Preguntas frecuentes sobre la Primera Línea de Defensa.

Preguntas frecuentes sobre la Primera Línea de Defensa.

Preguntas frecuentes sobre la Primera Línea de Defensa.
1.
¿Qué es un ataque de denegación de servicio distribuida (DDoS)?
2.
3.
¿Por qué mi cortafuegos no detiene todos los ataques DDoS y demás tráfico no deseado en el perímetro de la red?
¿Por qué la protección ante ataques DDoS de mi cortafuegos no me protege contra todos estos ataques?
4.
Tengo un cortafuegos instalado en mi perímetro. ¿Para qué necesito entonces la Primera Línea de Defensa
de Corero?
5.
Ya dispongo de un servicio de protección contra los ataques DDoS ofrecido por mi Operador o dispongo de
un servicio en la nube. ¿Para qué necesito una defensa local?
6.
7.
¿Por qué ya no funcionan las estrategias basadas en firmas?
¿Por qué mi IPS actual no detiene estos ataques combinados que pueden contener desde DDoS hasta
exploits especialmente elaborados?
8.
¿Qué cubre exactamente la Primera Línea de Defensa de Corero que no cubre ya mi cortafuegos?
9.
¿En qué se diferencia la solución de Primera Línea de Defensa de Corero de otras soluciones locales contra
ataques DDoS?
10. ¿Tengo que cambiar mi red actual y la configuración de seguridad si instalo la solución de Primera Línea de
Defensa de Corero?
11. Afirman que Corero está posicionado como un dispositivo en línea de conexión en red de alto rendimiento.
¿Cómo pueden demostrar que su solución se mantiene disponible durante un ataque masivo?
12. ¿Puedo actualizar la capacidad de mi dispositivo a una capacidad superior a través de una actualización de
licencia?
13. ¿Cuáles son las ventajas principales de la Primera Línea de Defensa de Corero?
14. ¿Qué es ReputationWatch™?
15. ¿Qué es SecureWatch® PLUS?
16. ¿Qué otros servicios ofrece Corero?
1. ¿Qué es un ataque de denegación de servicio distribuida (DDoS)?
Un ataque de denegación de servicio distribuido (DDoS) se produce cuando una gran cantidad de sistemas saturan
el ancho de banda u otros recursos de un sistema blanco de un ataque, de modo que lo sobrecargan y provocan su
caída o un grave deterioro del servicio. Los ataques DDoS provocan costosas caídas de red a las organizaciones
que dependen de Internet para hacer negocios.
Los ataques DDoS tradicionales utilizan un gran volumen de paquetes para inundar la red. Hoy en día los ataques
DDoS utilizan técnicas nuevas contra las que no protegen las tecnologías de seguridad tradicionales (incluidos los
cortafuegos). Los ataques de inundación de red siguen siendo una realidad, pero cada vez se producen más
ataques en la capa de aplicación, que son muy difíciles de detectar y mitigar, ya que parecen legítimos y no
consumen demasiados recursos en términos de ancho de banda o de proceso / memoria en los sistemas.
Los ataques DDoS en la capa de aplicación no solo envían paquetes de red, sino que realmente pueden establecer
conexiones TCP completas entre el atacante y el servidor de la víctima. Una vez establecida la conexión TCP, los
ordenadores atacantes realizan peticiones repetidamente a la aplicación, lo que consume sus recursos
1
Preguntas frecuentes
progresivamente hasta agotarlos por completo, y hace que la aplicación no pueda responder a las peticiones de los
usuarios legítimos.
2. ¿Por qué mi cortafuegos no detiene todos los ataques DDoS y demás tráfico no deseado
en el perímetro de la red?
Los ciberataques cometidos por delincuentes, terroristas o ciberactivistas han alcanzado tal nivel de complejidad
contra la que no puede luchar la tecnología de cortafuegos. Los cortafuegos de estado (stateful) no están diseñados
para hacer frente a ataques de gran volumen y no disponen de las adecuadas funciones de defensa contra ataques
DDoS L3-L7. El cortafuegos restringe qué servicios pueden utilizarse pero no cómo se utilizan. Los atacantes lo
saben y planifican un uso incorrecto de los servicios permitidos, con lo que se pone en peligro el funcionamiento de
los cortafuegos o de su rendimiento, así como las aplicaciones derivadas.
La Primera Línea de Defensa de Corero detiene los ataques DDoS y los ataques combinados, las técnicas de
evasión avanzadas, los ataques especialmente elaborados y otras intrusiones en el perímetro de la red antes de que
afecten negativamente a la infraestructura, al tiempo que complementan los dispositivos de seguridad existentes,
incluidos los cortafuegos.
3. ¿Por qué la protección ante ataques DDoS de mi cortafuegos no me protege contra todos
estos ataques?
Los cortafuegos que afirman tener una defensa contra ataques DDoS incorporada suelen incluir solamente un
método para bloquear los ataques: el uso de umbrales indiscriminados. Cuando se alcanza el umbral límite, todas
las aplicaciones y todos los usuarios que emplean ese puerto se bloquean, con lo que se produce una interrupción
del servicio. Los atacantes saben que esta es una manera efectiva de bloquear a los usuarios legítimos además de
los atacantes. Dado que la disponibilidad de la red y de la aplicación resulta afectada, se logra la meta final de
denegar el servicio.
4. Tengo un cortafuegos instalado en mi perímetro. ¿Para qué necesito entonces la Primera
Línea de Defensa de Corero?
Los delincuentes cibernéticos están cambiando de táctica para burlar las defensas de los perímetros tradicionales de
las empresas, que suelen incluir dispositivos antivirus, cortafuegos y sistemas de prevención de intrusiones. La
Primera Línea de Defensa de Corero discrimina de manera dinámica y continua entre el uso de clientes legítimos y
la actividad maliciosa, y con la eliminación del tráfico de ataque permite que circule con normalidad el tráfico de
clientes legítimos. El enfoque de la Primera Línea de Defensa de Corero consiste en instalar un dispositivo de red en
línea delante de los cortafuegos existentes para mitigar los ataques y el ruido de red que deterioran o deshabilitan la
infraestructura de TI y otras soluciones de seguridad instaladas en la red interna, antes de que esos ataques afecten
la red de la empresa.
2
Preguntas frecuentes
5. Ya dispongo de un servicio de protección contra los ataques DDoS ofrecido por mi
Operador o dispongo de un servicio en la nube. ¿Para qué necesito una defensa local?
La amplitud de ataques DDoS va desde los ataques de gran volumen, que saturan las conexiones de Internet, a los
ataques más comunes hoy en día: los ataques DDoS en la capa de aplicación del tipo low and slow que bloquean
los servicios web y las aplicaciones críticas. Las soluciones basadas en la nube solo combaten una muestra
pequeña de vectores de ataque DDoS, mientras que los servicios de ISP basados en enrutamiento por BGP hacia
blackholes dirigen el ataque hacia rutas nulas o lo fuerzan a circular a través de un centro de limpieza, lo que suele
provocar el bloqueo de usuarios legítimos junto con el tráfico de atacantes. Los ataques de gran volumen se
bloquean con facilidad en la nube, debido a la naturaleza del ataque, pero los ataques low and slow suelen pasar
inadvertidos. Para detectar ataques DDoS low and slow en la capa de aplicación y ataques basados en paquetes
especialmente elaborados, se necesita una extensa Inspección profunda de paquetes (DPI), característica que no
incluyen los servicios contra ataques DDoS basados en la nube. Como solución instalada en el Datacenter, la
Primera Línea de Defensa de Corero monitoriza tanto el tráfico que viene desde Internet (clientes) como las
respuestas de los servidores, ofreciendo la capacidad de detectar comportamientos anómalos o maliciosos. Corero
combina la protección total contra ataques DDoS L3-L7 y la Inspección profunda de paquetes (DPI), en el perímetro
de la red, de forma que detiene estos nuevos ataques maliciosos a los servidores y servicios antes de que puedan
afectar a su infraestructura.
6. ¿Por qué ya no funcionan las estrategias basadas en firmas?
Las estrategias basadas en firmas detectan amenazas conocidas. Utilizan técnicas de coincidencia de patrones
parecidas a los productos antivirus pero no tienen capacidad para bloquear los ataques para los que no tienen firma,
y los atacantes lo saben. Basta con que manipule unos cuantos caracteres de las cabeceras o de carga (payload),
para que un ataque pueda pasar fácilmente desapercibido de una tecnología basada en firmas y poner en peligro los
servicios de red. La Primera Línea de Defensa de Corero utiliza ambas técnicas de análisis de comportamiento y de
protocolo, así como la coincidencia de firmas, para protegerse contra ataques desconocidos antes de que puedan
afectar a las redes.
7. ¿Por qué mi IPS actual no detiene estos ataques combinados que pueden contener desde
DDoS hasta exploits especialmente elaborados?
Los dispositivos IPS (Sistema de Prevención de Intrusiones) actuales no proporcionan capacidad de protección L3L7 de red y de aplicación frente a los ataques DDoS y demás tráfico no deseado. Un dispositivo IPS sometido a un
ataque DDoS sufrirá un grave deterioro con un procesado masivo de Inspección profunda de paquetes (DPI) o
sencillamente pasará a modo bypass o Layer 2, lo que permitirá que los ataques pongan en peligro los recursos de
la red o las aplicaciones. Actualmente asistimos a ataques DDoS de gran volumen que funden los dispositivos IPS
del perímetro, al tiempo que los ataques DDoS low and slow circulan a través de ellos y pasan completamente
inadvertidos. La Primera Línea de Defensa de Corero es un dispositivo de red en línea especialmente diseñado que
bloquea ataques DDoS L3-L7 y ataques de servidores avanzados en el perímetro de la red.
3
Preguntas frecuentes
8. ¿Qué protege exactamente la Primera Línea de Defensa de Corero que no protege mi
cortafuegos?
Con respecto a los ataques DDoS, así como a otros vectores de ataque, la seguridad por capas es imprescindible,
empezando con una Primera Línea de Defensa que detiene los últimos ataques DDoS más agresivos y demás
tráfico no deseado o malicioso, de modo que la infraestructura de TI existente funcione con el fin previsto. Corero
utiliza una amplia gama de técnicas que ahondan cada vez con más profundidad en los paquetes entrantes para
comprender de dónde procede el tráfico, qué comportamientos muestra, si incumple estándares de protocolos y qué
carga (payload) transporta. Una inspección exhaustiva elimina el tráfico no deseado antes de que afecte a cualquier
parte de la infraestructura de TI, lo que permite un funcionamiento normal de ella incluso bajo ataque masivo.
La solución de Corero incluye las siguientes funciones para ofrecer unas capas de protección que un cortafuegos no
puede proporcionar:
•
Restringir el acceso - Controla quién entra y quién no. Existen direcciones IP conocidas como maliciosas,
fuentes cuestionables y atacantes desconocidos que suponen una amenaza. Por tanto, el primer paso del
proceso de inspección de Corero consiste en bloquear el tráfico procedente de fuentes conocidas como
maliciosas y después examinar exhaustivamente el resto del tráfico, teniendo en cuenta su reputación, su
localización geográfica y las posibles amenazas. La solución de Corero emplea actualizaciones de
•
reputación en tiempo real, información actualizada sobre localización geográfica y la detección de
amenazas en tiempo real para evaluar la legitimidad del tráfico entrante.
Limitar la tasa - La entrada en una red de una tasa de tráfico anormal suele ser un indicador claro de un
ataque. Por ejemplo, puede haber usuarios generando demasiadas peticiones o conexiones abiertas. La
•
solución de Corero limita la tasa de tráfico de entrada.
Validación de protocolos - Si el tráfico ha pasado los dos pasos anteriores, la siguiente medida es
analizar si se ajusta al comportamiento deseado. Entre los ejemplos de comportamientos no adecuados, se
encuentra el de los usuarios que incumplen el protocolo y las normas de utilización de la aplicación o las
políticas de uso de las empresas, además del tráfico saliente cuestionable que no respeta las políticas ni las
normas. La solución de Corero utiliza varias técnicas para evaluar el tráfico en esta etapa de modo que se
•
detenga el tráfico de ataques basado en malformación de protocolo.
Prevención de intrusiones - Habitualmente, los problemas de seguridad conocidos son ataques
específicamente dirigidos contra la infraestructura de servidores. Entre ellos, el tráfico que contiene
desbordamientos de búfer, inyecciones y ataques de contraseña por fuerza bruta. El tráfico de ataque
también puede contener malware aleatorio y exploits en su carga (payload) y, aunque no están dirigidas
necesariamente a la infraestructura del servidor, estas vulnerabilidades existen y los clientes deben de
protegerse. Por otra parte, las técnicas de evasión avanzadas, como la fragmentación y la segmentación,
puede utilizarse para ocultar ataques. La solución de Corero proporciona una amplia gama de técnicas de
•
defensa contra los ataques a las aplicaciones.
Ampliar la visibilidad - Los ciberataques son cada vez más avanzados y frecuentes. Los atacantes utilizan
métodos cada vez más sofisticados para sacar provecho de las vulnerabilidades de la red y evitar ser
detectados. Para combatir el fuego con fuego, los expertos en seguridad necesitan tener una mayor visión
de lo que ocurre en su perímetro de red. Necesitan poder contestar a preguntas como ¿quiénes son los
atacantes?, ¿a quién van dirigidos sus ataques?, ¿de qué modo atacan?, ¿dónde están mis
vulnerabilidades?, ¿cómo puedo proteger mejor mi red contra amenazas futuras? La solución de Corero
incorpora un enfoque polifacético para ampliar la visibilidad.
4
Preguntas frecuentes
9. ¿En qué se diferencia la solución de Primera Línea de Defensa de Corero de otras
soluciones locales contra ataques DDoS?
La mayor parte de los productos independientes contra ataques DDoS protegen únicamente contra dichos ataques y
poco más. Corero ha introducido en el mercado un sistema de defensa más completo que no protege simplemente
contra los ataques DDoS, sino contra todas las formas de tráfico no deseado en el perímetro, diferenciando entre
tráfico bueno y legítimo y usuarios maliciosos.
La Primera Línea de Defensa de Corero bloquea:
•
Direcciones IP maliciosas conocidas,
•
Accesos geográficos no deseados, permitiendo la aplicación de políticas distintas según el origen
geográfico
•
•
Atacantes basados en volumen (inundación),
Atacantes que permanecen bajo el radar (Low-and-Slow),
•
•
Tráfico saliente cuestionable,
Malformación / violaciones de protocolos y aplicaciones,
•
•
Ataques de día cero,
Sobrecargas (overflow), inyecciones y atacantes de fuerza bruta,
•
Exploits, malware y otros ataques,
•
Evasiones avanzadas y amenazas combinadas.
10. ¿Tengo que cambiar mi red actual y la configuración de seguridad si instalo la solución
de Primera Línea de Defensa de Corero?
La Primera Línea de Defensa de Corero es una tecnología completamente transparente, Layer 2, bump-in-wire y de
fácil incorporación a cualquier infraestructura de red. El dispositivo no tiene direcciones MAC ni IP en sus interfaces
de filtrado y admite la gestión fuera de banda. No son necesarios cambios de configuración de seguridad ni de red
cuando se despliega en sentido ascendente al cortafuegos, dispositivo IPS, cortafuegos de aplicaciones web (WAF),
balanceadores de carga o cualquier otra tecnología de red. La Primera Línea de Defensa de Corero funciona a modo
de filtro previo para todos los dispositivos derivados, evitando los ataques DDoS y el tráfico no deseado de la red, al
tiempo que protege la infraestructura y elimina el tiempo de inactividad y las caídas de servicio.
11. Afirman que Corero está posicionado como un dispositivo en línea de conexión en red de
alto rendimiento. ¿Cómo pueden demostrar que su solución se mantiene disponible durante
un ataque masivo?
La Primera Línea de Defensa de Corero es un dispositivo diseñado con un fin concreto sin medios móviles, ni
sistemas de refrigeración de procesador, ni sistemas operativos disponibles comercialmente o de código abierto.
Dispone de alimentación redundante, con montajes de ventiladores N+1 y un tiempo de vida media entre fallos
(MTBF) de más de 20 años. La solución ofrece modelos de bypass internos, tanto hardware como software y pasan
al modo de bypass en el caso de que se produzca cualquier fallo de software o hardware, al tiempo que informará a
los operadores de cualquier problema. La Primera Línea de Defensa es sólida, fiable y sumamente rápida.
5
Preguntas frecuentes
Gracias a unos algoritmos patentados, un hardware bien diseñado y un software sumamente eficiente, la solución
permanece activa con una latencia sumamente baja (de 35 a 50 Microsegundos) incluso cuando el sistema funciona
al 100%.
12. ¿Puedo actualizar la capacidad de mi dispositivo a una superior a través de una
actualización de licencia?
La solución de Primera Línea de Defensa de Corero puede actualizarse para obtener una capacidad superior
simplemente con una clave de actualización de licencia. La clave de licencia nueva se introduce en la interfaz gráfica
de usuario de gestión del dispositivo y, con un simple reinicio, la unidad funciona a una capacidad superior, lo que
permite que la solución crezca como el ancho de banda del cliente y se adapte al aumento de requisitos.
13. ¿Cuáles son las ventajas principales de la Primera Línea de Defensa de Corero?
La Primera Línea de Defensa de Corero proporciona varias ventajas empresariales clave:
•
Protege su red, de manera que los usuarios legítimos y sus comunicaciones circulen sin demora incluso
cuando se está produciendo un ataque,
•
•
Garantiza la continuidad y la disponibilidad del negocio,
Asegura la inversión de su organización en su infraestructura de TI y le permite funcionar del modo previsto,
•
Con ReputationWatch™, proporciona una defensa automática en tiempo real contra fuentes de ataques
conocidas.
14. ¿Qué es ReputationWatch™?
ReputationWatch™ identifica en tiempo real direcciones IP maliciosas conocidas y bloquea el acceso a direcciones
IP “malas” con el objetivo de frenar de forma dinámica los ataques DDoS. El entorno de amenazas de Internet está
en un estado constante de evolución. Las direcciones IP pueden pasar de ser malas a buenas en cuestión de
minutos y al contrario. ReputationWatch responde de forma dinámica a las últimas informaciones y bloquea las
direcciones maliciosas automáticamente, por lo que la Primera Línea de Defensa de Corero ofrece siempre
protección contra las amenazas más recientes.
La capacidad de localización geográfica de ReputationWatch permite a las organizaciones limitar o incluso excluir el
tráfico de otros países con los que apenas hacen negocios o con los que no hacen ningún tipo de negocio, o países
relacionados con un número elevado de ataques.
15. ¿Qué es SecureWatch® PLUS?
SecureWatch PLUS es un conjunto completo de aplicaciones de optimización de configuración, control y servicios de
respuesta para la defensa contra ataques DDoS, adaptado para cumplir con los requisitos de la política de seguridad
y los objetivos empresariales de cada usuario de la Primera Línea de Defensa de Corero. Con SecureWatch PLUS,
los clientes disponen de los servicios de expertos de defensa contra ataques DDoS, entre los que figuran la puesta
en marcha de la solución en el entorno específico de la organización, una monitorización las 24 horas del día y una
respuesta inmediata y eficaz en caso de ataque.
6
Preguntas frecuentes
16. ¿Qué otros servicios de asistencia ofrece Corero?
Corero ofrece una gran variedad de servicios de asistencia para complementar la Primera Línea de Defensa:
•
SecureWatch es un “servicio de mantenimiento ligero”. Está disponible para los clientes de Corero que
deseen asistencia relacionada con el mantenimiento y el funcionamiento óptimo y actualizado de la
tecnología.
•
•
El Servicio de asistencia al cliente de Corero también está disponible para los clientes las 24 horas del día,
los 7 días de la semana, para ayudarles con todos sus problemas relacionados con el software o hardware.
El Servicio de actualización de amenazas (Threat Update Service) de Corero ofrece actualizaciones diarias
•
en todo momento y disfruten de la máxima protección.
Corero propone servicios de instalación llave en mano opcionales, que se adquieren en paquetes de dos
•
días (8 horas al día).
Corero ofrece servicios periódicos de optimización de seguridad que pueden adquirirse en paquetes de un
y semanales de seguridad a los clientes de Corero, lo que garantiza que sus sistemas estén actualizados
día (8 horas).
Acerca de Corero Network Security
Corero Network Security (CNS: LN), la Primera Línea de Defensa de las organizaciones, es una compañía
internacional de seguridad, líder en soluciones de Denegación de Servicio Distribuida (DDoS), y de Sistemas de
Protección de Intrusiones de Próxima Generación (NGIPS). Como Primera Línea de Defensa, los productos y
servicios de Corero bloquean los ataques DDoS, protegen las infraestructuras TI y eliminan el tiempo de caída de los
servicios. Entre sus clientes, se incluyen empresas, proveedores de servicios y organizaciones gubernamentales de
todo el mundo. Las soluciones de Corero basadas en hardware dedicado son dinámicas y responden
automáticamente ante los ataques cibernéticos – conocidos y desconocidos – permitiendo a las infraestructura de TI
como por ejemplo los cortafuegos realizar las funciones para las que están previstas. Los productos de Corero son
transparentes a la infraestructura, altamente escalables y cuentan con la latencia más baja y el grado más elevado
de confiabilidad en la industria. Corero tiene su sede en Massachusetts, EE.UU, con equipos de ventas y servicios
de soporte por todo el mundo. www.corero.com
Sede Corporativa
Sede en EMEA
España / Latam
1 Cabot Road
Hudson, MA 01749
Tel: +1.978.212.1500
www.corero.com
68 King William Street
London, England
EC4N 7DZ
Tel: +44 (0) 207.959.2496
C/ Ribera del Loira, 46
28042 Madrid
España
Tel: +34 915.030.659
Copyright 2013 Corero Network Security
Todos los derechos reservados. 867-5309-001
7