El problema con los firewall de nueva generación. La respuesta a incidentes

A diferencia del ransomware, que es necesariamente obvio y ruidoso debido a sus demandas financieras, muchas amenazas avanzadas son extremadamente sigilosas. Estas APT (Amenazas Persistentes Avanzadas) están específicamente diseñadas para penetrar silenciosamente en sus objetivos, a menudo explotando las vulnerabilidades del sistema o del dispositivo. Habiéndose afianzado, pueden extenderse a todos los rincones de una red comprometida, silenciosamente extrayendo datos confidenciales o realizando otras tareas maliciosas bajo el radar.
Puede que se sorprenda al saber que, en un momento dado, la mayoría de las organizaciones albergan algunos sistemas comprometidos en su red y, en muchos casos, desconocen la infección. Es un problema omnipresente y extendido: no es de extrañar que el 74% de las infracciones de datos no se descubran durante 6 meses o más.
Las APT sigilosas y las variantes ruidosas de ransomware por lo general intentan diseminarse e infectar la mayor cantidad posible de sistemas con una variedad de técnicas sofisticadas. Entonces, si bien es vital que tenga la protección adecuada  para evitar que los atacantes se establezcan en primer lugar, también es muy importante que pueda identificar claramente un compromiso si se produce y tomar medidas para evitar que se propague.
La comunicación es clave pero, lamentablemente, la mayoría de los sistemas de seguridad de TI no son jugadores de equipo y hacen un trabajo deficiente al identificar amenazas y luego compartir esa información con otros sistemas. Están diseñados para funcionar como soluciones puntuales y son ajenos a las otras partes de sus defensas multicapa. No hay intercambio de inteligencia de amenazas, actividad maliciosa o estado de salud entre los productos de seguridad de TI, y la mayoría de estos productos no ofrecen nada en el sentido de una respuesta automatizada y coordinada.
Puede que esté leyendo eso y pensando que las herramientas SIEM (Información de seguridad y gestión de eventos) son la respuesta (de hecho, puede que incluso tenga una). A pesar de que están diseñados para recopilar y clasificar datos en una sola vista, normalmente no extraen la información esencial y la presentan de una manera que los administradores de la red realmente puedan comprender o actuar. Incluso si ofrecen algo procesable, depende del administrador tomar medidas manuales.
¿No sería bueno si su firewall de nueva generación realmente hable con sus otros productos de seguridad de TI, como sus puntos finales, para identificar instantáneamente los sistemas en riesgo, los compromisos y los ataques, y luego los aisle automáticamente hasta que se limpien?
¡Sí! Por supuesto.
Desafortunadamente, la mayoría de los firewalls hacen que sea casi imposible identificar la presencia de una amenaza en la red, sin importar que realmente se haga algo al respecto.
Revise nuestro nuevo  documento sobre seguridad sincronizada para ver cómo nuestros endpoints de XG Firewall y Sophos ofrecen una solución increíblemente elegante que puede ahorrarle horas de tiempo para remediar incidentes de seguridad y ayudar a detener los ataques en sus pistas.
Creado por
Traducido a español del blog de Sophos

Domotes Mayorista para Colombia de las soluciones de seguridad de Sophos. 

Comentarios