlacionar información
sobre
amenazas que se encuentran.
Zonas de confianza. Forrester Research se refiere a una zona de confianza como micro
núcleo y perímetro
(MCAP) Una zona de confianza es un bolsillo distintivo de infraestructura donde los
recursos de los miembros
no solo operan en el mismo nivel de confianza sino que también comparten una
funcionalidad similar.
La funcionalidad, como protocolos y tipos de transacciones, debe compartirse porque es
necesario para minimizar realmente el número de vías permitidas dentro y fuera de un
determinado
zona y, a su vez, minimizar el potencial de información privilegiada maliciosa y otros
tipos de
amenazas para obtener acceso no autorizado a recursos sensibles.
Page 106
Los ejemplos de zonas de confianza que se muestran en la Figura 2-3 incluyen la zona
de usuario (o campus), un
zona inalámbrica para acceso de invitados, zona de datos del titular de la tarjeta, zonas
de base de datos y aplicaciones
para servicios de varios niveles y una zona para aplicaciones web públicas.
Recuerde también que una zona de confianza no pretende ser un "bolsillo de confianza"
donde
Los sistemas (y por lo tanto las amenazas) dentro de la zona pueden comunicarse
libremente y directamente
juntos. Para una implementación completa de Zero Trust, la red se configuraría
para garantizar que todo el tráfico de comunicaciones, incluido el tráfico entre
dispositivos en el
misma zona: está intermediada por la plataforma de segmentación Zero Trust
correspondiente.
Infraestructura de gestión. Las capacidades de gestión centralizada son cruciales para
permitiendo una administración eficiente y monitoreo continuo, particularmente para
implementaciones que involucran múltiples plataformas distribuidas de segmentación
de confianza cero. UNA
La red de adquisición de datos también proporciona una forma conveniente de
complementar a los nativos.
capacidades de monitoreo y análisis para una plataforma de segmentación de confianza
cero. Registros de sesión
que se han reenviado a una red de adquisición de datos pueden ser procesados por
cualquier
Número de herramientas y tecnologías de análisis fuera de banda destinadas, por
ejemplo, a
mejore la visibilidad de la red, detecte amenazas desconocidas o admita informes de
cumplimiento.
2.4.2.3 Criterios y capacidades de Key Zero Trust
El núcleo de cualquier arquitectura de seguridad de red Zero Trust es la Segmentación
Zero Trust
Plataforma, por lo que debe elegir la solución correcta. Criterios clave y capacidades a
considerar
al seleccionar una plataforma de segmentación de confianza cero, incluya:
Acceso seguro. Se proporciona conectividad IPsec segura y SSL VPN constante para
todos
empleados, socios, clientes e invitados donde sea que se encuentren (por ejemplo, en
oficinas remotas o sucursales, en la red local o por Internet). Políticas para
Determinar qué usuarios y dispositivos pueden acceder a aplicaciones y datos
confidenciales.
definido en función de la aplicación, el usuario, el contenido, el dispositivo y el estado
del dispositivo.
Inspección de todo el tráfico. La identificación de la aplicación identifica y clasifica
con precisión todos
tráfico, independientemente de los puertos y protocolos, y tácticas evasivas como salto
de puerto o
cifrado La identificación de la aplicación elimina los métodos que el malware puede
usar para ocultar
desde la detección y proporciona un contexto completo en aplicaciones, contenido
asociado,
y amenazas.
Control de acceso con menos privilegios. La combinación de aplicación, usuario y
contenido.
la identificación ofrece un modelo de control positivo que permite a las organizaciones
controlar
interacciones con recursos basados en una amplia gama de atributos relevantes para el
negocio,
incluyendo la aplicación específica y las funciones individuales que se utilizan, usuario
y grupo
Page 107
identidad y los tipos o datos específicos a los que se accede (como tarjeta de crédito o
Números de seguridad social). El resultado es un control de acceso verdaderamente
granular que permite de forma segura
Las aplicaciones correctas para los conjuntos correctos de usuarios, evitando
automáticamente
tráfico no deseado, no autorizado y potencialmente dañino por el acceso al
red.
Protección contra amenazas cibernéticas. Una combinación de antimalware,
prevención de intrusiones y
Las tecnologías de prevención de amenazas cibernéticas proporcionan protección
integral contra ambos
amenazas conocidas y desconocidas, incluidas amenazas en dispositivos móviles.
Soporte para un cerrado-
bucle, defensa altamente integrada también asegura que los dispositivos de aplicación
en línea y otros
Los componentes en el marco de protección contra amenazas se actualizan
automáticamente.
Cobertura para todos los dominios de seguridad. Los dispositivos virtuales y de
hardware establecen coherencia
y límites de confianza rentables en toda la red de una organización,
incluso en oficinas remotas o sucursales, para usuarios móviles, en el perímetro de
internet, en el
nube, en puntos de entrada en todo el centro de datos y para áreas individuales donde
sea
pueden existir
2.4.2.4 Implementación de un diseño de confianza cero
La implementación de un modelo de seguridad de red Zero Trust no requiere una
revisión importante de un
infraestructura de red y seguridad de la organización. Una arquitectura de diseño Zero
Trust puede ser
implementado de una manera que solo requiere modificaciones incrementales a la red
existente y
es completamente transparente para tus usuarios. Ventajas de tal flexibilidad, no
disruptiva
el enfoque de implementación incluye minimizar el impacto potencial en las
operaciones y poder
distribuir la inversión requerida y el esfuerzo laboral a lo largo del tiempo.
Para comenzar, puede configurar una plataforma de segmentación de confianza cero en
modo de solo escucha para
obtener una imagen detallada de los flujos de tráfico en toda la red, incluido dónde,
cuándo y
la medida en que usuarios específicos usan aplicaciones y recursos de datos específicos.
Una vez que tenga una comprensión detallada de los flujos de tráfico de red en el
entorno, el
El siguiente paso es definir las zonas de confianza y establecer gradualmente los límites
de confianza correspondientes
basado en el riesgo relativo y / o la sensibilidad de los datos involucrados:
Implemente dispositivos en ubicaciones apropiadas para establecer límites de confianza
internos para
zonas de confianza definidas
Configure las políticas apropiadas de aplicación e inspección para poner cada
límite de confianza "en línea"
108
A continuación, puede establecer progresivamente zonas de confianza y límites para
otros segmentos de la
entorno informático basado en su grado relativo de riesgo. Ejemplos donde la confianza
segura
Las zonas que se pueden establecer son:
Sistemas y redes de gestión de TI (donde una violación exitosa podría conducir a
compromiso de toda la red)
Recursos y conexiones de socios (de empresa a empresa o B2B)
Recursos y conexiones de alto perfil orientados al cliente (empresa a consumidor o
B2C)
Sucursales en países o regiones de riesgo, seguidas de todas las demás sucursales
Redes de acceso de invitados (inalámbricas y por cable)
Redes de campus
Los principios y conceptos de Zero Trust deben implementarse en los principales puntos
de acceso a
Internet. Tendrá que reemplazar o aumentar los dispositivos de seguridad de red
heredados con Zero Trust
Plataforma de segmentación en esta etapa de implementación para obtener todas las
capacidades necesarias y
beneficios de un modelo de seguridad Zero Trust.
1. Respuesta corta. ¿Cuál es el problema principal con una red perimetral?
estrategia de seguridad hoy?
2. Opción múltiple. Un modelo de seguridad de red Zero Trust se basa en
principio de seguridad? (Elige uno.)
a) diligencia debida
b) privilegio mínimo
c) no repudio
d) control negativo
Page 109
2.5 Seguridad en la nube y en el centro de datos
Los centros de datos evolucionan rápidamente de un entorno tradicional cerrado con
hardware estático.
recursos informáticos basados en uno en el que las tecnologías informáticas
tradicionales y en la nube son
mezclado (ver Figura 2-4).
Figura 2-4: Los centros de datos están evolucionando para incluir una combinación de hardware y tecnologías de
computación en la nube.
El beneficio de avanzar hacia un modelo de computación en la nube (privado, público o
híbrido) es que
mejora la eficiencia operativa y reduce los gastos de capital:
Optimiza los recursos de hardware existentes. En lugar de usar un "un servidor, una
aplicación"
modelo, puede ejecutar múltiples aplicaciones virtuales en un solo servidor físico, lo
que significa
que las organizaciones pueden aprovechar su infraestructura de hardware existente
ejecutando más
aplicaciones dentro del mismo sistema, siempre que haya suficiente computación y
recursos de memoria en el sistema.
Reduce los costos del centro de datos. Reducción de la cuenta de "caja" de hardware
del servidor no solo
reduce los bienes inmuebles de la infraestructura física, pero también reduce los costos
del centro de datos para
potencia, enfriamiento y espacio en rack, entre otros.
Aumenta la flexibilidad operativa. A través de la naturaleza dinámica de la máquina
virtual (VM)
aprovisionamiento, las aplicaciones pueden entregarse más rápidamente de lo que
pueden a través de
método tradicional de comprarlos, "trasiego / apilamiento", cableado, etc. Esta
La flexibilidad operativa ayuda a mejorar la agilidad de la organización de TI.
Maximiza la eficiencia de los recursos del centro de datos. Porque las aplicaciones
pueden experimentar
cargas de demanda asincrónicas o en ráfagas, la virtualización proporciona una forma
más eficiente de
abordar problemas de contención de recursos y maximizar el uso del servidor. También
proporciona un mejor
Page 110
forma de abordar el mantenimiento del servidor y los desafíos de copia de seguridad.
Por ejemplo, el personal de TI puede
migre máquinas virtuales a otros servidores virtualizados o hipervisores mientras realiza
hardware o
actualizaciones de software
2.5.1 La computación en la nube depende de la virtualización
La computación en la nube no es una ubicación, sino un conjunto de recursos que
pueden ser rápidamente
aprovisionado de manera automatizada, a pedido. El Instituto Nacional de Normas de
EE. UU. Y
La tecnología (NIST) define la computación en la nube en la Publicación Especial (SP)
800-145 como "un modelo para
que permite el acceso de red ubicuo, conveniente y bajo demanda a un grupo
compartido de configuraciones configurables
recursos informáticos (como redes, servidores, almacenamiento, aplicaciones y
servicios) que pueden ser
aprovisionado y lanzado rápidamente con un mínimo esfuerzo de gestión o proveedor
de servicios
Interacción."
El valor de la computación en la nube es la capacidad de agrupar recursos para lograr
economías de escala y
agilidad. Esta capacidad de agrupar recursos es verdadera para nubes privadas o
públicas. En lugar de tener muchos
servidores independientes y a menudo infrautilizados implementados para sus
aplicaciones empresariales, grupos de
los recursos se agregan, consolidan y diseñan para ser lo suficientemente elásticos para
escalar con el
necesidades de su organización.
El movimiento hacia la computación en la nube no solo brinda costos y beneficios
operativos, sino también
Beneficios tecnológicos. Los usuarios pueden acceder fácilmente a los datos y las
aplicaciones sin importar dónde
residen, los proyectos pueden escalar fácilmente y el consumo puede rastrearse de
manera efectiva La virtualización es un
parte crítica de una arquitectura de computación en la nube que, cuando se combina con
software
Las herramientas de gestión y orquestación le permiten integrar procesos dispares para
que
puede automatizarse, replicarse fácilmente y ofrecerse según sea necesario.
2.5.2 Consideraciones y requisitos de seguridad de la computación
en la nube
Con el uso de tecnologías de computación en la nube, el entorno de su centro de datos
puede evolucionar de un
entorno fijo donde las aplicaciones se ejecutan en servidores dedicados hacia un entorno
que es
dinámico y automatizado, donde los grupos de recursos informáticos están disponibles
para soportar
cargas de trabajo de aplicaciones a las que se puede acceder desde cualquier lugar, en
cualquier momento, desde cualquier dispositivo.
La seguridad sigue siendo un desafío importante cuando adopta esta nueva dinámica, la
computación en la nube
ambiente de la tela Muchos de los principios que hacen que la computación en la nube
sea atractiva son contrarios a
mejores prácticas de seguridad de red:
La computación en la nube no mitiga los riesgos de seguridad de red existentes.
Los riesgos de seguridad
que amenazan su red hoy no cambian cuando se mueve a la nube. los
Página 111
El modelo de responsabilidad compartida define quién (cliente y / o proveedor) es
responsable de
qué (relacionado con la seguridad) en la nube pública. En términos generales, el
proveedor de la nube es
responsable de la seguridad "de" la nube, incluida la seguridad física de los datos de la
nube
centros y servicios básicos de redes, almacenamiento, cómputo y virtualización. los
el cliente de la nube es responsable de la seguridad "en" la nube, que está delineada por
El modelo de servicio en la nube. Por ejemplo, en un modelo de infraestructura como
servicio (IaaS), el
El cliente en la nube es responsable de la seguridad de los sistemas operativos,
middleware, ejecución
tiempo, aplicaciones y datos. En un modelo de plataforma como servicio (PaaS), la
nube
el cliente es responsable de la seguridad de las aplicaciones y los datos y la nube
El proveedor es responsable de la seguridad de los sistemas operativos, middleware y
ejecución
hora. En un modelo SaaS, el cliente de la nube solo es responsable de la seguridad de
los datos
y el proveedor de la nube es responsable de la pila completa de la seguridad física del
centros de datos en la nube a la aplicación.
La seguridad requiere aislamiento y segmentación; la nube se basa en recursos
compartidos.
Las mejores prácticas de seguridad dictan que las aplicaciones y datos de misión crítica
se aíslen en
Segmentos seguros en la red utilizando Zero Trust (discutido en la Sección 2.4.2)
principio de "nunca confíes, siempre verifica". En una red física, Zero Trust es
relativamente
fácil de lograr usando firewalls y políticas basadas en la aplicación y el usuario
identidad. En un entorno de computación en la nube, comunicación directa entre
máquinas virtuales en
se produce un servidor y en el centro de datos (tráfico este-oeste, discutido en la Sección
2.5.4)
constantemente, en algunos casos a través de diversos niveles de confianza, lo que
dificulta la segmentación
tarea. Niveles mixtos de confianza, cuando se combinan con una falta de visibilidad del
tráfico dentro del host por
las ofertas de seguridad virtualizadas basadas en puertos pueden debilitar la seguridad
de una organización
postura.
Las implementaciones de seguridad están orientadas a procesos; los entornos de
dinámica. La creación o modificación de sus cargas de trabajo en la nube a menudo se
puede hacer en
minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede
llevar horas, días o
semanas. Los retrasos de seguridad no tienen un propósito; son el resultado de un
proceso que es
diseñado para mantener una fuerte postura de seguridad. Los cambios de política deben
ser aprobados, el
deben identificarse los cortafuegos apropiados y deben actualizarse las políticas
relevantes
determinado. Por el contrario, la nube es un entorno altamente dinámico, con cargas de
trabajo.
(y direcciones IP) que se agregan, eliminan y cambian constantemente. El resultado es
un
desconexión entre la política de seguridad y las implementaciones de carga de trabajo
en la nube que conduce a una
postura de seguridad debilitada. Las tecnologías y procesos de seguridad deben
aprovechar
capacidades tales como clonación e implementaciones programadas para escalar y
tomar automáticamente
ventaja de la elasticidad de la nube mientras se mantiene una fuerte postura de
seguridad.
112
La tenencia múltiple es una característica clave de la nube pública, y un riesgo
clave. A pesar de que
Los proveedores de nube pública se esfuerzan por garantizar el aislamiento entre sus
diversos clientes, el
La infraestructura y los recursos en la nube pública son compartidos. Riesgos inherentes
en un compartido
entorno incluye configuraciones incorrectas, procesos inadecuados o ineficaces y
controles y el problema del "vecino ruidoso" (tráfico de red excesivo, E / S de disco o
la utilización del procesador puede afectar negativamente a otros clientes que comparten
el mismo recurso).
En entornos híbridos y multi-nube que conectan numerosos públicos y / o privados.
nubes, las líneas se vuelven aún más borrosas, la complejidad aumenta y los riesgos de
seguridad
ser más desafiante de abordar.
A medida que las organizaciones pasan de una arquitectura de centro de datos
tradicional a una pública, privada o
entorno de nube híbrida, las estrategias de seguridad empresarial deben adaptarse para
soportar cambios
requisitos en la nube. Los requisitos clave para asegurar la nube incluyen:
Seguridad constante en factores de forma físicos y virtualizados. Los mismos
niveles de
El control de aplicaciones y la prevención de amenazas se deben utilizar para proteger
tanto su nube
entorno informático y su red física. Primero, necesitas poder
confirmar la identidad de sus aplicaciones, validar su identidad y obligarlas a
use solo sus puertos estándar. También debe ser capaz de bloquear el uso de pícaro
aplicaciones mientras busca y bloquea simultáneamente aplicaciones mal configuradas.
Finalmente, las políticas de prevención de amenazas específicas de la aplicación deben
aplicarse para bloquear ambas
El malware conocido y desconocido se mueve dentro y a través de su red y nube
medio ambiente.
Segmente sus aplicaciones comerciales utilizando los principios de Zero Trust. Para
maximizar al máximo
uso de recursos informáticos, una práctica actual relativamente común es mezclar
aplicaciones
niveles de confianza de carga de trabajo en el mismo recurso informático. Aunque son
eficientes en
En la práctica, los niveles mixtos de confianza introducen nuevos riesgos de seguridad
en caso de compromiso.
Su solución de seguridad en la nube debe poder implementar políticas de seguridad
basadas en
El concepto de confianza cero (discutido en la Sección 2.4.2) como un medio para
controlar el tráfico
entre cargas de trabajo mientras se evita el movimiento lateral de las amenazas.
Gestione centralmente las implementaciones de seguridad; agilizar las
actualizaciones de políticas. Red fisica
la seguridad todavía se implementa en casi todas las organizaciones, por lo que es
fundamental tener la capacidad de
Gestionar implementaciones de hardware y factor de forma virtual desde una ubicación
centralizada
utilizando la misma infraestructura de gestión e interfaz. Para garantizar que la
seguridad se mantenga
ritmo con la velocidad de cambio que sus flujos de trabajo pueden exhibir, su solución
de seguridad
debe incluir características que le permitirán disminuir y, en algunos casos, eliminar
procesos manuales que a menudo requieren las actualizaciones de políticas de
seguridad.
113
2.5.3 Debilidades de la solución de seguridad de datos tradicional
Las soluciones de seguridad del centro de datos tradicionales exhiben las mismas
debilidades encontradas cuando son
desplegados en una puerta de enlace perimetral en la red física: hacen que sus positivos
iniciales
controlan las decisiones de acceso a la red en función del puerto, utilizando una
inspección con estado, luego hacen una
serie de decisiones secuenciales de control negativo utilizando conjuntos de
características atornilladas. Hay varios
problemas con este enfoque:
"Puertos primero" limita la visibilidad y el control. El enfoque de "puertos primero"
de los datos tradicionales
Las soluciones de seguridad limitan su capacidad de ver todo el tráfico en todos los
puertos, lo que significa que
aplicaciones evasivas o encriptadas, y cualquier amenaza correspondiente que pueda o
no
El uso de puertos estándar puede evadir la detección. Por ejemplo, muchas aplicaciones
de centros de datos.
como Microsoft Lync, Active Directory y SharePoint utilizan una amplia gama de
aplicaciones contiguas
puertos para funcionar correctamente. Por lo tanto, primero debe abrir todos esos
puertos, exponiendo esos
mismos puertos a otras aplicaciones o amenazas cibernéticas.
Carecen de cualquier concepto de tráfico desconocido. El tráfico desconocido es de
alto riesgo, pero representa
solo una cantidad relativamente pequeña de tráfico en cada red. El tráfico desconocido
puede ser un
aplicación personalizada, una aplicación comercial no identificada o una amenaza.
La práctica común de bloquearlo todo puede paralizar su negocio. Permitirlo todo es
altamente
arriesgado. Debe poder gestionar sistemáticamente el tráfico desconocido utilizando una
política nativa
herramientas de gestión para reducir los riesgos de seguridad de su organización.
Políticas múltiples, sin herramientas de reconciliación de políticas. Análisis de
tráfico secuencial (con estado
inspección, control de aplicaciones, IPS, antimalware, etc.) en la seguridad tradicional
del centro de datos
las soluciones requieren una política o perfil de seguridad correspondiente, a menudo
utilizando múltiples
herramientas administrativas. El resultado es que sus políticas de seguridad se
complican a medida que usted
construir y administrar una política de firewall con origen, destino, usuario, puerto y
acción; un
política de control de aplicaciones con reglas similares; y cualquier otra regla de
prevención de amenazas
necesario. Múltiples políticas de seguridad que combinan positivo (firewall) y negativo
(aplicación
control, IPS y anti-malware) los modelos de control pueden causar agujeros de
seguridad al faltar
tráfico y / o no identificar el tráfico. Esta situación empeora cuando no hay
herramientas de reconciliación de políticas.
Proceso de actualización de la política de seguridad engorroso. Soluciones de
seguridad existentes en los datos.
centro no aborda la naturaleza dinámica de su entorno de nube porque su
las políticas tienen dificultades para lidiar con los numerosos cambios dinámicos que
son
Común en los centros de datos virtuales. En un centro de datos virtual, los servidores de
aplicaciones de VM a menudo
114
pasar de un host físico a otro, por lo que sus políticas de seguridad deben adaptarse a
condiciones cambiantes de la red.
Muchas ofertas de seguridad en la nube son simplemente versiones virtualizadas de
puertos y protocolos.
dispositivos de seguridad con las mismas deficiencias que sus contrapartes físicas.
2.5.4 Protección del tráfico este-oeste
En un centro de datos virtualizado (nube privada), hay dos tipos diferentes de tráfico,
cada uno de ellos
que está asegurado de manera diferente (ver Figura 2-5):
Norte-sur se refiere a paquetes de datos que entran y salen del entorno virtualizado.
desde la red host o un centro de datos tradicional correspondiente. El tráfico norte-sur es
asegurado por uno o más cortafuegos de borde de perímetro de factor de forma física. El
cortafuegos de borde
suele ser un dispositivo de alto rendimiento que funciona en alta disponibilidad activa /
pasiva (o
modo activo / activo) para aumentar la resistencia. Controla todo el tráfico que llega al
centro de datos y autoriza que solo los paquetes permitidos y "limpios" fluyan hacia el
virtualizado
medio ambiente.
Este-oeste se refiere a paquetes de datos que se mueven entre cargas de trabajo virtuales
completamente dentro de
nube privada. El tráfico este-oeste está protegido por un cortafuegos virtualizado local,
instanciado en
cada hipervisor Los firewalls este-oeste se insertan de forma transparente en la
aplicación
infraestructura y no requieren un rediseño de la topología lógica.
Figura 2-5: Arquitectura típica de diseño del centro de datos virtual
115 de 1189.
El clúster de proceso es el componente básico para alojar la infraestructura de la
aplicación y proporciona
Los recursos necesarios en términos de cómputo, almacenamiento, redes y seguridad.
Calcular
los clústeres se pueden interconectar usando el Modelo OSI (discutido en la Sección
2.3.1) Capa 2 (Enlace de datos)
o tecnologías de Capa 3 (Red) como LAN virtual (VLAN), LAN virtual extensible
(VXLAN), o
IP, proporcionando así una extensión de dominio para la capacidad de carga de trabajo.
Innovaciones en la virtualización.
el espacio permite que las máquinas virtuales se muevan libremente en esta nube
privada al tiempo que conserva el cálculo, el almacenamiento,
redes y características y posturas de seguridad.
Las organizaciones generalmente implementan seguridad para proteger el tráfico que
fluye de norte a sur, pero esto
El enfoque es insuficiente para proteger el tráfico este-oeste dentro de una nube privada.
Para mejorar su
postura de seguridad, las empresas deben protegerse contra las amenazas en toda la red,
tanto
norte-sur y este-oeste.
Una práctica común en una nube privada es aislar las máquinas virtuales en diferentes
niveles. El aislamiento proporciona
delimitación clara de las funciones de la aplicación y permite que un equipo de
seguridad implemente fácilmente
Políticas de seguridad. El aislamiento se logra utilizando atributos de red lógicos (como
una VLAN o
VXLAN) o construcciones lógicas de software (como grupos de seguridad). La Figura
2-6 muestra un simple
aplicación de tres niveles que se compone de una WEB-VM como front-end, una APP-
VM como
aplicación y una DB-VM que proporciona servicios de bases de datos.
Figura 2-6: aplicación de tres niveles alojada en un centro de datos virtual
Enrutador lógico
WEB-VM
APP-VM
DB-VM
116
Un atacante tiene múltiples opciones para robar datos de la DB-VM. La primera opción
es iniciar un
Ataque de inyección SQL enviando solicitudes HTTP que contienen comandos SQL
normalizados que
atacar una vulnerabilidad de la aplicación. La segunda opción es comprometer el WEB-
VM (usando
vulnerabilidades de seguridad), y luego moverse lateralmente a la APP-VM, iniciando
un ataque de fuerza bruta para
recuperar la contraseña de administrador de SQL.
Una vez que la DB-VM se ve comprometida, el atacante puede ocultar la extracción de
datos confidenciales utilizando
técnicas como el túnel DNS, o moviendo datos a través de la red con NetBIOS, y
luego fuera de la red a través de FTP. De hecho, los atacantes utilizan aplicaciones que
se encuentran comúnmente en casi
Cada red tiene opciones virtualmente ilimitadas para robar datos críticos en este
entorno.
La infiltración en el entorno y la exfiltración de datos críticos pueden ser
completamente transparentes.
y no detectado porque los datos se transfieren a través de protocolos legítimos (como
HTTP y DNS)
que se utilizan para actividades comerciales normales.
Las mejores prácticas de seguridad del centro de datos virtual dictan una combinación
de norte-sur y este-oeste
proteccion. La protección este-oeste brinda los siguientes beneficios:
Autoriza que solo las aplicaciones permitidas fluyan dentro del centro de datos, entre
máquinas virtuales
Reduce el movimiento de amenaza lateral cuando una carga de trabajo frontal se ha
visto comprometida
(el atacante infringe el servidor de aplicaciones para el usuario mediante una aplicación
mal configurada o sin parchear
explotar)
Detiene las amenazas conocidas y desconocidas que se originan internamente en el
centro de datos.
Protege contra el robo de datos al aprovechar la capacidad de filtrado y bloqueo de
datos y archivos
comunicaciones antispyware al mundo externo
Un beneficio adicional del uso de firewalls virtuales para la protección este-oeste es el
tráfico sin precedentes
y visibilidad de amenazas que ahora puede proporcionar el dispositivo de seguridad
virtualizado. Una vez que el tráfico registra y
Los registros de amenazas están activados, las comunicaciones de VM a VM y los
ataques maliciosos se hacen visibles.
Esta conciencia del centro de datos virtual permite a los equipos de seguridad optimizar
políticas y aplicar
protección contra amenazas cibernéticas (por ejemplo, IPS, antimalware, bloqueo de
archivos, filtrado de datos y DoS
protección) donde sea necesario.
2.5.5 Implementación de seguridad en centros de datos virtualizados
El siguiente enfoque de seguridad en el centro de datos en evolución: desde el
tradicional de tres niveles
arquitecturas a centros de datos virtualizados y a la nube: se alinea con realidades
prácticas, como
como la necesidad de aprovechar las mejores prácticas existentes y las inversiones en
tecnología, y la probabilidad
que la mayoría de las organizaciones transformarán sus centros de datos de forma
incremental.
Página 117
Este enfoque consta de cuatro fases:
Consolidación de servidores dentro de los niveles de confianza. Las organizaciones a
menudo consolidan servidores dentro de
el mismo nivel de confianza en un único entorno informático virtual, ya sea uno físico
host o un grupo de hosts físicos. Las comunicaciones dentro del host son generalmente
mínimas y
inconsecuente. Como cuestión de rutina, la mayoría del tráfico se dirige "fuera de caja"
a los usuarios y
sistemas que residen en diferentes niveles de confianza. Cuando ocurren las
comunicaciones dentro del host,
la ausencia de salvaguardas protectoras entre estos sistemas virtualizados también es
coherente con la postura de seguridad de la organización para sistemas no virtualizados.
En Vivo
Las características de migración se usan generalmente para permitir la transferencia de
máquinas virtuales solo a hosts compatibles
cargas de trabajo dentro de la misma subred. Las soluciones de seguridad deben
incorporar un virtual robusto
capacidad de sistemas en la que una sola instancia de las contramedidas asociadas puede
ser
particionado en múltiples instancias lógicas, cada una con su propia política,
administración y
dominios de eventos Esta capacidad de sistemas virtuales permite que un solo
dispositivo físico sea
se utiliza para cumplir simultáneamente los requisitos únicos de varias máquinas
virtuales o grupos de
VM. Controlar y proteger el tráfico entre hosts con seguridad de red física
Los dispositivos que están correctamente posicionados y configurados son el enfoque
principal de seguridad.
Consolidación de servidores en todos los niveles de confianza. Cargas de trabajo con
diferentes niveles de confianza a menudo
coexisten en el mismo host físico o clúster de hosts físicos. Intra-host
las comunicaciones son limitadas y las funciones de migración en vivo se utilizan para
permitir la transferencia de
Máquinas virtuales solo para hosts que están en la misma subred y que están
configurados de manera idéntica con
respecto al enrutamiento del tráfico de VM a VM. Las rutas de comunicación dentro del
host son intencionalmente
no configurado entre máquinas virtuales con diferentes niveles de confianza. En
cambio, todo el tráfico es forzado "fuera de
caja "a través de una puerta de enlace predeterminada, como un dispositivo de seguridad
de red física,
antes de que se le permita continuar a la VM de destino. Por lo general, este
enrutamiento fuera de caja puede
se logra mediante la configuración de conmutadores virtuales separados con física
separada
tarjetas de interfaz de red (NIC) para las máquinas virtuales en cada nivel de confianza
distinto. Como una mejor práctica
para la virtualización, debe minimizar la combinación de cargas de trabajo con diferente
confianza
niveles en el mismo servidor. Las migraciones en vivo de máquinas virtuales también
deben restringirse a los servidores
soportar cargas de trabajo dentro de los mismos niveles de confianza y dentro de la
misma subred. Terminado
tiempo, y en particular, a medida que las cargas de trabajo se mueven a la nube, el
mantenimiento de la segmentación
basado en niveles de confianza se vuelve más desafiante.
Virtualización selectiva de seguridad de red. Comunicaciones dentro del host y en
vivo
Las migraciones están diseñadas en esta fase. Todas las rutas de comunicación dentro
del host son estrictamente
controlado para garantizar que el tráfico entre máquinas virtuales en diferentes niveles
de confianza se intermedia
ya sea por un dispositivo de seguridad virtual en caja o por una seguridad física fuera de
caja
aparato. Las migraciones en vivo a larga distancia (por ejemplo, entre centros de datos)
son
118
habilitado por la combinación de características de migración en vivo nativas con
soluciones externas que
abordar los desafíos asociados de redes y rendimiento. El intenso procesamiento
Los requisitos de soluciones como los dispositivos virtuales NGFW garantizarán que
Los dispositivos físicos construidos siguen desempeñando un papel clave en el centro
de datos virtualizado.
Sin embargo, las instancias virtuales son ideales para escenarios donde se necesitan
contramedidas
para "migrar" junto con las cargas de trabajo que controlan y protegen.
Tejido informático dinámico. Los entornos informáticos estáticos convencionales son
transformado en telas dinámicas (nubes privadas o híbridas) donde los recursos
subyacentes
tales como dispositivos de red, almacenamiento y servidores pueden participar de forma
fluida en lo que sea
La combinación satisface mejor las necesidades de la organización en cualquier
momento dado. Intra-
La comunicación con el host y las migraciones en vivo no tienen restricciones. Esta fase
requiere
soluciones de redes y seguridad que no solo se pueden virtualizar sino que también
consciente de la virtualización y puede ajustarse dinámicamente según sea necesario
para abordar la comunicación
y requisitos de protección, respectivamente. Clasificación, inspección y control.
los mecanismos de las soluciones de seguridad con reconocimiento de virtualización no
deben depender de
atributos físicos y fijos de la capa de red. En general, los atributos de capa superior,
como
La identificación de la aplicación, el usuario y el contenido son la base no solo de cómo
las contramedidas brindan protección, pero también cómo se ajustan dinámicamente a la
cuenta
para cualquier combinación de cargas de trabajo y recursos informáticos existentes en
su esfera de
influencia. Las aplicaciones de gestión de seguridad asociadas también deben ser
capaces de
orquestando primero las actividades de instancias físicas y virtuales de contramedidas
entre sí y posteriormente con otros componentes de infraestructura. Esta capacidad
es necesario para garantizar que la protección adecuada se entregue de manera óptima
en situaciones
donde las cargas de trabajo migran con frecuencia a través de los hosts del centro de
datos.
Page 119
2.6 Tecnologías de seguridad de red
Esta sección describe las tecnologías de seguridad de red tradicionales, incluidos
firewalls, intrusiones
sistemas de detección y sistemas de prevención de intrusiones (IDS / IPS), filtros de
contenido web, virtuales
redes privadas (VPN), prevención de pérdida de datos (DLP), gestión unificada de
amenazas (UTM) y
Información de seguridad y gestión de eventos (SIEM).
2.6.1 Cortafuegos
Los cortafuegos han sido la piedra angular de la seguridad de la red desde los primeros
días de Internet. UNA
firewall es una plataforma de hardware y / o software que controla el flujo de tráfico
entre un
red confiable (como una LAN corporativa) y una red no confiable (como Internet)
2.6.1.1 Cortafuegos de filtrado de paquetes
Los firewalls de filtrado de paquetes de primera generación (también conocidos como
basados en puertos ) tienen lo siguiente
características:
1. Respuesta corta. Enumere algunos de los principios de la computación en la nube
que son
contrario a las mejores prácticas de seguridad de red.
2. Opción múltiple. El tráfico intra-VM también se conoce como qué tipo de tráfico?
(Elige uno.)
a) norte-sur
b) desconocido
c) este-oeste
d) no confiable
3. Opción múltiple. ¿Qué significa la primera fase de implementación de seguridad en
centros de datos virtualizados consisten en? (Elige uno.)
a) consolidar servidores en todos los niveles de confianza
b) consolidar servidores dentro de los niveles de confianza
c) virtualizando selectivamente las funciones de seguridad de la red
d) implementar un tejido informático dinámico
120
Operar hasta la Capa 4 (capa de transporte) del modelo OSI (discutido en la Sección
2.3.1) y
inspeccionar encabezados de paquetes individuales para determinar la dirección IP de
origen y destino,
protocolo (TCP, UDP, ICMP) y número de puerto
Haga coincidir la dirección IP, el protocolo y el número de puerto de origen y destino
contenido dentro de cada encabezado de paquete a una regla correspondiente en el
firewall que
designa si el paquete debe permitirse, bloquearse o descartarse
Inspeccione y maneje cada paquete individualmente, sin información sobre el contexto
o
sesión
2.6.1.2 Cortafuegos de inspección de paquetes con estado (SPI)
Cortafuegos de inspección de paquetes con estado de segunda generación (también
conocidos como filtros de paquetes dinámicos )
tienen las siguientes características:
Opere hasta la capa 4 (capa de transporte) del modelo OSI y mantenga la información
de estado
sobre las diferentes sesiones de comunicación que se han establecido entre hosts
en las redes confiables y no confiables
Inspeccione los encabezados de paquetes individuales para determinar la dirección IP de
origen y destino,
protocolo (TCP, UDP e ICMP) y número de puerto, solo durante el establecimiento de
la sesión, para
determinar si la sesión debe permitirse, bloquearse o descartarse según la configuración
reglas de firewall
Una vez que se establece una conexión permitida entre dos hosts, el firewall crea y
elimina las reglas de firewall para conexiones individuales, según sea necesario,
creando así efectivamente un
túnel que permite que el tráfico fluya entre los dos hosts sin una inspección adicional de
paquetes individuales durante la sesión.
Este tipo de firewall es muy rápido, pero está basado en puertos y depende en gran
medida de
confiabilidad de los dos hosts porque los paquetes individuales no se inspeccionan
después del
Se establece la conexión.
Page 121
2.6.1.3 Cortafuegos de aplicaciones
Aplicación de tercera generación (también conocida como puertas de enlace de capa de
aplicación , basada en proxy y
los firewalls de proxy inverso ) tienen las siguientes características:
Opere hasta la capa 7 (capa de aplicación) del modelo OSI y controle el acceso a
aplicaciones y servicios en la red
Proxy red de tráfico en lugar de permitir la comunicación directa entre hosts. Peticiones
se envían desde el host de origen a un servidor proxy, que analiza el contenido de
Términos clave
El modelo de referencia de interconexión de sistemas abiertos (OSI) (o "modelo OSI")
define protocolos estándar para comunicación e interoperabilidad utilizando un
enfoque por capas en el que los datos se pasan desde la capa más alta (aplicación)
hacia abajo a través de cada capa hasta la capa más baja (física), luego transmitida
a través de la red hasta su destino, luego pasó hacia arriba desde la capa más baja
a la capa más alta. Cada capa se comunica solo con la capa inmediatamente
encima y debajo de él usando un proceso llamado encapsulación de datos , en el cual
la información del protocolo de la capa inmediatamente anterior está envuelta en los
datos
sección de la capa inmediatamente debajo. Las siete capas del modelo OSI son:
Aplicación (Capa 7). Identifica y establece la disponibilidad de
socios de comunicación, determinando la disponibilidad de recursos y
comunicación sincronizada
Presentación (Capa 6). Proporciona funciones de codificación y conversión.
Sesión (Capa 5). Establece, coordina y termina
sesiones de comunicación
Transporte (Capa 4). Proporciona transporte de datos transparente y de extremo a
extremo.
control de transmisión
Red (Capa 3). Proporciona enrutamiento y funciones relacionadas.
Enlace de datos (Capa 2). Asegura que los mensajes se entreguen al
dispositivo a través de un enlace de red física
Física (Capa 1). Envía y recibe bits a través de la red desde uno
dispositivo a otro
Page 122
paquetes de datos y, si está permitido, envía una copia de los paquetes de datos
originales al
anfitrión de destino
Inspecciona el tráfico de la capa de aplicación y, por lo tanto, puede identificar y
bloquear el contenido especificado,
malware, exploits, sitios web y aplicaciones o servicios que utilizan técnicas de
ocultación como
cifrado y puertos no estándar. Los servidores proxy también se pueden usar para
implementar
autenticación de usuario y filtrado de aplicaciones web, y para enmascarar la red interna
de redes no confiables. Sin embargo, los servidores proxy tienen un impacto negativo
significativo en
El rendimiento general de la red.
2.6.2 Sistemas de detección y prevención de intrusiones
Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de
intrusiones (IPS) proporcionan en tiempo real
Monitoreo del tráfico de la red y realización de inspección profunda de paquetes y
análisis de la red.
actividad y datos. A diferencia del filtrado de paquetes tradicional y los firewalls de
inspección de paquetes con estado que
examina solo la información del encabezado del paquete, IDS / IPS examina tanto el
encabezado del paquete como la carga útil
del tráfico de red. IDS / IPS intenta hacer coincidir patrones (o firmas) conocidos o
incorrectos
encontrado dentro de los paquetes inspeccionados. Un IDS / IPS generalmente se
implementa para detectar y bloquear exploits de
vulnerabilidades de software en redes de destino.
La principal diferencia entre IDS e IPS es que IDS se considera un sistema pasivo,
mientras que IPS es un sistema activo. IDS supervisa y analiza la actividad de la red y
proporciona alertas a
posibles ataques y vulnerabilidades en la red, pero no realiza ninguna acción preventiva
acción para detener un ataque. Sin embargo, un IPS realiza las mismas funciones que un
IDS pero también
bloquea o elimina automáticamente la actividad sospechosa de coincidencia de patrones
en la red en tiempo real.
Sin embargo, IPS tiene algunas desventajas, que incluyen:
Debe colocarse en línea a lo largo de un límite de red y, por lo tanto, es directamente
susceptible a
atacarse
Las falsas alarmas deben identificarse y filtrarse adecuadamente para evitar el bloqueo
inadvertido
usuarios autorizados y aplicaciones. Se produce un falso positivo cuando el tráfico
legítimo es
identificado incorrectamente como tráfico malicioso. Se produce un falso negativo
cuando el tráfico malicioso
se identifica incorrectamente como tráfico legítimo.
Puede usarse para desplegar un ataque de denegación de servicio (DoS) inundando el
IPS, causando así
para bloquear conexiones hasta que no haya conexión o ancho de banda disponible
IDS e IPS también se pueden clasificar como basados en el conocimiento (o en la firma)
o en el comportamiento
(o basados en anomalías estadísticas):
123
Un sistema basado en el conocimiento utiliza una base de datos de vulnerabilidades
conocidas y perfiles de ataque.
para identificar intentos de intrusión. Estos tipos de sistemas tienen tasas de falsas
alarmas más bajas que
sistemas basados en el comportamiento, pero deben actualizarse continuamente con
nuevas firmas de ataque
ser efectivo.
Un sistema basado en el comportamiento utiliza una línea base de actividad normal de
la red para identificar inusuales
patrones o niveles de actividad de red que pueden ser indicativos de un intento de
intrusión.
Estos tipos de sistemas son más adaptativos que los sistemas basados en el
conocimiento y pueden
por lo tanto, sea más efectivo en la detección de vulnerabilidades y ataques previamente
desconocidos,
pero tienen una tasa de falsos positivos mucho más alta que los sistemas basados en el
conocimiento.
2.6.3 Filtros de contenido web
Los filtros de contenido web se utilizan para restringir la actividad de Internet de los
usuarios en una red. contenido web
los filtros hacen coincidir una dirección web ( localizador uniforme de recursos o URL)
con una base de datos de sitios web,
que suelen mantener los proveedores de seguridad individuales que venden los filtros de
contenido web
y se proporciona como un servicio por suscripción. Los filtros de contenido web
intentan clasificar sitios web
en función de categorías amplias que están permitidas o bloqueadas para varios grupos
de usuarios en el
red. Por ejemplo, los departamentos de marketing y recursos humanos pueden tener
acceso a
sitios de redes sociales como Facebook y LinkedIn para marketing y reclutamiento
legítimos en línea
actividades, mientras que otros usuarios están bloqueados. Las categorías típicas del
sitio web incluyen:
Juegos de azar y juegos en línea
Hackear
Odio crímenes y violencia
Pornográfico
Redes sociales
Correo electrónico basado en la web
Estos sitios reducen la productividad individual pero también pueden ser objetivos
principales para el malware que los usuarios
sin darse cuenta, pueden ser víctimas de, a través de descargas automáticas. Ciertos
sitios también pueden crear
responsabilidades en forma de acoso sexual o demandas de discriminación racial para
organizaciones que
no proteja a otros empleados de la exposición a sitios web pornográficos o basados en el
odio.
Las organizaciones pueden optar por implementar estas soluciones en una variedad de
modos para bloquear
contenido, advertir a los usuarios antes de que accedan a sitios restringidos o registrar
toda la actividad. La desventaja de
bloquear contenido es que los falsos positivos requieren que el usuario se comunique
con un administrador de seguridad para
Page 124
Permitir el acceso a sitios web que se han clasificado y bloqueado incorrectamente, o
que necesitan ser
Accedido para un propósito comercial legítimo.
2.6.4 Redes privadas virtuales
Una red privada virtual (VPN) crea una conexión (o túnel) segura y encriptada en todo
el
Internet vuelve a la red de una organización. El software de cliente VPN generalmente
se instala en dispositivos móviles
puntos finales, como computadoras portátiles y teléfonos inteligentes, para extender una
red más allá de
límites físicos de la organización. El cliente VPN se conecta a un servidor VPN, como
un
firewall, enrutador o dispositivo VPN (o concentrador). Una vez que se establece un
túnel VPN, un control remoto
el usuario puede acceder a recursos de red como servidores de archivos, impresoras y
Voz sobre IP (VoIP)
teléfonos, igual que si estuvieran ubicados físicamente en la oficina.
2.6.4.1 Protocolo de túnel punto a punto)
El protocolo de túnel punto a punto (PPTP) es un protocolo VPN básico que utiliza el
control de transmisión
El puerto de protocolo (TCP) 1723 para establecer comunicación con el par VPN y
luego crea un
Túnel de encapsulación de enrutamiento genérico (GRE) que transporta punto a punto
encapsulado
paquetes de protocolo (PPP) entre los pares VPN. Aunque PPTP es fácil de configurar y
es
considerado como muy rápido, es quizás el menos seguro de los diversos protocolos
VPN. Está
comúnmente utilizado con el Protocolo de autenticación de contraseña (PAP),
Challenge-Handshake
Protocolo de autenticación (CHAP) o Protocolo de autenticación de desafío de
Microsoft
versiones 1 y 2 (MS-CHAP v1 / v2), todas las cuales tienen vulnerabilidades de
seguridad bien conocidas, para
autenticar tráfico PPP tunelizado. La capa de transporte del protocolo de autenticación
extensible
La seguridad (EAP-TLS) proporciona un protocolo de autenticación más seguro para
PPTP, pero requiere un
infraestructura de clave pública (PKI) y, por lo tanto, es más difícil de configurar.
2.6.4.2 Protocolo de túnel de capa 2
El protocolo de túnel de capa 2 (L2TP) es un protocolo de túnel que es compatible con
la mayoría
sistemas operativos (incluidos dispositivos móviles). Aunque no proporciona cifrado
por sí mismo, es
se considera seguro cuando se usa junto con IPsec (discutido en la Sección 2.6.4).
125
2.6.4.3 Protocolo de túnel de socket seguro
El protocolo de túnel de socket seguro (SSTP) es un túnel VPN creado por Microsoft
para transportar
Tráfico PPP o L2TP a través de un canal SSL 3.0. SSTP se utiliza principalmente para
clientes remotos seguros
Acceso VPN, en lugar de para túneles VPN de sitio a sitio.
2.6.4.4 Cifrado punto a punto de Microsoft
El cifrado punto a punto de Microsoft (MPPE) cifra los datos en conexiones de acceso
telefónico basadas en PPP o
Conexiones VPN PPTP. MPPE utiliza el algoritmo de cifrado RSA RC4 para
proporcionar datos
confidencialidad y admite claves de sesión de 40 bits y 128 bits.
2.6.4.5 OpenVPN
OpenVPN es una implementación VPN de código abierto altamente segura que utiliza
encriptación SSL / TLS para
intercambio de llaves. OpenVPN utiliza encriptación de hasta 256 bits y puede
ejecutarse a través de TCP o UDP. A pesar de esto
no es compatible de forma nativa con la mayoría de los principales sistemas operativos,
se ha portado a la mayoría de los principales
sistemas operativos, incluidos los sistemas operativos de dispositivos móviles.
Términos clave
La encapsulación de enrutamiento genérico (GRE) es un protocolo de túnel
desarrollado por Cisco
Sistemas que pueden encapsular varios protocolos de capa de red dentro de virtual
enlaces punto a punto.
El protocolo punto a punto (PPP) es un protocolo de capa 2 (enlace de datos) utilizado
para establecer un
Conexión directa entre dos nodos.
El Protocolo de autenticación de contraseña (PAP) es un protocolo de autenticación
utilizado por
PPP para validar a los usuarios con una contraseña sin cifrar.
Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP) se utiliza para
autenticar estaciones de trabajo basadas en Microsoft Windows, utilizando un desafío:
mecanismo de respuesta para autenticar conexiones PPTP sin enviar
contraseñas
La seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-
TLS) es un
Estándar abierto de Internet Engineering Task Force (IETF) que utiliza el transporte
Protocolo de seguridad de capa (TLS) en redes Wi-Fi y conexiones PPP.
La infraestructura de clave pública (PKI) es un conjunto de roles, políticas y
procedimientos necesarios
para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales y
Administrar el cifrado de clave pública.
Page 126
2.6.4.6 Seguridad del protocolo de Internet
IPsec es un protocolo de comunicaciones seguro que autentica y encripta paquetes IP en
un
Sesión de comunicación. Una VPN IPsec requiere la instalación de un software de
cliente VPN compatible
en el dispositivo de punto final. Se requiere una contraseña o clave de grupo para la
configuración. Servidor de cliente
Las VPN IPsec generalmente requieren la acción del usuario para iniciar la conexión,
como iniciar el cliente
software e iniciar sesión con un nombre de usuario y contraseña.
Una asociación de seguridad (SA) en IPsec define cómo dos o más entidades se
comunicarán de forma segura
a través de la red utilizando IPsec. Se establece un único intercambio de claves de
Internet (IKE) SA entre
Entidades comunicantes para iniciar el túnel VPN IPsec. Las SA de IPsec separadas son
entonces
establecido para cada dirección de comunicación en una sesión VPN.
Una VPN IPsec se puede configurar para forzar todo el tráfico de Internet del usuario a
través de un
firewall de la organización, proporcionando así una protección óptima con seguridad de
nivel empresarial, pero
con alguna pérdida de rendimiento. Alternativamente, el túnel dividido se puede
configurar para permitir internet
tráfico del dispositivo para ir directamente a internet, mientras que otros tipos
específicos de ruta de tráfico
a través del túnel IPsec, para una protección aceptable con mucha menos degradación
del rendimiento.
Si se usa un túnel dividido, se debe configurar y activar un firewall personal en el
puntos finales de la organización, porque una configuración de túnel dividido puede
crear una "puerta lateral" en
La red de la organización. Los atacantes pueden esencialmente conectarse a través de
Internet,
a través del punto final del cliente y hacia la red a través del túnel IPsec.
2.6.4.7 Capa de sockets seguros (SSL)
Secure Sockets Layer (SSL) es un protocolo de cifrado asimétrico utilizado para
asegurar la comunicación.
sesiones SSL ha sido reemplazado por Transport Layer Security (TLS), aunque SSL
sigue siendo el
Terminología más utilizada.
Una VPN SSL se puede implementar como una conexión de navegador basada en
agente o "sin agente". Un
SSL VPN sin agente solo requiere que los usuarios inicien un navegador web, abran un
portal o página web VPN
Términos clave
Secure Sockets Layer (SSL) es un protocolo criptográfico para administrar
autenticación y comunicación cifrada entre un cliente y un servidor para
Proteger la confidencialidad e integridad de los datos intercambiados en la sesión.
Transport Layer Security (TLS) es el sucesor de SSL (aunque todavía es
comúnmente conocido como SSL).
Page 127
utilizando el protocolo HTTPS e inicie sesión en la red con sus credenciales de usuario.
Un agente
El cliente SSL se usa dentro de la sesión del navegador, que persiste solo mientras la
conexión sea
activo y se elimina cuando se cierra la conexión. Este tipo de VPN puede ser
particularmente
útil para usuarios remotos que se conectan desde un dispositivo de punto final que no
poseen o
control, como un quiosco de hotel, donde no se puede instalar el software VPN
completo del cliente.
La tecnología SSL VPN se ha convertido en el método de facto estándar y preferido de
conexión
dispositivos de punto final remotos a la red empresarial, e IPsec se usa más
comúnmente en
conexiones VPN de sitio a sitio o de dispositivo a dispositivo, como la conexión de una
red de sucursal a
una sede central de red o centro de datos.
2.6.5 Prevención de pérdida de datos
Las soluciones de prevención de pérdida de datos de red (DLP) inspeccionan los datos
que salen o salen de una red
(por ejemplo, por correo electrónico, transferencia de archivos, carga de Internet o
copiando a una memoria USB) y
evitar que ciertos datos confidenciales, basados en políticas definidas, abandonen la red.
Sensible
los datos pueden incluir:
Información de identificación personal (PII) como nombres, direcciones, fechas de
nacimiento, Social
Números de seguridad, registros de salud (incluidos registros médicos electrónicos o
EMR, y
registros médicos electrónicos o EHR) y datos financieros (como números de cuenta
bancaria)
y números de tarjeta de crédito)
Materiales clasificados (como información de seguridad militar o nacional)
Propiedad intelectual, secretos comerciales y otra empresa confidencial o propietaria
información
Términos clave
Según lo definido por HealthIT.gov, un registro médico electrónico (EMR) "contiene el
datos médicos y clínicos estándar reunidos en el consultorio de un proveedor ".
Según lo definido por HealthIT.gov, un registro electrónico de salud (EHR) "va más
allá del
datos recopilados en la oficina del proveedor e incluyen [s] una información más
completa
historia del paciente Los datos de EHR pueden ser creados, gestionados y consultados
por personal autorizado.
proveedores y personal de más de una organización de atención médica ".
Page 128
Una solución de seguridad DLP evita que los datos confidenciales se transmitan fuera
de la red por
un usuario, ya sea inadvertidamente o maliciosamente. Una solución DLP robusta puede
detectar la presencia de
ciertos patrones de datos incluso si los datos están encriptados.
Sin embargo, estas soluciones introducen una nueva vulnerabilidad potencial en la red
porque
tener visibilidad y la capacidad de descifrar todos los datos en la red. Otros métodos se
basan en
descifrado que ocurre en otro lugar, como en un dispositivo de seguridad web u otro
"hombre en el-
motor de descifrado medio ". Las soluciones DLP a menudo requieren muchas partes
móviles para enrutar efectivamente
tráfico hacia y desde motores de inspección, lo que puede aumentar la complejidad de la
resolución de problemas
Problemas de red.
2.6.6 Gestión unificada de amenazas
Los dispositivos de gestión unificada de amenazas (UTM) combinan numerosas
funciones de seguridad en una sola
aparato, que incluye:
Antimalware
Anti-spam
Filtrado de contenido
DLP
Cortafuegos (inspección con estado)
IDS / IPS
VPN
Los dispositivos UTM no realizan necesariamente ninguna de estas funciones de
seguridad mejor que sus
contrapartes independientes, pero sin embargo cumplen un propósito en pequeñas y
medianas empresas
redes como una solución conveniente y económica que le da a una organización un todo
en uno
dispositivo de seguridad. Las desventajas típicas de UTM incluyen:
En algunos casos, carecen de los conjuntos de funciones para hacerlos más asequibles.
Todas las funciones de seguridad usan el mismo procesador y recursos de memoria.
Habilitación de todos
Las funciones de un UTM pueden resultar en una caída de hasta un 97 por ciento en el
rendimiento y
rendimiento, en comparación con el rendimiento de gama alta sin características de
seguridad habilitadas.
A pesar de las numerosas funciones de seguridad que se ejecutan en la misma
plataforma, el individuo
Los motores funcionan en silos con poca o ninguna integración o cooperación entre
ellos.
Page 129
2.6.7 Información de seguridad y gestión de eventos.
Información de seguridad y herramientas de software de gestión de eventos (SIEM) y
servicios gestionados
Proporcionar monitoreo en tiempo real, correlación de eventos, análisis y notificación
de alertas de seguridad.
generado por varios dispositivos y aplicaciones de red.
130
1. Verdadero o falso. Un cortafuegos dinámico de filtrado de paquetes inspecciona a
cada individuo
paquete durante una sesión para determinar si se debe permitir el tráfico,
bloqueado o dejado caer por el firewall.
2. Opción múltiple. ¿Cuáles son las tres características de los firewalls de aplicaciones?
(Elige tres.)
a) representa el tráfico en lugar de permitir la comunicación directa entre
Hospedadores
b) se puede usar para implementar una autenticación de usuario fuerte
c) enmascara la red interna de redes no confiables
d) es extremadamente rápido y no tiene impacto en el rendimiento de la red
3. Respuesta corta. Describa brevemente la diferencia principal entre intrusión
sistemas de detección y sistemas de prevención de intrusiones.
4. Opción múltiple. ¿Qué tecnología VPN se considera actualmente la
método preferido para conectar de forma segura un dispositivo de punto final remoto a
una red empresarial? (Elige uno.)
a) protocolo de túnel punto a punto (PPTP)
b) protocolo de túnel de socket seguro (SSTP)
c) Capa de sockets seguros (SSL)
d) Seguridad del protocolo de Internet (IPsec)
5. Opción múltiple. Que NO es una característica de la amenaza unificada
Gestión (UTM)? (Elige uno.)
a) Combina funciones de seguridad como firewalls, detección de intrusos
sistemas (IDS), antimalware y prevención de pérdida de datos (DLP) en un
electrodoméstico individual.
b) habilitar todas las funciones de seguridad en un dispositivo UTM puede tener un
Impacto significativo en el rendimiento.
c) Integra completamente todas las funciones de seguridad instaladas en el dispositivo.
d) Puede ser una solución conveniente para redes pequeñas.
Página 131
2.7 Seguridad de punto final
La seguridad de punto final tradicional abarca numerosas herramientas de seguridad,
como antimalware
software, software anti-spyware, firewalls personales, sistemas de prevención de
intrusiones basados en host
(HIPS) y software de administración de dispositivos móviles (MDM). También hay un
punto final efectivo
mejores prácticas de seguridad, incluida la gestión de parches y la gestión de la
configuración.
2.7.1 Anti-malware
La prevención de malware, más específicamente, el software antivirus, ha sido uno de
los primeros y más
principios básicos de seguridad de la información desde principios de los años ochenta.
Desafortunadamente, todo esto se ganó con esfuerzo
La experiencia no significa necesariamente que se esté ganando la guerra. Por ejemplo,
Trustwave's 2015
Global Security Report encontró que la infección para la detección de malware "en la
naturaleza" requiere un
promedio de 188 días. 31 Curiosamente, los ataques de día cero basados en la web, en
promedio, permanecen "en el
salvaje "hasta cuatro veces más que las amenazas basadas en correo electrónico debido
a factores que incluyen al usuario
conocimiento de las amenazas transmitidas por correo electrónico, disponibilidad y uso
de soluciones de seguridad de correo electrónico (como anti
spam y antivirus), y el uso preferido de la web como vector de amenaza por los
desarrolladores de malware.
Esta pobre "tasa de captura" se debe a varios factores. Algunos malware pueden mutar o
pueden ser
actualizado para evitar la detección de firmas antimalware tradicionales. Además, el
malware avanzado es
cada vez más especializado hasta el punto en que un atacante puede desarrollar malware
personalizado que es
dirigido contra un individuo u organización específica.
El software antimalware tradicional utiliza varios enfoques para detectar y responder al
malware
amenazas, incluidas la firma, el contenedor, la lista blanca de aplicaciones y las
anomalías:
técnicas basadas.
31 "Informe de seguridad global de Trustwave 2015", Trustwave, 2015, https://www2.trustwave.com/GSR2015.html.
Nota
Con la proliferación de malware avanzado, como troyanos de acceso remoto
(RAT), anti-AV y rootkits / bootkits (discutidos en la Sección 1.4.1), seguridad
los proveedores han cambiado el nombre de sus soluciones antivirus en gran medida
como "antimalware" y
expandió sus protecciones de malware para abarcar el malware más amplio
clasificaciones
Page 132
2.7.1.1 Basado en firma
El software antivirus (o antimalware) basado en firmas es el más antiguo y el más
utilizado
enfoque para detectar e identificar malware en puntos finales. Este enfoque requiere
seguridad
proveedores para recopilar continuamente muestras de malware, crear archivos de firma
coincidentes para aquellos
muestras y distribuir esos archivos de firma como actualizaciones para sus productos de
seguridad de punto final para
Todos sus clientes.
La implementación del software antivirus basado en firmas requiere la instalación de un
motor que normalmente
tiene acceso a nivel de kernel a los recursos del sistema de un punto final. Software
antivirus basado en firmas
escanea el disco duro y la memoria de un punto final, en función de una programación
predefinida y en tiempo real
cuando se accede a un archivo. Si se detecta una firma de malware conocida, el software
realiza una
acción predefinida, como:
• Cuarentena. Aísla el archivo infectado para que no pueda infectar el punto final u
otros archivos
• Eliminar. Elimina el archivo infectado.
• Alerta. Notifica al usuario (y / o administrador del sistema) que se ha detectado
malware
Las firmas actualizadas deben descargarse regularmente y con frecuencia del proveedor
de seguridad y
instalado en los puntos finales de la organización. Descargar y procesar archivos de
firma en este
manera puede causar degradaciones notables de rendimiento en las redes y puntos
finales en
que están corriendo
Aunque el enfoque basado en firmas es muy popular, su efectividad es limitada. Por
diseño, se
es una contramedida reactiva porque no se puede crear un archivo de firma para el
nuevo malware y
entregado hasta que el malware ya esté "en estado salvaje", durante el cual las redes y
los puntos finales
son ciegos a la amenaza: la notoria amenaza (o ataque) de día cero. La etiqueta de "día
cero" es
sin embargo, engañoso, porque el número de días desde el lanzamiento hasta la
detección promedia de 5 a 20
días (ver Figura 2-7).
Page 133
Figura 2-7: Tiempo promedio de detección por vector de aplicación
Primero se debe capturar e identificar una muestra de tráfico sospechoso nuevo o
desconocido antes de
La firma de detección puede ser creada por proveedores de seguridad. La nueva firma
debe ser
descargado e instalado en los puntos finales de una organización para proporcionar
protección.
Este proceso significa que algunos usuarios y redes serán violados con éxito por nuevos
malware hasta que se cree, descargue e instale una nueva firma de detección. Esta
reactiva
El modelo crea una ventana de oportunidad para los atacantes, dejando vulnerables los
puntos finales.
a veces durante semanas o incluso meses, hasta que se sospeche, recopile, analice un
nuevo malware
e identificado. Durante este tiempo, los atacantes pueden infectar redes y puntos finales.
Otro desafío para el enfoque basado en firmas es que millones de nuevas variaciones de
malware
se crean cada año, en promedio, alrededor de 20,000 nuevos formularios diarios, para
los cuales firmas únicas
debe escribirse, probarse e implementarse, una vez que se descubre la nueva variación
de malware y
muestreado A pesar de que el 70 por ciento de estas millones de variaciones de malware
se basan en
un número relativamente limitado de "familias" de malware, con solo siete en 2005 y
aumentó a solo 20 en la última década 32 : este enfoque reactivo no es efectivo para
protección de puntos finales contra amenazas modernas de malware.
32 Ibid.
00
2
44
66
8
10
12
14
dieciséis
18 años
20
Buscando en la web
Otras aplicaciones web
Compartición de archivos
Correo electrónico
20
19,7
19,3
5.3
Fuente: Palo Alto Networks, Modern Mallware Review
Page 134
Además, el malware avanzado utiliza técnicas como el metamorfismo y el polimorfismo
para tomar
ventaja de las debilidades inherentes de la detección basada en firmas para evitar ser
descubierto
en la naturaleza y para eludir las firmas que ya se han creado. Estas técnicas son
tan comúnmente utilizado que "entre el 70 y el 90 por ciento de las muestras de
malware [recolectadas] hoy en día son exclusivas de un
organización única ". 33
2.7.1.2 Basado en contenedor
La protección de punto final basada en contenedores envuelve una barrera virtual
protectora alrededor de los vulnerables
procesa mientras se están ejecutando. Si un proceso es malicioso, el contenedor lo
detecta y lo cierra
abajo, evitando que dañe otros procesos o archivos legítimos en el punto final.
Sin embargo, el enfoque basado en contenedores generalmente requiere una cantidad
significativa de computación
sobrecarga de recursos y se han demostrado ataques que eluden o deshabilitan el
contenedor
protección basada. Este enfoque también requiere conocimiento de las aplicaciones que
deben ser
protegidos y cómo interactúan con otros componentes de software. Entonces, una
herramienta de contenedorización
será desarrollado para soportar ciertas aplicaciones comunes, pero no será capaz de
proteger
la mayoría del software patentado o específico de la industria. Incluso los
complementos del navegador web y similares pueden tener
problemas para funcionar correctamente dentro de un entorno basado en contenedor.
2.7.1.3 Lista blanca de aplicaciones
La lista blanca de aplicaciones es otra técnica de protección de punto final que se usa
comúnmente para
evitar que los usuarios finales ejecuten aplicaciones no autorizadas, incluido malware,
en sus
puntos finales
La lista blanca de aplicaciones requiere un modelo de control positivo en el que no hay
aplicaciones
se permite ejecutar en el punto final a menos que la política de la lista blanca lo permita
explícitamente. En
práctica, la lista blanca de aplicaciones requiere un gran esfuerzo administrativo para
establecer y mantener
Una lista de solicitudes aprobadas. Este enfoque se basa en la premisa de que si crea una
lista de
aplicaciones que están específicamente permitidas y luego impiden la ejecución de
cualquier otro archivo, usted
puede proteger el punto final. Aunque esta funcionalidad básica puede ser útil para
reducir el ataque
superficie, no es un enfoque integral para la seguridad del punto final.
Tendencias modernas como la computación móvil y en la nube, la consumerización y
BYOD / BYOA (todo
discutido en la Sección 1.1.1) hace que la lista blanca de aplicaciones sea
extremadamente difícil de aplicar en el
empresa. Además, una vez que una aplicación está en la lista blanca, se permite su
ejecución, incluso si el
33 Ibid.
Page 135
La aplicación tiene una vulnerabilidad que puede ser explotada. Un atacante puede
simplemente explotar un
aplicación en la lista blanca y tener un control completo del punto final objetivo
independientemente de
lista blanca Una vez que la aplicación ha sido explotada con éxito, el atacante puede
ejecutar
código malicioso mientras se mantiene toda la actividad en la memoria. Como no se
crean nuevos archivos y
ningún nuevo ejecutable intenta ejecutarse, el software de la lista blanca se vuelve
ineficaz contra esto
tipo de ataque
2.7.1.4 Detección de anomalías
Enfoques de seguridad de punto final que utilizan algoritmos matemáticos para detectar
actividad inusual en
un punto final se conoce como soluciones basadas en heurística, comportamiento o
detección de anomalías.
Este enfoque se basa primero en establecer una línea de base precisa de lo que se
considera "normal"
actividad. Este enfoque ha existido durante muchos años y requiere un conjunto de
datos muy grande para
Reducir el número de falsos positivos.
2.7.2 Anti-spyware
El software anti-spyware es muy similar al software antivirus tradicional porque usa
firmas
para buscar otras formas de malware más allá de los virus, como adware, aplicaciones
web maliciosas
componentes y otras herramientas maliciosas, que comparten los comportamientos de
los usuarios sin su permiso.
2.7.3 Cortafuegos personales
Los firewalls de red protegen una red empresarial contra amenazas de una red externa,
como
como internet Sin embargo, la mayoría de los firewalls de red basados en puertos
tradicionales hacen poco para proteger
puntos finales dentro de la red empresarial a partir de amenazas que se originan dentro
de la red,
como otro dispositivo que ha sido comprometido por malware y se está propagando a lo
largo
la red
Los cortafuegos personales (o basados en host) se instalan y configuran comúnmente en
la computadora portátil y
PC de escritorio. Los firewalls personales generalmente funcionan como firewalls de
capa 7 (capa de aplicación) que
permitir o bloquear el tráfico en función de una política de seguridad individual (o
grupal). Los firewalls personales son
Términos clave
En anti-malware, un falso positivo identifica incorrectamente un archivo legítimo o
aplicación como malware. Un falso negativo identifica incorrectamente el malware
como un
archivo o aplicación legítima. En la detección de intrusos, un falso positivo
incorrectamente
identifica el tráfico legítimo como una amenaza, y un falso negativo identifica
incorrectamente
Una amenaza como tráfico legítimo.
Page 136
particularmente útil en computadoras portátiles utilizadas por usuarios remotos o
viajeros que conectan su computadora portátil
computadoras directamente a internet, por ejemplo, a través de una conexión Wi-Fi
pública. Además, un personal
el firewall puede controlar el tráfico saliente desde el punto final para ayudar a prevenir
la propagación de malware
desde ese punto final. Sin embargo, tenga en cuenta que deshabilitar u omitir un firewall
personal es
objetivo común y básico en el malware más avanzado de la actualidad.
Firewall de Windows es un ejemplo de firewall personal que se instala como parte de
Windows
sistema operativo de escritorio o móvil. Un firewall personal solo protege el dispositivo
de punto final que
está instalado, pero proporciona una capa adicional de protección dentro de la red.
2.7.4 Sistemas de prevención de intrusiones basados en el host
(HIPS)
HIPS es otro enfoque para la protección de punto final que se basa en un agente
instalado en el
punto final para detectar malware. HIPS puede estar basado en firmas o en anomalías, y
es
por lo tanto, susceptible a los mismos problemas que otras firmas y puntos finales
basados en anomalías
enfoques de protección.
Además, el software HIPS a menudo causa una degradación significativa del
rendimiento en los puntos finales. Un reciente
La encuesta de Palo Alto Networks encontró que el 25 por ciento de los encuestados
indicó soluciones HIPS
"Causó un impacto significativo en el rendimiento del usuario final".
2.7.5 Gestión de dispositivos móviles
El software de administración de dispositivos móviles (MDM) proporciona seguridad
de punto final para dispositivos móviles
como teléfonos inteligentes y tabletas. Capacidades de administración centralizada para
dispositivos móviles.
proporcionado por MDM incluye:
• Prevención de pérdida de datos (DLP): restrinja el tipo de datos que pueden
almacenarse o transmitirse
desde el dispositivo
• Cumplimiento de políticas: requiere códigos de acceso, habilita el cifrado, bloquea la
configuración de seguridad,
y evitar el jailbreak o rooting , por ejemplo
• Protección contra malware: detecta y previene malware móvil
• Distribución de software: instale software de forma remota, incluidos parches y
actualizaciones a través de un
red celular o wifi
• Borrado / borrado remoto: elimine de forma segura y remota el contenido completo
de un archivo perdido o
dispositivo robado
137
• Servicios de geo-cercado y ubicación: restrinja la funcionalidad específica en el
dispositivo según
su ubicación física
Términos clave
El jailbreak se refiere a la piratería de un dispositivo Apple iOS para obtener acceso de
nivel raíz a
dispositivo. El jailbreak a veces lo realizan los usuarios finales para permitirles
descargar
e instalar aplicaciones móviles sin pagar por ellas, desde fuentes distintas de
App Store, que no está sancionada y / o controlada por Apple. Jailbreak
omite las características de seguridad del dispositivo al reemplazar el firmware
sistema operativo con una versión similar, aunque falsificada, que lo hace
vulnerable a malware y exploits. Jailbreak es conocido como rooting en Google
Dispositivos Android.
1. Verdadero o falso. El software antimalware basado en firmas se considera un
contramedida de seguridad proactiva.
la protección del punto final envuelve un
barrera virtual protectora alrededor de procesos vulnerables mientras se ejecutan.
3. Respuesta corta. ¿Cuál es la principal desventaja de la lista blanca de aplicaciones?
relacionado con la prevención de exploits?
4. Opción múltiple. ¿Cuáles son tres gestión típica de dispositivos móviles?
capacidades de software? (Elige tres.)
a) prevención de pérdida de datos (DLP)
b) aplicación de políticas
c) detección de intrusos
d) prevención de malware
Page 138
2.8 Seguridad en la nube, virtualización y almacenamiento
La computación en la nube y la virtualización (discutidas en las Secciones 1.1.1, 1.1.3 y
1.1.4) son dos
importantes tendencias informáticas modernas. A medida que los datos continúan
creciendo de manera exponencial, local y
La capacidad de almacenamiento remoto se ha convertido en un desafío siempre
presente, y las organizaciones están
confiando cada vez más en las ofertas de servicios de almacenamiento basados en la
nube. Computación en la nube, virtualización,
y las tecnologías de almacenamiento local y remoto se analizan en las siguientes
secciones.
2.8.1 Computación en la nube
El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) define la
computación en la nube en
Publicación especial (SP) 800-145 como "un modelo para permitir ubicuo, conveniente
y bajo demanda
acceso de red a un grupo compartido de recursos informáticos configurables (como
redes,
servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y
liberar rápidamente con
mínimo esfuerzo de gestión o interacción del proveedor de servicios ".
NIST define tres modelos distintos de servicios de computación en la nube:
Software como servicio (SaaS). Los clientes tienen acceso a una aplicación que se
ejecuta
en una infraestructura en la nube. Se puede acceder a la aplicación desde varios
dispositivos cliente y
interfaces, pero el cliente no tiene conocimiento y no gestiona ni controla el
infraestructura de nube subyacente. El cliente puede tener acceso a usuarios específicos
limitados
la configuración de la aplicación y la seguridad de los datos del cliente sigue siendo
responsabilidad de
cliente.
Plataforma como servicio (PaaS). Los clientes pueden implementar aplicaciones
compatibles en el
infraestructura en la nube del proveedor, pero el cliente no tiene conocimiento de, y no
gestionar o controlar la infraestructura de nube subyacente. El cliente tiene control sobre
las aplicaciones implementadas y las configuraciones de configuración limitadas para el
alojamiento de aplicaciones
medio ambiente. La empresa es propietaria de las aplicaciones y los datos
implementados, y por lo tanto es
responsable de la seguridad de esas aplicaciones y datos.
Infraestructura como servicio (IaaS). Los clientes pueden aprovisionar
procesamiento, almacenamiento,
redes y otros recursos informáticos e implementar y ejecutar sistemas operativos y
aplicaciones. Sin embargo, el cliente no tiene conocimiento y no gestiona ni
control, la infraestructura de nube subyacente. El cliente tiene control sobre la
operación.
sistemas, almacenamiento y aplicaciones implementadas, junto con algunos
componentes de red
(por ejemplo, servidores de seguridad de host). La empresa es propietaria de las
aplicaciones y datos implementados,
y, por lo tanto, es responsable de la seguridad de esas aplicaciones y datos.
Page 139
NIST también define estos cuatro modelos de implementación de computación en la
nube:
Público. Una infraestructura en la nube abierta al uso del público en general. Es de su
propiedad,
administrado y operado por un tercero (o terceros) y existe en el proveedor de la nube
local.
Comunidad. Una infraestructura en la nube que es utilizada exclusivamente por un
grupo específico de
organizaciones.
Privado. Una infraestructura en la nube que es utilizada exclusivamente por una sola
organización. Puede ser
propiedad, administrado y operado por la organización o un tercero (o una combinación
de
ambos), y puede existir dentro o fuera de las instalaciones.
Híbrido. Una infraestructura en la nube que comprende dos o más de los mencionados
modelos de implementación, vinculados por tecnología estandarizada o patentada que
permite datos
y portabilidad de aplicaciones (por ejemplo, conmutación por error a un centro de datos
secundario para desastres
recuperación o redes de entrega de contenido en varias nubes).
Los riesgos de seguridad que amenazan su red hoy en día no cambian cuando se muda a
nube. El modelo de responsabilidad compartida define quién (cliente y / o proveedor)
es responsable
para qué (relacionado con la seguridad) en la nube pública.
En términos generales, el proveedor de la nube es responsable de la seguridad "de" la
nube, incluida la
seguridad física de los centros de datos en la nube y redes, almacenamiento, cómputo
fundamentales,
y servicios de virtualización. El cliente de la nube es responsable de la seguridad "en" la
nube, que
está delineado aún más por el modelo de servicio en la nube (ver Figura 2-8).
140
Figura 2-8: El modelo de responsabilidad compartida
Por ejemplo, en un modelo de infraestructura como servicio (IaaS), el cliente de la nube
es responsable
para la seguridad de los sistemas operativos, middleware, tiempo de ejecución,
aplicaciones y datos. en un
modelo de plataforma como servicio (PaaS), el cliente de la nube es responsable de la
seguridad de
aplicaciones y datos y el proveedor de la nube es responsable de la seguridad de la
operación
sistemas, middleware y tiempo de ejecución. En un modelo SaaS, el cliente de la nube
es responsable solo de
la seguridad de los datos y el proveedor de la nube es responsable de la pila completa
desde el físico
seguridad de los centros de datos en la nube a la aplicación. Multitenencia en entornos
de nube,
particularmente en los modelos SaaS, significa que los controles y recursos del cliente
son necesariamente limitados
por el proveedor de la nube.
2.8.2 Virtualización
La tecnología de virtualización emula recursos informáticos reales o físicos, como
servidores
(cómputo), almacenamiento, redes y aplicaciones. La virtualización permite múltiples
aplicaciones o
cargas de trabajo del servidor para ejecutarse independientemente en uno o más recursos
físicos.
141
Un hipervisor permite que múltiples sistemas operativos virtuales ("invitados") se
ejecuten simultáneamente en un solo
computadora host física El hipervisor funciona entre el sistema operativo de la
computadora y
El núcleo de hardware. Hay dos tipos de hipervisores:
Tipo 1 ( metal nativo o desnudo ). Se ejecuta directamente en el hardware de la
computadora host
Tipo 2 ( alojado ). Se ejecuta dentro de un entorno de sistema operativo.
La virtualización es una tecnología clave utilizada en centros de datos y computación en
la nube para optimizar
recursos Las consideraciones de seguridad importantes asociadas con la virtualización
incluyen:
Máquinas virtuales inactivas (VM). En muchos centros de datos y entornos de nube,
inactivo
Las máquinas virtuales se apagan de forma rutinaria (a menudo automáticamente)
cuando no están en uso. VM que
se apagan por períodos prolongados (semanas o meses) pueden ser inadvertidamente
se pierde cuando se aplican actualizaciones antimalware y parches de seguridad.
Vulnerabilidades de hipervisor. Además de las vulnerabilidades dentro de las
aplicaciones alojadas,
VM y otros recursos en un entorno virtual, el hipervisor en sí puede ser
vulnerable, que puede exponer los recursos alojados al ataque.
Comunicaciones intra-VM. Tráfico de red entre hosts virtuales, particularmente en un
servidor físico único, no puede atravesar un interruptor físico. Esta falta de visibilidad
aumenta
solucionar problemas de complejidad y puede aumentar los riesgos de seguridad debido
a la insuficiencia
capacidades de monitoreo y registro.
Expansión de VM. Los entornos virtuales pueden crecer rápidamente, lo que lleva a un
colapso en el cambio
procesos de administración y exacerbando problemas de seguridad como máquinas
virtuales inactivas,
vulnerabilidades de hipervisor y comunicaciones intra-VM.
Términos clave
Un hipervisor permite ejecutar múltiples sistemas operativos virtuales (o invitados)
simultáneamente en una sola computadora host física.
Un hipervisor nativo (también conocido como Tipo 1 o metal desnudo ) se ejecuta
directamente en el
hardware de la computadora host.
Un hipervisor alojado (también conocido como Tipo 2 ) se ejecuta dentro de un sistema
operativo
medio ambiente.
Page 142
2.8.3 Almacenamiento local y remoto
Tres tecnologías básicas de almacenamiento se utilizan comúnmente en el
almacenamiento local y remoto:
Bloquear. En el almacenamiento de datos, un bloque es una secuencia de bits o bytes
de una longitud o tamaño fijo, para
ejemplo, 512 bytes. Dispositivos como computadoras, servidores y redes de área de
almacenamiento.
(SAN) acceden al almacenamiento basado en bloques a través de varias interfaces,
incluidas las avanzadas
conexión de tecnología (ATA), protocolo de canal de fibra (FCP), Internet SCSI
(iSCSI), serie
SCSI conectado (SAS), ATA serie (SATA) e interfaz de sistema de computadora
pequeña (SCSI).
Antes de poder usar el almacenamiento basado en bloques, debe crear un volumen,
instalar un dispositivo operativo
sistema y monte (o adjunte) el dispositivo de almacenamiento.
Expediente. Los sistemas de almacenamiento basados en archivos, como el
almacenamiento conectado a la red (NAS), generalmente se ejecutan
su propio sistema operativo y gestionan el control de acceso y los permisos utilizando
inodos .
Se accede a los sistemas de almacenamiento basados en archivos mediante protocolos
como Common Internet File
Sistema (CIFS), Sistema de archivos de red (NFS) y Bloque de mensajes del servidor
(SMB). Basado en archivos
el almacenamiento generalmente requiere asignar una letra de unidad o ruta de red al
dispositivo de almacenamiento.
Objeto. Los sistemas de almacenamiento basados en objetos utilizan contenedores de
datos de tamaño variable, conocidos como
objetos, que se organizan en un espacio de direcciones planas en lugar de un archivo
jerárquico
sistema como una estructura basada en directorios. Los sistemas de almacenamiento
basados en objetos se utilizan para
gestionar grandes depósitos de contenido que contienen varios petabytes de datos y
miles de millones de
objetos. Los usuarios suelen acceder al almacenamiento basado en objetos utilizando un
navegador web o un
aplicación que usa una interfaz HTTP para interactuar con el dispositivo de
almacenamiento.
Términos clave
Los inodos son estructuras de datos que almacenan información sobre archivos y
directorios en un
sistema de almacenamiento basado en archivos, pero no los nombres de archivos o el
contenido de datos en sí.
Page 143
2.9 Conceptos de redes
Los conceptos importantes de redes y operaciones cubiertos en esta sección incluyen
servidor y
administración del sistema, servicios de directorio, solución de problemas, mejores
prácticas de TI y técnicas
apoyo.
1. Opción múltiple. Cuáles son los tres modelos de servicios de computación en la
nube definidos por
NIST? (Elige tres.)
a) software como servicio (SaaS)
b) plataforma como servicio (PaaS)
c) escritorio como servicio (DaaS)
d) infraestructura como servicio (IaaS)
la infraestructura en la nube comprende dos
o más modelos de implementación en la nube, vinculados por estándares o propietarios
Tecnología que permite la portabilidad de datos y aplicaciones.
3. Complete el espacio en blanco. los
define quién
(cliente y / o proveedor) es responsable de lo que, relacionado con la seguridad, en el
nube pública
permite múltiples operaciones virtuales
sistemas para ejecutarse simultáneamente en una sola computadora host física.
5. Opción múltiple. Cuáles son las tres consideraciones importantes de seguridad
asociado con la virtualización? (Elige tres.)
a) máquinas virtuales inactivas
b) vulnerabilidades del hipervisor
c) expansión del hipervisor
d) comunicaciones intra-VM
6. Complete el espacio en blanco. Una red de área de almacenamiento (SAN) utiliza
-establecido
almacenamiento.
Page 144
2.9.1 Servidor y administración del sistema
Los administradores de servidores y sistemas realizan una variedad de tareas
importantes en una red
medio ambiente. Las tareas típicas de administración del servidor y del sistema
incluyen:
Aprovisionamiento y desaprovisionamiento de cuentas
Administrar permisos de cuenta
Instalar y mantener software de servidor
Mantener y optimizar servidores, aplicaciones, bases de datos (pueden asignarse a un
administrador de base de datos) y dispositivos de red (pueden asignarse a una red
administrador) y dispositivos de seguridad (pueden asignarse a un administrador de
seguridad)
Instalar parches de seguridad
Sistema de gestión y respaldo y recuperación de datos
Supervisión de la comunicación de red y los registros del servidor
Solución de problemas y resolución de problemas del servidor y del sistema
2.9.1.1 Gestión de parches
Cada año se descubren nuevas vulnerabilidades y vulnerabilidades de software que
requieren un software diligente.
gestión de parches por administradores de sistemas y seguridad en cada organización.
Sin embargo, la administración de parches solo protege los puntos finales de una
organización después de que una vulnerabilidad tiene
descubierto y el parche instalado. Los retrasos de días, semanas o más son inevitables.
porque los parches de seguridad para vulnerabilidades recién descubiertas deben
desarrollarse, distribuirse,
probado y desplegado. Aunque el manejo de parches es un aspecto importante de
cualquier información
programa de seguridad, como la detección antimalware basada en firmas, es una carrera
interminable contra el tiempo
que no ofrece protección contra exploits de día cero.
2.9.1.2 Gestión de configuración
La gestión de la configuración es el proceso formal utilizado por las organizaciones para
definir y mantener
configuraciones estándar para aplicaciones, dispositivos y sistemas a lo largo de su ciclo
de vida. por
ejemplo, un modelo de PC de escritorio en particular puede ser configurado por una
organización con
configuraciones de seguridad como habilitar el cifrado de todo el disco y deshabilitar
los puertos USB. Dentro de
sistema operativo de escritorio, configuraciones de seguridad como deshabilitar
servicios innecesarios y riesgosos (para
ejemplo, FTP y Telnet) pueden configurarse. Mantenimiento de configuraciones
estándar en
Page 145
Las aplicaciones, dispositivos y sistemas utilizados por una organización ayudan a
reducir la exposición al riesgo y
Mejorar la postura de seguridad.
2.9.2 Servicios de directorio
Un servicio de directorio es una base de datos que contiene información sobre usuarios,
recursos y servicios.
en una red El servicio de directorio asocia usuarios y permisos de red para controlar
quién
tiene acceso a qué recursos y servicios en la red. Los servicios de directorio incluyen:
Directorio Activo. Un servicio de directorio centralizado desarrollado por Microsoft
para Windows
redes para proporcionar autenticación y autorización de usuarios y recursos de red.
Active Directory utiliza el protocolo ligero de acceso a directorios (LDAP), Kerberos y
el
Sistema de nombres de dominio (DNS, discutido en la Sección 2.1.5)
Protocolo ligero de acceso a directorios (LDAP). Un protocolo cliente-servidor
basado en IP que
proporciona acceso y administra la información del directorio en redes TCP / IP
2.9.3 Solución de problemas estructurados de host y red
Una red o segmento de una red que se cae podría tener un impacto negativo en su
organización o negocio. Los administradores de red deben usar un proceso sistemático
para
Solucionar problemas de red cuando ocurren para restaurar la red a producción
completa como
lo más rápido posible sin causar nuevos problemas o introducir nuevas vulnerabilidades
de seguridad. los
proceso de solución de problemas realizado por un administrador de red para resolver
problemas de red
rápida y eficiente es una habilidad muy buscada en TI.
Dos de las tareas de resolución de problemas más importantes que realiza un
administrador de red ocurren durante mucho tiempo
antes de que ocurra un problema de red: referencia y documentación de la red.
Una línea de base proporciona métricas cuantificables que se miden periódicamente con
varias redes.
herramientas de monitoreo de rendimiento, analizadores de protocolos y rastreadores de
paquetes. Las métricas importantes pueden
incluyen tiempos de respuesta de la aplicación, memoria del servidor y utilización del
procesador, promedio y pico
rendimiento de la red y operaciones de entrada / salida de almacenamiento por segundo.
Estas métricas de referencia
proporcionar una instantánea importante de las operaciones de red "normales" para
ayudar a los administradores de red
Términos clave
Kerberos es un protocolo de autenticación basado en tickets en el que se utilizan
"tickets" para
Identificar usuarios de la red.
Page 146
Identificar problemas inminentes, solucionar problemas actuales y saber cuándo un
problema tiene
ha sido completamente resuelto
La documentación de la red debe incluir diagramas lógicos y físicos, flujos de datos de
aplicaciones,
registros de gestión de cambios, manuales de usuario y administración, y garantía y
soporte
información. Las líneas de base y la documentación de la red deben actualizarse en
cualquier momento
se produce un cambio en la red y como parte del proceso de gestión de cambios de un
organización.
Se han publicado muchas metodologías formales de solución de problemas de varios
pasos y varias
Las organizaciones o los administradores de red individuales pueden tener su propio
método preferido.
En términos generales, la solución de problemas consta de estos pasos:
1. Descubre el problema.
2. Evaluar la configuración del sistema contra la línea de base.
3. Rastrear posibles soluciones.
4. Ejecute un plan.
5. Verificar los resultados.
6. Verificar la solución. (Si no tiene éxito, regrese al Paso 2; si tiene éxito, continúe
con el Paso 7.)
7. Implemente una solución positiva.
La solución de problemas de conectividad de host y red generalmente comienza con el
análisis de
alcance del problema e identificación de los dispositivos y servicios afectados.
Problemas con
Los hosts locales suelen ser mucho más fáciles de evaluar y solucionar que los
problemas que afectan a una red
segmento o servicio. Para un dispositivo individual que pierde conectividad de red, el
problema
a veces se puede resolver fácilmente simplemente reiniciando el dispositivo. Sin
embargo, problemas con
Los servicios integrados o compartidos, por ejemplo, servicios web o de archivos,
pueden ser complejos y reiniciar
un servicio o reiniciar un dispositivo puede agravar el problema. Problemas de
conectividad
puede ser intermitente o difícil de rastrear, por lo que es importante que sus procesos de
solución de problemas
seguir una metodología aprobada o estandarizada.
El modelo OSI (discutido en la Sección 2.3.1) proporciona un modelo lógico para
solucionar problemas complejos
problemas de host y red. Dependiendo de la situación, puede usar el método de abajo
hacia arriba, de arriba hacia abajo,
o enfoque de "divide y vencerás" discutido en los siguientes párrafos cuando utilizas el
OSI
modelo para guiar sus esfuerzos de solución de problemas. En otras situaciones, puede
hacer una "educación
adivinar "sobre el origen del problema y comenzar a investigar en la capa
correspondiente del
Page 147
Modelo OSI, o use el método de sustitución (reemplazando un componente defectuoso
con un bien conocido
componente) para identificar y aislar rápidamente la causa del problema.
Cuando utiliza un enfoque ascendente para diagnosticar problemas de conectividad,
comienza en
Capa física del modelo OSI verificando las conexiones de red y la disponibilidad del
dispositivo. por
Por ejemplo, un dispositivo inalámbrico puede encender la antena o el transceptor
temporalmente
apagado. O bien, un punto de acceso inalámbrico puede haber perdido energía debido a
que un interruptor de circuito puede haber sido
se desconectó sin conexión o se ha quemado un fusible. Del mismo modo, una conexión
de cable de red puede ser
suelto o el cable puede dañarse. Por lo tanto, antes de comenzar a inspeccionar
arquitecturas de servicio,
debe comenzar con lo básico: confirme la conectividad física.
Al pasar a la capa de enlace de datos, verifica las arquitecturas de enlace de datos, como
la compatibilidad con un
estándar particular o tipo de marco. Aunque Ethernet es un estándar de red LAN
predominante,
los dispositivos que deambulan (como los dispositivos inalámbricos) a veces cambian
automáticamente entre Wi-Fi,
Bluetooth y redes Ethernet. Las redes inalámbricas generalmente tienen encriptación
especificada
normas y claves. La conectividad puede perderse debido a que un dispositivo o servicio
de red ha sido
restaurado a una configuración anterior y el dispositivo no responde a las solicitudes de
punto final que son
utilizando diferentes configuraciones. Los firewalls y otras políticas de seguridad
también pueden interferir con
solicitudes de conexión. Nunca debe deshabilitar los firewalls, sino en una red
controlada
entorno con los procedimientos adecuados establecidos, puede encontrar que deshabilita
temporalmente o
Eludir un dispositivo de seguridad resuelve un problema de conectividad. El remedio
entonces es apropiadamente
configurar servicios de seguridad para permitir las conexiones requeridas.
Varios problemas de conectividad también pueden ocurrir en la capa de red. Solución de
problemas importantes
Los pasos incluyen la confirmación de nombres y direcciones de red adecuados. Los
dispositivos pueden tener incorrectamente
direcciones IP asignadas que están causando problemas de enrutamiento o conflictos de
direcciones IP en la red. UNA
el dispositivo puede tener una dirección IP configurada incorrectamente porque no
puede comunicarse con un
Servidor DHCP en la red. Del mismo modo, las redes tienen identidades diferentes,
como inalámbricas
SSID, nombres de dominio y nombres de grupos de trabajo. Otro problema común
existe cuando un
una red particular tiene nombres o direcciones en conflicto. Los problemas con los
solucionadores de nombres DNS pueden ser
causado por los servicios de almacenamiento en caché de DNS o la conexión a los
servidores DNS incorrectos. El control de internet
El protocolo de mensajes (ICMP) se utiliza para el control y diagnóstico de la red en la
capa de red de
El modelo OSI. Los comandos ICMP de uso común incluyen ping y traceroute . Estos
dos
comandos simples pero potentes (y otros comandos y opciones ICMP) son algunos de
los más
herramientas comúnmente utilizadas para solucionar problemas de conectividad de red.
Puedes ejecutar ICMP
comandos que usan la interfaz de línea de comandos en computadoras, servidores,
enrutadores, conmutadores y
muchos otros dispositivos en red.
148 de 1189.
En la capa de transporte, las comunicaciones son más complejas. Latencia y congestión
de red
puede interferir con las comunicaciones que dependen de reconocimientos oportunos y
apretones de manos.
los valores de tiempo de vida (TTL) a veces tienen que ampliarse en la arquitectura del
servicio de red para
permitir tiempos de respuesta más lentos durante las horas pico de tráfico de red.
Problemas de congestión similares
puede ocurrir cuando se agregan nuevos servicios a una red existente o cuando un
dispositivo local activa un
servicio priorizado, como una copia de seguridad o escaneo antivirus.
La configuración de la capa de sesión también puede ser responsable de las conexiones
de red interrumpidas. Por ejemplo,
los dispositivos que entran automáticamente en modo de espera de energía
("suspensión") pueden haber expirado sesión
tokens que fallan cuando el dispositivo intenta reanudar la conectividad. En el servidor,
conmutación por error
las comunicaciones o negociaciones de "apretón de manos" con un servidor pueden no
traducirse a otro
servidores agrupados Es posible que las sesiones tengan que reiniciarse.
Los conflictos de la capa de presentación a menudo están relacionados con cambios en
las claves de cifrado o actualizaciones de
arquitecturas de servicio que no son compatibles con diferentes dispositivos cliente. Por
ejemplo, un mayor
el navegador no puede interactuar con un script o un nuevo estándar de codificación.
Los problemas de conectividad de la red de la capa de aplicación son extremadamente
comunes. Muchas aplicaciones
puede entrar en conflicto con otras aplicaciones. Las aplicaciones también pueden tener
archivos en caché o corruptos que pueden ser
solo se soluciona desinstalando y reinstalando, o actualizando a una versión más nueva.
Algunas aplicaciones también
requieren conexiones persistentes a servicios de actualización o terceros, y seguridad de
red
la configuración puede evitar que se realicen esas conexiones.
Otros pasos para la resolución de problemas pueden incluir la búsqueda de anomalías y
archivos de registro significativos
eventos, verificando que los certificados o protocolos de autenticación adecuados estén
instalados y disponibles,
verificar la configuración de cifrado, borrar cachés de aplicaciones, actualizar
aplicaciones y, para
puntos finales, eliminando y reinstalando una aplicación. Buscar sitios de soporte
compatibles con proveedores y
foros y páginas de preguntas frecuentes (FAQ) antes de realizar cambios en la
instalación
servicios. También debe conocer los acuerdos de nivel de servicio (SLA) que su
organización
debemos reunirnos.
Siempre siga los pasos de solución de problemas adecuados, mantenga registros
precisos de cualquier cambio que
intente, documente sus cambios y publique cualquier remedio para que otros puedan
aprender de su
actividades de solución de problemas.
2.9.4 Fundamentos de ITIL
ITIL (anteriormente conocida como Biblioteca de Infraestructura de Tecnología de la
Información) es un conjunto de cinco volúmenes
de las mejores prácticas de gestión de servicios de TI:
Page 149
Estrategia de servicio. Aborda la gestión de estrategias de servicios de TI, cartera de
servicios
gestión, servicios financieros, gestión financiera, gestión de la demanda y negocios
gestión de relaciones
Diseño de servicio. Aborda coordinación de diseño, gestión de catálogo de servicios,
servicio
gestión de nivel, gestión de disponibilidad, gestión de capacidad, servicio de TI
gestión de continuidad, sistema de gestión de seguridad de la información y proveedor
administración
Transición de servicio. Aborda la planificación y el apoyo a la transición, la gestión
del cambio,
servicio de gestión de activos y configuración, gestión de lanzamiento e
implementación,
validación y prueba de servicios, evaluación de cambios y gestión del conocimiento
Operación de servicio. Aborda la gestión de eventos, gestión de incidentes, servicio
cumplimiento de solicitudes, gestión de problemas y gestión de acceso
Servicio de Mejoramiento contínuo. Define un proceso de siete pasos para mejorar
iniciativas, incluida la identificación de la estrategia, la definición de lo que se medirá,
la recopilación
los datos, procesando los datos, analizando la información y los datos, presentando y
utilizando
la información y la implementación de la mejora
2.9.5 Mesa de ayuda y soporte técnico
Una función importante en cualquier departamento de TI es la mesa de ayuda (o soporte
técnico). La ayuda
desk es el enlace del departamento de TI con los usuarios (o clientes) de una
organización.
Las mesas de ayuda se organizan comúnmente en varios niveles, por ejemplo, Soporte
al usuario (nivel 1),
Soporte de escritorio (nivel 2), Soporte de red (nivel 3). Problemas de usuario que no se
pueden resolver en el nivel 1
se escalan al nivel apropiado. Las medidas de rendimiento típicas para una mesa de
ayuda incluyen
acuerdos de nivel de servicio (SLA), tiempos de espera, resolución de primera llamada
y tiempo medio de reparación
(MTTR)
es un directorio de red
servicio desarrollado por Microsoft para redes Windows.
es un conjunto de mejores prácticas de gestión de servicios de TI.
Page 150
Módulo 3 - Fundamentos de seguridad
cibernética
Identifique las soluciones de seguridad que conforman el funcionamiento operativo de
seguridad de Palo Alto Networks.
Plataforma.
Discuta los componentes fundamentales de un firewall de próxima generación y
explique los elementos básicos.
operación de un firewall de próxima generación. Compare y contraste el tradicional
basado en puerto
firewalls y firewalls de próxima generación.
Describa la necesidad de una administración de seguridad de red centralizada y explique
sus beneficios.
a una organización.
Identifique los componentes principales del punto final avanzado de trampas de Palo
Alto Networks
Arquitectura de implementación de protección y explica cómo Traps protege los puntos
finales de
malware y exploits.
Enumere los requisitos para habilitar de forma segura los dispositivos móviles en la
empresa, identifique el
componentes primarios de GlobalProtect y describen la funcionalidad básica de
GlobalProtect.
Explicar la importancia del monitoreo continuo en tiempo real en la nube pública y
cómo
Evident permite a las organizaciones proteger y segmentar sus cargas de trabajo en la
nube pública,
Garantizar el cumplimiento normativo y de políticas continuo, y descubrir y clasificar
datos
dentro de contenedores y cubos.
Demostrar una comprensión de los riesgos de seguridad únicos basados en SaaS y cómo
Aperture
protege las aplicaciones y los datos basados en SaaS.
Describir los servicios de seguridad entregados en la nube de Palo Alto Networks dentro
de la aplicación
Servicio de marco y registro, que incluye análisis de comportamiento, gestión de
registros, amenaza
inteligencia, uso compartido de indicadores de amenazas y análisis de malware.
3.1 Plataforma operativa de seguridad
La plataforma operativa de seguridad de Palo Alto Networks (consulte la Figura 3-1) es
una plataforma completamente diseñada
enfoque de ciberseguridad integrado que ayuda a las organizaciones a obtener el control
de sus redes y
Proteger los activos críticos.
Page 151
Figura 3-1: Plataforma operativa de seguridad de Palo Alto Networks
La plataforma operativa de seguridad hace que la prevención, la acción y el control sean
integrales y centrales para
estrategia de seguridad empresarial. La plataforma operativa de seguridad proporciona
visualización, protección,
y capacidades de control para todo el tráfico de red, aplicaciones, usuarios y puntos
finales. Apretado
Las integraciones en toda la plataforma y con los socios (proveedores externos) ofrecen
resultados consistentes
seguridad en nubes, redes y dispositivos móviles. Las siguientes secciones describen el
Palo
Soluciones de Alto Networks que comprenden la Plataforma Operativa de Seguridad.
es un propósito construido, totalmente
enfoque de ciberseguridad integrado que ayuda a las organizaciones a controlar
sus redes y proteger activos críticos.
2. Opción múltiple. ¿Qué tres opciones son componentes clave de la seguridad?
Plataforma Operativa? (Elige tres.)
a) seguridad de red
b) protección de punto final avanzada
c) seguridad en la nube
d) seguridad de desarrollo de aplicaciones
Página 152
3.2 Seguridad de red
Los componentes de seguridad de red en la plataforma operativa de seguridad incluyen
Palo Alto Networks
firewalls de próxima generación (NGFW), la herramienta de migración Expedition y
Panorama para centralizado
gestión de seguridad de red.
3.2.1 Cortafuegos de próxima generación
Cambios fundamentales en el uso de la aplicación, el comportamiento del usuario y la
compleja infraestructura de red.
han creado un panorama de amenazas que expone las debilidades en la red tradicional
basada en puertos
cortafuegos Los usuarios finales desean acceder a un número cada vez mayor de
aplicaciones, que operan en
una amplia gama de tipos de dispositivos, a menudo con poca consideración por los
riesgos comerciales o de seguridad.
Mientras tanto, expansión del centro de datos, segmentación de red, virtualización y
movilidad.
Las iniciativas están obligando a las organizaciones a repensar cómo habilitar el acceso
a aplicaciones y datos,
mientras protegen sus redes de una nueva clase más sofisticada de amenazas avanzadas
que
evadir los mecanismos de seguridad tradicionales.
Los NGFW de Palo Alto Networks son el núcleo de la plataforma operativa de
seguridad. El NGFW inspecciona
todo el tráfico, incluidas aplicaciones, amenazas y contenido, y lo asocia con el usuario,
independientemente de la ubicación o el tipo de dispositivo. La aplicación, el contenido
y el usuario se vuelven integrales
componentes de la política de seguridad empresarial.
Los NGFW clasifican el tráfico de red en función de la identidad de la aplicación para
permitir la visibilidad y
control de todo tipo de aplicaciones que se ejecutan en redes empresariales. Lo esencial
funcional
Los requisitos para un NGFW efectivo incluyen:
Identificación de la aplicación. Identifique con precisión las aplicaciones
independientemente del puerto, protocolo,
técnicas evasivas o encriptación. Proporcione visibilidad de las aplicaciones y políticas
granulares.
control basado en aplicaciones, incluidas las funciones de aplicaciones individuales.
Identificación de usuario. Identifique con precisión a los usuarios y, posteriormente,
utilice la información de identidad.
como un atributo para el control de políticas.
Identificación de contenido. La identificación de contenido controla el tráfico basado
en completa
análisis de todo el tráfico permitido, utilizando prevención de amenazas múltiples y
prevención de pérdida de datos
técnicas en una arquitectura de un solo paso que integra completamente todas las
funciones de seguridad.
Los NGFW de Palo Alto Networks se basan en una arquitectura de un solo paso
(consulte la Figura 3-2), que es una
Integración única de software y hardware que simplifica la administración y agiliza
procesamiento y maximiza el rendimiento. La arquitectura de un solo paso integra
múltiples amenazas
disciplinas de prevención (IPS, antimalware, filtrado de URL, etc.) en un único motor
basado en transmisión
Page 153
con un formato de firma uniforme. Esta arquitectura permite analizar completamente el
tráfico en una sola
pase sin la degradación del rendimiento que se ve en las puertas de enlace multifunción.
El software está atado
directamente a una plataforma de hardware de procesamiento paralelo que utiliza
procesadores específicos de funciones para
prevención de amenazas, para maximizar el rendimiento y minimizar la latencia.
Figura 3-2: Los NGFW de Palo Alto Networks usan una arquitectura de un solo paso
El uso de un motor común significa que se obtienen dos beneficios clave. Primero, a
diferencia del archivo
proxies que necesitan descargar todo el archivo antes de que puedan escanear el tráfico,
un flujo basado
el motor escanea el tráfico en tiempo real, solo vuelve a ensamblar los paquetes según
sea necesario y solo en muy pequeños
cantidades. En segundo lugar, a diferencia de los enfoques tradicionales, todo el tráfico
se puede escanear con un solo
motor, en lugar de múltiples motores de escaneo.
3.2.1.1 Identificación de la aplicación
La tecnología de inspección de paquetes con estado, la base de la mayoría de los
firewalls heredados actuales, era
creado hace más de 25 años, en un momento en que las aplicaciones podían controlarse
utilizando puertos
e IP de origen / destino. La estricta adherencia a la clasificación y control basado en
puertos
la metodología es el elemento primario de la política; está codificado en la base y no
puede ser
apagado. Como resultado, muchas de las aplicaciones actuales no se pueden identificar
y mucho menos controladas.
Page 154
por el cortafuegos, y ninguna cantidad de clasificación de tráfico "después del hecho"
por los "ayudantes" del cortafuegos puede
corrija la clasificación basada en el puerto del firewall.
Establecer información de puerto y protocolo es un primer paso en la identificación de
la aplicación, pero es
insuficiente por sí mismo. La sólida identificación e inspección de aplicaciones en un
NGFW permite
control granular del flujo de sesiones a través del firewall. La identificación se basa en
el
aplicaciones específicas (como Skype, Gmail y WebEx) que se están utilizando, en
lugar de solo
confiando en el conjunto subyacente de servicios de comunicación de red a menudo
indistinguibles (ver
Figura 3-3).
Figura 3-3: La clasificación de tráfico centrada en la aplicación identifica aplicaciones específicas en la red,
independientemente del puerto y
protocolo en uso
La identificación de la aplicación proporciona visibilidad y control sobre el trabajo y no
trabajo
aplicaciones relacionadas que pueden evadir la detección por firewalls basados en
puertos heredados, por ejemplo, mediante
haciéndose pasar por tráfico legítimo, saltando puertos o pasando el firewall usando
encriptación.
La tecnología de identificación de aplicaciones en un NGFW de Palo Alto Networks no
se basa en un solo
elemento, como puerto o protocolo. En cambio, la identificación de la aplicación utiliza
múltiples mecanismos.
para determinar cuál es la aplicación, en primer lugar, y luego la identidad de la
aplicación
155 de 1189.
se convierte en la base de la política de firewall que se aplica a la sesión. Identificación
de la aplicación
es altamente extensible y, a medida que las aplicaciones continúan evolucionando, los
mecanismos de detección de aplicaciones
se puede agregar o actualizar para mantener el ritmo de la aplicación en constante
cambio
paisaje.
Tecnología de clasificación de tráfico de ID de aplicación
La primera tarea que ejecuta un NGFW de Palo Alto Networks es la identificación de
las aplicaciones
atravesando la red usando App-ID. App-ID utiliza un enfoque multifacético para
determinar el
aplicación, independientemente del puerto, protocolo, cifrado (SSL y SSH) u otras
tácticas evasivas
empleado. El número y el orden de los mecanismos de identificación utilizados para
identificar la aplicación.
variar, dependiendo de la aplicación. Las técnicas de identificación de la aplicación (ver
Figura 3-4)
utilizado incluye:
Detección y descifrado de protocolos de aplicación. Determina el protocolo de
aplicación.
(por ejemplo, HTTP) y, si SSL está en uso, descifra el tráfico para que pueda analizarse
más lejos. El tráfico se vuelve a cifrar después de que todas las tecnologías NGFW
hayan tenido la oportunidad
para operar.
Protocolo de aplicación de decodificación. Determina si la aplicación detectada
inicialmente
protocolo es el "real", o si se está utilizando como túnel para ocultar la aplicación real
(por ejemplo, Tor podría estar dentro de HTTPS).
Firmas de solicitud. Las firmas basadas en el contexto buscan propiedades únicas y
características de la transacción para identificar correctamente la aplicación
independientemente del puerto y
protocolo utilizado Estas firmas incluyen la capacidad de detectar funciones específicas
dentro de las aplicaciones (como las transferencias de archivos dentro de las
aplicaciones SaaS).
Heurística Para el tráfico que elude la identificación mediante análisis de firma,
heurístico (o
se aplican análisis de comportamiento) que permiten identificar cualquier problema
aplicaciones, como herramientas P2P o VoIP que utilizan cifrado patentado.
Page 156
Figura 3-4: Cómo Palo Alto Networks App-ID clasifica las aplicaciones
Con App-ID como elemento fundamental para cada NGFW de Palo Alto Networks, los
administradores
puede recuperar visibilidad y control sobre las aplicaciones que atraviesan la red.
ID de aplicación: direccionamiento de aplicaciones personalizadas o desconocidas
Palo Alto Networks agrega un promedio de cinco nuevas aplicaciones a App-ID cada
semana, aún desconocido
El tráfico de aplicaciones todavía se detecta en la red, como:
Aplicaciones comerciales desconocidas. Los administradores pueden usar el comando
de aplicación
Center (ACC) y el visor de registros para determinar rápidamente si una aplicación
desconocida
Es una aplicación comercial. Los administradores pueden usar la función de captura de
paquetes (pcap)
en el NGFW de Palo Alto Networks, para registrar el tráfico y enviarlo a App-ID
desarrollo. El nuevo App-ID se desarrolla, se prueba con la organización y luego se
agrega a
La base de datos global para todos los usuarios.
Aplicaciones internas o personalizadas. Los administradores pueden usar ACC y el
visor de registros para
determine rápidamente si una aplicación desconocida es interna o personalizada.
Puede desarrollar un ID de aplicación personalizado para la aplicación, utilizando el
protocolo expuesto
decodificadores Los decodificadores de protocolo que han sido expuestos incluyen:
FTP (Protocolo de transferencia de archivos)
Términos clave
Tor ("The Onion Router") es un software que permite la comunicación anónima
a través de Internet.
Page 157
HTTP (Protocolo de transferencia de hipertexto) y HTTPS (HTTP seguro o HTTP sobre
SSL)
IMAP (Protocolo de acceso a mensajes de Internet) y SMTP (Protocolo simple de
transferencia de correo)
RTSP (Protocolo de transmisión en tiempo real)
Telnet
unknown-TCP, unknown-UDP y el cuerpo del archivo (para html / pdf / flv / swf / riff /
mov)
Una vez que se desarrolla el ID de aplicación personalizado, el tráfico identificado por
él se trata de la misma manera que
el tráfico previamente clasificado; se puede habilitar a través de una política,
inspeccionar en busca de amenazas, configurar usando
Calidad de servicio (QoS), etc. Alternativamente, se puede crear y aplicar una anulación
de la aplicación,
que efectivamente cambia el nombre de la aplicación. Las entradas de ID de aplicación
personalizadas se administran por separado
base de datos en el NGFW para garantizar que no se vean afectados por las
actualizaciones semanales de ID de aplicación.
Un punto importante a destacar es que los NGFW de Palo Alto Networks utilizan una
aplicación positiva
modelo, lo que significa que se puede denegar todo el tráfico excepto aquellas
aplicaciones que están expresamente
permitido a través de la política. Este modelo de aplicación positiva significa que en
algunos casos lo desconocido
El tráfico puede ser fácilmente bloqueado o estrictamente controlado. Las ofertas
alternativas que se basan en IPS serán
Permitir el paso de tráfico desconocido sin proporcionar ninguna apariencia de
visibilidad o control.
ID de aplicación en acción: identificación de WebEx
Cuando un usuario inicia una sesión de WebEx, la conexión inicial es una
comunicación basada en SSL.
Con App-ID, el dispositivo ve el tráfico y determina que está usando SSL. Si hay un
regla de política de descifrado coincidente, luego se inician el motor de descifrado y los
decodificadores de protocolo
para descifrar el SSL y detectar que es tráfico HTTP. Después de que el decodificador
tenga la secuencia HTTP,
App-ID puede aplicar firmas contextuales y detectar que la aplicación en uso es WebEx.
Luego, WebEx se muestra dentro de ACC y se puede controlar mediante una política de
seguridad. Si el usuario final
para iniciar la función de uso compartido de escritorio de WebEx, WebEx se somete a
un "cambio de modo": el
La sesión se ha modificado de una aplicación de conferencia a una aplicación de acceso
remoto. En esto
escenario, las características de WebEx han cambiado y App-ID detecta el escritorio de
WebEx
Función para compartir, que luego se muestra en ACC. En esta etapa, un administrador
ha aprendido
Más información sobre el uso de la aplicación y puede ejercer un control de políticas
sobre el uso del escritorio de WebEx
Función de uso compartido separada del uso general de WebEx.
Identificación de aplicaciones y control de políticas
La identificación de aplicaciones permite a los administradores ver las aplicaciones en
la red, aprender
cómo funcionan y analizan sus características de comportamiento y riesgo relativo.
Cuando la aplicación
la identificación se usa junto con la identificación del usuario, los administradores
pueden ver exactamente quién
158
está utilizando la aplicación en función de su identidad, no solo una dirección IP. Con
esta información,
los administradores pueden usar reglas granulares, basadas en un modelo de seguridad
positivo, para bloquear lo desconocido
aplicaciones, mientras habilita, inspecciona y da forma a las aplicaciones que están
permitidas.
Después de identificar una aplicación y obtener una imagen completa de su uso,
las organizaciones pueden aplicar políticas con una gama de respuestas que son mucho
más detalladas que las
Acciones "permitir" o "denegar" disponibles en firewalls heredados. Ejemplos incluyen:
Permitir o negar
Permitir, pero explorar exploits, virus y otras amenazas.
Permitir según el horario, los usuarios o los grupos
Descifrar e inspeccionar
Aplicar la conformación del tráfico a través de QoS
Aplicar reenvío basado en políticas
Permitir ciertas funciones de la aplicación
Cualquier combinación de las anteriores
Aplicación Control de funciones
Para muchas organizaciones, la habilitación segura de aplicaciones significa lograr una
seguridad adecuada
equilibrio de políticas al habilitar la funcionalidad de aplicaciones individuales mientras
se bloquean otras funciones
dentro de la misma aplicación. Los ejemplos pueden incluir:
Permitir documentos de SharePoint, pero bloquear el uso de la administración de
SharePoint
Bloqueando el correo, el chat, las publicaciones y las aplicaciones de Facebook, pero
permitiendo el propio Facebook,
efectivamente solo permite a los usuarios navegar por Facebook
Habilitando el uso de MSN, pero deshabilitando el uso de la transferencia de archivos
MSN y solo permitiendo
ciertos tipos de archivos a transferir utilizando la función de bloqueo de archivos
App-ID utiliza una jerarquía de aplicaciones que sigue un contenedor y un modelo de
función de soporte para
ayudar a los administradores a elegir fácilmente qué aplicaciones permitir, mientras
bloquean o controlan
funciones dentro de la aplicación. La Figura 3-5 muestra SharePoint como la aplicación
de contenedor, y
las funciones individuales dentro.
Page 159
Figura 3-5: El Control de funciones de la aplicación maximiza la productividad al habilitar de forma segura la aplicación en
sí (Microsoft SharePoint) o
funciones individuales
Control de múltiples aplicaciones: filtros dinámicos y grupos
En algunos casos, las organizaciones pueden querer controlar aplicaciones en masa, en
lugar de controlar
ellos individualmente. Los dos mecanismos en el NGFW de Palo Alto Networks que
abordan esta necesidad
son grupos de aplicaciones y filtros dinámicos:
Grupos de aplicaciones. Un grupo de aplicaciones es una lista estática de aplicaciones
que pueden ser
solía permitir su uso para ciertos usuarios, mientras bloqueaba su uso para otros. por
ejemplo, aplicaciones de administración remota como el protocolo de escritorio remoto
(RDP),
Telnet y Secure Shell (SSH) son comúnmente utilizados por el personal de soporte de
TI, pero
los empleados que quedan fuera de estos grupos también son conocidos por usar estas
herramientas como
medios para acceder a sus redes domésticas. Se puede crear un grupo de aplicaciones y
asignado al soporte de TI a través de ID de usuario (discutido más adelante en este
módulo), vinculando el
grupos a la política. Los nuevos empleados solo deben agregarse al grupo de directorio;
No
Se necesitan actualizaciones para la política misma.
Filtros dinámicos Un filtro dinámico es un conjunto de aplicaciones que se crea en
función de cualquier
combinación de los criterios de filtro: categoría, subcategoría, característica de
comportamiento,
tecnología subyacente o factor de riesgo. Después de crear el filtro deseado, una política
que
bloquea o habilita y escanea el tráfico se puede aplicar. A medida que se agregan
nuevos archivos de ID de aplicación
que cumplan con los criterios del filtro, el filtro se actualiza automáticamente tan pronto
como el dispositivo está
actualizado, minimizando así el esfuerzo administrativo asociado con la política
administración.
160 de 1189.
3.2.1.2 Identificación del usuario
Para agravar el problema de visibilidad en una empresa cada vez más móvil, donde los
empleados
acceder a la red desde prácticamente cualquier lugar del mundo, las redes inalámbricas
internas
asignar direcciones IP a medida que los usuarios se mueven de una zona a otra, y los
usuarios de la red no siempre son
empleados de la empresa. El resultado es que la dirección IP, por sí sola, ya no es
adecuada
mecanismo para monitorear y controlar la actividad del usuario.
ID de usuario: integración de información del usuario y políticas de seguridad
Crear y administrar políticas de seguridad en un NGFW, basado en la aplicación y la
identidad
del usuario, independientemente del dispositivo o la ubicación, es un medio más
efectivo de proteger la red
que depender únicamente de la información del puerto y la dirección IP en firewalls
heredados basados en puertos. palo Alto
La identificación de usuario de redes permite a las organizaciones aprovechar la
información del usuario almacenada en una amplia gama de
repositorios para los siguientes propósitos:
Visibilidad: visibilidad mejorada del uso de la aplicación según el usuario y el grupo
la información puede ayudar a las organizaciones a mantener una imagen más precisa
de la actividad de la red
Control de políticas: vincular información del usuario a la política de seguridad para
habilitar de forma segura
aplicaciones o funciones de aplicaciones específicas mientras se reduce el esfuerzo
administrativo
asociado con movimientos, adiciones y cambios de empleados
Registro e informes: si ocurre un incidente de seguridad, el análisis forense y los
informes pueden
incluye información del usuario, que proporciona una imagen más completa del
incidente.
ID de usuario en acción
User-ID integra perfectamente NGFW de Palo Alto Networks con una amplia gama de
repositorios de usuarios
y entornos de servicios terminales. Dependiendo del entorno de red, múltiples
Las técnicas se pueden configurar para asignar con precisión la identidad del usuario a
una dirección IP. Eventos
incluyen eventos de autenticación, autenticación de usuario, monitoreo de servicios de
terminal, sondeo de clientes,
integración de servicios de directorio y una potente API XML (ver Figura 3-6).
Page 161
Figura 3-6: La identificación del usuario integra directorios empresariales para políticas, informes y análisis forenses
basados en el usuario
Después de identificar las aplicaciones y los usuarios, visibilidad y control total dentro
de ACC, política
edición, registro e informes están disponibles. Las herramientas y técnicas de
identificación de usuario incluyen:
Eventos de autenticación. El monitoreo de los eventos de autenticación en una red
permite
ID de usuario para asociar a un usuario con la dirección IP del dispositivo desde el cual
el usuario inicia sesión
para hacer cumplir la política en el firewall. El ID de usuario se puede configurar para
monitorear la autenticación
eventos para:
Microsoft Active Directory: el ID de usuario supervisa constantemente el evento del
controlador de dominio
registra para identificar a los usuarios cuando inician sesión en el dominio. Cuando un
usuario inicia sesión en
Dominio de Windows, se registra un nuevo evento de autenticación en el
correspondiente
Controlador de dominio de Windows. Mediante el monitoreo remoto de los eventos de
autenticación en
Controladores de dominio de Windows, ID de usuario puede reconocer eventos de
autenticación para
Identificar usuarios en la red para la creación y aplicación de políticas.
Microsoft Exchange Server: el ID de usuario se puede configurar para monitorear
constantemente
Eventos de inicio de sesión de Microsoft Exchange producidos por clientes que acceden
a su correo electrónico. Utilizando
esta técnica, incluso los sistemas cliente Mac OS X, Apple iOS y Linux / UNIX que no
La autenticación directa a Microsoft Active Directory se puede descubrir e identificar.
Novell eDirectory: el ID de usuario puede consultar y supervisar la información de
inicio de sesión para identificar
usuarios y membresías grupales a través del protocolo estándar de acceso ligero a
directorios
(LDAP) consultas en servidores Novell eDirectory.
Autenticacion de usuario. Esta técnica permite a las organizaciones configurar un
desafío:
secuencia de autenticación de respuesta para recopilar información de usuario y
dirección IP, utilizando el
siguientes herramientas:
Page 162
Portal cautivo: en casos donde los administradores necesitan establecer reglas bajo las
cuales
los usuarios deben autenticarse en el firewall antes de acceder a internet,
Portal cautivo puede ser desplegado. Portal cautivo se utiliza en casos donde el usuario
no puede identificarse utilizando otros mecanismos. Además de un nombre de usuario
explícito
y solicitud de contraseña, Captive Portal también se puede configurar para enviar una
LAN NT
Solicitud de autenticación del administrador (NTLM) al navegador web para realizar
proceso de autenticación transparente para el usuario.
GlobalProtect: Usuarios que inician sesión en la red con GlobalProtect (discutido en
Sección 3.3.2) proporcionar información de usuario y host al firewall que, a su vez,
puede ser
utilizado para el control de políticas.
Sondeo de clientes y servicios de terminal. Esta técnica permite a las organizaciones
configurar
ID de usuario para monitorear clientes o hosts de Windows para recopilar la identidad y
asignarla a la IP
habla a. En entornos donde Citrix XenApp ofusca la identidad del usuario o
Servicios de Terminal de Microsoft, el agente de Servicios de Terminal de ID de
usuario se puede implementar en
determinar a qué aplicaciones acceden los usuarios. Las siguientes técnicas son
disponible:
Sondeo del cliente: si no se puede identificar a un usuario mediante la supervisión de la
autenticación
eventos, User-ID sondea activamente los clientes de Microsoft Windows en la red para
información sobre el usuario actualmente conectado. Con sondeo de clientes, usuarios
de computadoras portátiles
quienes a menudo cambian de redes cableadas a redes inalámbricas pueden identificarse
de manera confiable.
Sondeo de host: la ID de usuario también se puede configurar para sondear servidores
Microsoft Windows
para sesiones de red activas de un usuario. Tan pronto como un usuario acceda a un
recurso compartido de red en
el servidor, la ID de usuario identifica la dirección IP de origen y la asigna al nombre de
usuario
proporcionado para establecer la sesión.
Servicios de terminal: usuarios que comparten direcciones IP mientras trabajan en
Microsoft Windows
Se pueden identificar servicios de terminal o Citrix. A cada sesión de usuario se le
asigna un cierto
rango de puertos en el servidor, que es completamente transparente para el usuario y
permite
NGFW para asociar conexiones de red con usuarios y grupos que comparten un host en
la red
API XML. En algunos casos, las organizaciones ya pueden tener un repositorio de
usuarios o un
aplicación que se utiliza para almacenar información sobre los usuarios y su dirección
IP actual. En
En estos escenarios, la API XML dentro de User-ID permite una rápida integración del
usuario
información con políticas de seguridad. Uso de la API XML para recopilar usuario y
dirección IP
la información incluye:
Page 163
Entornos inalámbricos: organizaciones que utilizan 802.1 x para proteger las redes
inalámbricas corporativas
las redes pueden aprovechar una integración basada en syslog con el usuario de Palo
Alto Networks
ID XML API, para identificar a los usuarios mientras se autentican en la infraestructura
inalámbrica.
Proxies: la autenticación solicitada por un servidor proxy se puede proporcionar a Palo
Alto
ID de usuario de redes a través de su API XML, analizando el archivo de registro de
autenticación para el usuario y
Información de la dirección IP.
Control de acceso a la red (NAC): la API XML permite a las organizaciones
recolectar usuarios
información de entornos NAC. Como ejemplo, Bradford Networks, un NAC
proveedor de soluciones, utiliza la API XML de ID de usuario para completar los
inicios y cierres de sesión de
su solución 802.1 x . Esta integración permite a las organizaciones identificar usuarios
tan pronto
se conectan a la red y establecen políticas de habilitación basadas en el usuario.
Syslog oyente. El agente ejecuta un escucha de syslog en un puerto designado que
puede analizar el
syslog mensajes y convertir la información en asignaciones apropiadas de ID de
usuario.
Para permitir que las organizaciones especifiquen reglas de seguridad basadas en grupos
de usuarios y resuelvan el grupo
miembros automáticamente, la identificación de usuario se integra con los servidores de
directorio utilizando un estándar basado en
protocolo y una configuración flexible. Después de configurar la integración con el
servidor de directorio,
el cortafuegos recupera automáticamente la información de usuarios y grupos de
usuarios y mantiene la información
actualizado para ajustarse automáticamente a los cambios en la base de usuarios u
organización.
Visibilidad de la actividad de un usuario.
El poder de User-ID se hace evidente cuando App-ID encuentra una aplicación extraña
o desconocida
En la red. Un administrador puede usar ACC o el visor de registros para discernir el
aplicación, quién está usando la aplicación, el consumo de ancho de banda y sesión, las
fuentes
y destinos del tráfico de la aplicación, y cualquier amenaza asociada.
La visibilidad de la actividad de la aplicación a nivel de usuario, no solo a nivel de
dirección IP, permite
organizaciones para habilitar más efectivamente las aplicaciones que atraviesan la red.
Los administradores pueden alinear el uso de la aplicación con los requisitos de la
unidad de negocio y, si corresponde,
puede optar por informar al usuario que está violando la política o tomar una decisión
más directa
enfoque de bloquear el uso de la aplicación del usuario directamente.
Control de políticas basado en el usuario.
Los controles de política basados en el usuario se pueden crear en función de la
aplicación, categoría y subcategoría,
tecnología subyacente o características de la aplicación. Las políticas se pueden utilizar
para habilitar de forma segura
aplicaciones basadas en usuarios o grupos, ya sea en una dirección saliente o entrante.
Las políticas basadas en el usuario pueden incluir:
Page 164
Permita que solo el departamento de TI use herramientas como SSH, telnet y FTP en
sus
puertos estándar
Permitir que el grupo de Servicios de mesa de ayuda use Yahoo Messenger
Permita Facebook para todos los usuarios, pero permita que solo el grupo de Marketing
use Facebook-
publicar y bloquear el uso de aplicaciones de Facebook para todos los usuarios
3.2.1.3 Identificación de contenido
La identificación de contenido infunde a los NGFW con capacidades que no son
posibles en el legado, basado en puertos
cortafuegos La identificación de la aplicación elimina los vectores de amenazas a través
del control estricto de todos
tipos de aplicaciones. Esta capacidad reduce inmediatamente la superficie de ataque de
la red,
después de lo cual todo el tráfico permitido se analiza en busca de vulnerabilidades,
malware, URL peligrosas y peligrosas
o archivos o contenido restringido. La identificación de contenido va más allá de
detener las amenazas conocidas
para identificar y controlar proactivamente el malware desconocido, que a menudo se
usa como la vanguardia
de sofisticados ataques a la red.
Prevención de amenazas
Las redes empresariales se enfrentan a un panorama de amenazas en rápida evolución
lleno de aplicaciones modernas,
exploits, malware y estrategias de ataque que pueden evitar los métodos tradicionales de
detección.
Las amenazas se entregan a través de aplicaciones que saltan puertos dinámicamente,
usan puertos no estándar,
túnel dentro de otras aplicaciones u ocultarse dentro de servidores proxy, SSL u otros
tipos de cifrado. Estas
Las técnicas pueden evitar que las soluciones de seguridad tradicionales como IPS y
firewalls
inspeccionar el tráfico, lo que permite que las amenazas fluyan fácil y repetidamente a
través de la red.
Además, las empresas están expuestas a malware dirigido y personalizado, que puede
pasar desapercibido
a través de soluciones antimalware tradicionales.
La identificación de contenido de Palo Alto Networks aborda estos desafíos con una
prevención de amenazas única
capacidades que no se encuentran en las soluciones de seguridad tradicionales. Primero,
el NGFW elimina los métodos
que las amenazas usan para esconderse de la seguridad a través del análisis completo de
todo el tráfico, en todos los puertos
independientemente de las técnicas de evasión, tunelización o elusión que se utilicen.
No hay amenaza
La solución de prevención será efectiva si no tiene visibilidad en el tráfico. palo Alto
Networks asegura esa visibilidad a través de la identificación y el control de todo el
tráfico, utilizando el
siguientes herramientas y técnicas:
Decodificadores de aplicaciones. Content-ID aprovecha las más de 100 aplicaciones y
protocolos
decodificadores en App-ID para buscar amenazas ocultas dentro de los flujos de datos
de la aplicación. Esta herramienta
permite que el cortafuegos detecte y prevenga las amenazas en túnel aprobadas
aplicaciones que pasarían por soluciones tradicionales de IPS o proxy.
Page 165
Formato de firma de amenaza uniforme. En lugar de usar un conjunto separado de
motores de escaneo
y firmas para cada tipo de amenaza, Content-ID aprovecha un motor de amenaza
uniforme
y formato de firma para detectar y bloquear una amplia gama de actividad de C&C de
malware y
vulnerabilidades de vulnerabilidad en una sola pasada.
Protección contra ataques de vulnerabilidad (IPS). Rutinas robustas para la
normalización del tráfico y
la desfragmentación se une por anomalía de protocolo, anomalía de comportamiento y
heurística
Mecanismos de detección para proporcionar protección contra la más amplia gama de
productos conocidos y
amenazas desconocidas
Inteligencia basada en la nube. Para contenido desconocido, WildFire (discutido en la
Sección 3.5.5)
proporciona un análisis rápido y un veredicto que el firewall puede aprovechar.
Descifrado SSL. Cada vez más conexiones de tráfico web están encriptadas con SSL
por
predeterminado, que puede proporcionar cierta protección a los usuarios finales, pero
también puede proporcionar
atacantes con un canal encriptado para entregar exploits y malware. palo Alto
Las redes aseguran la visibilidad al dar a las organizaciones de seguridad la flexibilidad
para, por política,
mire de forma granular dentro del tráfico SSL según la aplicación o la categoría de
URL.
Control de eludir tecnologías. Los atacantes y el malware se han convertido cada vez
más
a servidores proxy, anonimizadores y una variedad de servidores proxy cifrados para
esconderse de los tradicionales
productos de seguridad de red. Palo Alto Networks brinda la capacidad de controlar
estrictamente
estas tecnologías y las limitan a usuarios aprobados, mientras bloquean las no aprobadas
comunicaciones que podrían ser utilizadas por atacantes.
Escaneo de malware basado en flujo
La prevención de malware conocido se realiza mediante el uso de escaneo basado en
secuencias, un
técnica que comienza a escanear tan pronto como se reciben los primeros paquetes del
archivo
esperar hasta que se cargue todo el archivo en la memoria para comenzar a escanear.
Escaneo basado en flujo
minimiza los problemas de rendimiento y latencia al recibir, escanear y enviar tráfico a
su
destino previsto inmediatamente sin tener que almacenar primero el búfer y luego
escanear el archivo (consulte
Figura 3-7).
Page 166
Figura 3-7: El escaneo basado en flujo ayuda a minimizar la latencia y maximizar el rendimiento de rendimiento
Prevención de intrusiones
Content-ID protege las redes de todo tipo de vulnerabilidades, desbordamientos de
búfer, DoS
ataques y escaneos de puertos que conducen al compromiso de empresas confidenciales
y sensibles
información. Los mecanismos IPS en Content-ID incluyen:
Decodificadores de protocolo y detección de anomalías
Coincidencia de patrones con estado
Detección de anomalías estadísticas.
Análisis basado en heurística
Detección de paquetes inválidos o mal formados
Desfragmentación de IP y reensamblaje de TCP
Vulnerabilidades personalizadas y firmas de spyware en la casa del teléfono
El tráfico se normaliza para eliminar paquetes inválidos y mal formados, mientras que el
reensamblaje de TCP e IP
la desfragmentación se realiza para garantizar la máxima precisión y protección a pesar
de cualquier
técnicas de evasión a nivel de paquete.
Filtrado de URL
Para complementar las capacidades de prevención de amenazas y control de
aplicaciones, un sistema totalmente integrado,
La base de datos de filtrado de URL integrada permite a los equipos de seguridad no
solo controlar la navegación web del usuario final
actividades, pero también para combinar el contexto URL con la aplicación y las reglas
de usuario.
Page 167
La base de datos de URL en la caja se puede aumentar para adaptarse a los patrones de
tráfico del usuario local.
comunidad con una base de datos URL personalizada. URL que no están clasificadas
por la URL local
la base de datos se puede extraer en caché desde una base de datos de URL alojada.
Además de la base de datos
personalización, los administradores pueden crear categorías de URL únicas para
personalizar aún más la URL
controles para satisfacer sus necesidades específicas.
La categorización de URL se puede combinar con la clasificación de aplicaciones y
usuarios para orientar aún más
y definir políticas. Por ejemplo, se puede invocar el descifrado SSL para seleccionar
URL de alto riesgo
categorías para garantizar que las amenazas están expuestas, y los controles de QoS se
pueden aplicar a la transmisión
sitios de medios. La visibilidad del filtrado de URL y los controles de políticas pueden
vincularse a usuarios específicos a través de
integración transparente con servicios de directorio empresarial (como Active Directory,
LDAP y
eDirectory), con información adicional proporcionada a través de informes y registros
personalizables.
Los administradores pueden configurar una página de bloqueo personalizada para
notificar a los usuarios finales de cualquier violación de la política.
La página puede incluir referencias al nombre de usuario, dirección IP, la URL que
están intentando
acceso y la categoría de URL. Para volver a colocar parte de la propiedad de la
actividad web en el usuario
manos, los administradores pueden permitir a los usuarios continuar al sitio web o
página web, después de ser
presentado con una página de advertencia, o puede usar contraseñas para anular la
política de filtrado de URL.
Filtrado de archivos y datos.
El filtrado de archivos y datos aprovecha la inspección en profundidad de la aplicación
y permite
aplicación de políticas que reducen el riesgo de transferencia de información no
autorizada o malware
propagación. Las capacidades de filtrado de archivos y datos en Content-ID incluyen:
Bloqueo de archivos por tipo: controle el flujo de una amplia gama de tipos de
archivos al mirar en profundidad
dentro de la carga útil para identificar el tipo de archivo (en lugar de mirar solo el
archivo
extensión)
Filtrado de datos: controle la transferencia de patrones de datos confidenciales, como
tarjetas de crédito
números y números de la Seguridad Social en el contenido de la aplicación o archivos
adjuntos
Control de la función de transferencia de archivos : controle la funcionalidad de
transferencia de archivos dentro de un individuo
aplicación, que permite el uso de la aplicación al tiempo que evita la entrada no deseada
o
transferencia de archivos salientes
3.2.1.4 Correlación de registros e informes
El potente filtro de registro permite a los administradores investigar rápidamente los
incidentes de seguridad mediante
correlacionando amenazas con aplicaciones e identidad de usuario. El Centro de
comando de aplicaciones (ACC)
proporciona una vista completa de los datos actuales e históricos, incluida la actividad
de la red,
uso de la aplicación, usuarios y amenazas: de forma altamente visual, totalmente
personalizable y fácil de usar
Page 168
formato interactivo Esta visibilidad permite a los administradores tomar decisiones
informadas sobre políticas y
responder rápidamente a posibles amenazas de seguridad.
ACC proporciona una vista con pestañas de la actividad de red, actividad de amenaza y
actividad bloqueada, y cada
La pestaña incluye widgets pertinentes para una mejor visualización de los patrones de
tráfico en la red (ver
Figura 3-8).
Figura 3-8: ACC proporciona un panel de administración de seguridad altamente visual, interactivo y personalizable
La Figura 3-9 muestra un widget principal del ACC, el widget "Uso de la aplicación".
En este caso, el
El widget muestra el tráfico de la aplicación en bytes. Las aplicaciones (cajas de
colores) se agrupan en
categorías de aplicación (barras grises). El tamaño de cada cuadro indica la cantidad de
tráfico que un determinado
aplicación consumida durante el período de tiempo seleccionado. El color de la caja
indica el riesgo.
nivel de una aplicación, con rojo como crítico, naranja como medio y azul como el más
bajo
riesgo. La lista tabular debajo del gráfico muestra información adicional, como el
número de
sesiones, amenazas detectadas, contenido o archivos incluidos, y URL a las que acceden
aplicaciones.
Page 169
Figura 3-9: El widget ACC "Uso de la aplicación" muestra el tráfico de la aplicación por tipo, cantidad, riesgo y categoría
La Figura 3-10 es otro ejemplo de widget ACC que muestra el origen y el destino por
región, con un
visualización visual de dónde se origina y va el tráfico. Los mapas del mundo son
interactivos y
proporcionar la capacidad de obtener más detalles e información sobre el tráfico hacia o
desde un individuo
países.
Figura 3-10: La conciencia de geolocalización en ACC proporciona información valiosa sobre el origen y el destino de
todo el tráfico de aplicaciones
170 de 1189.
La Figura 3-11 es otro ejemplo de widget ACC que muestra el poder del control de la
aplicación en un
NGFW versus un firewall tradicional basado en puertos. Este widget muestra
aplicaciones con puerto
capacidades de salto utilizando puertos no estándar.
Figura 3-11: El widget ACC "Aplicaciones que usan puertos no estándar" resalta el salto de puertos y muestra la
importancia de
aplicación versus control de puerto
También se pueden crear pestañas personalizadas que incluyen widgets que permiten a
los administradores ver más
Información específica. Con el ACC, cada administrador puede personalizar sus propias
vistas al
seleccionar widgets prediseñados de una lista desplegable y crear su propia interfaz de
usuario (consulte
Figura 3-12).
Página 171
Figura 3-12: Se puede elegir una gran variedad de widgets para personalizar pestañas en el ACC
Además de personalizar las pestañas existentes (red, amenaza y actividad bloqueada),
los administradores
puede crear nuevas pestañas personalizadas para monitorear ciertos empleados,
situaciones o aplicaciones.
Con las capacidades interactivas de ACC, puede obtener más información sobre
aplicaciones, URL
categorías, niveles de riesgo o amenazas para obtener una imagen completa de la red y
la actividad de amenazas (ver
Figura 3-13).
Page 172
Figura 3-13: Las capacidades interactivas con un solo clic proporcionan información adicional y la capacidad de aplicar
cualquier elemento como filtro global
El motor de correlación automatizado en el ACC es una herramienta de análisis que
muestra amenazas críticas
eso puede estar oculto en la red, lo que reduce la extracción manual de datos y permite
una mayor velocidad
Page 173
tiempos de respuesta. Examina eventos aislados automáticamente en varios registros,
consulta el
datos para patrones específicos y correlaciona eventos de red para identificar hosts
comprometidos. Eso
incluye objetos de correlación definidos por Palo Alto Networks Malware Research
equipo. Estos objetos identifican patrones de tráfico sospechosos, hosts comprometidos
y otros eventos.
que indican un resultado malicioso Algunos objetos de correlación pueden identificar
patrones dinámicos que
Se han observado muestras de malware en WildFire.
Los objetos de correlación desencadenan eventos de correlación cuando coinciden con
los patrones de tráfico y la red.
artefactos que indican un host comprometido en su red. En el ACC, los desencadenantes
de correlación son
claramente identificado y resaltado para permitir una respuesta rápida (ver Figura 3-14).
Figura 3-14: El motor de correlación automatizado resalta automáticamente los hosts comprometidos en ACC al
correlacionar los indicadores de
compromiso (IoC)
Un registro es un archivo con marca de tiempo generado automáticamente que
proporciona una pista de auditoría para el sistema
eventos en el firewall o eventos de tráfico de red que el firewall supervisa. Las entradas
de registro contienen
artefactos , que son propiedades, actividades o comportamientos asociados con el
evento registrado, como
El tipo de aplicación o la dirección IP de un atacante. Cada tipo de registro registra
información para un
tipo de evento separado Por ejemplo, el firewall genera un registro de amenazas para
registrar el tráfico que
coincide con un spyware, vulnerabilidad o firma de virus o un ataque DoS que coincide
con los umbrales
configurado para una exploración de puerto o actividad de barrido de host en el firewall.
Los siguientes registros se pueden ver desde la pestaña Monitor en los NGFW de Palo
Alto Networks:
Registros de tráfico. Estos registros muestran una entrada para el inicio y el final de
cada sesión. Cada entrada
incluye la siguiente información: fecha y hora; zonas de origen y destino,
direcciones y puertos; Nombre de la aplicación; regla de seguridad aplicada al flujo de
tráfico; regla
acción (permitir, denegar o descartar); interfaz de entrada y salida; número de bytes; y
sesión
razón final
Page 174
Registros de amenazas. Estos registros muestran entradas cuando el tráfico coincide
con uno de los perfiles de seguridad
conectado a una regla de seguridad en el firewall. Cada entrada incluye lo siguiente
información: fecha y hora; tipo de amenaza (como virus o spyware); Descripción de la
amenaza
o URL (columna de nombre); zonas de origen y destino, direcciones y puertos; solicitud
nombre; acción de alarma (como permitir o bloquear); y nivel de gravedad.
Registros de filtrado de URL. Estos registros muestran entradas para el tráfico que
coincide con el filtrado de URL
Perfiles adjuntos a las normas de seguridad. Por ejemplo, el firewall genera un registro
si una regla
bloquea el acceso a sitios web específicos y categorías de sitios web o si configuró una
regla para
generar una alerta cuando un usuario accede a un sitio web.
Registros de envíos de Wildfire. El firewall reenvía muestras (enlaces de archivos y
correos electrónicos) a
Nube WildFire para análisis basada en la configuración de Perfiles de análisis WildFire.
El cortafuegos
genera entradas de registro de envíos WildFire para cada muestra que reenvía después
de WildFire
completa el análisis estático y dinámico de la muestra. Entradas de registro de envíos de
WildFire
incluya el veredicto WildFire para la muestra enviada.
Registros de filtrado de datos. Estos registros muestran entradas para las reglas de
seguridad que ayudan a prevenir
información confidencial, como números de tarjetas de crédito, que salen del área que el
firewall
protege
Registros de correlación. El firewall registra un evento correlacionado cuando los
patrones y umbrales
definido en un objeto de correlación coincide con los patrones de tráfico en su red.
Registros de configuración. Estos registros muestran entradas para cambios en la
configuración del firewall. Cada
la entrada incluye la fecha y la hora, el nombre de usuario del administrador, la
dirección IP de
donde el administrador realizó el cambio, el tipo de cliente (web, CLI o Panorama),
el tipo de comando ejecutado, el estado del comando (exitoso o fallido), el
ruta de configuración y los valores antes y después del cambio.
Registros del sistema. Estos registros muestran entradas para cada evento del sistema
en el firewall. Cada entrada
incluye la fecha y hora, la gravedad del evento y la descripción del evento.
HIP Match logs. La función de perfil de información de host (HIP) de GlobalProtect le
permite
recopilar información sobre el estado de seguridad de los dispositivos finales que
acceden a su red
(como si tienen habilitado el cifrado de disco). El firewall puede permitir o denegar
acceso a un host específico basado en el cumplimiento de las reglas de seguridad
basadas en HIP que defina.
Los registros de coincidencia HIP muestran flujos de tráfico que coinciden con un
objeto HIP o perfil HIP que usted
configurado para las reglas.
175 de 1189.
Registros de alarmas. Una alarma es un mensaje generado por firewall que indica que
el número de
eventos de un tipo particular (por ejemplo, fallas de cifrado y descifrado) tiene
excedió el umbral configurado para ese tipo de evento.
Registros unificados. Los registros unificados son entradas de Traffic, Threat, URL
Filtering, WildFire
Envíos y registros de filtrado de datos que se muestran en una sola vista. La vista de
registro unificada permite
para investigar y filtrar las últimas entradas de diferentes tipos de registro en un solo
lugar,
en lugar de buscar a través de cada tipo de registro por separado.
Las capacidades de informes en el NGFW de Palo Alto Networks le permiten
monitorear su
estado de la red, valide sus políticas y centre sus esfuerzos en mantener la seguridad de
la red.
Los siguientes tipos de informes están disponibles:
Los informes predefinidos le permiten ver un resumen del tráfico en su red.
Los informes predefinidos están disponibles en cuatro categorías: Aplicaciones, Tráfico,
Amenaza y URL
Filtración.
Los informes de actividad de usuario o grupo le permiten programar o crear un
informe a pedido en
el uso de la aplicación y la actividad de URL para un usuario específico o para un grupo
de usuarios. El informe
incluye las categorías de URL y un cálculo estimado del tiempo de navegación
individual
usuarios.
Los informes personalizados se pueden crear y programar para mostrar exactamente la
información que desea
para ver filtrando en condiciones y columnas para incluir. También puede incluir
consulta
constructores para obtener detalles más específicos en los datos del informe.
Los informes de resumen en PDF agregan hasta 18 informes y gráficos predefinidos o
personalizados
de las categorías de amenaza, aplicación, tendencia, tráfico y filtrado de URL en un
PDF
documento.
Los informes de botnet le permiten utilizar mecanismos basados en el comportamiento
para identificar posibles
hosts infectados por botnet en la red.
Los grupos de informes combinan informes personalizados y predefinidos en grupos
de informes y compilan
un solo PDF que se envía por correo electrónico a uno o más destinatarios.
Los informes se pueden generar a pedido o en un horario recurrente, y se pueden
programar para
entrega por correo electrónico
Page 176
3.2.2 Expedición de redes de Palo Alto (herramienta de migración)
La migración a un NGFW de Palo Alto Networks es un paso crítico hacia la prevención
y
detección de ciberataques. Las amenazas avanzadas de hoy requieren alejarse del puerto
políticas de firewall, que ya no son adecuadas para proteger contra un panorama de
amenazas moderno,
en una arquitectura que reduce su superficie de ataque al habilitar de forma segura solo
esas aplicaciones
que son críticos para su organización y que eliminan las aplicaciones que presentan
riesgos.
Expedition permite a las organizaciones analizar su entorno existente, convertir los
existentes
políticas de seguridad para NGFW de Palo Alto Networks, y ayudar con la transición de
la prueba de
concepto a producción.
Las funciones principales de Expedition incluyen:
La migración de terceros transfiere las diversas reglas de firewall, direcciones y
objetos de servicio.
a un archivo de configuración XML PAN-OS que se puede importar a un NGFW de
Palo Alto Networks.
La migración de terceros de los siguientes proveedores de firewall está disponible:
Cisco ASA / PIX / FWSM
Punto de control
Fortinet
McAfee Sidewinder
Juniper SRX / NETSCREEN
La adopción de App-ID permite a las organizaciones obtener el mayor valor de su
NGFW, mientras
reduciendo la superficie de ataque y recuperando visibilidad y control sobre la
organización
a través de App-ID.
La optimización mantiene a los NGFW funcionando al máximo rendimiento con
servicios que incluyen:
Revisión de arquitectura
Comprobación del estado del sistema
Auditoria de configuración
Ajuste opcional del producto e implementación de cambio de configuración
La consolidación de firewalls heredados para los sistemas virtuales de Palo Alto
Networks permite
organizaciones para personalizar las políticas de administración, redes y seguridad para
Page 177
tráfico de red asociado con departamentos o clientes específicos. En un estándar
configuración de la interfaz del sistema virtual, cada sistema virtual utiliza una interfaz
dedicada para
Internet, que requiere el uso de múltiples direcciones IP. Una puerta de enlace
compartida permite
organizaciones para crear una interfaz virtual común para los sistemas virtuales que
corresponden a una sola interfaz física. Esta puerta de enlace compartida es útil en
entornos
donde el ISP proporciona solo una única dirección IP. Todos los sistemas virtuales se
comunican
con el mundo exterior a través de la interfaz física utilizando una sola dirección IP.
La gestión centralizada con Panorama permite a las organizaciones gestionar de
forma centralizada
proceso de configuración de dispositivos, implementación de políticas de seguridad,
realización de análisis forenses,
y generar informes en toda la red de redes de Palo Alto de la organización
NGFWs. Panorama y las interfaces de administración de dispositivos individuales están
disponibles como
ya sea un dispositivo virtual o una plataforma de administración dedicada y compartir lo
mismo
apariencia basada en la web, lo que garantiza la consistencia del flujo de trabajo y
minimiza cualquier
curva de aprendizaje o retraso en la ejecución de tareas.
La división automática de zonas adapta automáticamente las políticas de seguridad de
los proveedores que actualmente no
usar zonas y reglas basadas en zonas. El mapeo de zonas depende de las rutas y la
Dirección IP de la interfaz de zona. Las asignaciones se ajustan cuando configura o
cambia las interfaces
y configuración de zonas.
Los administradores pueden cargar páginas de respuesta personalizadas para notificar
a los usuarios finales de
violaciones de la política
Junto con su combinación de herramientas, experiencia y mejores prácticas, Palo Alto
Networks ayuda
analizar el entorno existente de una organización, migrar políticas y configuraciones de
firewall a
NGFW, y ayudar en todas las fases de la transición.
3.2.3 Gestión de seguridad de red (Panorama)
A menudo se produce una violación de la seguridad de los datos no por falta de
información sobre un ciberataque,
sino más bien por la falta de información adecuada y prioritaria y procesable. Posesión
de
La información procesable y bien organizada sobre el tráfico de red y las amenazas es
más crucial hoy
que nunca antes. Los equipos de TI y seguridad están inundados de inmanejables y no
correlacionados.
cantidades de información de múltiples soluciones de seguridad independientes que no
se integran completamente
con otras soluciones y falta de automatización. Esta complejidad hace que las amenazas
críticas estén enterradas profundamente
montañas de información casi imposibles de encontrar. Ambos equipos están demasiado
abrumados para encontrar
la proverbial "aguja en el pajar" y, por lo tanto, no puede priorizar sus respuestas
apropiadamente. Como resultado, existen varias brechas operativas entre:
Page 178
• Alerta y acción . Los equipos de red y seguridad a menudo se ven abrumados por el
volumen de
datos en registros de seguridad y no pueden determinar fácilmente qué alertas son
menores y
qué alertas son críticas Varios ataques cibernéticos en los últimos años (discutidos en la
Sección 1.1.6)
demostrar el impacto de esta primera brecha operativa.
• Conocido y desconocido . A medida que el panorama de amenazas se vuelve cada vez
más complejo,
Las organizaciones se enfrentan a un número creciente de amenazas desconocidas, y
muchas de seguridad
los equipos luchan por mantener el ritmo. El descubrimiento de estas amenazas
rápidamente es crucial, pero después
son descubiertos, los profesionales de seguridad deben poder diferenciar rápidamente
entre lo crítico y lo no crítico.
• Idea e implementación. Las redes están creciendo rápidamente y la complejidad está
aumentando.
Muchas compañías tienen un gran número de políticas, muchas de ellas desactualizadas,
porque el
la complejidad del aprovisionamiento y la gestión de una red segura también se ha
vuelto
abrumador.
Cerrar estas brechas operativas requiere reducir la complejidad de la gestión de
seguridad y
Mejorar la respuesta a incidentes para permitir el descubrimiento rápido de amenazas y
poner en práctica rápidamente la superficie
inteligencia.
La administración de seguridad de red de Palo Alto Networks Panorama reduce la
administración de seguridad
complejidad con creación de políticas consolidadas y funciones de gestión
centralizadas. los
Application Command Center (ACC) en Panorama proporciona un panel personalizable
para la configuración
y control de NGFW de Palo Alto Networks, con una base de reglas eficiente y una
perspectiva procesable sobre
tráfico y amenazas en toda la red.
Panorama simplifica la gestión de seguridad de la red con una única base de reglas de
seguridad para firewall,
prevención de amenazas, filtrado de URL, reconocimiento de aplicaciones,
identificación de usuario, sandboxing, archivo
bloqueo y filtrado de datos, para habilitar aplicaciones de forma segura en la empresa.
Reglas de seguridad fácilmente
se puede importar, duplicar o modificar a través de la red. Gestión centralizada de
Las políticas y los objetos proporcionan una seguridad global coherente para la
organización, y local
El control administrativo proporciona flexibilidad a nivel local.
Panorama gestiona de forma centralizada dispositivos comunes y configuraciones de red
a través de plantillas
que se puede usar para enviar cambios de configuración a todos los firewalls
administrados. Eliminar plantillas
cambios de configuración manuales, repetitivos, riesgosos y propensos a errores en
firewalls múltiples e individuales
desplegado en toda la red empresarial. Las plantillas también se pueden apilar y usar
como
bloques de construcción para dispositivos optimizados y configuración de red (ver
Figura 3-15).
Page 179
Figura 3-15: Apilamiento de plantillas en Panorama
Panorama administra políticas y objetos comunes a través de grupos de dispositivos
jerárquicos (ver
Figura 3-16). Los grupos de dispositivos multinivel se utilizan para administrar
centralmente las políticas en todos
ubicaciones de implementación con requisitos comunes. Despliegue de grupos de
dispositivos jerárquicos
garantiza que los grupos de nivel inferior hereden la configuración de los grupos de
nivel superior. Estos grupos de dispositivos
agilice la administración central y le permita organizar dispositivos basados en
funciones y
ubicación sin configuración redundante.
Figura 3-16: Grupos de dispositivos jerárquicos en Panorama
Puede usar políticas compartidas para el control central mientras proporciona su firewall
local
administrador con la autonomía para hacer ajustes específicos para los requisitos
locales. En el
a nivel de grupo de dispositivos, puede crear políticas compartidas que se definen como
el primer conjunto de reglas (pre
reglas) y el último conjunto de reglas (post-reglas) que se evaluarán según los criterios
de coincidencia. Reglas previas y
las reglas posteriores se pueden ver en un firewall administrado, pero solo se pueden
editar desde Panorama
dentro del contexto de los roles administrativos que se han definido. Reglas de
dispositivos locales (aquellas
entre pre-reglas y post-reglas) puede ser editado por un administrador de firewall local o
por un
Administrador de panorama que ha cambiado a un contexto de firewall local. Una
organización también puede
utilizar objetos compartidos definidos por un administrador de Panorama, a los que se
puede hacer referencia localmente
reglas de dispositivo administrado.
Page 180
Panorama utiliza el mismo conjunto de potentes herramientas de monitoreo e informes
disponibles en el local
nivel de gestión del dispositivo. A medida que realiza consultas de registro y genera
informes, Panorama
extrae dinámicamente los datos más actuales directamente de los NGFW bajo
administración o de los registros
reenviado a Panorama. Las capacidades de registro e informes en Panorama incluyen:
• Visor de registros. Para un dispositivo individual o para todos los dispositivos, puede
ver rápidamente el registro
actividades mediante el filtrado dinámico de registros haciendo clic en un valor de celda
y / o utilizando la expresión
constructor para definir los criterios de clasificación. Los resultados se pueden guardar
para consultas futuras o exportarse
para su posterior análisis
• Informes personalizados. Los informes predefinidos se pueden usar tal cual,
personalizados o agrupados
juntos como un informe para satisfacer requisitos específicos.
• Informes de actividad del usuario. Un informe de actividad del usuario muestra las
aplicaciones utilizadas, las categorías de URL
visitado, sitios web visitados y todas las URL visitadas durante un período de tiempo
específico para
usuarios individuales Panorama crea los informes utilizando una vista agregada de la
actividad de los usuarios,
no importa qué firewall estén protegidos o qué IP o dispositivo puedan estar usando.
• Reenvío de registros. Panorama agrega registros recopilados de todas sus redes de
Palo Alto
cortafuegos, tanto físicos como virtuales, y los reenvía a un control remoto
destino para fines tales como almacenamiento a largo plazo, análisis forense o informes
de cumplimiento.
Panorama puede reenviar todos o registros seleccionados, Protocolo simple de
administración de red
(SNMP) trampas y notificaciones por correo electrónico a un destino de registro remoto,
como un syslog
servidor (a través de UDP, TCP o SSL).
Panorama se puede implementar en una arquitectura centralizada con toda la
administración de Panorama y
funciones de registro consolidadas en un solo dispositivo, o en una arquitectura
distribuida con
Unidades de gestión separadas y recopiladores de registros en una arquitectura de
implementación jerárquica:
• Gerente de panorama. El administrador de Panorama es responsable de manejar las
tareas.
asociado con la configuración de políticas y dispositivos en todos los dispositivos
administrados. los
El administrador no almacena datos de registro localmente, sino que utiliza
recopiladores de registro separados para
manejo de datos de registro. El administrador analiza los datos almacenados en los
recopiladores de registros para
informes centralizados
• Panorama Log Collector. Organizaciones con alto volumen de registro y retención
los requisitos pueden implementar dispositivos dedicados de Panorama Log Collector
que se agregarán
registrar información de múltiples firewalls administrados.
Página 181
Palo Alto Networks y Splunk se han asociado para extender la poderosa visibilidad en
la red
tráfico de Panorama a otros componentes de la red. La solución combinada entrega
altamente
detección coordinada efectiva, investigación de incidentes y respuesta a amenazas
cibernéticas. Con
la aplicación Splunk para Palo Alto Networks (ver Figura 3-17), los equipos de
seguridad empresarial tienen un
plataforma potente para visualización, monitoreo y análisis de seguridad que les permite
Aproveche la extensa aplicación, usuario, contenido y datos de amenazas generados por
Palo Alto
Dispositivos de redes.
Figura 3-17: La integración con Splunk extiende las capacidades de visibilidad y prevención a toda su infraestructura de
red
La solución integrada no solo combina varios enfoques para identificar amenazas
cibernéticas:
incluyendo análisis dinámico de sandbox, detección de anomalías estadísticas y toda la
infraestructura
correlación de eventos, pero también permite a los administradores de seguridad
acelerar la respuesta a incidentes mediante
Automatizar los pasos necesarios para bloquear fuentes maliciosas y poner en
cuarentena los dispositivos comprometidos.
Page 182
1. Opción múltiple. ¿Qué opción no es una característica definitoria de un NGFW?
(Elige uno.)
a) procesamiento de paquetes de baja latencia con mínima pérdida de rendimiento
b) adherencia a la estricta aplicación de puertos y protocolos para permitir o bloquear
decisiones
c) herramientas de seguridad integradas
d) análisis bidireccional de pila completa de paquetes
2. Respuesta corta. Enumere las tres capacidades principales de un NGFW.
3. Opción múltiple. ¿Qué opción no es una técnica central para identificar
aplicaciones en NGFW de Palo Alto Networks? (Elige uno.)
a) encabezados de paquetes
b) firmas de solicitud
c) decodificación de protocolo
d) análisis de comportamiento
4. Respuesta corta. Enumere tres métodos para asignar la identificación del usuario a
una IP
dirección dentro de un NGFW.
5. Respuesta corta. Describa el escaneo de malware basado en transmisión y explique
su
beneficios.
6. Respuesta corta. ¿Cuál es la ventaja de usar plantillas en Panorama?
7. Opción múltiple. ¿Panorama no se integra con qué opción? (Escoger
uno.)
a) WildFire
b) Splunk
c) NGFW de Palo Alto Networks
d) firewalls tradicionales basados en puertos
Página 183
3.3 Protección del punto final
Los componentes de protección de punto final en la plataforma operativa de seguridad
incluyen trampas avanzadas
protección de punto final y seguridad móvil GlobalProtect.
3.3.1 Protección de punto final avanzada (trampas)
La protección avanzada de punto final es una nueva innovación de producto de
seguridad que requiere una diferencia
mentalidad de las metodologías de seguridad tradicionales. En lugar de un reactivo
"detectar y responder"
Enfoque como con el software antimalware tradicional, la protección de punto final
avanzada emplea un
estrategia de prevención proactiva. La protección de punto final avanzada debe hacer lo
siguiente:
• Prevenir todas las vulnerabilidades, incluidas las que utilizan vulnerabilidades
desconocidas de día cero
• Bloquee todo el malware, sin requerir ningún conocimiento previo de firmas
específicas de malware
• Proporcionar forenses detallados contra ataques prevenidos para fortalecer todas las
áreas del
organización señalando los objetivos y las técnicas utilizadas
• Ser altamente escalable y liviano para integrarse sin problemas en las operaciones
existentes con
mínima o nula interrupción
• Integre estrechamente con la seguridad de la red y la nube para un intercambio rápido
de datos y cross
protección de la organización
Palo Alto Networks Traps proporciona protección de punto final avanzada que evita
sofisticados
vulnerabilidades y ataques de malware, tanto conocidos como desconocidos. La llave de
las trampas
está bloqueando las técnicas principales de explotación y malware, no los ataques
individuales. Trampas automáticas
detecta y bloquea un conjunto básico de técnicas que un atacante debe vincular para
ejecutar cualquier
tipo de ataque, independientemente de su complejidad. Prevención de una sola técnica
en el Ciber-
El ciclo de vida del ataque (ver Sección 1.2.2) frustra todo el ataque antes de que pueda
causar daño.
El agente de Traps se inyecta en cada proceso cuando se inicia y bloquea
automáticamente
ataques que de otro modo evadirían la detección. Si se realiza un intento de explotación
utilizando uno de los
técnicas de ataque, Traps bloquea inmediatamente esa técnica, finaliza el proceso y
notifica al usuario y al equipo de seguridad que se evitó un ataque (consulte la Figura 3-
18).
Page 184
Figura 3-18: Traps bloquea un conjunto básico de técnicas para detener ataques avanzados
A lo largo de cada evento, Traps recopila información forense detallada e informa esta
información al
Endpoint Security Manager (ESM), que proporciona una mejor visibilidad y una sólida
comprensión de
ataques que fueron prevenidos. Con Traps, los puntos finales siempre están protegidos,
independientemente del parche,
firma o niveles de actualización de software; Además, no requiere conocimiento previo
de un ataque para
Prevenirlo.
Para evitar la ejecución de ejecutables maliciosos en el punto final, Traps se centra en
tres claves
áreas para garantizar una protección integral (ver Figura 3-19). Combinación de estos
métodos
ofrece prevención de malware sin igual e incluye lo siguiente:
• Restricciones basadas en políticas: las organizaciones pueden configurar fácilmente
políticas que restrinjan
escenarios de ejecución. Por ejemplo, es posible que desee evitar la ejecución de
archivos de
el directorio TMP de Outlook, impida la ejecución de archivos sin firmar o impida
ejecución de un tipo de archivo en particular directamente desde una unidad USB.
• Inspección y análisis de WildFire: Traps consulta la amenaza WildFire de Palo Alto
Networks
nube de prevención (discutida en la Sección 3.5.5) con un hash y envía cualquier .EXE
desconocido
archivos para evaluar su riesgo dentro de la comunidad global de amenazas.
• Mitigación de técnicas de malware: Traps implementa mitigaciones basadas en
técnicas que
prevenir ataques mediante técnicas de bloqueo como la inyección de hilo.
Page 185
Figura 3-19: Prevención de ejecutables maliciosos, un enfoque de varios niveles
3.3.1.1 Prevención de malware
El motor de prevención de malware Traps utiliza control de ejecución avanzado,
integración WildFire,
y módulos de prevención de malware (MPM) para evitar la ejecución de malware.
Cuando un usuario o punto final intenta abrir un ejecutable, Traps primero verifica que
el
El ejecutable no viola ninguna restricción basada en políticas. Restricciones basadas en
políticas drásticamente
reduzca la superficie de ataque al evitar la ejecución de archivos en escenarios de alto
riesgo. Por ejemplo tu
puede querer evitar la ejecución de lo siguiente:
• Tipos de archivos particulares (o cualquiera) directamente desde una unidad USB
• Archivos de ciertas rutas (como la carpeta TMP de Outlook) o ubicaciones de red
donde
las aplicaciones no residen
• Procesos secundarios creados por aplicaciones específicas (como Microsoft
PowerPoint)
• Ejecutivos no firmados o ejecutables con un certificado no válido
Alternativamente, hay restricciones altamente granulares disponibles para definir
procesos confiables o tipos de archivos,
ubicaciones y rutas de registro desde las que estos procesos pueden leer y escribir. Si
alguno de los
las reglas de restricción se aplican al ejecutable, Traps bloquea la ejecución del archivo
e informa
evento de seguridad al ESM.
Page 186
Traps proporciona control de ejecución estático y dinámico. Lista blanca básica y listas
negras de
Las aplicaciones se pueden administrar fácilmente desde la consola ESM. Cada
ejecutable que haya sido
ejecutar en la organización se enumera en la consola de ESM junto con el veredicto de
WildFire (discutido en
Sección 3.5.5). El administrador puede anular fácilmente el veredicto con solo hacer
clic en un botón. por
entornos relativamente estáticos o sistemas especializados, como puntos de venta (POS)
o supervisión
control y adquisición de datos (SCADA), los puntos finales pueden endurecerse con una
ejecución estricta
política de control. Para entornos más dinámicos, como estaciones de trabajo para
usuarios finales, dinámico
El análisis y control de la ejecución se logra mediante la integración con WildFire.
Traps Advanced Endpoint Protection está integrado de forma nativa con WildFire
(discutido en la Sección
3.5.5) para proporcionar protección de día cero contra exploits nuevos y desconocidos y
amenazas de malware.
La integración de WildFire brinda la capacidad de tener la seguridad de un control de
ejecución granular
y la manejabilidad de una política de seguridad dinámica impulsada por análisis
automatizado de datos desconocidos
ejecutables (ver Figura 3-20).
Figura 3-20: la integración de WildFire con Traps permite la evaluación en tiempo real de los veredictos hash
Si nunca se ha visto un archivo ejecutable en el punto final, Traps puede enviar el hash
del archivo
para identificación inmediata por WildFire. Si WildFire identifica el archivo como
malicioso, Traps lo hará
evitar la ejecución antes de que se haga algún daño. Se analizan más de 1 millón de
muestras cada una.
día, por lo que hay una buena posibilidad de que WildFire haya visto el archivo y pueda
alertar a Traps si es
malicioso. Si WildFire no ha visto el archivo, se puede cargar automáticamente para
análisis para determinar si es malicioso. Las trampas y los NGFW de Palo Alto
Networks pueden enviar
archivos a WildFire, por lo que esta integración permite compartir sin problemas la
inteligencia de amenazas entre
NGFW y los puntos finales.
Page 187
Si un archivo malicioso no está bloqueado por el control de ejecución avanzado o la
evaluación WildFire y es
permitido ejecutar, los módulos de prevención de malware de Traps todavía pueden
bloquear la actividad maliciosa
(MPMs). Los MPM se centran en las técnicas principales aprovechadas por muchos
tipos de malware. Por ejemplo,
evitarán que se inyecte código malicioso en aplicaciones confiables.
Una regla de protección de malware impide la ejecución de malware, a menudo
disfrazado o incrustado
en archivos no maliciosos, mediante el uso de módulos de malware para atacar el
comportamiento del proceso común desencadenado
por malware. Puede habilitar la inyección de MPM en todos los procesos o habilitar la
protección en uno
o más procesos protegidos en su organización. Para permitir que se ejecuten procesos
legítimos, puede
Lista blanca de procesos principales que se inyectan en otros procesos. Las reglas de
MPM incluyen:
• Suspender guardia: protege contra una técnica de malware común donde el atacante
crea procesos en estado suspendido para inyectar y ejecutar código antes de que
comience el proceso.
Puede habilitar la suspensión de guardia en un modo de proceso de origen, configurar la
notificación del usuario,
y, opcionalmente, módulos de funciones de la lista blanca que pueden llamar procesos
secundarios.
• Inyección de subprocesos: otro punto de entrada común para código malicioso es a
través de
creación de hilos y procesos remotos. Puede habilitar la inyección de hilo para detener
hilo remoto y creación de procesos y especifique la limitación en la fuente o
proceso de destino o hilo. Puede incluir en la lista blanca carpetas específicas para hacer
excepciones a
La regla general de restricción de ejecución.
Las trampas evitan la ejecución de archivos maliciosos con un enfoque personalizado
para contrarrestar
ataques tradicionales y modernos (ver Figura 3-21). Además, los administradores
pueden usar el escaneo periódico
para identificar amenazas latentes, cumplir con los requisitos reglamentarios y acelerar
los incidentes
respuesta con contexto de punto final.
Inteligencia de amenazas WildFire: además de los feeds de terceros, Traps aprovecha
el
inteligencia obtenida de decenas de miles de suscriptores de WildFire en la nube
servicio de análisis de amenazas para agregar continuamente datos de amenazas y
mantener el colectivo
inmunidad de todos los usuarios en puntos finales, redes y aplicaciones en la nube.
Traps consulta WildFire con el hash de cualquier archivo ejecutable de Windows o
macOS, DLL,
o el archivo de Office antes de que se ejecute el archivo para evaluar su posición dentro
de la amenaza global
comunidad. WildFire devuelve un veredicto casi instantáneo sobre si el archivo es
malicioso o benigno. Si el archivo es desconocido, Traps continúa con más
técnicas de prevención para determinar si es una amenaza que debería ser
terminado.
Page 188
Si el archivo se considera malicioso, Traps finaliza automáticamente el proceso y
opcionalmente lo pone en cuarentena.
Análisis local a través del aprendizaje automático: si un archivo permanece
desconocido después del hash inicial
búsqueda y no ha sido identificado por los administradores, Traps usa Análisis Local a
través de
aprendizaje automático en el punto final - entrenado por la inteligencia de amenazas
WildFire - para
determinar si el archivo puede ejecutarse, incluso antes de recibir un veredicto de los
más profundos
Inspección de WildFire. El análisis local puede examinar cientos de características de
archivo en tiempo real
tiempo para determinar si un archivo es probablemente malicioso o benigno sin
depender de
firmas, escaneo o análisis de comportamiento.
Inspección y análisis de WildFire: además del análisis local, Traps envía mensajes
desconocidos
archivos a WildFire para descubrimiento y análisis más profundos para detectar
rápidamente potencialmente desconocidos
malware Wildfire reúne los beneficios de las técnicas independientes para
fidelidad y descubrimiento resistente a la evasión que va más allá de los enfoques
heredados. Estas
Las técnicas incluyen:
Análisis estático a través del aprendizaje automático: una versión más potente de
Análisis local,
basado en la nube, que detecta amenazas conocidas mediante el análisis de las
características de
muestras antes de la ejecución
Análisis dinámico: un entorno virtual personalizado, resistente a la evasión en el que
envíos previamente desconocidos son detonados para determinar los efectos del mundo
real y
comportamiento
Análisis de metales desnudos: un entorno de análisis basado en hardware diseñado
específicamente
para amenazas avanzadas que exhiben características altamente evasivas y pueden
detectar virtual
análisis
Si WildFire determina que un archivo es una amenaza, automáticamente crea y
comparte un nuevo
control de prevención con trampas y otros componentes de la seguridad de las redes de
Palo Alto
Plataforma operativa en tan solo cinco minutos. Este control asegura que la amenaza es
se clasifica inmediatamente como malicioso y se evita si se vuelve a encontrar.
Las capacidades adicionales de prevención incluyen:
Protección granular de procesos secundarios: Traps previene ataques basados en
script y sin archivos, por
predeterminado, con controles listos para usar sobre el lanzamiento de legítimos
aplicaciones, como motores de scripts y shells de comandos. El número de disponibles
los controles continúan creciendo con actualizaciones periódicas de contenido de las
redes de Palo Alto
equipo de investigación de amenazas, Unidad 42. Los administradores pueden incluir en
la lista blanca o en la lista negra los procesos secundarios,
Page 189
y las comparaciones de línea de comandos ayudan a aumentar la detección sin afectar
negativamente
rendimiento del proceso o cierre de procesos.
Protección contra ransomware basada en el comportamiento: además de los
métodos múltiples existentes
medidas de prevención, incluida la prevención de exploits, Análisis local y WildFire,
Traps
monitorea el sistema en busca de comportamiento de ransomware. En la detección,
bloquea inmediatamente
Ataca y evita el cifrado de los datos del cliente.
Escaneo: los administradores pueden escanear puntos finales y unidades extraíbles
conectadas para
malware inactivo, con una opción para ponerlo en cuarentena automáticamente para su
reparación cuando
encontró. El escaneo periódico o bajo demanda se puede configurar como parte de un
perfil de seguridad en
uno o más puntos finales.
Políticas de anulación de administración: Traps permite a las organizaciones definir
políticas basadas en
hash de un archivo ejecutable para controlar lo que se permite o no ejecutar en su
ambientes. Esta capacidad reduce la superficie de ataque y elimina lo negativo.
impacto en aplicaciones locales o muy personalizadas.
Cuarentena de malware: la cuarentena es particularmente útil para prevenir la acción
accidental
Difusión de malware en organizaciones donde los datos basados en la red o en la nube
Las aplicaciones de almacenamiento y SaaS sincronizan automáticamente archivos en
múltiples usuarios y sistemas.
Las trampas ponen inmediatamente en cuarentena los archivos ejecutables maliciosos,
las DLL y los archivos de Office para
evitar intentos de propagación o ejecución de archivos infectados.
Clasificación de grayware: Traps permite a las organizaciones identificar no
maliciosos pero
software no deseado, como el adware, y evitar que se ejecute en su
ambientes.
Restricciones de ejecución: Traps permite a las organizaciones definir fácilmente
políticas para restringir
escenarios de ejecución específicos para reducir la superficie de ataque de cualquier
entorno. por
ejemplo, las trampas pueden evitar la ejecución de archivos desde el directorio temporal
de Outlook o un
tipo de archivo particular desde una unidad USB.
Page 190
Figura 3-21: Captura la prevención de malware de métodos múltiples
3.3.1.2 Prevención de exploits
Traps se centra en las técnicas básicas utilizadas por todos los exploits para representar
esas técnicas.
ineficaz, lo que significa que la aplicación ya no es vulnerable.
El agente de Traps se inyecta en cada proceso cuando se inicia. Si el proceso intenta
ejecutar cualquiera de las técnicas de ataque principal, el correspondiente módulo de
prevención de exploits (EPM)
evita esa explotación al finalizar el proceso, e informa todos los detalles al ESM como
representado en la figura 3-22.
Figura 3-22: Las trampas EPM protegen los procesos de aplicación contra vulnerabilidades
Página 191
Por defecto, la política de Traps está configurada para proteger más de 100 procesos,
cada uno con docenas de
EPM patentados. Traps no se limita a proteger solo esos procesos o aplicaciones.
Las organizaciones usan Traps para proteger todo tipo de procesos y aplicaciones
agregándolos a
configuración de la política Los procesos que se han ejecutado en el punto final se
muestran automáticamente en
la consola ESM, lo que significa que esos procesos se pueden proteger fácilmente con el
clic de un
botón. Esta capacidad es especialmente útil para organizaciones que ejecutan industrias
específicas
aplicaciones, como sistemas de punto de venta (POS), terminales ATM y control de
supervisión y
adquisición de datos (SCADA).
Si una aplicación entra en conflicto con uno de los EPM, los administradores de
seguridad simplemente pueden deshabilitar eso
EPM para la aplicación específica y el punto final. La aplicación aún está protegida por
docenas de
otros EPM (ver Figura 3-23). Los exploits dependen de una serie de técnicas para
ejecutarse con éxito, por lo que
otros EPM continúan protegiendo esa aplicación y bloquean al menos una de las
técnicas, que
rompe la secuencia
Figura 3-23: solo una técnica necesita ser bloqueada para que un exploit falle
Los ataques que los EPM pueden evitar incluyen:
• Secuestro de la biblioteca de vínculos dinámicos (DLL): reemplazar una DLL legítima
por una maliciosa de
el mismo nombre
• Flujo de control del programa de secuestro
• Insertar código malicioso como un controlador de excepciones
192
En lugar de confiar en las firmas o la detección basada en el comportamiento para
identificar ataques basados en exploits,
Traps adopta el enfoque único de apuntar al número limitado de técnicas (es decir, el
herramientas) cualquier ataque basado en exploits debe usar para manipular una
vulnerabilidad de software. Trampas previene
Las técnicas en lugar de identificar cada ataque individual y por lo tanto protege sin
parchear
sistemas, sistemas heredados no compatibles, aplicaciones que TI desconoce y nunca
antes había visto
exploits: también llamados exploits de día cero. Traps ofrece prevención de exploits
utilizando múltiples
métodos:
Protección previa a la explotación: las trampas evitan los kits de explotación de las
técnicas de perfil de vulnerabilidad
usar antes de lanzar ataques. Al bloquear estas técnicas, Traps previene a los atacantes
de apuntar a puntos finales y aplicaciones vulnerables, evitando efectivamente los
ataques
antes de que comiencen.
Prevención de exploits basada en la técnica: Traps previene conocidos, día cero y sin
parches
vulnerabilidades al bloquear las técnicas de explotación que los atacantes usan para
manipular
aplicaciones. Aunque hay miles de exploits, generalmente dependen de un conjunto
pequeño
de técnicas de explotación que cambian con poca frecuencia. Las trampas bloquean
estas técnicas,
lo que evita los intentos de explotación antes de que puedan comprometer los puntos
finales.
Prevención de exploits del kernel: Traps previene exploits que aprovechan
vulnerabilidades en el
kernel del sistema operativo para crear procesos con escalado (es decir, a nivel de
sistema)
privilegios Las trampas también protegen contra las nuevas técnicas de explotación
utilizadas para ejecutar programas maliciosos
cargas útiles, como las vistas en los ataques WannaCry y NotPetya de 2017. Al
bloquear
los procesos acceden al código malicioso inyectado desde el núcleo, las trampas pueden
evitar
El ataque temprano en el ciclo de vida del ataque sin afectar los procesos legítimos. Esta
la capacidad permite a las trampas bloquear ataques avanzados que apuntan o provienen
de
sistema operativo en sí.
Al bloquear las técnicas comunes a todos los ataques basados en exploits, Traps
proporciona tres
beneficios importantes:
Protege las aplicaciones que no pueden parchearse y oculta las aplicaciones de TI:
el riesgo es
introducido cuando se ejecutan aplicaciones heredadas no compatibles o cuando se
concede a los usuarios
la flexibilidad para descargar y ejecutar programas como lo deseen. Trampas permite a
las organizaciones
para ejecutar cualquier aplicación, incluidas las desarrolladas internamente, aquellas que
ya no son
recibir actualizaciones o soporte de seguridad, o aquellos que se ejecutan en su entorno
sin la conciencia del departamento de TI, sin abrir la red a la amenaza de
ataques basados en exploits.
Página 193
Elimina la urgencia de parchear aplicaciones lo antes posible: organizaciones que
usan
Las trampas pueden aplicar parches de seguridad cuando sea apropiado para el negocio
y después de suficiente
pruebas. Las trampas evitan la explotación de vulnerabilidades de la aplicación
independientemente de cuándo
una organización aplica parches de seguridad emitidos por proveedores de aplicaciones.
Evita que los exploits de día cero tengan éxito: Traps bloquea el conjunto limitado de
explotación
técnicas que normalmente utilizan los exploits de día cero, por lo que Traps protege a
las organizaciones contra
ataques que utilizan exploits de día cero.
3.3.1.3 Arquitectura de despliegue de trampas
Traps es una solución de protección de punto final avanzada altamente escalable que
consta de un punto final
Consola de Security Manager (ESM), servidor (es) de Endpoint Security Manager,
trampas ligeras
agentes (instalados en puntos finales individuales) y registro externo opcional.
La infraestructura de Traps admite varias opciones arquitectónicas para permitir la
escalabilidad a un gran
Ambiente distribuido. La instalación del ESM crea una base de datos en Microsoft SQL
Server
e instala la consola administrativa en Internet Information Server (IIS).
Los servidores ESM actúan esencialmente como representantes entre los agentes de
Traps y la base de datos ESM.
Las comunicaciones de los agentes de Traps a los servidores de ESM se producen a
través de HTTPS. Los servidores de ESM no almacenan
datos y, por lo tanto, se pueden agregar y eliminar fácilmente del entorno según sea
necesario para
Garantizar una cobertura geográfica adecuada y redundancia.
Para garantizar la conectividad global, las organizaciones que no usan una solución de
movilidad como Palo Alto
Networks GlobalProtect (discutido en la Sección 3.3.2) puede optar por colocar un
servidor ESM en la DMZ
o en un entorno basado en la nube con conectividad externa.
El instalador del agente de Traps se puede implementar utilizando la herramienta de
implementación de software de su elección.
Las actualizaciones posteriores al agente se pueden implementar a través del ESM. El
agente consume menos de
25 MB en disco y menos de 40 MB mientras se ejecuta en la memoria. El uso
observado de la CPU es inferior a 0.1
por ciento. El agente también emplea varios métodos de protección contra
manipulaciones que evitan que los usuarios y
código malicioso por deshabilitar la protección o alterar la configuración del agente.
La estructura liviana permite que el entorno de Traps se escale horizontalmente y
soporte
implementaciones grandes de hasta 50,000 agentes por ESM, mientras se mantiene un
sistema centralizado
configuración y base de datos para políticas. Las trampas pueden coexistir con la
mayoría de los principales puntos finales de seguridad
soluciones con requisitos mínimos de E / S de CPU. Con una interrupción mínima,
Traps es óptimo para
infraestructuras críticas, sistemas especializados e infraestructura de escritorio virtual
(VDI)
ambientes.
Página 194
El ESM puede escribir registros en una plataforma de registro externa, como una
solución SIEM o cualquier sistema
que admite syslog, además de almacenar sus registros internamente.
3.3.1.4 Trampas en acción
Para comprender cómo Traps evita que un ataque tenga éxito, observe un ciberataque
real
ejemplo en el que se envía un archivo PDF con un exploit incrustado a un usuario
desprevenido (ver
Figura 3-24). El usuario abre el archivo PDF, que hace lo siguiente:
• Explota Adobe Reader
• Hace que Adobe Reader cree un proceso secundario de Internet Explorer (IE)
• Hace que IE descargue un archivo ejecutable (EXE) de un sitio web malicioso
• Ejecuta el nuevo archivo EXE, que luego realiza actividades maliciosas en el punto
final,
incluyendo inyección de hilo en IE
Esta cadena de eventos es común en muchos ataques. El tipo de archivo específico,
exploit y malicioso
la carga útil ejecutable puede variar, pero los pasos son básicamente los mismos de un
ataque a otro.
Figura 3-24: cuando se intenta un exploit, Traps lo bloquea antes de que se inicie cualquier actividad maliciosa
La clave para detener un ataque es romper esta cadena de eventos en la etapa más
temprana posible del
ataque.
Para evitar que un ataque tenga éxito, Traps proporciona capacidades de prevención y
múltiples
capas de protección para bloquear la capacidad del atacante para acceder a la red y
moverse lateralmente
dentro de la empresa. En este ejemplo de ataque en particular, las trampas pueden evitar
que el ataque
tener éxito usando cualquiera de las siguientes técnicas (ver Figura 3-25):
Página 195
1. Técnica de explotación 1. La explotación utiliza una serie de técnicas para
aprovechar la
vulnerabilidad en la aplicación de destino, Adobe Reader en este caso. Aunque la
hazaña
podría ser una nueva amenaza de día cero, las técnicas que tiene que usar son comunes
y nuevas
Las técnicas son muy raras (típicamente de dos a cuatro por año). En este ejemplo, el
exploit
utiliza varias funciones del sistema operativo (SO).
2. Técnica de explotación 2. En este ejemplo, la pulverización justo a tiempo (JIT) se
utiliza para explotar una
compilador a tiempo, que configura la tercera técnica de explotación (pulverización de
montón) que se utilizará en
el ataque. Este tipo de exploit se usa comúnmente contra formatos de archivo PDF y
Adobe
Reproductor Flash. De nuevo, Traps evita que se ejecute el exploit, de modo que incluso
si el primero
la técnica de explotación por alguna razón tiene éxito, la segunda explotación falla y el
ataque es
frustrado
3. Técnica de explotación 3. En este ejemplo, la pulverización en montón se utiliza a
continuación para facilitar arbitrariamente
ejecución de código Esta técnica permite al atacante colocar una secuencia de bytes en
el
memoria de un proceso objetivo. La pulverización en pilas es otra técnica de
explotación comúnmente utilizada
que Traps impide que se ejecute.
4. Restricción de ejecución 1. En este ejemplo, Adobe Reader crea un proceso
secundario (un
técnica comúnmente utilizada para evitar la detección antimalware). Las trampas
restringen al niño
los procesos se ejecutan arbitrariamente y, por lo tanto, evita que el ataque tenga éxito.
5. Restricción de ejecución 2. En este ejemplo, el atacante intenta ejecutar un archivo
sin firmar
ejecutable. Aquí nuevamente, Traps evita que el ejecutable se ejecute, en base a reglas
que
puede ser personalizado por un administrador.
6. Restricción de ejecución 3. En este ejemplo, un programa ejecutable intenta
ejecutarse desde un
ubicación restringida, la carpeta IE TMP. Estas ubicaciones restringidas pueden ser
personalizadas por
Un administrador si es necesario.
7. Verificación de veredicto local. Una verificación de veredicto local compara el
archivo con un administrador.
lista negra configurada para determinar si el archivo está explícitamente bloqueado o
contra un
lista blanca para determinar si el archivo se ha permitido explícitamente
independientemente de su WildFire
veredicto.
8. Veredicto conocido de WildFire. Traps EPM comprueba el archivo contra WildFire
enviando el archivo
picadillo. En este ejemplo, WildFire responde que se sabe que el archivo es malicioso y
por lo tanto no está permitido ejecutar.
9. Inspección de WildFire bajo demanda. Si WildFire nunca ha visto el archivo, se
puede cargar
para análisis y no se permite su ejecución hasta que WildFire proporcione un veredicto.
Página 196
10. Módulo de prevención de malware. Si se permite la ejecución del ejecutable
malicioso, intenta un
inyección de hilo en IE. Esta técnica de malware está bloqueada por la inyección de hilo
módulo de prevención de malware en Traps.
Figura 3-25: Las trampas evitan este ejemplo de ataque en cualquiera de los diez pasos críticos
Aunque este es solo un ejemplo, la mayoría de los ataques modernos usan alguna
combinación de estos pasos
y varias técnicas de explotación y malware . Mientras que la mayoría de los enfoques de
protección de punto final
centrarse en un método de bloqueo (lista blanca, por ejemplo), Traps aprovecha cada
oportunidad de evitar compromisos y detener el ataque.
3.3.2 Seguridad móvil y gestión de VPN (GlobalProtect)
La informática móvil está revolucionando cómo y dónde trabajan los empleados, y las
herramientas que ellos
utilizan para realizar sus trabajos. A medida que las estrategias móviles empresariales
maduran, las capacidades móviles se vuelven
más avanzado con nuevas aplicaciones y mayor acceso a datos, presentando nuevas
oportunidades y nuevos riesgos. Si las organizaciones quieren adoptar usos más
sofisticados de
dispositivos móviles, los equipos de seguridad de la empresa deben asegurarse de
abordar las inquietudes sobre el
riesgos inherentes a la información sensible y los activos de red que trae la movilidad.
Desafortunadamente, muchas herramientas tradicionales de seguridad móvil tienden a
centrarse en casos de uso muy básicos y
puede ser tan limitado en sus capacidades de seguridad como los propios casos de uso.
El camino hacia
Desbloquear el valor total del dispositivo móvil depende de la seguridad, que
proporciona los medios para
Términos clave
En los sistemas operativos multitarea, un proceso secundario es un subproceso creado
por un
proceso principal que se está ejecutando actualmente en el sistema.
Page 197
Extienda las aplicaciones de forma segura. La seguridad debe verse como una forma de
habilitar iniciativas móviles en lugar de
que como una limitación a las estrategias móviles. Para aprovechar al máximo todos los
beneficios de la movilidad y de forma segura
Habilitar dispositivos móviles, las empresas deben:
• Administrar el dispositivo. Asegúrese de que los dispositivos móviles estén
habilitados de forma segura configurando el
dispositivo con la configuración de seguridad adecuada. Simplifique la implementación
y la configuración mediante el aprovisionamiento
configuraciones comunes como la configuración de la cuenta para correo electrónico y
credenciales como
certificados
• Proteja el dispositivo. Proteja el dispositivo móvil de exploits y malware. Proteccion
DE
el dispositivo también es importante para proteger los datos, porque los datos no son
seguros en un
dispositivo comprometido
• Controlar los datos. Controlar el acceso a datos y controlar el movimiento de datos
entre
aplicaciones. Establezca políticas que definan quién puede acceder a aplicaciones
sensibles, y
dispositivos particulares que se pueden usar.
Palo Alto Networks GlobalProtect habilita de forma segura los dispositivos móviles
para uso comercial al proporcionar un
Solución única para administrar el dispositivo, proteger el dispositivo y controlar los
datos. Se mezcla
juntos la tecnología e inteligencia necesarias para proporcionar una solución integral
para
Seguridad móvil. Esta solución permite a la organización detener las amenazas móviles,
hacer cumplir la seguridad
políticas y proteger las redes de dispositivos móviles comprometidos y no conformes.
GlobalProtect tiene tres componentes principales:
• GlobalProtect Gateway: ofrece prevención de amenazas móviles y aplicación de
políticas
según las aplicaciones, los usuarios, el contenido, el dispositivo y el estado del
dispositivo. Las puertas de enlace de GlobalProtect proporcionan
aplicación de seguridad para el tráfico de agentes y aplicaciones de GlobalProtect.
Además, si el anfitrión
La función de perfil de información (HIP) está habilitada, la puerta de enlace genera un
informe HIP de
los datos de host sin procesar que envían los clientes y pueden usar esta información en
la aplicación de políticas.
Las puertas de enlace de GlobalProtect se configuran en una interfaz en cualquier red de
Palo Alto
NGFW. Puede ejecutar una puerta de enlace y un portal en el mismo firewall, o puede
tener
múltiples puertas de enlace distribuidas en toda la empresa. Hay dos tipos de
Puertas de enlace de GlobalProtect:
Puertas de enlace externas: brinde cumplimiento de seguridad y / o red privada virtual
(VPN) acceso para usuarios remotos.
Puertas de enlace internas: una interfaz en la red interna configurada como
Gateway GlobalProtect para aplicar la política de seguridad para el acceso a los recursos
internos.
Página 198
Cuando se usa junto con ID de usuario (discutido en la Sección 3.2.1.2) y / o HIP
comprobaciones, se puede utilizar una puerta de enlace interna para proporcionar un
método seguro y preciso de
Identificar y controlar el tráfico por usuario y / o estado del dispositivo. Las puertas de
enlace internas son
útil en entornos sensibles donde el acceso autenticado a recursos críticos es
necesario. Puede configurar una puerta de enlace interna en modo túnel o no túnel
modo.
• Cliente GlobalProtect: permite la administración del dispositivo, proporciona
información del estado del dispositivo,
y establece conectividad segura. Extiende un túnel VPN a Apple iOS, Android y
Dispositivos móviles con Windows 10 (y la Plataforma universal de Windows) con la
aplicación GlobalProtect,
y los sistemas operativos Windows, Mac y Google Chrome con GlobalProtect Agent.
Eso
se conecta a GlobalProtect Gateway para acceder a aplicaciones y datos de acuerdo
con política El software del cliente GlobalProtect se ejecuta en puntos finales y permite
el acceso a
recursos de red a través de los portales y puertas de enlace de GlobalProtect que se han
implementado.
Hay dos tipos de clientes de GlobalProtect:
El Agente GlobalProtect se ejecuta en los sistemas operativos Windows, Mac y
Chrome y es
desplegado desde el portal GlobalProtect. Configura el comportamiento del agente:
por ejemplo, qué pestañas pueden ver los usuarios y si los usuarios pueden desinstalar el
agente
- en las configuraciones del cliente que defina en el portal.
La aplicación GlobalProtect se ejecuta en dispositivos móviles Apple iOS, Android y
Windows 10 y
establece una conexión VPN a nivel de dispositivo a GlobalProtect Gateway para
proteger
traficar y hacer cumplir las políticas de seguridad. La aplicación GlobalProtect puede
seleccionar automáticamente el
puerta de enlace óptima para una ubicación determinada para proporcionar una
experiencia de usuario transparente para
seguridad. En dispositivos Apple iOS, la aplicación GlobalProtect se puede configurar
para el nivel de aplicación
VPN
• Portal GlobalProtect: dirige todo el tráfico del cliente a la puerta de enlace apropiada
y se accede a él
primero por el dispositivo del cliente. El Portal GlobalProtect proporciona las funciones
de gestión
para la infraestructura GlobalProtect. Cada sistema cliente que participa en el
La red GlobalProtect recibe información de configuración del portal, que incluye
información sobre las puertas de enlace disponibles y cualquier certificado de cliente
que se requiera para
conectarse a las puertas de enlace de GlobalProtect. Además, el portal controla el
comportamiento y
distribución del cliente GlobalProtect. Si está utilizando la función HIP, el portal
también
define la información para recopilar del host, incluida cualquier información
personalizada que
exigir. El Portal GlobalProtect se puede configurar en una interfaz en cualquier Palo
Alto
Redes NGFW.
Page 199
La Figura 3-26 ilustra cómo los portales, puertas de enlace y agentes / aplicaciones de
GlobalProtect trabajan juntos
para habilitar el acceso seguro para todos sus usuarios, independientemente de qué
dispositivos estén usando o dónde
Ellos estan localizados.
Figura 3-26: Los componentes de GlobalProtect trabajan juntos para asegurar el acceso de todos los usuarios de la empresa,
independientemente de su ubicación o
dispositivo
GlobalProtect también proporciona una infraestructura completa para administrar el
acceso seguro a la empresa
recursos de sitios remotos. La función VPN de gran escala GlobalProtect (LSVPN) en
Palo Alto
Redes NGFW simplifica la implementación de VPN tradicionales de concentrador y
radio. El LSVPN
La característica permite que los equipos de seguridad extiendan rápidamente las redes
empresariales a varias sucursales
con una cantidad mínima de configuración requerida en los dispositivos satelitales
remotos. Usos de LSVPN
certificados para autenticación de dispositivo e IPsec para proteger datos. La
infraestructura LSVPN
consta de los siguientes componentes (ver Figura 3-27):
Página 200
Portal GlobalProtect : proporciona las funciones de gestión para GlobalProtect
LSVPN
infraestructura. Cada satélite que participa en el GlobalProtect LSVPN recibe
información de configuración del portal, incluida información de configuración para
habilitar
los satélites (los radios) para conectarse a las puertas de enlace (los centros). El portal
puede ser
configurado en una interfaz en cualquier Palo Alto Networks NGFW.
Puertas de enlace de GlobalProtect: un NGFW de Palo Alto Networks que
proporciona el punto final del túnel
para conexiones satelitales. Los recursos a los que acceden los satélites están protegidos
por
política de seguridad en la puerta de enlace. No se requiere un portal y puerta de enlace
separados; un solo
El cortafuegos puede funcionar como portal y puerta de enlace.
Satélite GlobalProtect: un NGFW de Palo Alto Networks en un sitio remoto que
establece
Túneles IPsec con las puertas de enlace en las oficinas corporativas para un acceso
seguro a
recursos centralizados La configuración en el firewall del satélite es mínima, lo que
permite
equipos de seguridad para escalar rápida y fácilmente la VPN a medida que se agregan
nuevos sitios.
Figura 3-27: Los componentes de GlobalProtect LSVPN trabajan juntos para extender de forma segura una red empresarial
a oficinas remotas
El servicio en la nube GlobalProtect es un servicio de infraestructura de seguridad
basado en la nube que
simplifica el proceso de escalar la plataforma operativa de seguridad de Palo Alto
Networks
que las organizaciones pueden extender la misma seguridad de primer nivel a la red
remota
ubicaciones y usuarios móviles sin tener que construir su propia seguridad global
infraestructura y ampliar su capacidad operativa. Con el servicio en la nube
GlobalProtect,
201
Palo Alto Networks implementa automáticamente NGFW y portales GlobalProtect y
puertas de enlace en los lugares donde la organización los necesita (consulte la Figura 3-
28).
Figura 3-28: Servicio en la nube GlobalProtect
Con el servicio en la nube GlobalProtect, Palo Alto Networks implementa y administra
la seguridad
infraestructura global para asegurar sus redes remotas y usuarios móviles. Nube
GlobalProtect
El servicio consta de cinco componentes:
Complemento de servicios en la nube: complemento Panorama (discutido en la
Sección 3.2.3) que permite
Servicio en la nube GlobalProtect y el servicio de registro. Este complemento
proporciona un simple y
interfaz familiar para ver el estado del servicio, y configura la configuración para
comience a dirigir el tráfico desde sus ubicaciones de red remotas y usuarios móviles a
servicio de almacenamiento en la nube. Para permitirle aplicar rápidamente una política
de seguridad coherente en todos
ubicaciones, puede aprovechar las plantillas de Panorama y los grupos de dispositivos
que pueda tener
ya creado para enviar configuraciones a los firewalls, portales y puertas de enlace en
Servicio en la nube GlobalProtect.
Infraestructura de servicio: antes de que el servicio en la nube GlobalProtect pueda
crear una infraestructura
en la nube para sus ubicaciones de red remotas y usuarios móviles, debe proporcionar
un
subred que no se superpone con otras direcciones IP que utiliza internamente.
GlobalProtect
Página 202
el servicio en la nube utiliza las direcciones IP dentro de esta subred para establecer una
red
infraestructura entre sus ubicaciones de red remotas y usuarios y servicios móviles
conexiones a su sede y / o centro de datos (si corresponde). Interno
La comunicación dentro de la nube se establece mediante el enrutamiento dinámico.
Conexiones de servicio: una licencia de servicio en la nube GlobalProtect incluye la
opción de
establecer túneles IPsec (discutidos en la Sección 2.6.4) para hasta tres de sus oficinas
centrales
o sitios de centros de datos. Este servicio es opcional y permite que el servicio en la
nube GlobalProtect
conéctese a sus servidores de autenticación y brinde a sus usuarios móviles y red remota
acceso de los usuarios a los recursos corporativos. Antes de poder configurar una
conexión de servicio, usted
debe configurar un túnel IPSec desde cada ubicación de HQ / centro de datos a
GlobalProtect
servicio de almacenamiento en la nube. Luego configura el enrutamiento para habilitar
el tráfico hacia y desde el túnel al
subredes que contienen los recursos a los que su red remota y móvil
Los usuarios necesitan acceso. Todas las puertas de enlace de GlobalProtect pueden
conectarse al servicio
cortafuegos de conexión en una arquitectura de concentrador y radio para proporcionar
acceso a la red interna
redes en su infraestructura de servicio en la nube GlobalProtect.
Redes remotas: servicio en la nube GlobalProtect para redes remotas automáticamente
implementa NGFW en las regiones que especifique en el complemento de servicios en
la nube durante el
pasos de incorporación. Necesitará un firewall, enrutador o software definido por IPsec
Dispositivo WAN (SD-WAN) que puede establecer un túnel para el servicio en la nube
GlobalProtect para
redes remotas, y debe enrutar el tráfico de los usuarios en la ubicación de la red remota
a través del túnel IPsec para que la política que ha introducido en el servicio pueda ser
aplicada por el servicio en la nube. Puede habilitar el acceso a las subredes en cada
control remoto
ubicación de red utilizando rutas estáticas, enrutamiento dinámico utilizando Border
Gateway
Protocolo (BGP, discutido en la Sección 2.1.3), o una combinación de estática y
dinámica
rutas. Todas las ubicaciones de red remotas a bordo están totalmente malladas.
Usuarios móviles: el servicio en la nube GlobalProtect para usuarios móviles se
implementa automáticamente
Portales y puertas de enlace de GlobalProtect en la nube. Los usuarios móviles se
conectan a
Servicio en la nube GlobalProtect para que los usuarios móviles reciban su
configuración VPN, que
los dirige a la puerta de enlace de servicio en la nube GlobalProtect más cercana para la
aplicación de políticas.
Antes de poder configurar este servicio, debe designar un grupo de direcciones IP para
servicio a utilizar para asignar direcciones IP para los túneles VPN del cliente. Las
direcciones en este
el grupo no debe superponerse con otros grupos de direcciones que use internamente o
grupos que asigne
para las conexiones de servicio.
Además, los firewalls, puertas de enlace y portales de la nube que se implementan como
parte de GlobalProtect
la infraestructura del servicio en la nube debe reenviar todos los registros al Servicio de
registro. Luego puede ver el
203 de 1189.
registros, Application Command Center (ACC) e informes de Panorama para una vista
agregada
en su red remota y tráfico de usuarios móviles.
Todos los firewalls del servicio en la nube GlobalProtect implementados para su
organización son tolerantes a fallas.
Todos los firewalls en la nube implementados para asegurar sus ubicaciones de red
remotas y habilitar el servicio
las conexiones están en una configuración de alta disponibilidad, con sincronización de
estado en múltiples
zonas de disponibilidad. Además, si configura un enlace WAN de respaldo, el tiempo
de conmutación por error del túnel es inferior a 10
segundos desde el momento de la detección (dependiendo de su proveedor de internet).
Para asegurar
disponibilidad para usuarios móviles, el servicio en la nube GlobalProtect implementa
múltiples firewalls en todas las regiones
para permitir una cobertura confiable y global. Conmutación por error entre una puerta
de enlace principal y una puerta de enlace de respaldo
es menos de 20 segundos. El servicio es seguro, resistente, actualizado y disponible para
usted cuando
lo necesita, para que pueda concentrarse en definir políticas que cumplan con las pautas
de uso corporativas para
aplicación coherente de políticas.
3.4 Seguridad en la nube
Los componentes de seguridad en la nube en la plataforma operativa de seguridad
incluyen monitoreo evidente de la nube
y cumplimiento y seguridad SaaS de Aperture.
3.4.1 Monitoreo y cumplimiento de la nube (Evidente)
Impulsado por la flexibilidad y la facilidad de las nubes públicas, el desarrollo ágil y
DevOps
El movimiento ha acelerado la velocidad de los ciclos de desarrollo de aplicaciones. Los
equipos de seguridad pueden
ya no depende del escaneo previo a la implementación, las pruebas de penetración o el
descubrimiento basado en la presencia
métodos. Para obtener la visibilidad que necesitan, requieren herramientas
automatizadas basadas en API que puedan
1. Verdadero o falso. La clave de Traps es bloquear el exploit central y el malware
técnicas, no los ataques individuales.
2. Respuesta corta. Describir la función básica de prevención de exploits de trampas.
módulos (EPM).
3. Respuesta múltiple. ¿Cuáles son las tres claves para habilitar dispositivos móviles
de forma segura?
en la empresa?
204 de 1189.
manejar los volúmenes de datos producidos en la nube. La clave para la empresa actual
es eliminar
el elemento humano de procesos y tareas repetibles para que los equipos puedan
proteger mejor sus
entornos en la nube. Los errores humanos pueden amplificarse rápidamente y crear
riesgos importantes. Nube
los entornos cambian continuamente y se conectan con más servicios, por lo que los
errores son
seguramente ocurrirá: las claves privadas se hacen públicas sin darse cuenta, los puertos
se dejan abiertos y los datos almacenados
queda expuesto
Evident fue desarrollado específicamente para ayudar a TI moderna, DevOps y
seguridad y cumplimiento
los equipos implementan y mantienen la seguridad dentro del modelo de
responsabilidad compartida en la nube (discutido
en las Secciones 1.1.3 y 2.8.1). Evident proporciona seguridad de servicios de
infraestructura de nube pública que
permite a las organizaciones automatizar la gestión de la seguridad en la nube y los
riesgos de cumplimiento
pueden minimizar la superficie de ataque y proteger sus implementaciones en la nube
pública.
Evident proporciona monitoreo continuo de nubes públicas, lo que permite a las
organizaciones implementar
aplicaciones con confianza, sabiendo que el entorno de la nube está configurado de
forma segura. Con
monitoreo continuo habilitado, Evident también ayuda a las organizaciones a lograr un
estado continuo de
conformidad. Evident analiza las configuraciones de todos los servicios y la
configuración de la cuenta contra
estrictos controles de seguridad y cumplimiento. Los datos almacenados en los servicios
de almacenamiento en la nube se clasifican
y comprobó la exposición de datos y malware.
El enfoque automatizado evidente para asegurar las cargas de trabajo en la nube pública
incorpora tres elementos críticos
componentes de seguridad: monitoreo continuo, validación de cumplimiento y nube
segura
almacenamiento. Es totalmente personalizable y se puede adaptar para identificar y
alertar a las empresas sobre los riesgos.
y vulnerabilidades que son específicas de sus datos y políticas de uso. La evidencia
basada en API
El enfoque permite que los tres componentes de seguridad se integren directamente en
la aplicación
proceso de desarrollo sin comprometer la agilidad.
Las capacidades y beneficios de Evident incluyen:
Visibilidad continua y monitoreo. Evident proporciona equipos de seguridad y
cumplimiento
con una visión de los riesgos en todas sus cuentas en la nube, servicios y regiones por
Automatizar el monitoreo, la inspección y la evaluación de la nube de la organización.
Servicios de infraestructura. Porque los equipos de seguridad y cumplimiento tienen
visibilidad en tiempo real
Términos clave
DevOps es la cultura y la práctica de una mejor colaboración entre aplicaciones
equipos de desarrollo y operaciones de TI.
205 de 1189.
en la postura de seguridad de su entorno, pueden ser alertados sobre problemas que sí
No cumplir con los controles y configuraciones requeridos por la organización.
Validación de cumplimiento. Adoptar un enfoque de seguridad primero para el
cumplimiento ayuda
las organizaciones van más allá de los requisitos de cumplimiento y adoptan las mejores
prácticas que mantienen
sus entornos y datos seguros. Evidente simplifica la medición y el informe de
cumplimiento de informes de cumplimiento preconstruidos con un solo clic para Center
for Internet Security
(CIS) Fundamentos, Reglamento General de Protección de Datos (GDPR), Seguro de
Salud
Ley de Portabilidad y Responsabilidad (HIPAA), Instituto Nacional de Normas de EE.
UU. Y
Tecnología (NIST), Industria de tarjetas de pago (PCI) y Control de organización de
servicios (SOC)
2, y permite a los usuarios crear informes personalizados para medir objetivos
organizacionales específicos.
Asegurar los servicios de almacenamiento en la nube. Evidente ayuda a identificar y
clasificar los datos almacenados en
Buckets de Amazon S3, Microsoft Azure Blob Storage y Google Cloud Storage.
Evidente es
impulsado por el aprendizaje automático y proporciona conocimiento del tipo de datos
en estos
servicios para que las organizaciones puedan identificar riesgos de exposición de datos
y remediar automáticamente
violaciones de la política tan pronto como ocurran.
Remediación automatizada. Evident permite la remediación automatizada para hacer
cumplir rápidamente
políticas definidas por la organización. Los riesgos pueden abordarse rápidamente y ser
necesarios
Se pueden hacer cambios a las configuraciones y ajustes sin intervención manual, que
devuelve el entorno a un estado de cumplimiento más rápido.
3.4.2 Seguridad SaaS (apertura)
Para habilitar de forma segura el uso de SaaS en su organización, comience definiendo
claramente las aplicaciones SaaS
eso debería usarse y qué comportamientos dentro de esas aplicaciones están permitidos.
Este paso
requiere una definición clara de qué aplicaciones son:
• Sancionado (permitido y provisto por TI)
• Tolerado (permitido debido a una necesidad comercial legítima, con restricciones,
pero no
proporcionado por TI)
• no autorizadas (no permitido), entonces el control de su uso con las políticas
granulares
Las aplicaciones SaaS autorizadas brindan beneficios comerciales y son rápidas de
implementar, requieren un mínimo
costo, y son infinitamente escalables. Las aplicaciones SaaS toleradas satisfacen una
necesidad comercial legítima,
pero ciertas restricciones de uso pueden ser necesarias para reducir el riesgo.
Aplicaciones SaaS no autorizadas
claramente no proporcionan beneficios comerciales, o los riesgos de seguridad de la
aplicación superan
beneficios de negocio. Por ejemplo, una aplicación SaaS no autorizada puede violar las
regulaciones
206 de 1189.
mandatos de cumplimiento, crear un riesgo inaceptable de pérdida de propiedad
intelectual corporativa o
otros datos confidenciales o habilite la distribución de malware (consulte la Figura 3-
29).
Figura 3-29: Impactos de aplicaciones SaaS autorizadas y no autorizadas
Para controlar el uso sancionado de SaaS, una solución de seguridad empresarial debe
proporcionar lo siguiente:
• Prevención de amenazas. Las aplicaciones SaaS introducen nuevos riesgos de
amenazas que deben ser
entendido y controlado. Muchas aplicaciones SaaS sincronizan automáticamente
archivos con usuarios,
y los usuarios a menudo comparten datos en aplicaciones SaaS con terceros que están
fuera de un
control de la organización. Estos dos aspectos de los entornos SaaS crean una nueva
inserción
apuntan a malware que no solo puede ingresar desde recursos compartidos externos,
sino que también puede
sincronice automáticamente esos archivos infectados en toda la organización sin ningún
usuario
intervención. Para abordar las amenazas de malware basadas en SaaS, una solución de
seguridad debe poder
para evitar que el malware conocido y desconocido resida en aplicaciones SaaS
sancionadas,
independientemente de la fuente.
• Control de visibilidad y exposición de datos. Después de sancionado, se define el
uso de SaaS y
controlado con una política granular, los datos que residen en esas aplicaciones SaaS ya
no son
visible para los cortafuegos perimetrales de la organización. Esta pérdida de visibilidad
crea un punto ciego
para ello. Se necesitan controles de exposición de datos adicionales para abordar
específicamente los únicos
riesgos asociados con entornos SaaS, con un enfoque en la protección de datos.
Visibilidad de
Los datos almacenados y utilizados en aplicaciones SaaS son fundamentales para
garantizar una comprensión profunda de
usuarios, los datos que han compartido y cómo lo han compartido.
207 de 1189.
• Prevenir riesgos, no solo responder. Los usuarios de una organización comúnmente
usan ciertos SaaS
solicitudes mucho antes de que la organización las sancione oficialmente. Incluso
después de que se aprueba una aplicación SaaS, los datos a menudo se comparten con
terceros que no
necesariamente tiene soluciones de seguridad de próxima generación para salvaguardar
efectivamente los datos SaaS
de amenazas de malware y riesgos de exposición de datos. Prevención de amenazas y
exposición de datos
el control en un entorno basado en SaaS requiere visibilidad y control no solo desde
momento en que se sanciona una aplicación SaaS en el futuro. Necesitas visibilidad y
control
de todos sus datos, incluidos los datos que se almacenaron y compartieron antes de SaaS
Se sancionó la solicitud.
Los datos que residen dentro de las aplicaciones SaaS habilitadas para la empresa no
son visibles para las organizaciones.
perímetro de red. Palo Alto Networks Aperture se conecta directamente a SaaS
sancionado
aplicaciones para proporcionar clasificación de datos, visibilidad de compartir /
permisos y detección de amenazas
dentro de la aplicación. Esta capacidad produce una visibilidad incomparable, lo que
permite a las organizaciones
inspeccionar el contenido por violaciones de exposición de datos y controlar el acceso a
datos compartidos a través de un contexto
política.
Aperture se basa en la visibilidad SaaS existente y las capacidades de control granular
del Palo Alto
La plataforma operativa de seguridad de redes se proporciona a través de App-ID con
un detallado servicio basado en SaaS
informes y control granular del uso de SaaS. La Figura 3-30 muestra un ejemplo del
granular
controles para aplicaciones SaaS compatibles con App-ID.
Figura 3-30: Ejemplo de controles granulares compatibles con App-ID
Aperture es una solución de seguridad de extremo a extremo completamente basada en
la nube que proporciona visibilidad y
control dentro de las aplicaciones SaaS, sin la necesidad de ningún proxy, agente,
software, adicional
hardware o cambios de red (consulte la Figura 3-31). Aperture no es un servicio en
línea, por lo que no
latencia de impacto, ancho de banda o experiencia del usuario final. Aperture se
comunica directamente con el
Page 208
Las aplicaciones SaaS en sí mismas y miran los datos de cualquier fuente,
independientemente del dispositivo o
ubicación desde donde se enviaron los datos.
Figura 3-31: visibilidad y control SaaS completos con la plataforma operativa de seguridad de Palo Alto Networks
3.4.2.1 Prevención de amenazas SaaS
La integración de la nube de amenazas WildFire (discutida en la Sección 3.5.5) con
Aperture proporciona
prevención de amenazas cibernéticas para bloquear malware conocido e identificar y
bloquear malware desconocido. Esta
la integración amplía la integración existente de WildFire para evitar la propagación de
amenazas
a través de las aplicaciones SaaS sancionadas, lo que evita un nuevo punto de inserción
para malware.
Cuando Aperture descubre un nuevo malware, la información sobre amenazas se
comparte con el resto de
la plataforma operativa de seguridad, incluso si no se implementa en línea con las
aplicaciones SaaS.
3.4.2.2 Visibilidad de exposición de datos
Aperture proporciona visibilidad completa de todas las actividades de usuarios, carpetas
y archivos, lo que proporciona
análisis detallado que lo ayuda a pasar de una posición de especulación a una de
conocimiento
exactamente lo que está ocurriendo en el entorno SaaS en cualquier momento dado.
Porque tú puedes
ver análisis profundos en el uso diario, puede determinar rápidamente si existe algún
riesgo de datos
o violaciones de políticas relacionadas con el cumplimiento. Este análisis detallado de la
actividad del usuario y de los datos permite
para gobernanza de datos granulares y análisis forense.
Aperture se conecta directamente a las propias aplicaciones, por lo que proporciona un
silencio continuo
monitoreo de los riesgos dentro de las aplicaciones SaaS sancionadas, con visibilidad
detallada que es
no es posible con soluciones de seguridad tradicionales.
Página 209
3.4.2.3 Control de exposición de datos contextuales.
Aperture le permite definir un control de políticas granular y sensible al contexto que le
proporciona
la capacidad de impulsar la aplicación y la cuarentena de usuarios y datos tan pronto
como una violación
ocurre. Este control le permite satisfacer rápida y fácilmente los requisitos de
cumplimiento del riesgo de datos
como PCI y PII, manteniendo los beneficios de las aplicaciones basadas en la nube.
Aperture evita la exposición de datos en no estructurados (archivos alojados) y
estructurados (aplicación
entradas como Salesforce.com) datos. Ambos tipos de datos son fuentes comunes de
datos incorrectos.
Comparte.
3.4.2.4 Clasificación avanzada de documentos
Aperture inspecciona los documentos en busca de cadenas de datos confidenciales
comunes, como números de tarjetas de crédito,
Las claves SSH y los números de Seguro Social, y los marca como riesgos si se
comparten incorrectamente.
Único en Aperture es la capacidad de identificar documentos por tipo, a través de
documentos avanzados.
clasificación independientemente de los datos contenidos en el documento mismo. La
apertura ha sido
prediseñado para identificar automáticamente documentos confidenciales, como los
relacionados con documentos médicos,
impuestos y asuntos legales.
3.4.2.5 Política retroactiva
Una solución de seguridad de red tradicional solo puede ver datos en línea y aplicar
políticas de seguridad a
datos a los que se accede en línea, después de crear la política. Este enfoque no es
efectivo
sin embargo, evitar la exposición de datos SaaS porque los datos SaaS pueden haberse
compartido mucho antes
La política fue creada. No se puede acceder a estos datos en línea durante muchos meses
o años,
potencialmente dejando datos confidenciales expuestos indefinidamente a infección de
malware y no autorizados
acceso.
Aperture aplica retroactivamente políticas de seguridad a todos los usuarios y datos
desde el comienzo del
Creación de la cuenta SaaS, en lugar de la creación de políticas, para identificar posibles
vulnerabilidades
o violaciones de la política. Aperture no espera que alguien acceda a los datos en línea
para aplicar
políticas y resolver cualquier vulnerabilidad o violación; Los datos y recursos
compartidos de SaaS son proactivos
descubiertos, protegidos y resueltos, sin importar cuándo fueron creados.
Las políticas están basadas en el contexto para permitir definiciones granulares de
riesgos de exposición de datos. Esta
la granularidad es necesaria para permitir el uso de SaaS por parte de los usuarios y al
mismo tiempo evitar datos accidentales
exposición. Las políticas toman varios factores en contexto para crear un perfil general
de riesgo de exposición de datos.
Uno o dos factores pueden no proporcionar suficiente información sobre el riesgo
potencial de la acción. los
El riesgo general de exposición se determina solo después de que se comprende el
contexto completo de la acción.
Página 210
Los riesgos se calculan por tipo de usuario, tipo de documento, datos confidenciales
contenidos, cómo son
compartido, y si hay malware presente. Esta capacidad proporciona la capacidad de
controlar el
exposición a nivel granular basada en varios factores importantes.
Por ejemplo, un equipo financiero puede compartir datos financieros con otras personas
en su
equipo, pero no más allá de eso. Aunque el recurso compartido original está permitido,
no pueden compartir datos
que está infectado con malware Sin embargo, se puede permitir que el equipo financiero
comparta
datos confidenciales en toda la empresa o, en algunos casos, con proveedores externos.
La clave para habilitar esto
El nivel de granularidad es la capacidad de ver la participación en el contexto de todos
los factores.
3.5 Marco de aplicación y servicio de registro
El marco de aplicaciones y el servicio de registro en la plataforma operativa de
seguridad proporciona
servicios de seguridad entregados en la nube que incluyen análisis de comportamiento
(Magnifier), gestión de registros
(Servicio de registro), inteligencia de amenazas (AutoFocus), uso compartido de
indicadores de amenazas (MineMeld) y
Análisis de malware y prevención de amenazas (Wildfire).
proporciona monitoreo continuo del público
nubla y ayuda a las organizaciones a lograr un estado continuo de cumplimiento en
sus cargas de trabajo en la nube pública.
2. Respuesta corta. ¿Cuáles son algunos de los riesgos de seguridad organizacional
asociados?
con el uso no autorizado de la aplicación SaaS?
3. Respuesta corta. Explicar por qué los firewalls tradicionales basados en el perímetro
no son
eficaz para proteger datos en entornos SaaS.
4. Verdadero o falso. La apertura se implementa como un servicio en línea
independiente entre
cortafuegos tradicionales basados en el perímetro de la organización y requiere un
agente de software para instalar en dispositivos móviles.
5. Verdadero o falso. Aperture protege los datos en archivos alojados y entradas de
aplicaciones.
Página 211
3.5.1 Análisis de comportamiento (lupa)
Muchas organizaciones no pueden encontrar intrusiones rápidamente porque los
analistas de seguridad están inundados de
mensajes de registro generados por su infraestructura. Intentan encontrar amenazas de
alta prioridad por
registros correlacionados, pero rara vez tienen los datos o las herramientas correctas
para detectar ataques con precisión. Entonces,
les quedan un sinfín de alertas para revisar, muchos falsos positivos y una lista difícil de
manejar
reglas de correlación para mantener.
Como resultado, los analistas de seguridad operan en modo de extinción de incendios,
intentando revisar tantas alertas
como sea posible cada día Estas alertas a menudo carecen del contexto necesario para
confirmar las amenazas, por lo que los analistas
pierda un tiempo valioso buscando información adicional en lugar de detener los
ataques.
El análisis de comportamiento de Palo Alto Networks Magnifier ayuda a los analistas de
seguridad a encontrar y detener rápidamente
Las amenazas de red más sigilosas. Magnifier analiza datos de red, punto final y nube
enriquecidos con
aprendizaje automático e identifica con precisión los ataques dirigidos, los expertos
maliciosos y
puntos finales comprometidos. Los analistas de seguridad pueden confirmar
rápidamente las amenazas mediante la revisión de acciones procesables
alertas que contienen detalles de investigación y luego aprovechan el NGFW para
bloquear amenazas antes
el daño está hecho.
Al frustrar cada paso de un ataque, las organizaciones pueden limitar cualquier
oportunidad de un ataque para
tener éxito. La lupa detecta y detiene el comando y el control, el movimiento lateral y
los datos.
exfiltración mediante la detección de anomalías de comportamiento indicativas de
ataque. Lupa ofrece poderosa
protección basada en el comportamiento, que aumenta la plataforma operativa de
seguridad para detener los ataques
el ciclo de vida del ataque (ver Figura 3-32).
Figura 3-32: La plataforma operativa de seguridad previene amenazas en todo el ciclo de vida del ataque
La lupa identifica automáticamente los ataques activos, lo que permite a los analistas de
seguridad centrarse en
amenazas que importan La lupa comienza analizando los datos enriquecidos
almacenados en el servicio de registro por Palo
NGFW de Alto Networks, incluida información sobre usuarios, dispositivos y
aplicaciones. Lupa
examina varios registros, incluidos los registros de aplicaciones mejorados, que
proporcionan datos específicamente
diseñado para análisis. El análisis de múltiples registros permite que Magnifier rastree
atributos que son
Página 212
casi imposible de determinar a partir de registros de amenazas tradicionales o datos de
flujo de red de alto nivel.
Magnifier utiliza las siguientes técnicas de aprendizaje automático para analizar
registros:
Aprendizaje automático no supervisado: Magnifier utiliza el aprendizaje automático
no supervisado para
modelar el comportamiento del usuario y del dispositivo, realizar análisis de grupo de
pares y agrupar dispositivos en
grupos relevantes de comportamiento. La lupa usa estos perfiles para detectar anomalías
en comparación con el comportamiento pasado y el comportamiento de los compañeros.
Aprendizaje automático supervisado: la lupa monitorea múltiples características de la
red
tráfico para clasificar cada dispositivo por tipo, como una computadora de escritorio,
dispositivo móvil o
servidor de correo. Magnifier también aprende qué usuarios son administradores de TI o
usuarios normales.
Con el aprendizaje automático supervisado, Magnifier reconoce las desviaciones de lo
esperado
comportamiento basado en el tipo de usuario o dispositivo, lo que reduce los falsos
positivos.
Magnifier aprovecha un marco de detección de pre-cómputo para maximizar la
velocidad, la eficiencia y
exactitud. Este marco procesa los datos de registro almacenados en el Servicio de
registro por NGFW y
calcula los valores que necesita para rastrear el comportamiento del usuario y del
dispositivo. Cada detección de lupa
El algoritmo puede analizar grandes cantidades de datos durante largos períodos de
tiempo porque las entradas tienen
sido precalculado La lupa no se basa en reglas de correlación para analizar grandes
volúmenes de materias primas.
datos y encontrar uno o dos signos de comportamiento malicioso. En cambio, la
detección de lupa
Los algoritmos pueden evaluar el comportamiento pasado, el comportamiento de los
pares, el tipo de entidad y muchos otros
atributos simultáneamente para evitar falsos positivos y producir resultados de mayor
fidelidad.
Al integrar algoritmos de detección de ataques con datos recopilados de la Operación de
Seguridad
Plataforma y aplicando un marco de detección de pre-cómputo, Magnifier identifica
ataques activos
con una precisión sin igual.
Para reducir el tiempo de investigación, Magnifier produce una pequeña cantidad de
alertas precisas y procesables,
e información sobre el usuario, la aplicación y el dispositivo obtenidos a través de ID de
usuario e ID de aplicación
tecnología. La lupa también elimina largas investigaciones forenses al interrogar
puntos finales para determinar qué proceso o ejecutable inició un ataque. Entonces, lupa
determina si el proceso de punto final es malicioso al integrarse con WildFire basado en
la nube
servicio de análisis de amenazas para analizar el proceso. La lupa facilita la verificación
de ataques para
analistas de seguridad presentando toda la información necesaria en una interfaz web
intuitiva (ver
Figura 3-33).
Page 213
Figura 3-33: Interfaz web de lupa
El análisis de comportamiento de la lupa identifica anomalías de comportamiento para
exponer amenazas difíciles de detectar,
como:
Ataques dirigidos. Los atacantes intentan mezclarse con usuarios legítimos mientras
exploran
y explotar redes específicas. La lupa detecta el comportamiento anómalo que los
atacantes
no pueden evitarse mientras atraviesan la red y buscan datos valiosos.
Insiders maliciosos. Con sus credenciales y acceso de confianza, los intrusos
maliciosos pueden
causar daños masivos La lupa identifica cambios en el comportamiento del usuario para
detectar ataques
tales como reconocimiento interno y movimiento lateral.
Comportamiento arriesgado. Los empleados bien intencionados pero imprudentes
pueden exponer a las organizaciones a
riesgo indebido Magnifier permite a las organizaciones seguir las mejores prácticas de
seguridad al
monitorear la actividad del usuario e identificar comportamientos riesgosos.
Puntos finales comprometidos. Los atacantes a menudo usan malware para infiltrarse
en redes específicas.
La lupa identifica el tráfico anómalo generado por el malware y confirma las
infecciones.
utilizando el análisis de puntos finales Pathfinder y los servicios de análisis de amenazas
WildFire.
Los NGFW de Palo Alto Networks monitorean el tráfico de red y extraen metadatos
diseñados expresamente
para análisis Magnifier utiliza estos datos, junto con el análisis de punto final
Pathfinder, para perfilar al usuario
y el comportamiento del dispositivo sin requerir que las organizaciones suministren
nuevos sensores de red o
agentes (ver Figura 3-34). El servicio de registro de Palo Alto Networks ofrece
almacenamiento de registro eficiente
que escala para manejar los grandes volúmenes de datos necesarios para el análisis de
comportamiento. Organizaciones
Página 214
puede implementar rápidamente Magnifier y el Servicio de registro y evitar el proceso
de
configurar nuevos equipos.
Figura 3-34: La lupa descubre ataques mediante el análisis de datos de NGFW y el análisis del punto final Pathfinder
Como una aplicación basada en la nube para el Marco de aplicaciones de Palo Alto
Networks, Magnifier
supera los desafíos de escala de la analítica local y permite a Palo Alto Networks
investigadores para implementar innovaciones de seguridad más rápidamente.
El servicio de registro escala elásticamente bajo demanda en la nube, proporcionando
un servicio inteligente,
Manera operativa eficiente y rentable de almacenar los grandes volúmenes de datos
necesarios para
análisis de comportamiento.
Como una aplicación entregada en la nube, Magnifier aumenta la velocidad de la
innovación técnica mientras
racionalizando las operaciones de TI. Los investigadores de Magnifier pueden desplegar
rápidamente nuevos análisis de comportamiento
algoritmos de detección para todos los suscriptores, revisar métricas anónimas para
medir su eficacia, y
ajustar algoritmos y métricas según sea necesario. Las organizaciones ya no necesitan
mantener o actualizar
software local porque Magnifier siempre está actualizado.
3.5.2 Gestión de registros (servicio de registro)
El análisis de registro de seguridad de red es una práctica importante de seguridad
cibernética que realizan las organizaciones
para correlacionar amenazas potenciales y evitar infracciones, pero administrando
registros de varias medidas de seguridad
Las herramientas y servicios requieren esfuerzo y recursos. Para convertir estos
registros en información procesable,
Las organizaciones necesitan una forma asequible de almacenar, procesar y analizar
tantos datos de registro como
Page 215
posible. Desafortunadamente, la recopilación de registros tradicional basada en
hardware viene con administración
limitaciones generales y de escala que hacen que los datos útiles sean difíciles de
manejar o no estén disponibles.
Para proteger sus redes, las organizaciones deben poder realizar análisis avanzados en
todos
datos disponibles. Las aplicaciones de seguridad que realizan tales análisis necesitan
acceso a almacenamiento escalable
capacidad y poder de procesamiento. En el caso de productos de gestión de registros
basados en hardware, tales
la infraestructura y el poder de procesamiento pueden no estar fácilmente disponibles, lo
que hace que estas ofertas
menos receptivo a las necesidades cambiantes del negocio.
El servicio de registro de redes de Palo Alto es una oferta basada en la nube para
mejorar el contexto
registros de red generados por los productos de seguridad de Palo Alto Networks,
incluidos los NGFW,
Servicio en la nube GlobalProtect, y Traps protección avanzada de punto final. El
registro basado en la nube
El servicio permite a las organizaciones recopilar volúmenes de datos en constante
expansión sin necesidad de planificar
cómputo y almacenamiento local, y siempre está listo para escalar. Palo Alto Networks
maneja todos los
necesidades de infraestructura, incluido el almacenamiento y el cómputo, para
proporcionar información que los clientes puedan usar. Si
una organización ya tiene recolectores de registros locales, el Servicio de registro los
complementa
al proporcionar una extensión lógica de almacenamiento de registros a la nube.
El servicio de registro es la piedra angular del marco de aplicación de redes de Palo Alto
(consulte
Figura 3-35): un conjunto escalable de aplicaciones de seguridad que pueden aplicar
análisis avanzados en concierto
con puntos de aplicación de Palo Alto Networks para evitar los ataques más avanzados.
Las organizaciones ya no están limitadas por la cantidad de hardware disponible o la
rapidez con que los sensores
se puede implementar de manera generalizada en toda la red.
Figura 3-35: El servicio de registro de redes de Palo Alto
Page 216
Las capacidades del servicio de registro incluyen:
Repositorio central para NGFW y registros de servicios en la nube. El servicio de
registro puede recopilar
registros de NGFW de todos los factores de forma y servicios basados en la nube de
Palo Alto Networks. Registros
están disponibles en una ubicación, lo que facilita la aplicación de análisis y
capacidades de correlación para identificar amenazas.
Infraestructura de registro que se adapta a las necesidades cambiantes del negocio.
El servicio de registro
fue diseñado para escalar rápidamente y se pueden hacer cambios fácilmente.
Información sobre la red, la aplicación y el comportamiento del usuario. El centro
de comando de aplicaciones
- parte de la gestión de seguridad de la red Panorama (discutido en la Sección 3.2.3) - y
su
las capacidades de informes brindan a los analistas de seguridad información crítica
sobre la red, las aplicaciones,
y comportamiento del usuario. Con este nivel de contexto, los analistas pueden tomar
decisiones informadas
sobre cómo eliminar los vectores de ataque abierto y mejorar la seguridad de la
organización
postura.
Integración con otra infraestructura de seguridad. Puedes hacer los datos y la
información
alojado por el Servicio de registro disponible para su elección de seguridad
personalizada o de terceros
aplicaciones. También puede automatizar los flujos de trabajo de seguridad con Palo
Alto Networks
infraestructura de seguridad a través del marco de aplicación.
3.5.3 Inteligencia de amenazas (enfoque automático)
Se están produciendo ciberataques altamente automatizados y cada vez más sofisticados
en grandes volúmenes
que nunca antes. Equipos de seguridad sobrecargados, intentando inútilmente investigar
cada amenaza
en la red empresarial, tenga poco tiempo para analizar y comprender ataques
verdaderamente avanzados.
Palo Alto Networks AutoFocus permite un enfoque de red basado en la prevención y
proactivo
seguridad que pone la automatización a trabajar para profesionales de la seguridad.
Inteligencia de amenazas del
el servicio se hace directamente accesible en la plataforma de Palo Alto Networks,
incluido PAN-OS
software y panorama. AutoFocus acelera los flujos de trabajo existentes del equipo de
seguridad, que
permite una investigación en profundidad de actividades sospechosas, sin especialistas
adicionales
recursos
AutoFocus se basa en un entorno informático distribuido a gran escala alojado en Palo
Alto
Redes de inteligencia de amenazas en la nube. A diferencia de otras soluciones, el
servicio genera datos de amenazas.
accesible y procesable a nivel de IoC y va más allá de simplemente mostrar registros
resumidos
de múltiples fuentes en un tablero de instrumentos. AutoFocus tiene una visibilidad sin
precedentes de la amenaza.
Página 217
paisaje, con la visión colectiva de miles de empresas globales, proveedores de servicios
y
gobiernos que alimentan el servicio (ver Figura 3-36).
Figura 3-36: Palo Alto Networks AutoFocus Threat Intelligence Cloud
El servicio se correlaciona y obtiene inteligencia de:
WildFire (discutido en la Sección 3.5.5)
Filtrado de URL con servicio PAN-DB
Red DNS global pasiva de Palo Alto Networks
Palo Alto Networks Unidad 42 inteligencia de amenazas y equipo de investigación
Fuentes de terceros, incluida la inteligencia de código abierto y cerrado
AutoFocus realiza más de mil millones de muestras y sesiones, incluidos miles de
millones de artefactos, de inmediato
accionable para análisis de seguridad y esfuerzos de respuesta. AutoFocus extiende la
seguridad de funcionamiento
Plataforma con la inteligencia global de amenazas y el contexto de ataque necesarios
para acelerar el análisis,
forenses y flujos de trabajo de caza. Juntos, la plataforma y AutoFocus mueven equipos
de seguridad
lejos de los enfoques manuales heredados que se basan en agregar un número creciente
de detecciones
alertas basadas y mitigación posterior al evento, para prevenir ataques sofisticados y
habilitar
Actividades de caza proactiva.
Página 218
3.5.3.1 Alertas de prioridad y etiquetas
AutoFocus le permite distinguir las amenazas más importantes de las mercancías
cotidianas.
ataques, contextualizando eventos en su red con etiquetas. Exclusivo de AutoFocus, las
etiquetas enriquecen
su visibilidad de las amenazas más críticas, con inteligencia contextual que le permite
saber
qué familias de malware, campañas, actores de amenazas, comportamientos maliciosos
y exploits están siendo
usado en tu contra.
Cuando una etiqueta coincide con un evento en su red, se envía una alerta de prioridad
por correo electrónico, dentro del
Panel de AutoFocus, o vía publicación HTTP, con el contexto de etiqueta completo
incluido. Las alertas son altamente
personalizable, que mejora su flujo de trabajo de seguridad existente con priorización y
contexto
para las amenazas más críticas.
Se pueden crear etiquetas para cualquier host o indicador basado en red en AutoFocus
para alertarlo cuando un
Se ha observado una amenaza específica en su organización o industria. Además de las
alertas de prioridad,
todas las etiquetas se pueden buscar para que pueda identificar rápidamente muestras o
indicadores maliciosos asociados.
A medida que se identifiquen nuevas amenazas, la Unidad 42 de Palo Alto Networks, su
propia organización y el
La comunidad global de expertos de AutoFocus agrega nuevas etiquetas al servicio.
Autoenfoque es el principal
herramienta de análisis utilizada por la Unidad 42 para identificar nuevas amenazas,
correlacionar datos globales, identificar conexiones
entre muestras maliciosas y crear perfiles de adversarios o campañas.
Con AutoFocus y la plataforma operativa de seguridad, los equipos de seguridad
pueden:
Determine qué tan específica o única es una amenaza vista en su red
Investigue muestras maliciosas relacionadas
Identifique consultas DNS sospechosas con historial de resolución de dominio
3.5.3.2 Correlación de amenazas
Cuando los equipos de seguridad realizan un análisis de amenazas, deben identificar
rápidamente qué IoC representan
El mejor camino hacia la remediación. Para un compromiso activo o continuo, la
velocidad de la investigación
y la capacidad de correlacionar significativamente los datos es crítica. Cada archivo
tiene cientos, potencialmente
miles, de artefactos, con solo un pequeño número de IoC únicos que pueden
correlacionarse con el
Perfil más grande de un adversario o ataques relacionados.
AutoFocus utiliza un innovador motor de análisis estadístico para correlacionar miles de
millones de artefactos en un
conjunto de datos global y presentar IoC únicos probablemente asociados con ataques
dirigidos. los
el servicio aplica automáticamente un sistema de ponderación visual único para
identificar elementos únicos y críticos
IoC, que guía los esfuerzos de análisis y respuesta a incidentes por el camino más
relevante.
Page 219
AutoFocus le permite crear búsquedas sofisticadas de múltiples capas en el host y en la
red
niveles de artefactos y oriente su búsqueda dentro de la industria, el período de tiempo y
otros filtros. Estas
las búsquedas le permiten establecer conexiones previamente desconocidas entre
ataques y planificar su
acciones de respuesta a incidentes en consecuencia.
Cuando se requiere un análisis adicional, los equipos de seguridad pueden cambiar entre
AutoFocus y PAN-OS
software o Panorama, con búsquedas pre-pobladas para ambos sistemas. AutoFocus
proporciona el
totalidad de la inteligencia de amenazas de Palo Alto Networks, que reduce
drásticamente el tiempo que lleva
para realizar análisis, análisis forenses y tareas de caza.
3.5.3.3 Inteligencia accionable
Los equipos de seguridad requieren más que una forma de priorizar, analizar y
correlacionar la inteligencia de amenazas
- necesitan una forma de convertirlo en controles accionables para evitar futuros
ataques. Enfoque automático
le permite crear nuevas protecciones para la plataforma operativa de seguridad al
exportar
valore las IoC del servicio en el software PAN-OS Listas dinámicas externas para
bloquear instantáneamente
URL maliciosas, dominios o direcciones IP. AutoFocus también puede exportar IoC a
seguridad de terceros
dispositivos a través de un formato CSV estándar. Los equipos de seguridad pueden
usar AutoFocus para identificar únicos,
ataques dirigidos contra su organización y tomar medidas directas para mitigarlos y
prevenirlos.
Los equipos de análisis de amenazas, análisis forense y respuesta a incidentes a menudo
confían en una amplia gama de scripts,
Herramientas de código abierto, dispositivos de seguridad y servicios para investigar
posibles incidentes de seguridad.
AutoFocus puede reducir drásticamente el tiempo requerido para investigar al
enriquecer a terceros
servicios a través de:
Soporte de API abierto. La API de AutoFocus se basa en un estado representativo
fácil de usar
marco de transferencia (RESTful), y permite integraciones en cientos de casos de uso,
como enviar datos de inteligencia de amenazas a las herramientas SIEM existentes. Este
marco hace
datos disponibles para análisis de amenazas adicionales o automatizaciones de bloqueo
de amenazas personalizadas.
Capacidad de barrido remoto. Los equipos de seguridad pueden pasar de indicadores
en el servicio a
sistemas externos internos y de terceros directamente desde AutoFocus. Los equipos
pueden definir
a 10 sistemas externos, lo que les permite continuar su análisis sin interrupciones en sus
infraestructura completa, como correlacionar registros de NGFW o activar búsquedas en
SIEM
herramientas.
Page 220
Soporte para formato de datos STIX. AutoFocus proporciona integración lista para
usar con
Infraestructura estructurada de Expresión de información de amenazas (STIX) y pone a
disposición los datos
para exportar en el formato de datos STIX.
3.5.4 Compartir indicadores de amenaza (MineMeld)
Para evitar ataques cibernéticos exitosos, muchas organizaciones recopilan indicadores
de compromiso (IoC)
de varios proveedores de inteligencia de amenazas con la intención de crear nuevos
controles para sus
dispositivos de seguridad. Desafortunadamente, los enfoques heredados para la
agregación y la aplicación son altamente
manual en su naturaleza, a menudo creando flujos de trabajo complejos y extendiendo el
tiempo necesario para identificar
y validar qué IoC deben bloquearse.
MineMeld es una aplicación de código abierto que optimiza la agregación, la aplicación
y
intercambio de inteligencia sobre amenazas. MineMeld está disponible directamente en
GitHub y en virtual preconstruido
máquinas (VM) para una fácil implementación. Con una arquitectura modular
extensible, cualquiera puede agregar
a la funcionalidad MineMeld contribuyendo con código al repositorio de código abierto.
MineMeld (ver Figura 3-37) admite una variedad de casos de uso, y cada día se agregan
más
la comunidad, que incluye:
Agregando y correlacionando feeds de inteligencia de amenazas
Aplicación de nuevos controles de prevención, incluidas listas negras de IP
Evaluar el valor de un feed de inteligencia de amenazas específico para su entorno
Términos clave
La transferencia de estado representacional (REST) es un estilo de programación
arquitectónica que
generalmente se ejecuta a través de HTTP, y se usa comúnmente para aplicaciones
móviles, sociales
sitios web de redes y herramientas mashup.
La Expresión estructurada de información sobre amenazas (STIX) es un marcado
extensible
Formato de lenguaje (XML) para transmitir datos sobre amenazas de ciberseguridad en
un
formato estandarizado
Extensible Markup Language (XML) es una especificación de lenguaje de
programación que
define un conjunto de reglas para codificar documentos de forma legible y
formato legible por máquina.
Página 221
Extraer indicadores de los registros de dispositivos de Palo Alto Networks y
compartirlos con otros
herramientas de seguridad
Compartir indicadores con pares de confianza
Identificar sesiones entrantes de nodos de salida Tor para bloqueo o inspección estricta
Seguimiento de URL e IP de Office365
Figura 3-37: MineMeld agrega y correlaciona los datos de inteligencia de amenazas
MineMeld le permite agregar inteligencia de amenazas en público, privado y comercial
fuentes de inteligencia, incluso entre organizaciones gubernamentales y comerciales.
MineMeld simplifica la recopilación y la correlación de inteligencia en:
La inteligencia de amenazas comerciales se alimenta
Proveedores de Inteligencia de código abierto (OSINT)
Plataformas de inteligencia de amenazas
Centros de intercambio y análisis de información (ISAC)
Equipos informáticos de respuesta a emergencias (CERT)
Otros usuarios de MineMeld
Después de recopilar los indicadores, MineMeld puede filtrar, deduplicar y consolidar
metadatos
en todas las fuentes, lo que permite a los equipos de seguridad analizar un conjunto de
datos más procesable,
enriquecido de múltiples fuentes, para una aplicación más fácil.
Página 222
MineMeld se integra de forma nativa con las plataformas de seguridad de Palo Alto
Networks para automáticamente
cree nuevos controles basados en prevención para URL, IP e inteligencia de dominio
derivada de todos
fuentes que alimentan la herramienta. Las organizaciones pueden simplificar sus flujos
de trabajo para bloquear IoC con
Listas dinámicas externas y grupos de direcciones dinámicas, sin gastar recursos
adicionales para
administrar listas de bloqueo, incluido el tiempo de espera automatizado de indicadores
caducados. MineMeld también
se integra con el servicio de inteligencia de amenazas contextuales AutoFocus de Palo
Alto Networks para
Permitir a las organizaciones identificar indicadores específicos de alto valor, en
AutoFocus, y bloquearlos
en sus NGFW con listas de exportación y MineMeld.
3.5.5 Análisis de malware (WildFire)
Los ciberataques avanzados emplean métodos sigilosos y persistentes para evadir la
seguridad tradicional
medidas. Los adversarios expertos requieren equipos de seguridad modernos para
reevaluar su prevención
tácticas para abordar mejor el volumen y la sofisticación de los ataques de hoy.
El entorno de análisis de malware basado en la nube de Palo Alto Networks WildFire es
una amenaza cibernética
servicio de prevención que identifica malware desconocido, exploits de día cero y
avanzado
amenazas persistentes (APT) a través del análisis estático y dinámico en un entorno
virtual escalable.
WildFire difunde automáticamente las protecciones actualizadas en tiempo casi real de
forma inmediata
evitar la propagación de amenazas, sin intervención manual.
WildFire mejora significativamente la postura de seguridad y la protección contra
malware desconocido.
WildFire procesa diariamente alrededor de 5 millones de archivos únicos y entre 30,000
y 50,000 únicos
archivos de malware que los NGFW de Palo Alto Networks implementados por el
cliente envían a WildFire.
Por lo general, el 60% de estos archivos de malware no son detectados por ninguno de
los principales antivirus
proveedores cuando se presentaron por primera vez a WildFire, y 30 días después, del
25 al 50 por ciento todavía no
detectado por los principales proveedores de antivirus.
Para admitir el análisis dinámico de malware en la red a escala, WildFire está
construido en una nube:
arquitectura basada (ver Figura 3-38). Donde los requisitos reglamentarios o de
privacidad impiden el uso
de la infraestructura de nube pública, se puede construir una solución de nube privada
en las instalaciones.
Página 223
Figura 3-38: WildFire proporciona análisis de malware basado en la nube y prevención de amenazas
Además de las implementaciones en la nube pública o privada, las organizaciones
pueden aprovechar ambas
dentro del mismo ambiente. Las capacidades de la nube híbrida de WildFire permiten a
los equipos de seguridad
mayor flexibilidad de análisis de archivos porque pueden definir qué tipos de archivos
se envían a WildFire
nube pública versus el dispositivo local o nube privada. La nube híbrida WildFire
la capacidad permite a las organizaciones aliviar preocupaciones de privacidad o
normativas mediante el uso de
Dispositivo WildFire para tipos de archivos que contienen datos confidenciales. Las
organizaciones también se benefician de la
análisis integral y servicios de inteligencia de amenazas globales de la nube pública
WildFire para
todos los otros.
Security Operating Platform bloquea de manera proactiva las amenazas conocidas, lo
que proporciona una línea de base
defensas contra exploits conocidos, malware, URL maliciosas y actividad de C&C.
Cuando nuevas amenazas
emerge, la plataforma operativa de seguridad enruta automáticamente los archivos
sospechosos y las URL a
WildFire para un análisis profundo.
WildFire inspecciona millones de muestras por semana de su red global de clientes y
amenazas
socios de inteligencia que buscan nuevas formas de malware, exploits, malware
maliciosos previamente desconocidos
dominios y actividad saliente de C&C. El servicio basado en la nube crea
automáticamente nuevos
protecciones que pueden bloquear malware, exploits y actividades externas de C&C
dirigidas y desconocidas
observando su "comportamiento" real, en lugar de depender de firmas preexistentes. los
Página 224
Las protecciones se entregan globalmente en minutos. El resultado es un enfoque
automatizado de circuito cerrado.
para prevenir las amenazas cibernéticas que incluyen:
Controles de seguridad positivos para reducir la superficie de ataque.
Inspección de todo el tráfico, puertos y protocolos para bloquear todas las amenazas
conocidas.
Detección rápida de amenazas desconocidas al observar las acciones del malware en
una nube:
entorno de ejecución basado
Despliegue automático de nuevas protecciones a la primera línea para asegurar que las
amenazas sean
conocido por todos y bloqueado durante el ciclo de vida del ataque
3.5.5.1 Descubrimiento de ciberamenazas basado en el comportamiento
Para encontrar malware y exploits desconocidos, WildFire ejecuta contenido
sospechoso en Windows,
Sistemas operativos Android y Mac OS X, con total visibilidad de los tipos de archivos
comunes, que incluyen:
• Ejecutables (EXE), bibliotecas de vínculos dinámicos (DLL), archivos comprimidos
(ZIP) y portátiles.
formato de documento (PDF)
• Documentos, hojas de cálculo y presentaciones de Microsoft Office.
• archivos Java
• Paquetes de aplicaciones de Android (APK)
• Applets y páginas web de Adobe Flash (incluido contenido incrustado de alto riesgo,
como Java
y archivos / imágenes de Adobe Flash)
WildFire identifica cientos de comportamientos potencialmente maliciosos para
descubrir la verdadera naturaleza de
archivos maliciosos basados en sus acciones, que incluyen:
Cambios realizados en el host: WildFire observa todos los procesos para realizar
modificaciones en el host,
incluida la actividad de archivos y registros, inyección de código, almacenamiento
dinámico de memoria (exploit)
detección, adición de programas de ejecución automática, mutexes , servicios de
Windows y otros
actividades sospechosas
Tráfico de red sospechoso: WildFire realiza un análisis de toda la actividad de red
producida
por el archivo sospechoso, incluida la creación de puerta trasera, la descarga de malware
de la siguiente etapa,
visitando dominios de baja reputación y reconocimiento de redes.
Detección anti-análisis: WildFire monitorea las técnicas utilizadas por el malware
avanzado que
está diseñado para evitar el análisis basado en máquinas virtuales (VM), como la
detección de depuradores,
Page 225
detección de hipervisor, inyección de código en procesos confiables e inhabilitación de
host
características de seguridad.
WildFire está integrado de forma nativa con la plataforma operativa de seguridad, que
puede clasificar todo el tráfico
a través de cientos de aplicaciones. WildFire aplica de forma exclusiva este análisis de
comportamiento a la web
tráfico, protocolos de correo electrónico (SMTP, IMAP y POP) y FTP,
independientemente de los puertos o el cifrado.
3.5.5.2 Prevención de amenazas con intercambio de inteligencia global
Cuando se descubre una amenaza desconocida, WildFire genera automáticamente
protecciones para bloquearla
en todo el ciclo de vida de Cyber-Attack, y comparte estas actualizaciones con todos los
suscriptores globales dentro de
tan poco como 5 minutos. Estas actualizaciones rápidas pueden detener la propagación
rápida de malware; y estos
las actualizaciones se basan en la carga útil, por lo que pueden bloquear la proliferación
de futuras variantes sin ninguna
Acción adicional o análisis.
WildFire protege a las organizaciones de archivos y enlaces maliciosos y explotadores,
y también se ve
profundiza en la comunicación saliente maliciosa e interrumpe la actividad de C&C con
anti-C & C
firmas y firmas de devolución de llamada basadas en DNS. La información también se
usa para el filtrado de URL
con PAN-DB, donde las URL maliciosas recién descubiertas se bloquean
automáticamente. Esta
La correlación de los datos de amenazas y las protecciones automatizadas es clave para
identificar y bloquear el proceso continuo
intentos de intrusión y futuros ataques contra su organización.
3.5.5.3 Registro integrado, informes y análisis forense
WildFire proporciona acceso a registros integrados, análisis y visibilidad de eventos
WildFire, a través de
la interfaz de administración, el portal WildFire, AutoFocus (discutido en la Sección
3.5.3) y
Panorama (discutido en la Sección 3.2.3). Este acceso permite a los equipos de
seguridad investigar rápidamente
y correlacionar eventos observados en sus redes para localizar rápidamente los datos
necesarios para
investigaciones y respuesta a incidentes.
Los indicadores de compromiso (IoC) basados en el host y en la red se pueden accionar
mediante el registro
análisis y firmas personalizadas. Para ayudar a los equipos de seguridad y respuesta a
incidentes a descubrir
hosts infectados, WildFire también proporciona:
Análisis detallado de cada archivo malicioso enviado a WildFire a través de múltiples
operaciones
entornos del sistema, incluida la actividad basada en el host y la red
Términos clave
Un mutex es un objeto de programa que permite que múltiples hilos de programa
compartan
mismo recurso, como acceso a archivos, pero no simultáneamente.
Página 226
Datos de sesión asociados con la entrega del archivo malicioso, incluida la fuente,
destino, aplicación, ID de usuario y URL
Acceso a la muestra original de malware para ingeniería inversa y capturas completas
de paquetes
(pcaps) de sesiones de análisis dinámico
Una interfaz de programación de aplicaciones (API) abierta para la integración con el
mejor SIEM de su clase
herramientas, como la aplicación Palo Alto Networks para Splunk y el punto final líder
agentes Este análisis proporciona numerosos IoC que se pueden aplicar durante el
ataque.
ciclo vital.
Integración nativa con Traps protección de punto final avanzada (discutido en la
Sección 3.3.1)
y protección avanzada SaaS de Aperture (discutido en la Sección 3.4.2)
Acceso a la inteligencia accionable y al contexto global proporcionados por la amenaza
AutoFocus
inteligencia (discutido en la Sección 3.5.3)
Integrado de forma nativa con el motor de correlación en NGFW de Palo Alto Networks
(discutido
en la Sección 3.2.1)
Términos clave
Un indicador de compromiso (IoC) es un artefacto de red o sistema operativo (SO)
eso proporciona un alto nivel de confianza que tiene un incidente de seguridad
informática
ocurrió.
Una interfaz de programación de aplicaciones (API) es un conjunto de rutinas,
protocolos y
herramientas para construir aplicaciones de software e integraciones.
Una captura de paquetes (pcap) es una intercepción de tráfico de paquetes de datos que
se pueden utilizar para
análisis.
Página 227
1. Complete el espacio en blanco. Apalancadores de lupa
analizar
datos de red, punto final y en la nube, lo que ayuda a los analistas de seguridad
rápidamente
confirmar amenazas revisando alertas accionables.
2. Opción múltiple. ¿Qué tres opciones son fuentes de inteligencia de amenazas para
Autoenfoque? (Elige tres.)
a) WildFire
b) Filtrado de URL con servicio PAN-DB
c) Unidad 42 inteligencia de amenazas y equipo de investigación
d) sistemas de prevención de intrusos de terceros
3. Verdadero o falso. AutoFocus es un módulo opcional que se puede instalar en
NGFWs.
es una aplicación de código abierto, disponible
directamente en GitHub, que optimiza la agregación, la aplicación y
intercambio de inteligencia sobre amenazas.
5. Opción múltiple. WildFire opera en qué concepto? (Elige uno.)
a) escaneo basado en archivos contra una base de datos de firmas
b) Correlación de herramientas IPS y SIEM
c) servicio de reputación basado en la nube
d) caja de arena virtualizada
6. Verdadero o falso. WildFire previene amenazas de malware conocidas y
desconocidas.
7. Verdadero o falso. WildFire realiza una inspección profunda de paquetes maliciosos
Comunicaciones salientes para interrumpir la actividad de C&C.
Página 228
Apéndice A - Respuestas de verificación de
conocimiento
Sección 1.1 Verificación de conocimiento
1. [c] software como servicio (SaaS)
2. Verdadero
3. Verdadero
4. Verdadero
5. Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA)
6. Discusión
1. Falso Las respuestas a amenazas externas han explicado la mayoría de las violaciones
de datos durante
Los últimos cinco años. Según el Informe de investigaciones de violación de datos de
Verizon 2018 ,
los actores de amenazas internas son responsables de aproximadamente el 28 por ciento
de las violaciones de datos reportadas.
2. Discusión
3. Falso El ciclo de vida de Cyber-Attack es un proceso de siete pasos.
4. Reconocimiento, armamento, entrega, explotación, instalación, comando y
Control, acciones sobre el objetivo
5. Falso Un defensor solo necesita romper un solo paso en el ciclo de vida del ataque
cibernético
marco para evitar que un ataque tenga éxito.
6. [c] gestión de vulnerabilidades y parches
7. cierto
1. Verdadero
2. Día cero
Página 229
1. [b] malware
2. [d] todo lo anterior
3. Falso Una vulnerabilidad es un error o falla que existe en un sistema o software, y
crea un
riesgo de seguridad.
4. Falso El número de técnicas básicas de explotación es relativamente pequeño. Por lo
general, tan solo dos
a cuatro nuevas técnicas se desarrollan cada año.
1. Falso WEP tiene muchas debilidades conocidas y publicitadas y no se considera
eficaz para establecer una red inalámbrica segura.
2. hash unidireccional
1. enrutador
2. [b] Protocolo de información de enrutamiento (RIP)
3. [a] vector de distancia, [b] vector de ruta y [c] estado de enlace
4. Verdadero
5. Sistema de nombres de dominio (DNS)
1. [a] dirección IP
2. 8
3. Subredización
1. [c] siete
2. [a] Protocolo de control de transmisión (TCP), [c] Protocolo de datagramas de
usuario (UDP)
230 de 1189.
3. control de acceso a medios (MAC), control de enlace lógico (LLC)
4. [a] Aplicación, [b] Transporte, [d] Internet, [e] Acceso a la red
5. encapsulación de datos
1. El problema principal con una estrategia de seguridad de red centrada en el perímetro
es que se basa en
la suposición de que se puede confiar en todo en la red interna.
2. [b] privilegio mínimo
1. La computación en la nube no mitiga los riesgos de seguridad de red existentes; la
seguridad requiere
aislamiento y segmentación, mientras que la nube depende de recursos compartidos;
seguridad
las implementaciones están orientadas a procesos, mientras que los entornos de
dinámica.
2. [c] este-oeste
3. [b] consolidando servidores dentro de niveles de confianza
1. Falso Un cortafuegos dinámico de filtrado de paquetes (también conocido como
inspección de paquetes con estado) solamente
inspecciona los encabezados de paquetes individuales durante el establecimiento de la
sesión para determinar si el
el firewall debe permitir, bloquear o dejar caer el tráfico. Una vez que una sesión es
establecido, los paquetes individuales que forman parte de la sesión no se inspeccionan.
2. [a] representa el tráfico en lugar de permitir la comunicación directa entre hosts, [b]
puede
ser usado para implementar autenticación de usuario fuerte, [c] enmascara la red interna
de
redes no confiables
3. IDS se considera un sistema pasivo porque solo monitorea, analiza y alerta.
IPS es un sistema activo que realiza todas las funciones de IDS, pero también puede
bloquear o
deje caer tráfico sospechoso que coincida con patrones en la red.
4. [c] Capa de sockets seguros (SSL)
5. [c] Integra completamente todas las funciones de seguridad instaladas en el
dispositivo.
Página 231
1. Falso El software antimalware basado en firmas se considera una contramedida
reactiva
porque no se puede crear y entregar un archivo de firma para el nuevo malware hasta
que
el malware ya está "en la naturaleza".
2. Basado en contenedores
3. La principal desventaja de las listas blancas de aplicaciones relacionadas con la
prevención de exploits es que
una aplicación que ha sido incluida en la lista blanca puede ejecutarse, incluso si la
aplicación tiene
Una vulnerabilidad que puede ser explotada.
4. [a] prevención de pérdida de datos (DLP), [b] aplicación de políticas, [d] prevención
de malware
1. [a] software como servicio (SaaS), [b] plataforma como servicio (PaaS), [d]
infraestructura como servicio
servicio (IaaS)
2. híbrido
3. Modelo de responsabilidad compartida
4. hipervisor
5. [a] VM inactivas, [b] vulnerabilidades de hipervisor, [d] comunicaciones intra-VM
6. bloque
1. Active Directory
2. ITIL
1. Plataforma operativa de seguridad
2. [a] seguridad de red, [b] protección avanzada de punto final, [c] seguridad en la nube
1. [b] adherencia a la estricta aplicación de puertos y protocolos para permitir o
bloquear decisiones
Página 232
2. identificación de la aplicación, identificación del usuario e identificación del
contenido
3. [a] encabezados de paquete
4. Tres de los siguientes: monitoreo de registro de eventos de seguridad (Active
Directory, Novell
eDirectory y Microsoft Exchange), credenciales proporcionadas por el usuario, sondeo
de clientes, recepción
información del usuario a través de la API XML desde un directorio LDAP externo
5. A diferencia del escaneo de malware basado en archivos que espera hasta que se
cargue un archivo completo en la memoria
para comenzar a escanear, el escaneo de malware basado en flujo comienza a escanear
tan pronto como el primero
Se reciben paquetes del archivo. El escaneo de malware basado en flujo reduce la
latencia y
mejora el rendimiento al recibir, escanear y enviar tráfico a su destino
destino inmediatamente, sin tener que almacenar primero el búfer y luego escanear el
archivo.
6. Las plantillas eliminan los cambios de configuración manuales, repetitivos, riesgosos
y propensos a errores a
Múltiples firewalls individuales implementados en toda la red empresarial.
7. [d] firewalls tradicionales basados en puertos
1. Verdadero
2. El agente de Traps se inyecta en cada proceso cuando se inicia. Si el proceso intenta
ejecutar cualquiera de las técnicas de ataque central, el EPM correspondiente mata el
proceso y
evita la hazaña.
3. administrar el dispositivo, proteger el dispositivo, controlar los datos
1. Evidente
2. Los riesgos de seguridad organizacional asociados con el uso no autorizado de
aplicaciones SaaS
incluir incumplimiento normativo o infracciones de cumplimiento, pérdida de
responsabilidad corporativa
propiedad intelectual (IP) u otros datos sensibles, y distribución de malware.
3. Los firewalls tradicionales basados en el perímetro solo tienen visibilidad del tráfico
que pasa
El cortafuegos. Se puede acceder a las aplicaciones y datos SaaS desde dispositivos
móviles que no
necesariamente atraviesa un firewall basado en el perímetro, y muchas aplicaciones
basadas en SaaS son
diseñado para eludir los firewalls para obtener rendimiento y facilidad de uso.
Página 233
4. Falso La apertura se utiliza para proteger el uso de SaaS sancionado, como parte de
un sistema integrado
solución de seguridad que incluye NGFW para evitar el uso no autorizado de SaaS.
Abertura
se comunica directamente con las aplicaciones SaaS y, por lo tanto, no
debe implementarse en línea y no requiere ningún agente de software, servidores proxy,
hardware adicional o cambios en la configuración de la red.
5. Verdadero
1. aprendizaje automático
2. [a] WildFire, [b] filtrado de URL con servicio PAN-DB, [c] Unidad 42 inteligencia
de amenazas y
equipo de investigación
3. Falso AutoFocus es una nube de inteligencia de amenazas basada en suscripción que
se integra completamente
con la plataforma operativa de seguridad, pero no requiere ningún cambio de
configuración para
NGFWs o Traps Advanced Endpoint Protection.
4. MineMeld
5. [d] caja de arena virtualizada
6. Falso WildFire previene amenazas de malware desconocidas. Las amenazas de
malware conocidas son
evitado por los otros componentes de la plataforma operativa de seguridad, incluidos
NGFW, Traps Advanced Endpoint Protection y seguridad basada en SaaS de Aperture.
7. cierto
Página 234
Apéndice B - Glosario
punto de acceso (AP): consulte el punto de acceso inalámbrico (AP) .
Protocolo de resolución de direcciones (ARP): un protocolo que traduce una
dirección lógica, como una IP
dirección, a una dirección MAC física. El Protocolo de resolución de dirección inversa
(RARP) se traduce
una dirección MAC física a una dirección lógica. Ver también dirección IP , control de
acceso a medios (MAC)
dirección y Protocolo de resolución de dirección inversa (RARP) .
Estándar de cifrado avanzado (AES): un cifrado de bloque simétrico basado en el
cifrado de Rijndael.
AES: consulte el Estándar de cifrado avanzado (AES).
AP: Ver punto de acceso inalámbrico (AP) .
API: consulte la interfaz de programación de aplicaciones (API).
interfaz de programación de aplicaciones (API): un conjunto de rutinas, protocolos y
herramientas para construir
Aplicaciones e integraciones de software.
lista blanca de aplicaciones: una técnica utilizada para evitar que se ejecuten
aplicaciones no autorizadas
en un punto final. Las aplicaciones autorizadas se agregan manualmente a una lista que
se mantiene en
punto final. Si una aplicación no está en la lista blanca, no puede ejecutarse en el punto
final. Sin embargo, si
está en la lista blanca que la aplicación puede ejecutar, independientemente de si hay
vulnerabilidades o vulnerabilidades
presente dentro de la aplicación.
ARP: consulte el Protocolo de resolución de direcciones (ARP).
AS: Ver sistema autónomo (AS).
vector de ataque: una ruta o herramienta que utiliza un atacante para apuntar a una red.
servidor DNS autorizado: El sistema de registro para un dominio dado. Ver también
Nombre de dominio
Sistema (DNS) .
sistema autónomo (AS): un grupo de rangos de direcciones IP contiguas bajo el control
de un solo
entidad de internet. A los sistemas autónomos individuales se les asigna un número AS
(ASN) de 16 o 32 bits.
que identifica de forma exclusiva la red en internet. Los ASN son asignados por Internet
Autoridad de Números Asignados (IANA). Consulte también la dirección del Protocolo
de Internet (IP) e Internet
Autoridad de Números Asignados (IANA) .
hipervisor de metal desnudo: ver hipervisor nativo .
Page 235
BES: Ver sistema eléctrico a granel (BES) .
sector de arranque: contiene código de máquina que se carga en la memoria de un
punto final mediante firmware
durante el proceso de inicio, antes de cargar el sistema operativo.
virus del sector de arranque: apunta al sector de arranque o al registro de arranque
maestro (MBR) de un punto final
unidad de almacenamiento u otro medio de almacenamiento extraíble. Consulte también
sector de arranque y registro de arranque maestro
(MBR) .
bot: puntos finales individuales que están infectados con malware avanzado que
permite a un atacante
tomar el control del punto final comprometido. También conocido como zombie. Ver
también botnet y
el malware .
botnet: una red de bots (a menudo decenas de miles o más) que trabajan juntos bajo el
control de atacantes utilizando numerosos servidores de comando y control (C&C). Ver
también bot .
puente: un dispositivo de red con cable o inalámbrico que extiende una red o se une a
una red separada
segmentos
traiga sus propias aplicaciones (BYOA): estrechamente relacionado con BYOD,
BYOA es una tendencia política en la que
las organizaciones permiten a los usuarios finales descargar, instalar y usar sus propias
aplicaciones personales en dispositivos móviles
dispositivos, principalmente teléfonos inteligentes y tabletas, para fines relacionados
con el trabajo. Ver también trae tu propio
dispositivo (BYOD) .
traiga su propio dispositivo (BYOD): una tendencia política en la que las
organizaciones permiten que los usuarios finales utilicen
sus propios dispositivos personales, principalmente teléfonos inteligentes y tabletas,
para fines relacionados con el trabajo.
BYOD libera a las organizaciones del costo de proporcionar equipos a los empleados,
pero crea un
desafío de gestión debido a la gran cantidad y tipo de dispositivos que deben ser
soportado. Consulte también traer sus propias aplicaciones (BYOA) .
cable de banda ancha: un tipo de acceso a Internet de alta velocidad que ofrece
diferentes cargas y
descargar velocidades de datos a través de un medio de red compartido. La velocidad
general varía según
la carga de tráfico de red de todos los suscriptores en el segmento de red.
dominio de difusión: la parte de una red que recibe paquetes de difusión enviados
desde un nodo
en el dominio
sistema eléctrico a granel (BES): el gran sistema eléctrico interconectado, que consiste
en generación
e instalaciones de transmisión (entre otras), que comprende la "red eléctrica".
topología de bus (o bus lineal) : una topología LAN en la que todos los nodos están
conectados a un solo cable
(la columna vertebral) que termina en ambos extremos. En el pasado, las redes de
autobuses se usaban comúnmente
Página 236
para redes muy pequeñas porque eran económicas y relativamente fáciles de instalar,
pero hoy
Las topologías de bus rara vez se utilizan. El cable tiene limitaciones físicas (la longitud
del cable), el
la red troncal es un punto único de falla (una interrupción en cualquier parte de la red
afecta a todo el
red), y el rastreo de una falla en una red grande puede ser extremadamente difícil. Ver
también área local
red (LAN) .
BYOA: vea traer sus propias aplicaciones (BYOA).
BYOD: consulte traer su propio dispositivo (BYOD).
proceso hijo: en sistemas operativos multitarea, un subproceso creado por un proceso
padre que
Actualmente se está ejecutando en el sistema.
CIDR: consulte el enrutamiento entre dominios sin clase (CIDR) .
CIP: Ver Protección de Infraestructura Crítica (CIP) .
red con conmutación de circuitos: una red en la que se establece una ruta de circuito
físico dedicada,
mantenido y terminado entre el emisor y el receptor a través de una red para cada
Sesión de comunicaciones.
Enrutamiento entre dominios sin clase (CIDR): un método para asignar direcciones
IP y enrutamiento IP que
reemplaza el direccionamiento IP con clase (por ejemplo, redes Clase A, B y C) con IP
sin clase
direccionamiento. Consulte también la dirección del Protocolo de Internet (IP) .
dominio de colisión: un segmento de red en el que los paquetes de datos pueden
colisionar entre sí durante
transmisión.
consumerización: una tendencia informática que describe el proceso que ocurre como
usuarios finales
encuentre cada vez más tecnología personal y aplicaciones que sean más potentes o
capaces, más
conveniente, menos costoso, más rápido de instalar y más fácil de usar que las
soluciones de TI empresariales.
convergencia: el tiempo requerido para que todos los enrutadores de una red actualicen
sus tablas de enrutamiento con
La información de enrutamiento más reciente sobre la red.
entidad cubierta: definida por HIPAA como un proveedor de atención médica que
transmite electrónicamente PHI
(como médicos, clínicas, psicólogos, dentistas, quiroprácticos, hogares de ancianos y
farmacias),
un plan de salud (como una compañía de seguros de salud, organización de
mantenimiento de salud, compañía
plan de salud o programa gubernamental que incluye Medicare, Medicaid, militares y
veteranos
asistencia sanitaria), o un centro de intercambio de información sanitaria. Ver también
Portabilidad del seguro de salud y
Ley de responsabilidad (HIPAA) e información de salud protegida (PHI) .
Página 237
CRC: Ver verificación de redundancia cíclica (CRC).
Protección de infraestructura crítica (CIP): estándares de ciberseguridad definidos
por NERC para proteger el
activos físicos y cibernéticos necesarios para operar el sistema eléctrico a granel (BES).
Ver también a granel
sistema eléctrico (BES) y North American Electric Reliability Corporation (NERC) .
Ley de Mejora de la Ciberseguridad de 2014: una regulación de los EE. UU. Que
proporciona un voluntario continuo
asociación público-privada para mejorar la ciberseguridad y fortalecer la investigación
en ciberseguridad
y desarrollo, desarrollo y educación de la fuerza laboral, y conciencia pública y
preparación.
Ley de intercambio de información sobre ciberseguridad (CISA): una regulación de
EE. UU. Que mejora la información
compartir sobre amenazas de ciberseguridad al permitir que se comparta información de
tráfico de Internet
entre el gobierno de EE. UU. y las empresas de tecnología y fabricación.
comprobación de redundancia cíclica (CRC): una suma de comprobación utilizada
para crear un perfil de mensaje. El CRC es
recalculado por el dispositivo receptor. Si el CRC recalculado no coincide con el CRC
recibido,
el paquete se descarta y una solicitud para reenviar el paquete se transmite de vuelta al
dispositivo que
envió el paquete
encapsulación de datos: un proceso en el que la información del protocolo de la capa
OSI o TCP / IP
inmediatamente anterior se envuelve en la sección de datos de la capa OSI o TCP / IP
inmediatamente
abajo. También se conoce como ocultación de datos. Consulte también la referencia de
interconexión de sistemas abiertos (OSI)
modelo y modelo de Protocolo de control de transmisión / Protocolo de Internet (TCP /
IP) .
ocultación de datos: ver encapsulación de datos.
DDOS: consulte la denegación de servicio distribuida (DDOS).
puerta de enlace predeterminada: un dispositivo de red, como un enrutador o
conmutador, al que envía un punto final
tráfico de red cuando una aplicación o una dirección IP de destino específica no está
especificada
servicio, o cuando el punto final no sabe cómo llegar a un destino específico. Ver
también
enrutador y conmutador .
DevOps: la cultura y la práctica de una mejor colaboración entre el desarrollo de
aplicaciones
y equipos de operaciones de TI.
DHCP: consulte Protocolo de configuración dinámica de host (DHCP).
línea de suscriptor digital (DSL): un tipo de acceso a Internet de alta velocidad que
ofrece una carga diferente
y descargar velocidades de datos. La velocidad general depende de la distancia desde el
hogar o
ubicación comercial a la oficina central del proveedor (CO).
Página 238
denegación de servicio distribuida (DDOS): un tipo de ciberataque en el que
volúmenes extremadamente altos de
el tráfico de red, como paquetes, datos o transacciones, se envía a la red de la víctima
objetivo para
hacer su red y sistemas (como un sitio web de comercio electrónico u otra aplicación
web)
no disponible o inutilizable.
DLL: consulte la biblioteca de enlace dinámico (DLL).
DNS: consulte Sistema de nombres de dominio (DNS).
registrador de nombres de dominio: una organización que está acreditada por un
registro de dominio de nivel superior (TLD)
para administrar registros de nombres de dominio. Ver también dominio de nivel
superior (TLD) .
Sistema de nombres de dominio (DNS): una base de datos distribuida jerárquica que
mapea los archivos completamente calificados
nombre de dominio (FQDN) para computadoras, servicios o cualquier recurso
conectado a Internet o un
red privada a una dirección IP. Consulte también nombre de dominio completo (FQDN)
.
drive-by-download: una descarga de software, generalmente malware, que ocurre sin
la autorización del usuario
conocimiento o permiso.
DSL: Ver línea de suscriptor digital (DSL).
Protocolo de configuración dinámica de host (DHCP): un protocolo de
administración de red que
asigna dinámicamente (alquila) direcciones IP y otros parámetros de configuración de
red (como
puerta de enlace predeterminada e información del Sistema de nombres de dominio
[DNS]) a dispositivos en una red. Ver
también puerta de enlace predeterminada y Sistema de nombres de dominio (DNS) .
biblioteca de enlace dinámico (DLL): un tipo de archivo utilizado en los sistemas
operativos de Microsoft que permite
múltiples programas para compartir simultáneamente las instrucciones de programación
contenidas en un solo archivo
para realizar funciones específicas.
EAP: consulte Protocolo de autenticación extensible (EAP) .
EAP-TLS: consulte Seguridad de la capa de transporte del protocolo de autenticación
extensible (EAP-TLS) .
EHR: Ver historia clínica electrónica (EHR) .
historia clínica electrónica (EHR): según lo definido por HealthIT.gov, un EHR "va
más allá de los datos
recopilados en el consultorio del proveedor e incluyen [s] un historial del paciente más
completo. Datos de EHR
puede ser creado, administrado y consultado por proveedores autorizados y personal de
más
de una organización de salud ".
historia clínica electrónica (EMR): según lo definido por HealthIT.gov, una EMR
"contiene el estándar
datos médicos y clínicos reunidos en el consultorio de un proveedor ".
Página 239
EMR: Ver registro médico electrónico (EMR) .
punto final: un dispositivo informático como una computadora de escritorio o portátil,
un escáner de mano, un punto
terminal de venta (POS), impresora, radio satelital, cámara de seguridad o
videoconferencia, auto-
servicio de quiosco, servidor, medidor inteligente, TV inteligente, teléfono inteligente,
tableta o voz sobre Internet
Teléfono de protocolo (VoIP). Aunque los puntos finales pueden incluir servidores y
equipos de red, el
El término se usa generalmente para describir los dispositivos del usuario final.
Enterprise 2.0: un término introducido por Andrew McAfee y definido como "el uso
de emergente
plataformas de software social dentro de las empresas, o entre empresas y sus socios o
clientes." Ver también Web 2.0 .
exclusivo o (XOR): un operador booleano en el que la salida es verdadera solo cuando
las entradas son
diferente (por ejemplo, VERDADERO y VERDADERO es igual a FALSO, pero
VERDADERO y FALSO es igual a VERDADERO).
exploit: un pequeño fragmento de código de software, parte de un archivo de datos con
formato incorrecto o una secuencia (cadena) de
comandos, que aprovechan una vulnerabilidad en un sistema o software, causando
comportamiento no anticipado en el sistema o software.
Protocolo de autenticación extensible (EAP): un marco de autenticación ampliamente
utilizado que
incluye alrededor de 40 métodos de autenticación diferentes.
Protocolo de autenticación extensible Seguridad de la capa de transporte (EAP-
TLS): un Internet
Estándar abierto del Grupo de trabajo de ingeniería (IETF) que utiliza la Seguridad de la
capa de transporte (TLS)
protocolo en redes wifi y conexiones PPP. Ver también Grupo de trabajo de ingeniería
de Internet
(IETF) , protocolo punto a punto (PPP) y Seguridad de la capa de transporte (TLS) .
Lenguaje de marcado extensible (XML): una especificación de lenguaje de
programación que define un conjunto
de reglas para codificar documentos en un formato legible por humanos y por máquina.
falso negativo: en antimalware, malware que se identifica incorrectamente como un
archivo legítimo o
solicitud. En la detección de intrusos, una amenaza que se identifica incorrectamente
como tráfico legítimo. Ver
También falso positivo .
falso positivo: en antimalware, un archivo o aplicación legítimo que se identifica
incorrectamente como
malware En la detección de intrusos, tráfico legítimo que se identifica incorrectamente
como una amenaza. Ver
También falso negativo .
favicon ("icono favorito"): un pequeño archivo que contiene uno o más iconos
pequeños asociados con un
sitio web particular o página web.
240
Ley de notificación de incumplimiento de datos de la Bolsa Federal de 2015: una
regulación de los EE. UU. Que además
fortalece HIPAA al exigir intercambios de seguros de salud para notificar a las personas
cuyos
la información personal se ha visto comprometida como resultado de una violación de
datos lo antes posible,
pero a más tardar 60 días después del descubrimiento de incumplimiento. Ver también
Portabilidad del seguro de salud y
Ley de responsabilidad (HIPAA) .
Ley Federal de Administración de Seguridad de la Información (FISMA): Ver
Seguridad Federal de la Información
Ley de Modernización (FISMA) .
Ley Federal de Modernización de la Seguridad de la Información (FISMA): una
ley de los Estados Unidos que implementa un
marco integral para proteger los sistemas de información utilizados en el gobierno
federal de EE. UU.
agencias. Conocido como la Ley Federal de Gestión de Seguridad de la Información
anterior a 2014.
fibra óptica: tecnología que convierte las señales de datos eléctricos en luz y entrega
datos constantes
velocidades en las direcciones de carga y descarga a través de un medio de cable de
fibra óptica dedicado. Fibra
La tecnología óptica es mucho más rápida y segura que otros tipos de tecnología de red.
Ley de Modernización de Servicios Financieros de 1999: Ver Ley Gramm-Leach-
Bliley (GLBA) .
FISMA: Consulte la Ley Federal de Modernización de la Seguridad de la Información
(FISMA) .
disquete: un medio de almacenamiento magnético extraíble comúnmente utilizado
desde mediados de la década de 1970 hasta
alrededor de 2007, cuando fue reemplazado en gran medida por dispositivos de
almacenamiento USB extraíbles.
control de flujo: una técnica utilizada para monitorear el flujo de datos entre
dispositivos para garantizar que
dispositivo receptor, que no necesariamente funciona a la misma velocidad que la
transmisión
dispositivo, no suelta paquetes.
nombre de dominio completo (FQDN): el nombre de dominio completo para una
computadora específica,
servicio o recurso conectado a internet o una red privada.
RGPD: consulte el Reglamento general de protección de datos (RGPD) .
Reglamento general de protección de datos (GDPR): un reglamento de la Unión
Europea (UE) que se aplica a
cualquier organización que haga negocios con ciudadanos de la UE. Fortalece la
protección de datos para la UE
ciudadanos y aborda la exportación de datos personales fuera de la UE.
Encapsulación de enrutamiento genérico (GRE): un protocolo de túnel desarrollado
por Cisco Systems que
puede encapsular varios protocolos de capa de red dentro de enlaces virtuales punto a
punto.
GLBA: Ver Ley Gramm-Leach-Bliley (GLBA) .
Página 241
Ley Gramm-Leach-Bliley (GLBA): una ley de los Estados Unidos que requiere que
las instituciones financieras implementen
Políticas de privacidad y seguridad de la información para salvaguardar la información
personal no pública de
clientes y consumidores. También conocida como la Ley de Modernización de Servicios
Financieros de 1999.
GRE: Consulte Encapsulación de enrutamiento genérico (GRE) .
pirata informático: término utilizado originalmente para referirse a cualquier persona
con habilidades informáticas altamente especializadas, sin
connotando buenos o malos propósitos. Sin embargo, el mal uso común del término ha
redefinido a un hacker
como alguien que elude la seguridad informática con intenciones maliciosas, como un
cibercriminal,
ciberterrorista o hacktivista.
firma hash: una representación criptográfica de un archivo completo o código fuente
del programa.
Ley de responsabilidad y portabilidad del seguro de salud (HIPAA): una ley de los
EE. UU. Que define los datos
requisitos de privacidad y seguridad para proteger los registros médicos de las personas
y otros datos personales
información de salud. Consulte también la entidad cubierta y la información de salud
protegida (PHI).
Heap Spray: una técnica utilizada para facilitar la ejecución de código arbitrario
mediante la inyección de un determinado
secuencia de bytes en la memoria de un proceso de destino.
hextet: un grupo de cuatro dígitos hexadecimales de 4 bits en una dirección IPv6 de 128
bits. Ver también Internet
Dirección de protocolo (IP) .
bits de orden superior: los primeros cuatro bits en un octeto de dirección IPv4 de 32
bits. Ver también Protocolo de Internet (IP)
dirección , octeto y bits de orden inferior .
HIPAA: Consulte la Ley de Responsabilidad y Portabilidad del Seguro de Salud
(HIPAA).
conteo de saltos: el número de nodos de enrutador que debe pasar un paquete para
alcanzar su
destino.
hipervisor alojado: un hipervisor que se ejecuta dentro de un entorno de sistema
operativo. También conocido
como un hipervisor de tipo 2. Ver también hipervisor e hipervisor nativo .
HTTP: consulte Protocolo de transferencia de hipertexto (HTTP).
HTTPS: consulte Protocolo de transferencia de hipertexto seguro (HTTPS).
concentrador (o concentrador): un dispositivo utilizado para conectar varios
dispositivos en red juntos en un
red de área local (LAN).
Protocolo de transferencia de hipertexto (HTTP): un protocolo de aplicación
utilizado para transferir datos entre
servidores web y navegadores web.
Página 242
Protocolo de transferencia de hipertexto seguro (HTTPS): una versión segura de
HTTP que utiliza sockets seguros
Cifrado de capa (SSL) o seguridad de la capa de transporte (TLS). Consulte también
Capa de sockets seguros (SSL) y
Seguridad de la capa de transporte (TLS) .
hipervisor: tecnología que permite la ejecución de múltiples sistemas operativos
virtuales (o invitados)
simultáneamente en una sola computadora host física.
IaaS: vea la infraestructura como un servicio (IaaS) .
IANA: Ver Autoridad de Números Asignados de Internet (IANA).
IETF: Ver Grupo de trabajo de ingeniería de Internet (IETF) .
Indicador de compromiso (IoC): un artefacto de red o sistema operativo (SO) que
proporciona un alto
nivel de confianza de que ha ocurrido un incidente de seguridad informática.
infraestructura como servicio (IaaS). Un modelo de servicio de computación en la
nube en el que los clientes pueden
aprovisionamiento de procesamiento, almacenamiento, redes y otros recursos
informáticos e implementación y ejecución
sistemas operativos y aplicaciones. Sin embargo, el cliente no tiene conocimiento y no
gestionar o controlar la infraestructura de nube subyacente. El cliente tiene control sobre
sistemas operativos, almacenamiento y aplicaciones implementadas, y algunos
componentes de red (para
ejemplo, cortafuegos host). La compañía es propietaria de las aplicaciones y los datos
desplegados, y es
por lo tanto, responsable de la seguridad de esas aplicaciones y datos.
vector de inicialización (IV): un número aleatorio utilizado solo una vez en una sesión,
junto con un
clave de cifrado, para proteger la confidencialidad de los datos. También conocido
como nonce.
inodes: una estructura de datos utilizada para almacenar información sobre archivos y
directorios en un archivo basado
sistema de almacenamiento, pero no los nombres de archivo o el contenido de datos en
sí.
Autoridad de Números Asignados de Internet (IANA): una corporación privada
estadounidense sin fines de lucro que
supervisa la asignación global de direcciones IP, la asignación de números del sistema
autónomo (AS), la zona raíz
administración en el Sistema de nombres de dominio (DNS), tipos de medios y otros
protocolos de Internet
símbolos relacionados y números de internet. Ver también sistema autónomo (AS) y
nombre de dominio
Sistema (DNS) .
Internet Engineering Task Force (IETF): una comunidad internacional abierta de
diseñadores de redes,
operadores, vendedores e investigadores preocupados por la evolución de la arquitectura
de internet
y el buen funcionamiento de internet.
Dirección de Protocolo de Internet (IP): un identificador de 32 bits o 128 bits
asignado a un dispositivo en red para
comunicaciones en la capa de red del modelo OSI o la capa de Internet de TCP / IP
Página 243
modelo. Consulte también el modelo de referencia de Interconexión de sistemas
abiertos (OSI) y Control de transmisión
Modelo de protocolo / protocolo de Internet (TCP / IP) .
intranet: una red privada que proporciona información y recursos, como una empresa
directorio, políticas y formularios de recursos humanos, archivos de departamento o
equipo, y otros archivos internos
información - a los usuarios de una organización. Al igual que Internet, una intranet usa
HTTP y / o
Protocolos HTTPS, pero el acceso a una intranet generalmente está restringido a la
organización interna
usuarios. Microsoft SharePoint es un ejemplo popular de software de intranet. Ver
también hipertexto
Protocolo de transferencia (HTTP) y Protocolo de transferencia de hipertexto seguro
(HTTPS) .
IoC: Ver indicador de compromiso (IoC) .
Dirección IP: consulte la dirección del Protocolo de Internet (IP) .
Telefonía IP: Ver Voz sobre Protocolo de Internet (VoIP).
IV: Ver vector de inicialización (IV) .
jailbreak: pirateo de un dispositivo Apple iOS para obtener acceso de nivel raíz al
dispositivo. Esta piratería es
a veces realizado por usuarios finales para permitirles descargar e instalar aplicaciones
móviles sin
pagar por ellos, de fuentes distintas a la App Store, que no están sancionadas y / o
controlado por Apple. Jailbreak rompe las características de seguridad del dispositivo al
reemplazar el
El sistema operativo del firmware con una versión similar, aunque falsificada, que hace
que el dispositivo
vulnerable a malware y exploits. Ver también enraizamiento .
Kerberos: un protocolo de autenticación basado en tickets en el que se utilizan "tickets"
para identificar
usuarios de la red
LAN: Ver red de área local (LAN).
privilegio mínimo: un principio de seguridad de red en el que solo el permiso o los
derechos de acceso
necesarios para realizar una tarea autorizada se otorgan.
bit menos significativo: el último bit en un octeto de dirección IPv4 de 32 bits. Ver
también Protocolo de Internet (IP)
dirección , octeto y bit más significativo .
topología de bus lineal: ver topología de bus.
red de área local (LAN): una red de computadoras que conecta computadoras
portátiles y de escritorio,
servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos,
archivos y almacenamiento de archivos, y
otros recursos en red pueden compartirse en un área geográfica relativamente pequeña,
como un
piso, un edificio o un grupo de edificios.
Página 244
bits de orden bajo: los últimos cuatro bits en un octeto de dirección IPv4 de 32 bits.
Ver también Protocolo de Internet (IP)
dirección , octeto y bits de orden superior .
Dirección MAC: consulte la dirección de control de acceso a medios (MAC).
malware: software o código malicioso que normalmente daña, toma el control o
recopila
información de un punto final infectado. El malware incluye ampliamente virus,
gusanos, troyanos
caballos (incluidos troyanos de acceso remoto o RAT), anti-AV, bombas lógicas,
puertas traseras, rootkits,
bootkits, spyware y (en menor medida) adware.
registro de inicio maestro (MBR): el primer sector en el disco duro de una
computadora, que contiene información
sobre cómo se organizan las particiones lógicas (o sistemas de archivos) en los medios
de almacenamiento, y un
gestor de arranque ejecutable que inicia el sistema operativo instalado.
MBR: Ver registro maestro de arranque (MBR).
dirección de control de acceso a medios (MAC): un identificador único de 48 bits o
64 bits asignado a una red
controlador de interfaz (NIC) para comunicaciones en la capa de enlace de datos del
modelo OSI. Ver también
Modelo de referencia de interconexión de sistemas abiertos (OSI) .
metamorfismo: una técnica de programación utilizada para alterar el código de
malware con cada iteración, para
Evite la detección mediante software antimalware basado en firmas. Aunque la carga
útil de malware
cambia con cada iteración, por ejemplo, mediante el uso de una estructura o secuencia
de código diferente, o
insertando código basura para cambiar el tamaño del archivo - el comportamiento
fundamental del malware
la carga útil permanece sin cambios. El metamorfismo usa técnicas más avanzadas que
polimorfismo. Ver también polimorfismo .
Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP): un
protocolo utilizado para
autenticar estaciones de trabajo basadas en Microsoft Windows utilizando un
mecanismo de desafío-respuesta para
autenticar conexiones PPTP sin enviar contraseñas. Ver también tunelización punto a
punto
protocolo (PPTP) .
bit más significativo: el primer bit en un octeto de dirección IPv4 de 32 bits. Ver
también Protocolo de Internet (IP)
dirección , octeto y bit menos significativo .
MS-CHAP: Consulte el Protocolo de autenticación por desafío mutuo de Microsoft
(MS-CHAP) .
mutex: un objeto de programa que permite que varios subprocesos del programa
compartan el mismo recurso,
como el acceso a archivos, pero no simultáneamente.
NAT: Ver traducción de direcciones de red (NAT).
Página 245
Ley Nacional de Avance de Protección de Ciberseguridad de 2015: una regulación
de EE. UU. Que modifica
la Ley de Seguridad Nacional de 2002 para mejorar el intercambio multidireccional de
información relacionada
a los riesgos de ciberseguridad y fortalece la protección de la privacidad y las libertades
civiles.
hipervisor nativo: un hipervisor que se ejecuta directamente en el hardware de la
computadora host. También conocido
como un tipo 1 o hipervisor de metal desnudo. Consulte también hipervisor e hipervisor
alojado .
NERC: Ver North American Electric Reliability Corporation (NERC) .
traducción de direcciones de red (NAT): técnica utilizada para virtualizar direcciones
IP mediante mapeo
direcciones IP privadas no enrutables asignadas a dispositivos de red internos a
direcciones IP públicas.
Directiva de seguridad de redes e información (NIS): una directiva de la Unión
Europea (UE) que
impone requisitos de seguridad de red e información para bancos, compañías de energía,
proveedores de atención médica y proveedores de servicios digitales, entre otros.
Directiva NIS: consulte la Directiva de seguridad de redes e información (NIS) .
nonce: Ver vector de inicialización (IV).
North American Electric Reliability Corporation (NERC): una organización
internacional sin fines de lucro
autoridad reguladora responsable de asegurar la confiabilidad del sistema eléctrico a
granel (BES) en
Estados Unidos continental, Canadá y la parte norte de Baja California, México. Ver
también sistema eléctrico a granel (BES) y Protección de Infraestructura Crítica (CIP)
.
ofuscación: una técnica de programación utilizada para hacer que el código sea ilegible.
Puede ser implementado
utilizando un cifrado de sustitución simple, como una operación exclusiva o (XOR), o
más
algoritmos de cifrado sofisticados, como el Estándar de cifrado avanzado (AES). Ver
también
Estándar de cifrado avanzado (AES) , exclusivo o (XOR) y empaquetador .
octeto: un grupo de 8 bits en una dirección IPv4 de 32 bits. Consulte la dirección del
Protocolo de Internet (IP) .
función unidireccional (hash): una función matemática que crea una representación
única (un hash
valor) de un conjunto de datos más grande de una manera que sea fácil de calcular en
una dirección (entrada a
salida), pero no en la dirección inversa (salida a entrada). La función hash no puede
recuperar el
Texto original del valor hash. Sin embargo, un atacante podría intentar adivinar qué
el texto original era y vea si produce un valor hash coincidente.
Modelo de referencia de interconexión de sistemas abiertos (OSI): un modelo de red
de siete capas
consistente en la Aplicación (Capa 7 o L7), Presentación (Capa 6 o L6), Sesión (Capa 5
o
L5), Transporte (Capa 4 o L4), Red (Capa 3 o L3), Enlace de datos (Capa 2 o L2) y
Físico
(Capa 1 o L1) capas. Define protocolos estándar para comunicación e interoperabilidad
utilizando
Página 246
Un enfoque en capas en el que los datos se pasan desde la capa más alta (aplicación)
hacia abajo
a través de cada capa a la capa más baja (física), luego se transmite a través de la red a
su
destino, luego pasó hacia arriba desde la capa más baja a la capa más alta. Ver también
datos
encapsulación .
portadora óptica: una especificación estándar para el ancho de banda de transmisión
de señales digitales en
Redes de fibra óptica de red óptica síncrona (SONET). Transmisión portadora óptica
las tasas se designan por el valor entero del múltiplo de la tasa base (51.84Mbps). por
ejemplo, OC-3 designa una red de 155.52Mbps (3 x 51.84) y OC-192 designa un
Red de 9953.28 Mbps (192 x 51.84).
Modelo OSI: consulte el modelo de referencia de interconexión de sistemas abiertos
(OSI).
PaaS: vea la plataforma como un servicio (PaaS) .
empaquetador: una herramienta de software que se puede utilizar para ofuscar código
al comprimir un programa de malware
para la entrega, luego descomprimirlo en la memoria en tiempo de ejecución. Ver
también ofuscación .
captura de paquetes (pcap): una intercepción de tráfico de paquetes de datos que se
pueden usar para análisis.
red de paquetes conmutados: una red en la que los dispositivos comparten el ancho de
banda en las comunicaciones
enlaces para transportar paquetes entre un remitente y un receptor a través de una red.
PAP: consulte Protocolo de autenticación de contraseña (PAP) .
Protocolo de autenticación de contraseña (PAP): un protocolo de autenticación
utilizado por PPP para validar
usuarios con una contraseña sin cifrar. Ver también protocolo punto a punto (PPP) .
Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS): una
seguridad de información patentada
estándar ordenado y administrado por el PCI Security Standards Council (SSC), y
aplicable a cualquier organización que transmita, procese o almacene tarjetas de pago
(como débito
y tarjetas de crédito) información. Ver también PCI Security Standards Council (SSC) .
pcap: Ver captura de paquetes (pcap).
PCI: Consulte los Estándares de seguridad de datos de la industria de tarjetas de pago
(PCI DSS).
PCI DSS: consulte los Estándares de seguridad de datos de la industria de tarjetas de
pago (PCI DSS).
PCI Security Standards Council (SSC): un grupo compuesto por Visa, MasterCard,
American Express,
Descubra y JCB que mantiene, evoluciona y promueve PCI DSS. Ver también Tarjeta
de pago
Normas de seguridad de datos de la industria (PCI DSS) .
Página 247
PDU: Ver unidad de datos de protocolo (PDU).
Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA):
una privacidad canadiense
ley que define los derechos individuales con respecto a la privacidad de su información
personal, y
rige cómo las organizaciones del sector privado recopilan, usan y divulgan información
personal en el
curso de los negocios
Información de identificación personal (PII): definida por el Instituto Nacional de
Normas de EE. UU.
y Tecnología (NIST) como "cualquier información sobre un individuo mantenida por
una agencia,
incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la
identidad de un individuo ...
y (2) cualquier otra información que esté vinculada o vinculable a un individuo ... ".
pharming: un tipo de ataque que redirige el tráfico de un sitio web legítimo a un sitio
falso.
PHI: Ver información de salud protegida (PHI).
PII: Ver información de identificación personal (PII).
PIPEDA: Ver Ley de Protección de Información Personal y Documentos Electrónicos
(PIPEDA).
PKI: Ver infraestructura de clave pública (PKI) .
plataforma como servicio (PaaS): un modelo de servicio de computación en la nube
en el que los clientes pueden implementar
aplicaciones compatibles en la infraestructura de nube del proveedor, pero el cliente no
tiene
conocimiento y no gestiona ni controla la infraestructura de nube subyacente. los
el cliente tiene control sobre las aplicaciones implementadas y las configuraciones de
configuración limitadas para
entorno de alojamiento de aplicaciones. La empresa es propietaria de las aplicaciones y
datos implementados, y
es, por lo tanto, responsable de la seguridad de esas aplicaciones y datos.
PoE: consulte alimentación a través de Ethernet (PoE).
protocolo punto a punto (PPP): una capa de protocolo de capa 2 (enlace de datos)
utilizada para establecer una
conexión entre dos nodos.
protocolo de túnel punto a punto (PPTP): un método obsoleto para implementar
privado virtual
redes, con muchos problemas de seguridad conocidos, que utilizan un canal de control
TCP y un túnel GRE
para encapsular paquetes PPP. Consulte también Protocolo de control de transmisión
(TCP) , Enrutamiento genérico
Encapsulación (GRE) y protocolo punto a punto (PPP) .
polimorfismo: una técnica de programación utilizada para alterar una parte del código
de malware con cada
iteración, para evitar la detección por software antimalware basado en firmas. Por
ejemplo, un
Página 248
la clave de cifrado o la rutina de descifrado pueden cambiar con cada iteración, pero la
carga útil del malware
permanece sin cambios. Ver también metamorfismo .
alimentación a través de Ethernet (PoE): un estándar de red que proporciona energía
eléctrica a ciertos
dispositivos de red a través de cables Ethernet.
PPP: Ver protocolo punto a punto (PPP) .
PPTP: consulte el protocolo de túnel punto a punto (PPTP).
clave precompartida (PSK): un secreto compartido, utilizado en criptografía de clave
simétrica que ha sido
intercambiado entre dos partes que se comunican a través de un canal encriptado.
modo promiscuo: se refiere al hardware Ethernet utilizado en la red de computadoras,
generalmente un
tarjeta de interfaz de red (NIC), que recibe todo el tráfico en un segmento de red,
incluso si el tráfico es
no dirigido al hardware.
información de salud protegida (PHI): definida por HIPAA como información sobre
el individuo
estado de salud, provisión de atención médica o pago por atención médica que incluye
identificadores como
como nombres, identificadores geográficos (más pequeños que un estado), fechas,
números de teléfono y fax, correo electrónico
direcciones, números de Seguro Social, números de registros médicos o fotografías. Ver
también salud
Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) .
unidad de datos de protocolo (PDU): una unidad de datos autónoma (que consta de
datos de usuario o control
información y direccionamiento de red).
PSK: Ver clave precompartida (PSK) .
Infraestructura de clave pública (PKI): conjunto de roles, políticas y procedimientos
necesarios para crear,
administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar
clave pública
cifrado
QoS: consulte Calidad de servicio (QoS) .
Calidad de servicio (QoS): el rendimiento general de aplicaciones o servicios
específicos en un
red incluyendo tasa de error, tasa de bits, rendimiento, retraso de transmisión,
disponibilidad, fluctuación, etc.
Las políticas de QoS se pueden configurar en ciertos dispositivos de red y seguridad
para priorizar ciertos
tráfico, como voz o video, sobre otro tráfico menos intensivo en rendimiento, como
archivos
transferencias.
RADIUS: consulte Servicio de usuario de acceso telefónico de autenticación remota
(RADIUS) .
Página 249
tabla arcoiris: una tabla precalculada utilizada para encontrar el valor original de un
hash criptográfico
función.
RARP: Ver Protocolo de resolución de dirección inversa (RARP).
Consulta DNS recursiva: una consulta DNS que se realiza (si el servidor DNS permite
consultas recursivas)
cuando un servidor DNS no tiene autoridad para un dominio de destino. El DNS no
autorizado
el servidor obtiene la dirección IP del servidor DNS autorizado para el dominio de
destino y
envía la solicitud DNS original a ese servidor para que se resuelva. Ver también Sistema
de nombres de dominio
(DNS) y servidor DNS autorizado .
Servicio de usuario de acceso telefónico de autenticación remota (RADIUS): un
protocolo y software cliente-servidor
que permite que los servidores de acceso remoto se comuniquen con un servidor central
para autenticar a los usuarios
y autorizar el acceso a un sistema o servicio.
llamada a procedimiento remoto (RPC): un protocolo de comunicación entre
procesos (IPC) que permite un
aplicación para ejecutarse en una computadora o red diferente, en lugar de en la
computadora local en
cuál está instalado
Repetidor: un dispositivo de red que aumenta o retransmite una señal para extender
físicamente el rango de
Una red cableada o inalámbrica.
transferencia de estado representacional (REST): un estilo de programación
arquitectónica que generalmente se ejecuta
a través de HTTP, y se usa comúnmente para aplicaciones móviles, sitios web de redes
sociales y mashup
herramientas. Ver también Protocolo de transferencia de hipertexto (HTTP) .
REST: ver transferencia de estado de representación (REST) .
Protocolo de resolución de dirección inversa (RARP): un protocolo que traduce un
MAC físico
dirección a una dirección lógica. Consulte también la dirección de control de acceso a
medios (MAC) .
topología de anillo: una topología LAN en la que todos los nodos están conectados en
un bucle cerrado que forma un
anillo continuo En una topología de anillo, toda la comunicación viaja en una sola
dirección alrededor del
anillo. Las topologías de anillo eran comunes en las redes de token ring. Vea también
red de área local (LAN) .
rooting: el equivalente en Google Android de jailbreak. Ver jailbreak .
enrutador: un dispositivo de red que envía paquetes de datos a una red de destino a lo
largo de una red
camino.
RPC: Ver llamada a procedimiento remoto (RPC) .
SaaS: vea el software como un servicio (SaaS).
Page 250
salt: datos generados aleatoriamente que se utilizan como entrada adicional a una
función hash unidireccional
que tiene una contraseña o frase de contraseña. El mismo texto original hash con
diferentes resultados de sales
en diferentes valores hash.
Ley Sarbanes-Oxley (SOX): una ley de los Estados Unidos que aumenta la gobernanza
financiera y la rendición de cuentas en
empresas que cotizan en bolsa.
script kiddie: Alguien con habilidades limitadas de piratería y / o programación que
usa maliciosos
programas (malware) escritos por otros para atacar una computadora o red.
Secure Sockets Layer (SSL): un protocolo criptográfico para administrar la
autenticación y
comunicación cifrada entre un cliente y un servidor para proteger la confidencialidad y
integridad de los datos intercambiados en la sesión.
Identificador de conjunto de servicios (SSID): un identificador alfanumérico de 32
caracteres que distingue entre mayúsculas y minúsculas
identifica de forma exclusiva una red Wi-Fi.
software as a service (SaaS): un modelo de servicio de computación en la nube,
definido por el US National
Instituto de Estándares y Tecnología (NIST), en el que "la capacidad proporcionada al
consumidor
es usar las aplicaciones del proveedor que se ejecutan en una infraestructura en la nube.
Las aplicaciones son
accesible desde varios dispositivos cliente a través de una interfaz de cliente ligero,
como una web
navegador o una interfaz de programa. El consumidor no gestiona ni controla el
subyacente
infraestructura en la nube que incluye redes, servidores, sistemas operativos,
almacenamiento o incluso individuos
capacidades de aplicación, con la posible excepción de una aplicación limitada
específica del usuario
ajustes de configuración."
SONET: consulte Redes ópticas síncronas (SONET).
SOX: Ver Ley Sarbanes-Oxley (SOX) .
Spear Phishing: un ataque de phishing altamente dirigido que utiliza información
específica sobre el objetivo
para hacer que el intento de phishing parezca legítimo.
SSID: consulte el identificador del conjunto de servicios (SSID) .
SSL: consulte Capa de sockets seguros (SSL).
STIX: consulte Expresión estructurada de información sobre amenazas (STIX).
Expresión de información de amenaza estructurada (STIX): un formato XML para
transmitir datos sobre
amenazas de ciberseguridad en un formato estandarizado. Consulte también Lenguaje
de marcado extensible (XML) .
Page 251
máscara de subred: un número que oculta la porción de red de una dirección IPv4,
dejando solo el
porción de host de la dirección IP. Consulte también la dirección del Protocolo de
Internet (IP) .
subredes: una técnica utilizada para dividir una red grande en subredes múltiples más
pequeñas.
superredes: una técnica utilizada para agregar múltiples redes contiguas más pequeñas
en una más grande
red para permitir un enrutamiento de Internet más eficiente.
conmutador: un concentrador inteligente que reenvía paquetes de datos solo al puerto
asociado con el
dispositivo de destino en una red.
Redes ópticas síncronas (SONET): un protocolo que transfiere múltiples flujos de bits
digitales
Sincrónicamente sobre fibra óptica.
T-carrier: un sistema de transmisión digital full-duplex que utiliza múltiples pares de
cables de cobre para
transmitir señales eléctricas a través de una red. Por ejemplo, un circuito T-1 consta de
dos pares de
cable de cobre: un par transmite, el otro par recibe, que se multiplexan para
proporcionar un
Un total de 24 canales, cada uno con 64 Kbps de datos, para un ancho de banda total de
1.544 Mbps.
TCP: Ver Protocolo de control de transmisión (TCP).
Segmento TCP: una unidad de datos de protocolo (PDU) definida en la capa de
transporte del modelo OSI. Ver
también unidad de datos de protocolo (PDU) y modelo de referencia de interconexión
de sistemas abiertos (OSI) .
Apretón de manos de tres vías: una secuencia utilizada para establecer una conexión
TCP. Por ejemplo, una PC
inicia una conexión con un servidor enviando un paquete TCP SYN (Sincronizar). El
servidor
responde con un paquete SYN ACK (Sincronizar acuse de recibo). Finalmente, la PC
envía un ACK o
Paquete SYN-ACK-ACK, que reconoce el reconocimiento del servidor y la
comunicación de datos
comienza Consulte también Protocolo de control de transmisión (TCP) .
Modelo TCP / IP: consulte el modelo de Protocolo de control de transmisión /
Protocolo de Internet (TCP / IP) .
vector de amenaza: Ver vector de ataque.
TLD: Ver dominio de nivel superior (TLD).
TLS: consulte Seguridad de la capa de transporte (TLS) .
dominio de nivel superior (TLD): el dominio de nivel más alto en DNS, representado
por la última parte de un
FQDN (por ejemplo, .com o .edu). Los TLD más utilizados son genéricos de nivel
superior
dominios (gTLD) como .com, edu, .net y .org, y dominios de nivel superior de código
de país (ccTLD)
como .ca y .us.
Page 252
Tor ("The Onion Router"): software que permite la comunicación anónima a través
de Internet.
Protocolo de control de transmisión (TCP): una conexión orientada (una conexión
directa entre
los dispositivos de red se establecen antes de que se transfieran los segmentos de datos)
protocolo que proporciona
entrega confiable (se reconocen los segmentos recibidos y retransmisión de datos
faltantes o
segmentos solicitados) de datos.
Modelo de Protocolo de control de transmisión / Protocolo de Internet (TCP / IP):
una red de cuatro capas
modelo compuesto por la Aplicación (Capa 4 o L4), Transporte (Capa 3 o L3), Internet
(Capa 2
o L2) y capas de acceso a la red (capa 1 o L1).
Seguridad de la capa de transporte (TLS): el sucesor de SSL (aunque todavía se
conoce comúnmente como
SSL). Consulte también Capa de sockets seguros (SSL) .
Hipervisor tipo 1: ver hipervisor nativo .
Hipervisor tipo 2: ver hipervisor alojado.
UDP: Ver el protocolo de datagramas de usuario (UDP).
Datagrama UDP: una unidad de datos de protocolo (PDU) definida en la capa de
transporte del modelo OSI. Ver
también el protocolo de datagrama de usuario (UDP) y el modelo de referencia de
interconexión de sistemas abiertos (OSI) .
Localizador uniforme de recursos (URL): una referencia (o dirección) única a un
recurso de Internet, como
como una página web
URL: consulte el localizador uniforme de recursos (URL) .
Protocolo de datagramas de usuario (UDP): sin conexión (una conexión directa entre
dispositivos de red
no se establece antes de que se transfieran los datagramas) protocolo que proporciona la
entrega de mejor esfuerzo
(los datagramas recibidos no se reconocen y los datagramas faltantes o corruptos no se
reconocen
solicitado) de datos.
enmascaramiento de subred de longitud variable (VLSM): una técnica que permite
que los espacios de direcciones IP sean
dividido en diferentes tamaños. Consulte también la dirección del Protocolo de Internet
(IP) .
LAN virtual (VLAN): una red lógica que se crea dentro de una red física de área local.
VLAN: consulte LAN virtual (VLAN) .
VLSM: consulte el enmascaramiento de subred de longitud variable (VLSM) .
Page 253
Voz sobre Protocolo de Internet (VoIP): tecnología que proporciona comunicación de
voz a través de un
Red basada en el protocolo de Internet (IP). También conocido como telefonía IP.
VoIP: consulte Voz sobre Protocolo de Internet (VoIP) .
vulnerabilidad: un error o falla que existe en un sistema o software y crea un riesgo de
seguridad.
WAN: Ver red de área amplia (WAN).
abrevadero: un ataque que compromete los sitios web que probablemente sean
visitados por un objetivo
víctima para entregar malware a través de una unidad de descarga. Ver también drive-
by-download .
Web 2.0: un término popularizado por Tim O'Reilly y Dale Dougherty refiriéndose
extraoficialmente a un nuevo
era de la World Wide Web, que se caracteriza por contenido dinámico o generado por el
usuario,
interacción y colaboración, y el crecimiento de las redes sociales. Ver también
Enterprise 2.0 .
caza de ballenas: un tipo de ataque de spear phishing que se dirige específicamente a
altos ejecutivos o
otros objetivos de alto perfil dentro de una organización. Ver también spear phishing .
red de área amplia (WAN): una red de computadoras que conecta múltiples LAN u
otras WAN
a través de un área geográfica relativamente grande, como una pequeña ciudad, una
región o país, un
red empresarial, o el planeta entero (por ejemplo, internet). Ver también red de área
local
(LAN)
punto de acceso inalámbrico (AP): un dispositivo de red que se conecta a un
enrutador o red cableada y
transmite una señal de Wi-Fi para que los dispositivos inalámbricos puedan conectarse a
una red inalámbrica (o Wi-Fi).
repetidor inalámbrico: un dispositivo que retransmite la señal inalámbrica desde un
enrutador inalámbrico o AP a
ampliar el alcance de una red wifi.
XML: consulte Lenguaje de marcado extensible (XML) .
XOR: Ver exclusivo o (XOR) .
Amenaza de día cero: la ventana de vulnerabilidad que existe desde el momento en
que una nueva amenaza (desconocida)
se publica hasta que los proveedores de seguridad liberen un archivo de firma o parche
de seguridad para la amenaza.
zombie: Ver bot .
Page 254
Apéndice C - Entrenamiento de Palo Alto
Networks y
Programas de certificacion
Palo Alto Networks ofrece capacitación técnica y programas de certificación que le
brindan
El conocimiento avanzado que necesita para proteger las redes empresariales y habilitar
de forma segura
aplicaciones. Capacitación de Palo Alto Networks y capacitación autorizada de Palo
Alto Networks
Los centros ofrecen conocimiento y experiencia que lo preparan para proteger nuestro
estilo de vida digital.
Las certificaciones de seguridad confiables de Palo Alto Networks validan su
conocimiento de Palo Alto
La plataforma operativa de seguridad de redes y su capacidad para ayudar a prevenir
ataques cibernéticos exitosos
y habilitar aplicaciones de forma segura. Puede obtener más información sobre estos
programas en
www.paloaltonetworks.com/services/education.
Firewall 8.1 Essentials: configuración y administración (EDU-
210)
Palo Alto Networks Firewall 8.1 Essentials: configuración y administración (EDU-210)
el curso es de cinco días de capacitación dirigida por un instructor que debería
permitirle:
Configure y administre las características esenciales de la próxima generación de Palo
Alto Networks
cortafuegos (NGFW)
Configure y administre GlobalProtect para proteger los sistemas que se encuentran fuera
del
perímetro del centro de datos
Configurar y administrar la alta disponibilidad del firewall
Monitoree el tráfico de red utilizando la interfaz web interactiva y los informes de
firewall
Objetivos del Curso
La finalización exitosa de este curso de cinco días dirigido por un instructor debería
mejorar la capacidad del estudiante
comprensión de cómo configurar y administrar los NGFW de Palo Alto Networks. El
estudiante
obtenga experiencia práctica en la configuración, administración y monitoreo de un
firewall en un entorno de laboratorio.
Alcance
Nivel del curso: introductorio
Duración del curso: 5 días.
Formato del curso: combina conferencias y laboratorios prácticos
255 de 1189.
Soporte de plataforma: firewalls empresariales de última generación de Palo Alto
Networks que ejecutan el
Sistema operativo PAN-OS®
Público objetivo
Ingenieros de seguridad, Administradores de seguridad, Especialistas en operaciones de
seguridad, Analistas de seguridad,
Ingenieros de redes y personal de soporte
Prerrequisitos
Los estudiantes deben tener una familiaridad básica con los conceptos de redes que
incluyen enrutamiento, conmutación,
y direccionamiento IP. Los estudiantes también deben estar familiarizados con los
conceptos básicos de seguridad. Experiencia
con otras tecnologías de seguridad (IPS, proxy y filtrado de contenido) es una ventaja.
Sesiones
Módulo 1: Plataforma y arquitectura de seguridad de próxima generación
Módulo 2: Implementación virtual y en la nube
Módulo 3: Configuración inicial
Módulo 4: Configuración de la interfaz
Módulo 5: Políticas de seguridad y NAT
Módulo 6: ID de aplicación
Módulo 7: ID de contenido
Módulo 8: filtrado de URL
Módulo 9: descifrado
Módulo 10: WildFire®
Módulo 11: ID de usuario
Módulo 12: GlobalProtect
Módulo 13: VPN de sitio a sitio
Módulo 14: Monitoreo e informes
Módulo 15: Alta disponibilidad activa / pasiva
Page 256
Módulo 16: Prácticas de seguridad de próxima generación
Firewall 8.1: Optimización de la prevención de amenazas de
firewall (EDU-214)
El curso Palo Alto Networks Firewall 8.1: Optimización de la prevención de amenazas
de firewall (EDU-214) es
cuatro días de capacitación dirigida por un instructor que enfatiza las capacidades de
prevención de amenazas PAN-OS.
Después de completar este curso, deberías poder:
Describir el ciclo de vida del ataque cibernético y reconocer formas comunes de ataque.
Describir las capacidades de prevención de amenazas PAN-OS.
Use registros e informes de firewall para tomar mejores decisiones de configuración
Configure el firewall para detectar, bloquear y registrar amenazas
Objetivos del Curso
La finalización exitosa de este curso de cuatro días dirigido por un instructor mejorará la
capacidad del estudiante
comprensión de cómo configurar, administrar y monitorear mejor la prevención de
amenazas PAN-OS
caracteristicas. El alumno obtendrá experiencia práctica en la configuración,
administración y monitoreo
características de prevención de amenazas en un entorno de laboratorio.
Alcance
Nivel del curso: intermedio
Sistema operativo PAN-OS
Público objetivo
Prerrequisitos
Los participantes deben completar el Firewall 8.1 Essentials: curso de configuración y
administración,
o tener experiencia equivalente. Los estudiantes deben tener una familiaridad básica con
los conceptos de redes
incluyendo enrutamiento, conmutación y direccionamiento IP.
Página 257
Sesiones
Módulo 1: El ciclo de vida del ataque cibernético
Módulo 2: Bloqueo de ataques basados en paquetes y protocolos
Módulo 3: Bloqueo de amenazas de fuentes mal conocidas
Módulo 4: Bloqueo de amenazas con App-ID
Módulo 5: Bloqueo de amenazas usando firmas personalizadas
Módulo 6: Creación de firmas de amenazas personalizadas
Módulo 7: Bloqueo de amenazas en tráfico cifrado
Módulo 8: Bloqueo de amenazas en el tráfico permitido
Módulo 9: Autenticación de cuentas de usuario de firewall
Módulo 10: Bloqueo de amenazas de phishing y credenciales robadas
Módulo 11: Visualización de información sobre amenazas y tráfico
Panorama 8.1: Gestión de firewalls a escala (EDU-220)
El curso Palo Alto Networks Panorama 8.1: Administración de firewalls a escala (EDU-
220) es dos
días de capacitación dirigida por un instructor que lo ayudará a:
Aprenda a configurar y administrar el servidor de administración Panorama de próxima
generación
Obtenga experiencia en la configuración de plantillas (incluidas las variables de
plantilla) y grupos de dispositivos
Adquiera experiencia con la administración, la recopilación de registros y el registro y
la generación de informes.
Adquiera experiencia con Panorama High Availability y solución de problemas de
Panorama
Familiarícese con las nuevas funciones de Panorama, como Panorama en la nube
pública, el
Servicio de registro y servicio en la nube GlobalProtect
Objetivos del Curso
Este curso ayudará a los estudiantes a obtener un conocimiento profundo sobre cómo
configurar y administrar
su servidor de administración Panorama de Palo Alto Networks. Al finalizar este curso,
los administradores deben estar familiarizados con el rol del servidor de administración
de Panorama en la administración
Page 258
y asegurando su red general. A los profesionales de la red se les mostrará cómo usar
Panorama
informes agregados para proporcionarles una visión holística de una red de redes de
Palo Alto
NGFWs.
Alcance
Formato del curso: combina conferencias con laboratorios prácticos
Público objetivo
Administradores de seguridad, especialistas en operaciones de seguridad, analistas de
seguridad, ingenieros de seguridad,
y arquitectos de seguridad
Prerrequisitos
Los estudiantes deben completar Firewall 8.1 Essentials: configuración y
administración (EDU-210)
clase y estar familiarizado con la administración de NGFW de Palo Alto Networks y las
redes básicas
conceptos, incluyendo enrutamiento y direccionamiento IP.
Sesiones
Módulo 1: Panorama general
Módulo 2: Configuración inicial
Módulo 3: Agregar firewalls a Panorama
Módulo 4: Alta disponibilidad panorámica
Módulo 5: Plantillas
Módulo 6: Grupos de dispositivos
Módulo 7: Cuentas administrativas
Módulo 8: Reenvío y recopilación de registros
Módulo 9: Monitoreo agregado e informes
Módulo 10: Solución de problemas
Page 259
Firewall 8.1: Solución de problemas (EDU-330)
El Firewall 8.1 de Palo Alto Networks: el curso de resolución de problemas es de tres
días guiados por un instructor
entrenamiento que te ayudará a:
Investigue problemas de red utilizando herramientas de firewall, incluida la CLI
Siga las metodologías comprobadas de solución de problemas específicas de las
características individuales
Analice registros avanzados para resolver varios escenarios de la vida real.
Resuelva desafíos avanzados basados en escenarios
Objetivos del Curso
La finalización exitosa de este curso de tres días dirigido por un instructor mejorará la
participación del participante.
comprensión de cómo solucionar problemas de la línea completa de NGFW de Palo
Alto Networks.
Los participantes tendrán la oportunidad de realizar una solución práctica de problemas
comunes
relacionado con la configuración y el funcionamiento de las funciones del PAN-OS de
Palo Alto Networks
sistema operativo.
La finalización de esta clase ayudará a los participantes a desarrollar un conocimiento
profundo de cómo
Solucionar problemas de visibilidad y control sobre aplicaciones, usuarios y contenido.
Alcance
Nivel del curso: avanzado
Formato del curso: conferencias y laboratorios prácticos
Sistema operativo PAN-OS
Público objetivo
Page 260
Prerrequisitos
Los participantes deben completar Firewall 8.1 Essentials: configuración y
administración (EDU-
210) curso. Los participantes deben tener un conocimiento práctico sólido de
enrutamiento y conmutación, IP
direccionamiento y conceptos de seguridad de red, y al menos seis meses de experiencia
en el trabajo
con firewalls de Palo Alto Networks.
Sesiones
Módulo 1: herramientas y recursos
Módulo 2: CLI Primer
Módulo 3: lógica de flujo
Módulo 4: Capturas de paquetes
Módulo 5: Registros de diagnóstico de paquetes
Módulo 6: Tráfico entrante de host
Módulo 7: Tráfico de tránsito
Módulo 8: Servicios del sistema
Módulo 9: descifrado SSL
Módulo 10: ID de usuario
Módulo 11: GlobalProtect
Módulo 12: Escalamiento y RMA
Trampas 4.2: Instalar, configurar y administrar (EDU-281)
Palo Alto Networks Traps Advanced Endpoint Protection evita la vulnerabilidad
sofisticada
exploits y ataques desconocidos impulsados por malware. Finalización exitosa de estos
dos días,
El curso dirigido por un instructor ayuda a preparar a los estudiantes para instalar
trampas en las instalaciones básicas
configuraciones.
Objetivos del Curso
Los estudiantes deben aprender cómo Traps protege contra exploits y ataques
controlados por malware. En
ejercicios prácticos de laboratorio, los estudiantes instalarán y configurarán Endpoint
Security Manager (ESM)
Página 261
Captura componentes de punto final, crea reglas, habilita y deshabilita protecciones de
procesos, y
integre trampas con Palo Alto Networks WildFire, que proporciona protección contra
conocidos y
malware desconocido
Alcance
Versión de software: Palo Alto Networks Traps Advanced Endpoint Protection ESM
4.2
Público objetivo
Ingenieros de seguridad, administradores de sistemas e ingenieros de soporte técnico
Prerrequisitos
Los estudiantes deben tener habilidades de administración del sistema de Windows y
estar familiarizados con la empresa.
conceptos de seguridad
Sesiones
Módulo 1: Resumen de trampas
Módulo 2: Instalación de trampas
Módulo 3: Descripción general del software malicioso
Módulo 4: Descripción general de las consolas
Módulo 5: Protección de trampas contra exploits
Módulo 6: Protección contra trampas contra malware
Módulo 7: Excepciones de eventos de prevención
Módulo 8: Gestión de trampas
Módulo 9: Capacidades forenses de trampas
Módulo 10: Solución de problemas de trampas básicas
Página 262
Trampas 4.2: Implementar y optimizar (EDU-285)
sofisticada
dos días,
el curso dirigido por un instructor debe preparar al estudiante para desplegar trampas
locales a gran escala o
configuraciones complejas y optimizar su configuración.
Objetivos del Curso
Los estudiantes deben aprender a diseñar, construir, implementar y optimizar trampas a
gran escala
implementaciones: aquellas con múltiples servidores y / o miles de puntos finales. En
laboratorio práctico
ejercicios, los estudiantes distribuirán Traps software de punto final de forma
automatizada, prepararse
imágenes maestras para la implementación de VDI, cree un paquete de instalación de
Traps Linux e instale el
agente en un punto final de Linux, cree implementaciones de múltiples ESM, diseñe e
implemente personalizado
políticas, pruebe trampas con exploits creados con Metasploit y examine los volcados
de prevención con
windbg
Alcance
Versión de software: Palo Alto Networks Traps Advanced Endpoint Protection ESM
4.2
Público objetivo
Ingenieros de seguridad, administradores de sistemas e ingenieros de soporte técnico
Prerrequisitos
Los estudiantes deberían haber completado las trampas 4.2: instalar, configurar y
administrar o (para Palo Alto
Empleados de redes y SE asociados) PSE: capacitación de Endpoint Associate. Sistema
de Windows
También se requieren habilidades de administración y familiaridad con los conceptos de
seguridad empresarial. Un
El nivel elemental de experiencia de shell de Linux solo es necesario para la actividad
de laboratorio de Linux.
Sesiones
Módulo 1: Escalando la Infraestructura del Servidor
Módulo 2: Despliegue del agente de escala
Página 263
Módulo 3: Ajuste de ESM
Módulo 4: Migraciones de Windows para trampas
Módulo 5: Análisis forenses de trampas avanzadas
Módulo 6: Solución de problemas de trampas avanzadas
Trampas: Operaciones de servicio en la nube (EDU-290)
sofisticada
dos días,
curso dirigido por un instructor ayuda a preparar al alumno para configurar el Servicio
de gestión de trampas
e instalar trampas en puntos finales.
Objetivos del Curso
Los estudiantes deben aprender cómo Traps protege contra exploits y ataques
controlados por malware. En
ejercicios prácticos de laboratorio, los estudiantes explorarán y configurarán nuevas
trampas basadas en la nube
Servicio de gestión e instalar componentes de punto final de Traps; construir reglas y
perfiles de políticas;
habilitar y deshabilitar protecciones de procesos; e intente trampas con Palo Alto
Networks WildFire
servicio en la nube, que proporciona prevención y detección de malware de día cero.
Alcance
Formato del curso: combina una conferencia facilitada por un instructor con
laboratorios prácticos
Versión de software: Palo Alto Networks Traps Advanced Endpoint Protection
Público objetivo
Ingenieros de seguridad de punto final, administradores de sistemas e ingenieros de
soporte técnico
Prerrequisitos
Los estudiantes deben estar familiarizados con los conceptos de seguridad empresarial.
Sesiones
Módulo 1: Resumen de trampas
Página 264
Módulo 2: Servicios en la nube
Módulo 3: gestión basada en la nube
Módulo 4: Reglas de políticas y perfiles
Módulo 5: Flujo de protección contra malware
Módulo 6: Explotaciones y técnicas de explotación
Módulo 7: Módulos de protección contra exploits
Módulo 8: Gestión de eventos
Módulo 9: Solución de problemas de trampas básicas
Módulo 10: Arquitectura de trampas
Módulo 11: Servicio de sincronización de directorio
Certificaciones
Ingeniero de configuración acreditado (ACE)
El examen de Ingeniero de configuración acreditado (ACE) evalúa su conocimiento de
las características principales
y funciones de NGFW de Palo Alto Networks, y sirve como una indicación objetiva de
su
capacidad de configurar firewalls de Palo Alto Networks.
Aprobar el examen ACE indica que posee los conocimientos básicos para configurar
con éxito
Cortafuegos de Palo Alto Networks. El examen también sirve como una ayuda de
estudio para prepararse para PCNSE
Certificación.
El examen ACE está basado en la web y consta de 40 a 50 preguntas de opción
múltiple. El examen no es
cronometrado, y puede volver a tomarlo tantas veces como sea necesario para obtener
un puntaje de aprobación.
Para aprobar el examen ACE, necesita conocimiento básico y familiaridad práctica con,
Configuración de PAN-OS. La mejor manera de obtener este conocimiento es tomar
Firewall 8.1 Essentials:
Curso de configuración y gestión. Este material didáctico está disponible tanto en
instructor dirigido
formación y formatos de aprendizaje digital a su propio ritmo.
Ingeniero de seguridad de redes certificado de Palo Alto Networks
(PCNSE)
Un ingeniero de seguridad de redes certificado de Palo Alto Networks (PCNSE) puede
diseñar, implementar,
configurar, mantener y solucionar problemas de la gran mayoría de las redes basadas en
Palo Alto Networks
Page 265
implementaciones de seguridad. Para convertirse en un PCNSE, debe pasar el PCNSE y
exhibir sólidos
comportamiento profesional El examen de certificación formal es hospedado y
supervisado por un tercero.
empresa de pruebas Pearson VUE.
El PCNSE es una certificación formal supervisada por terceros que indica a aquellos
que han aprobado
posee el conocimiento profundo para diseñar, instalar, configurar, mantener y
solucionar problemas
La gran mayoría de las implementaciones se basan en la plataforma Palo Alto
Networks. El examen PCNSE
debe ser tomado por cualquier persona que quiera demostrar una comprensión profunda
de Palo Alto
Tecnologías de redes, incluidos los clientes que usan productos de Palo Alto Networks,
valor agregado
revendedores, ingenieros de sistemas de preventa, integradores de sistemas y personal
de soporte.

Cybersecurity Survival Guide Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cybersecurity Survival Guide Español

Cargado por

Copyright:

Formatos disponibles

Página 1

Lawrence C. Miller, CISSP

También podría gustarte