Preguntas frecuentes sobre la Primera Línea de Defensa.
Transcripción
Preguntas frecuentes sobre la Primera Línea de Defensa.
Preguntas frecuentes sobre la Primera Línea de Defensa. 1. ¿Qué es un ataque de denegación de servicio distribuida (DDoS)? 2. 3. ¿Por qué mi cortafuegos no detiene todos los ataques DDoS y demás tráfico no deseado en el perímetro de la red? ¿Por qué la protección ante ataques DDoS de mi cortafuegos no me protege contra todos estos ataques? 4. Tengo un cortafuegos instalado en mi perímetro. ¿Para qué necesito entonces la Primera Línea de Defensa de Corero? 5. Ya dispongo de un servicio de protección contra los ataques DDoS ofrecido por mi Operador o dispongo de un servicio en la nube. ¿Para qué necesito una defensa local? 6. 7. ¿Por qué ya no funcionan las estrategias basadas en firmas? ¿Por qué mi IPS actual no detiene estos ataques combinados que pueden contener desde DDoS hasta exploits especialmente elaborados? 8. ¿Qué cubre exactamente la Primera Línea de Defensa de Corero que no cubre ya mi cortafuegos? 9. ¿En qué se diferencia la solución de Primera Línea de Defensa de Corero de otras soluciones locales contra ataques DDoS? 10. ¿Tengo que cambiar mi red actual y la configuración de seguridad si instalo la solución de Primera Línea de Defensa de Corero? 11. Afirman que Corero está posicionado como un dispositivo en línea de conexión en red de alto rendimiento. ¿Cómo pueden demostrar que su solución se mantiene disponible durante un ataque masivo? 12. ¿Puedo actualizar la capacidad de mi dispositivo a una capacidad superior a través de una actualización de licencia? 13. ¿Cuáles son las ventajas principales de la Primera Línea de Defensa de Corero? 14. ¿Qué es ReputationWatch™? 15. ¿Qué es SecureWatch® PLUS? 16. ¿Qué otros servicios ofrece Corero? 1. ¿Qué es un ataque de denegación de servicio distribuida (DDoS)? Un ataque de denegación de servicio distribuido (DDoS) se produce cuando una gran cantidad de sistemas saturan el ancho de banda u otros recursos de un sistema blanco de un ataque, de modo que lo sobrecargan y provocan su caída o un grave deterioro del servicio. Los ataques DDoS provocan costosas caídas de red a las organizaciones que dependen de Internet para hacer negocios. Los ataques DDoS tradicionales utilizan un gran volumen de paquetes para inundar la red. Hoy en día los ataques DDoS utilizan técnicas nuevas contra las que no protegen las tecnologías de seguridad tradicionales (incluidos los cortafuegos). Los ataques de inundación de red siguen siendo una realidad, pero cada vez se producen más ataques en la capa de aplicación, que son muy difíciles de detectar y mitigar, ya que parecen legítimos y no consumen demasiados recursos en términos de ancho de banda o de proceso / memoria en los sistemas. Los ataques DDoS en la capa de aplicación no solo envían paquetes de red, sino que realmente pueden establecer conexiones TCP completas entre el atacante y el servidor de la víctima. Una vez establecida la conexión TCP, los ordenadores atacantes realizan peticiones repetidamente a la aplicación, lo que consume sus recursos 1 Preguntas frecuentes progresivamente hasta agotarlos por completo, y hace que la aplicación no pueda responder a las peticiones de los usuarios legítimos. 2. ¿Por qué mi cortafuegos no detiene todos los ataques DDoS y demás tráfico no deseado en el perímetro de la red? Los ciberataques cometidos por delincuentes, terroristas o ciberactivistas han alcanzado tal nivel de complejidad contra la que no puede luchar la tecnología de cortafuegos. Los cortafuegos de estado (stateful) no están diseñados para hacer frente a ataques de gran volumen y no disponen de las adecuadas funciones de defensa contra ataques DDoS L3-L7. El cortafuegos restringe qué servicios pueden utilizarse pero no cómo se utilizan. Los atacantes lo saben y planifican un uso incorrecto de los servicios permitidos, con lo que se pone en peligro el funcionamiento de los cortafuegos o de su rendimiento, así como las aplicaciones derivadas. La Primera Línea de Defensa de Corero detiene los ataques DDoS y los ataques combinados, las técnicas de evasión avanzadas, los ataques especialmente elaborados y otras intrusiones en el perímetro de la red antes de que afecten negativamente a la infraestructura, al tiempo que complementan los dispositivos de seguridad existentes, incluidos los cortafuegos. 3. ¿Por qué la protección ante ataques DDoS de mi cortafuegos no me protege contra todos estos ataques? Los cortafuegos que afirman tener una defensa contra ataques DDoS incorporada suelen incluir solamente un método para bloquear los ataques: el uso de umbrales indiscriminados. Cuando se alcanza el umbral límite, todas las aplicaciones y todos los usuarios que emplean ese puerto se bloquean, con lo que se produce una interrupción del servicio. Los atacantes saben que esta es una manera efectiva de bloquear a los usuarios legítimos además de los atacantes. Dado que la disponibilidad de la red y de la aplicación resulta afectada, se logra la meta final de denegar el servicio. 4. Tengo un cortafuegos instalado en mi perímetro. ¿Para qué necesito entonces la Primera Línea de Defensa de Corero? Los delincuentes cibernéticos están cambiando de táctica para burlar las defensas de los perímetros tradicionales de las empresas, que suelen incluir dispositivos antivirus, cortafuegos y sistemas de prevención de intrusiones. La Primera Línea de Defensa de Corero discrimina de manera dinámica y continua entre el uso de clientes legítimos y la actividad maliciosa, y con la eliminación del tráfico de ataque permite que circule con normalidad el tráfico de clientes legítimos. El enfoque de la Primera Línea de Defensa de Corero consiste en instalar un dispositivo de red en línea delante de los cortafuegos existentes para mitigar los ataques y el ruido de red que deterioran o deshabilitan la infraestructura de TI y otras soluciones de seguridad instaladas en la red interna, antes de que esos ataques afecten la red de la empresa. 2 Preguntas frecuentes 5. Ya dispongo de un servicio de protección contra los ataques DDoS ofrecido por mi Operador o dispongo de un servicio en la nube. ¿Para qué necesito una defensa local? La amplitud de ataques DDoS va desde los ataques de gran volumen, que saturan las conexiones de Internet, a los ataques más comunes hoy en día: los ataques DDoS en la capa de aplicación del tipo low and slow que bloquean los servicios web y las aplicaciones críticas. Las soluciones basadas en la nube solo combaten una muestra pequeña de vectores de ataque DDoS, mientras que los servicios de ISP basados en enrutamiento por BGP hacia blackholes dirigen el ataque hacia rutas nulas o lo fuerzan a circular a través de un centro de limpieza, lo que suele provocar el bloqueo de usuarios legítimos junto con el tráfico de atacantes. Los ataques de gran volumen se bloquean con facilidad en la nube, debido a la naturaleza del ataque, pero los ataques low and slow suelen pasar inadvertidos. Para detectar ataques DDoS low and slow en la capa de aplicación y ataques basados en paquetes especialmente elaborados, se necesita una extensa Inspección profunda de paquetes (DPI), característica que no incluyen los servicios contra ataques DDoS basados en la nube. Como solución instalada en el Datacenter, la Primera Línea de Defensa de Corero monitoriza tanto el tráfico que viene desde Internet (clientes) como las respuestas de los servidores, ofreciendo la capacidad de detectar comportamientos anómalos o maliciosos. Corero combina la protección total contra ataques DDoS L3-L7 y la Inspección profunda de paquetes (DPI), en el perímetro de la red, de forma que detiene estos nuevos ataques maliciosos a los servidores y servicios antes de que puedan afectar a su infraestructura. 6. ¿Por qué ya no funcionan las estrategias basadas en firmas? Las estrategias basadas en firmas detectan amenazas conocidas. Utilizan técnicas de coincidencia de patrones parecidas a los productos antivirus pero no tienen capacidad para bloquear los ataques para los que no tienen firma, y los atacantes lo saben. Basta con que manipule unos cuantos caracteres de las cabeceras o de carga (payload), para que un ataque pueda pasar fácilmente desapercibido de una tecnología basada en firmas y poner en peligro los servicios de red. La Primera Línea de Defensa de Corero utiliza ambas técnicas de análisis de comportamiento y de protocolo, así como la coincidencia de firmas, para protegerse contra ataques desconocidos antes de que puedan afectar a las redes. 7. ¿Por qué mi IPS actual no detiene estos ataques combinados que pueden contener desde DDoS hasta exploits especialmente elaborados? Los dispositivos IPS (Sistema de Prevención de Intrusiones) actuales no proporcionan capacidad de protección L3L7 de red y de aplicación frente a los ataques DDoS y demás tráfico no deseado. Un dispositivo IPS sometido a un ataque DDoS sufrirá un grave deterioro con un procesado masivo de Inspección profunda de paquetes (DPI) o sencillamente pasará a modo bypass o Layer 2, lo que permitirá que los ataques pongan en peligro los recursos de la red o las aplicaciones. Actualmente asistimos a ataques DDoS de gran volumen que funden los dispositivos IPS del perímetro, al tiempo que los ataques DDoS low and slow circulan a través de ellos y pasan completamente inadvertidos. La Primera Línea de Defensa de Corero es un dispositivo de red en línea especialmente diseñado que bloquea ataques DDoS L3-L7 y ataques de servidores avanzados en el perímetro de la red. 3 Preguntas frecuentes 8. ¿Qué protege exactamente la Primera Línea de Defensa de Corero que no protege mi cortafuegos? Con respecto a los ataques DDoS, así como a otros vectores de ataque, la seguridad por capas es imprescindible, empezando con una Primera Línea de Defensa que detiene los últimos ataques DDoS más agresivos y demás tráfico no deseado o malicioso, de modo que la infraestructura de TI existente funcione con el fin previsto. Corero utiliza una amplia gama de técnicas que ahondan cada vez con más profundidad en los paquetes entrantes para comprender de dónde procede el tráfico, qué comportamientos muestra, si incumple estándares de protocolos y qué carga (payload) transporta. Una inspección exhaustiva elimina el tráfico no deseado antes de que afecte a cualquier parte de la infraestructura de TI, lo que permite un funcionamiento normal de ella incluso bajo ataque masivo. La solución de Corero incluye las siguientes funciones para ofrecer unas capas de protección que un cortafuegos no puede proporcionar: • Restringir el acceso - Controla quién entra y quién no. Existen direcciones IP conocidas como maliciosas, fuentes cuestionables y atacantes desconocidos que suponen una amenaza. Por tanto, el primer paso del proceso de inspección de Corero consiste en bloquear el tráfico procedente de fuentes conocidas como maliciosas y después examinar exhaustivamente el resto del tráfico, teniendo en cuenta su reputación, su localización geográfica y las posibles amenazas. La solución de Corero emplea actualizaciones de • reputación en tiempo real, información actualizada sobre localización geográfica y la detección de amenazas en tiempo real para evaluar la legitimidad del tráfico entrante. Limitar la tasa - La entrada en una red de una tasa de tráfico anormal suele ser un indicador claro de un ataque. Por ejemplo, puede haber usuarios generando demasiadas peticiones o conexiones abiertas. La • solución de Corero limita la tasa de tráfico de entrada. Validación de protocolos - Si el tráfico ha pasado los dos pasos anteriores, la siguiente medida es analizar si se ajusta al comportamiento deseado. Entre los ejemplos de comportamientos no adecuados, se encuentra el de los usuarios que incumplen el protocolo y las normas de utilización de la aplicación o las políticas de uso de las empresas, además del tráfico saliente cuestionable que no respeta las políticas ni las normas. La solución de Corero utiliza varias técnicas para evaluar el tráfico en esta etapa de modo que se • detenga el tráfico de ataques basado en malformación de protocolo. Prevención de intrusiones - Habitualmente, los problemas de seguridad conocidos son ataques específicamente dirigidos contra la infraestructura de servidores. Entre ellos, el tráfico que contiene desbordamientos de búfer, inyecciones y ataques de contraseña por fuerza bruta. El tráfico de ataque también puede contener malware aleatorio y exploits en su carga (payload) y, aunque no están dirigidas necesariamente a la infraestructura del servidor, estas vulnerabilidades existen y los clientes deben de protegerse. Por otra parte, las técnicas de evasión avanzadas, como la fragmentación y la segmentación, puede utilizarse para ocultar ataques. La solución de Corero proporciona una amplia gama de técnicas de • defensa contra los ataques a las aplicaciones. Ampliar la visibilidad - Los ciberataques son cada vez más avanzados y frecuentes. Los atacantes utilizan métodos cada vez más sofisticados para sacar provecho de las vulnerabilidades de la red y evitar ser detectados. Para combatir el fuego con fuego, los expertos en seguridad necesitan tener una mayor visión de lo que ocurre en su perímetro de red. Necesitan poder contestar a preguntas como ¿quiénes son los atacantes?, ¿a quién van dirigidos sus ataques?, ¿de qué modo atacan?, ¿dónde están mis vulnerabilidades?, ¿cómo puedo proteger mejor mi red contra amenazas futuras? La solución de Corero incorpora un enfoque polifacético para ampliar la visibilidad. 4 Preguntas frecuentes 9. ¿En qué se diferencia la solución de Primera Línea de Defensa de Corero de otras soluciones locales contra ataques DDoS? La mayor parte de los productos independientes contra ataques DDoS protegen únicamente contra dichos ataques y poco más. Corero ha introducido en el mercado un sistema de defensa más completo que no protege simplemente contra los ataques DDoS, sino contra todas las formas de tráfico no deseado en el perímetro, diferenciando entre tráfico bueno y legítimo y usuarios maliciosos. La Primera Línea de Defensa de Corero bloquea: • Direcciones IP maliciosas conocidas, • Accesos geográficos no deseados, permitiendo la aplicación de políticas distintas según el origen geográfico • • Atacantes basados en volumen (inundación), Atacantes que permanecen bajo el radar (Low-and-Slow), • • Tráfico saliente cuestionable, Malformación / violaciones de protocolos y aplicaciones, • • Ataques de día cero, Sobrecargas (overflow), inyecciones y atacantes de fuerza bruta, • Exploits, malware y otros ataques, • Evasiones avanzadas y amenazas combinadas. 10. ¿Tengo que cambiar mi red actual y la configuración de seguridad si instalo la solución de Primera Línea de Defensa de Corero? La Primera Línea de Defensa de Corero es una tecnología completamente transparente, Layer 2, bump-in-wire y de fácil incorporación a cualquier infraestructura de red. El dispositivo no tiene direcciones MAC ni IP en sus interfaces de filtrado y admite la gestión fuera de banda. No son necesarios cambios de configuración de seguridad ni de red cuando se despliega en sentido ascendente al cortafuegos, dispositivo IPS, cortafuegos de aplicaciones web (WAF), balanceadores de carga o cualquier otra tecnología de red. La Primera Línea de Defensa de Corero funciona a modo de filtro previo para todos los dispositivos derivados, evitando los ataques DDoS y el tráfico no deseado de la red, al tiempo que protege la infraestructura y elimina el tiempo de inactividad y las caídas de servicio. 11. Afirman que Corero está posicionado como un dispositivo en línea de conexión en red de alto rendimiento. ¿Cómo pueden demostrar que su solución se mantiene disponible durante un ataque masivo? La Primera Línea de Defensa de Corero es un dispositivo diseñado con un fin concreto sin medios móviles, ni sistemas de refrigeración de procesador, ni sistemas operativos disponibles comercialmente o de código abierto. Dispone de alimentación redundante, con montajes de ventiladores N+1 y un tiempo de vida media entre fallos (MTBF) de más de 20 años. La solución ofrece modelos de bypass internos, tanto hardware como software y pasan al modo de bypass en el caso de que se produzca cualquier fallo de software o hardware, al tiempo que informará a los operadores de cualquier problema. La Primera Línea de Defensa es sólida, fiable y sumamente rápida. 5 Preguntas frecuentes Gracias a unos algoritmos patentados, un hardware bien diseñado y un software sumamente eficiente, la solución permanece activa con una latencia sumamente baja (de 35 a 50 Microsegundos) incluso cuando el sistema funciona al 100%. 12. ¿Puedo actualizar la capacidad de mi dispositivo a una superior a través de una actualización de licencia? La solución de Primera Línea de Defensa de Corero puede actualizarse para obtener una capacidad superior simplemente con una clave de actualización de licencia. La clave de licencia nueva se introduce en la interfaz gráfica de usuario de gestión del dispositivo y, con un simple reinicio, la unidad funciona a una capacidad superior, lo que permite que la solución crezca como el ancho de banda del cliente y se adapte al aumento de requisitos. 13. ¿Cuáles son las ventajas principales de la Primera Línea de Defensa de Corero? La Primera Línea de Defensa de Corero proporciona varias ventajas empresariales clave: • Protege su red, de manera que los usuarios legítimos y sus comunicaciones circulen sin demora incluso cuando se está produciendo un ataque, • • Garantiza la continuidad y la disponibilidad del negocio, Asegura la inversión de su organización en su infraestructura de TI y le permite funcionar del modo previsto, • Con ReputationWatch™, proporciona una defensa automática en tiempo real contra fuentes de ataques conocidas. 14. ¿Qué es ReputationWatch™? ReputationWatch™ identifica en tiempo real direcciones IP maliciosas conocidas y bloquea el acceso a direcciones IP “malas” con el objetivo de frenar de forma dinámica los ataques DDoS. El entorno de amenazas de Internet está en un estado constante de evolución. Las direcciones IP pueden pasar de ser malas a buenas en cuestión de minutos y al contrario. ReputationWatch responde de forma dinámica a las últimas informaciones y bloquea las direcciones maliciosas automáticamente, por lo que la Primera Línea de Defensa de Corero ofrece siempre protección contra las amenazas más recientes. La capacidad de localización geográfica de ReputationWatch permite a las organizaciones limitar o incluso excluir el tráfico de otros países con los que apenas hacen negocios o con los que no hacen ningún tipo de negocio, o países relacionados con un número elevado de ataques. 15. ¿Qué es SecureWatch® PLUS? SecureWatch PLUS es un conjunto completo de aplicaciones de optimización de configuración, control y servicios de respuesta para la defensa contra ataques DDoS, adaptado para cumplir con los requisitos de la política de seguridad y los objetivos empresariales de cada usuario de la Primera Línea de Defensa de Corero. Con SecureWatch PLUS, los clientes disponen de los servicios de expertos de defensa contra ataques DDoS, entre los que figuran la puesta en marcha de la solución en el entorno específico de la organización, una monitorización las 24 horas del día y una respuesta inmediata y eficaz en caso de ataque. 6 Preguntas frecuentes 16. ¿Qué otros servicios de asistencia ofrece Corero? Corero ofrece una gran variedad de servicios de asistencia para complementar la Primera Línea de Defensa: • SecureWatch es un “servicio de mantenimiento ligero”. Está disponible para los clientes de Corero que deseen asistencia relacionada con el mantenimiento y el funcionamiento óptimo y actualizado de la tecnología. • • El Servicio de asistencia al cliente de Corero también está disponible para los clientes las 24 horas del día, los 7 días de la semana, para ayudarles con todos sus problemas relacionados con el software o hardware. El Servicio de actualización de amenazas (Threat Update Service) de Corero ofrece actualizaciones diarias • en todo momento y disfruten de la máxima protección. Corero propone servicios de instalación llave en mano opcionales, que se adquieren en paquetes de dos • días (8 horas al día). Corero ofrece servicios periódicos de optimización de seguridad que pueden adquirirse en paquetes de un y semanales de seguridad a los clientes de Corero, lo que garantiza que sus sistemas estén actualizados día (8 horas). Acerca de Corero Network Security Corero Network Security (CNS: LN), la Primera Línea de Defensa de las organizaciones, es una compañía internacional de seguridad, líder en soluciones de Denegación de Servicio Distribuida (DDoS), y de Sistemas de Protección de Intrusiones de Próxima Generación (NGIPS). Como Primera Línea de Defensa, los productos y servicios de Corero bloquean los ataques DDoS, protegen las infraestructuras TI y eliminan el tiempo de caída de los servicios. Entre sus clientes, se incluyen empresas, proveedores de servicios y organizaciones gubernamentales de todo el mundo. Las soluciones de Corero basadas en hardware dedicado son dinámicas y responden automáticamente ante los ataques cibernéticos – conocidos y desconocidos – permitiendo a las infraestructura de TI como por ejemplo los cortafuegos realizar las funciones para las que están previstas. Los productos de Corero son transparentes a la infraestructura, altamente escalables y cuentan con la latencia más baja y el grado más elevado de confiabilidad en la industria. Corero tiene su sede en Massachusetts, EE.UU, con equipos de ventas y servicios de soporte por todo el mundo. www.corero.com Sede Corporativa Sede en EMEA España / Latam 1 Cabot Road Hudson, MA 01749 Tel: +1.978.212.1500 www.corero.com 68 King William Street London, England EC4N 7DZ Tel: +44 (0) 207.959.2496 C/ Ribera del Loira, 46 28042 Madrid España Tel: +34 915.030.659 Copyright 2013 Corero Network Security Todos los derechos reservados. 867-5309-001 7