Contenido
Security Operations

Ampliación de la confianza cero al endpoint

Contenido

 

Confianza cero en la red - Una melodía familiar

La confianza cero es un modelo de seguridad de la arquitectura de red cada vez más aceptado y celebrado. La frase "nunca confíes, siempre verifica" suena familiar para aquellos que se centran en la seguridad de las redes. La confianza cero se centra en el principio de que una organización no debe confiar en nada que se encuentre dentro o fuera de su perímetro y que todo lo que intente conectarse a la red debe ser verificado antes de conceder el acceso.

Lograr una Arquitectura de Confianza Cero requiere una segmentación de la red y una aplicación granular basada en el usuario, los datos y la ubicación. Todo el tráfico debe registrarse e inspeccionarse en varios puntos de inspección que identifican y permiten el tráfico en función de las normas establecidas. Esto mantiene el acceso de privilegios mínimos

y un estricto control de acceso que le proporciona la visibilidad de la red y el contexto necesarios para limitar los movimientos laterales e identificar los ataques desde dentro de su red.

A medida que las tecnologías de seguridad han ido avanzando, el volumen de datos que hay que proteger ha crecido enormemente. Los datos se mueven con los endpoints en el mundo altamente móvil de hoy en día, lo que convierte a los endpoints en objetivos atractivos para los cy- berataques. En consecuencia, la política de seguridad debe moverse con los usuarios y los datos y no debe estar atada a una ubicación concreta. Con el acceso a los datos y las aplicaciones desde dispositivos de todo el mundo, la confianza cero y su enfoque basado en la prevención deben expandirse más allá de su red y llegar a los endpoints.

 

Get the XDR for Dummies Guide

 

Confianza cero en el endpoint - Una historia de "confianza cero" holística

Los productos de seguridad para endpoints protegen y recopilan datos sobre la actividad que se produce en los endpoints, mientras que los productos de seguridad de la red hacen lo mismo con las redes. Para combatir eficazmente las amenazas avanzadas, ambos deben trabajar juntos. Un enfoque de plataforma integrada que combine la seguridad de endpoint y de red es la única forma de lograr una protección holística e implementar el modelo de Confianza Cero en toda su arquitectura de seguridad. Este enfoque debe formar parte de todo lo que hacemos para que la prevención se produzca allí donde se produzca el tráfico, allí donde vivan los datos.

 

Deben cumplirse cuatro criterios para extender la Confianza Cero al endpoint:

1. Proteja los endpoints con varias capas de seguridad

Las medidas de seguridad tradicionales fracasan si un atacante encuentra la forma de burlar el eslabón más débil, por ejemplo, distribuyendo malware o explotando las vulnerabilidades de las aplicaciones. Resulta más eficaz agrupar las protecciones de la red y de los endpoints de forma que, si un atacante consigue eludir una medida, se enfrente a otra, lo que dificultará progresivamente su éxito.

La función de la seguridad de la red es impedir que el mayor número posible de ataques -ya sean malware, ataques de phishing o exploits- lleguen a un endpoint a través de la red. Si un ataque llega al endpoint a través de una unidad USB u otro medio ajeno a la red, el tráfico está cifrado o el usuario está oThine o fuera de la red, la función de la seguridad de la red es neutralizar la capacidad del atacante para causar daños.

La combinación de estas disciplinas para una Arquitectura de Confianza Cero hace que la integración entre endpoint y la seguridad de la red sea aún más eficaz.

 

2. Integración con la seguridad de la red

La extensión de la Confianza Cero al endpoint entrelaza la seguridad del endpoint con la seguridad de la red para lograr una arquitectura de seguridad única e integral. La información obtenida en el endpoint debe introducirse en el firewall y viceversa. Deben establecerse políticas en el firewall tales que, si el endpoint experimenta un evento, dicho endpoint pueda ponerse en cuarentena hasta que pueda ser escaneado y limpiado por completo.

Además, la ingesta de datos de usuarios y de tráfico de los firewalls en una herramienta de administración de la seguridad de la red proporciona un contexto sobre lo que está ocurriendo en toda la red. Esto le permite escribir una política de seguridad que refleje adecuadamente dicha actividad y que se aplique en el endpoint.

El modelo de Confianza Cero también incluye asociar la seguridad del endpoint con la seguridad de la red privada virtual, o VPN, para que la política global se mueva con el usuario y el endpoint. Para garantizar que los endpoints estén siempre protegidos, las funciones de la VPN deben ser transparentes para los usuarios y no requerir ninguna intervención manual para iniciar sesión o conectarse. Cuando la seguridad de los endpoints y las VPN trabajan conjuntamente, los endpoints están protegidos independientemente de su ubicación, impidiendo que el tráfico malicioso llegue a la VPN y al firewall. Para mejorar aún más esta integración, las VPN colocadas en un firewall de nueva generación extienden la aplicación de políticas al túnel. Si el tráfico está cifrado y entra en la red a través de un endpoint comprometido, la política sigue aplicándose.

La visibilidad granular que ofrece la integración de la seguridad de la red y de los endpoints debe aumentarse con la automatización para una toma de decisiones multivariable, rápida, informada y precisa. Esta integración también debe ser fluida y ligera para que no afecte negativamente al usuario.

 

3. Administración de múltiples tipos de endpoints

Todas las organizaciones tienen múltiples tipos de endpoints que deben ser administrados, como servidores, estaciones de trabajo, computadores de sobremesa, portátiles, tabletas y dispositivos móviles. Para reforzar la postura de seguridad e implementar la Confianza Cero, la protección de endpoints debe integrarse con un firewall para que la política de seguridad siga a los endpoints, estén donde estén. La autenticación multifactor, o MFA, debería aplicarse en un firewall de nueva generación por motivos de escalabilidad y para alejar la línea de exposición de las aplicaciones críticas. Esta integración no debe afectar negativamente al rendimiento del sistema, de modo que los usuarios no noten que la seguridad se ejecuta en segundo plano y potencialmente intenten eliminar o cerrar las herramientas de seguridad.

 

4. Control de acceso de capa 2-7

Cuando implemente la Confianza Cero en toda su arquitectura de seguridad, asegúrese de que el tráfico está siendo inspeccionado en busca de comportamientos maliciosos tanto cuando entra como cuando sale del endpoint. Es habitual que los endpoints evalúen el tráfico en busca de amenazas potenciales cuando entra en la red. Es menos habitual que el tráfico se evalúe a medida que abandona la red, bajo el supuesto de que el usuario y su actividad son válidos. Sin embargo, si un usuario se ve comprometido, un atacante podría estar exfiltrando datos o propiedad intelectual del endpoint o utilizando el dispositivo comprometido para otras actividades nefastas.

Para evitar que los datos o la propiedad intelectual salgan de su red, necesita visibilidad de la actividad en el endpoint, habilitada mediante la integración con un firewall de nueva generación. Basándose en la política establecida en el firewall, si el tráfico de un usuario o de una aplicación queda fuera del ámbito de la política de seguridad definida, el firewall puede intervenir y detener la actividad sospechosa. Esta política debe aplicar las normas de prevención de amenazas, el filtrado de URL y las funciones de sandboxing de malware dentro del túnel VPN cifrado.

El Firewall de nueva generación también debe tener capacidades de descifrado SSL para descifrar tráfico cifrado y obtener la visibilidad necesaria para determinar si el tráfico es malicioso o no. Si se identifica tráfico malicioso, la integración entre el firewall y el endpoint debería permitir al firewall bloquear cualquier tráfico de comando y control y aislar el endpoint de su red.

Enfoque de Palo Alto Networks

La cartera de Palo Alto Networks proporciona las herramientas, tecnologías y productos que necesita para convertir su estrategia de confianza cero en una implementación práctica.

Un componente clave de la cartera de Palo Alto Networks es Cortex XDR, la primera plataforma de detección y respuesta ampliada (XDR) del sector. El agente Cortex XDR utiliza múltiples métodos de protección en las fases críticas del ciclo de vida de los ataques para prevenir el malware conocido y desconocido, los exploits y el ransomware, así como las amenazas de día cero. Cortex XDR realiza análisis locales para identificar archivos maliciosos y benignos basándose en la clasificación de las propiedades de los archivos y en veredictos previamente conocidos.

Además del análisis local, Cortex XDR se integra con el servicio de análisis de amenazas basado en la nube WildFire®. Por sí solo, WildFire realiza análisis dinámicos y estáticos, aprendizaje automático y análisis bare metal para identificar incluso las amenazas más evasivas. Como parte de la plataforma, WildFire permite que Cortex XDR y los firewalls de nueva generación se conviertan en sensores y puntos de aplicación para su red y endpoints.

Los firewalls de nueva generación de Palo Alto Networks inspeccionan todo el tráfico, incluidas aplicaciones, amenazas y contenido -incluso si está cifrado- y vinculan ese tráfico al usuario. La visibilidad y los datos resultantes ayudan a que la política de seguridad se ajuste a las necesidades e iniciativas únicas de su organización. Al igual que Cortex XDR, el firewall de nueva generación funciona con WildFire para proteger frente a amenazas conocidas y desconocidas. Cuando WildFire identifica una nueva amenaza en cualquier lugar, crea y difunde automáticamente protecciones actualizadas en toda la plataforma y a otros miembros de la comunidad WildFire para respaldar una infraestructura de seguridad coordinada. Estas actualizaciones incluyen amenazas recientemente identificadas por Cortex XDR para una protección más completa y eficaz en toda la arquitectura.

Vinculando las políticas de su red a sus endpoints está GlobalProtect seguridad de la red para endpoints, que extiende su política de seguridad a redes remotas y usuarios móviles. GlobalProtect inspecciona el tráfico mediante firewalls de nueva generación para una visibilidad total de todo el tráfico de la red, aplicaciones, puertos y protocolos. Esta visibilidad permite la aplicación sin fisuras de la política de seguridad en los endpoints, independientemente de dónde se encuentre el usuario. GlobalProtect proporciona información del usuario para potenciar la tecnología User-ID y se integra con las protecciones MFA en el firewall para evitar que los atacantes se desplacen lateralmente utilizando credenciales robadas..

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas