Alerta urgente sobre el malware Ransomware

Escrito por Omar Armas el . Posteado en Seguridad, servicios administrados

alerta-ransomware

Alerta urgente sobre el malware Ransomware

El equipo de seguridad en MPSnet ha detectado en México un incremento alarmante en los intentos de ataque a usuarios finales del malware llamado ransomware en las últimas semanas. Le suplicamos se tome el tiempo de leer este mensaje para, en caso de que no lo haya hecho, alerte a sus usuarios y esté mejor protegido.
La información que le proporcionaremos puede salvarle días de productividad y probablemente dinero.

1. Ransomware

¿Que es ransomware?

Ransomware es un tipo de malware(software malicioso) que bloquea el acceso a los archivos del usuario hasta que se paga un rescate (ransom), esto es, una cantidad de dinero a quien generó el ataque. El ransomware normalmente bloquea el acceso a los archivos encriptándolos. La información puede ser desencriptada con una clave que es proporcionada una vez se haya pagado el rescate.

¿Cómo se infecta una computadora o red de ransomware?

La técnica más común es por medio de un archivo adjunto enviado por correo o bajando algún archivo de un sitio de dudosa procedencia. El mensaje aparenta ser legítimo y anima al usuario a abrir el adjunto, el cual dispara la infección. Una vez que el equipo ha sido infectado, el malware puede propagarse en la red local e infectar otras computadoras y carpetas.

diagrama-ransomware

2. ¿Como evito que mi computadora se infecte con ramsomware?

Siga esta guía para evitar la infección de malware:

a) Nunca abra un mensaje o adjunto a menos que verifique que viene de una persona o fuente confiable. Tenga cuidado, ya que un correo puede ser falso. Por ejemplo, un mensaje tal vez aparente venir de su banco, de algún fabricante, del gobierno, etc. No abra mensajes (y menos un adjuntos) que no esté esperando o vengan de alguien desconocido. Si tiene duda, consulte a nuestra área técnica.

b) Puede pasar el mouse sobre la liga (sin hacer click) y validar el URL que le es enviado. Verifique si realmente tiene una dirección web válida. Por ejemplo, es común ver sitios falsos con el nombre wwwbanamex.com en vez de www.banamex.com (falta un punto). También existen mensajes que solicitan u ofrecen un pago pendiente para liberar algún pedido, bajo ninguna circunstancia se recomienda abrir esos mensajes a menos que provenga de alguien que reconozca plenamente y este esperando lo contacte.

c) No dude en contactar al remitente por teléfono o correo para confirmar si realmente le envió un mensaje válido.

d) Si usted ha abierto un adjunto de dudosa procedencia, DETENGASE inmediatamente, no haga click en ningún lado. Apague el equipo y pongase en contacto con su área de soporte técnico o compañia antivirus.

3. Medidas proactivas y mitigación

Ningún sistema de seguridad es infalible, lo que se recomienda es habilitar el mayor número de capas de seguridad. Los siguientes puntos pueden ayudarle a progeterse mejor:

Respaldos: Es esencial que todos sus archivos estén respaldados correctamente. En caso de que el malware encripte sus archivos, estos podrán ser restaurados del respaldo, evitando así la necesidad de pagar para recuperar su información. Dado que un respaldo local también es vulnerable al ransomware, se recomienda tener una copia del respaldo en la nube para agregar una capa de seguridad.

AntiSPAM: Se recomienda tener un servicio antiSPAM profesional. Aunque no elimina al 100% del riesgo, lo puede disminuir hasta un 99% (todo el tiempo los atacantes crean nuevas versiones, alguna de ultimo momento podría pasar en lo que se actualiza la base de datos del sistema).

Antivirus: Contar con un antivirus profesional(no gratuito) y de preferencia usar Windows 10, ya que este sistema incluye un antivirus por default.

Avisar a sus usuarios: Notificar por correo a todos sus usuarios sobre este riesgo para que tomen las precauciones debidas. Para esto se adjunta en el Anexo I una plantilla que puede utilizar para el aviso.

Si es cliente de MPSnet y no cuenta con alguno de estos servicios, puede contactar a su ejecutivo o escribirnos a atencion.clientes@mpsnet.net.mx para canalizarlo.

 

Anexo I. Template de aviso a usuarios:

AVISO IMPORTANTE

Estimado usuario, le informamos que se ha propagado un nuevo tipo de virus llamado ransomware, el cual tiene la capacidad de bloquear el acceso a sus documentos y sólo los libera si se paga un rescate por ellos. Este virus se propaga por correo y páginas web de dudosa procedencia. Para estar mejor protegido, le recomendamos seguir los siguientes pasos:

1.- Nunca abra un mensaje o adjunto a menos que verifique que viene de una persona o fuente confiable. Tenga cuidado, ya que un correo puede ser falso. Por ejemplo, un mensaje tal vez aparente venir de su banco, de algún fabricante, del gobierno, etc. No abra un mensajes (y menos adjuntos) que no esté esperando o vengan de alguien desconocido. Si tiene duda, consulte al  área técnica.

2.- No hacer click en ligas que provengan de cadenas de correo o de redes sociales. Normalmente ofrecen algún beneficio gratuito(música, iconos, etc.) o visualizar videos de impacto, pero son falsos y ofrecen al final instalar algún archivo para recibir los beneficios lo cual activa el virus.

3.- Puede pasar el mouse sobre la liga (sin hacer click) y validar el URL que le es enviado. Verifique si realmente tiene una dirección web válida. Por ejemplo, es común ver sitios falsos con el nombre wwwbanamex.com en vez de www.banamex.com (falta un punto). También existen mensajes que solicitan u ofrecen un pago pendiente para liberar algún pedido, bajo ninguna circunstancia se recomienda abrir esos mensajes a menos que provenga de alguien que reconozca plenamente y este esperando lo contacte.

4.- No dude en contactar al remitente por teléfono o correo para confirmar si realmente le envió un mensaje válido.

5.- Si usted ha abierto un adjunto de dudosa procedencia, DETENGASE inmediatamente, no haga click en ningún lado. Apague el equipo y póngase en contacto con el área de sistemas o soporte técnico.

 

Las tres bases de la protección avanzada contra robo de datos

Escrito por Ricardo Alemán el . Posteado en datos, Seguridad, servicios administrados

La protección de la información sensible de las empresas contra ataques y amenazas provenientes de la red se ha vuelto más compleja, de esta necesidad ha surgido el concepto de protección contra la pérdida de datos (DLP en inglés). Durante décadas los sistemas de seguridad han creado barreras que limitan el contacto de los equipos con exterior, para impedir que los contactos peligrosos tengan acceso a la información de la empresa. Sin embargo, la forma en que las empresas utilizan la red se ha transformado y las nuevas aplicaciones, a la vez que ofrecen una mayor productividad a las empresas, plantean retos de seguridad para los cuales los antiguos “muros” no están preparados: las organizaciones necesitan un nuevo enfoque en sus medidas de protección.

¿Cómo es la red actual?

Las aplicaciones que utilizan internet tienen entre sus prioridades garantizar para sí un flujo ágil y continuo; por eso, desde los programas que permiten a una empresa mantener actualizados los inventarios de decenas de bodegas hasta los videojuegos, los desarrolladores dotan a sus herramientas de mecanismos que permitan evitar cualquier barrera, incluidas las que están destinadas a proteger a las computadoras y a las redes organizacionales de intrusiones indeseadas. Entre las tácticas empleadas, éstas son las más comunes:

  • “Hopping” de puertos: La aplicación cambia de puertos y protocolos de manera aleatoria durante una sesión.
  • Uso de puertos distintos de los asignados de manera estándar.
  • Túnel o “tunneling”: La aplicación encapsula sus protocolos con otros protocolos que sí son aceptados por la red receptora.
  • Ocultamiento del tráfico de la aplicación mediante el encriptado de SSL.

Mediante estas técnicas las aplicaciones consiguen mantener su flujo de información sin que sufra el firewall tradicional, la barrera que debe impedir accesos no autorizados a los equipos o a las redes de las empresas. En su origen, estas defensas identificaban a qué aplicación pertenecía cada paquete antes de permitir su acceso a la red interna, de modo que era posible rechazar los de aplicaciones no deseadas. Como esta intervención también puede entorpecer el tráfico de las aplicaciones, una gran parte de éstas emplea las técnicas mencionadas para evadir el examen; ya en 2010, un reporte señalaba que el 65% de las aplicaciones empleaba alguna de estas técnicas; la edición de 2014 del mismo estudio mostró que 34% de las aplicaciones utilizan encriptado SSL.

Por supuesto, estas técnicas de evasión también son utilizadas por programas maliciosos.

La defensa hoy: los tres pilares

Un evento de pérdida de información puede dañar severamente la economía de una empresa, además de que puede perjudicar permanentemente su reputación y afectar su operatividad por periodos considerables. Como se ha visto, en la protección contra la fuga de datos no es posible “aislar” la red de la empresa, la protección de la información requiere un enfoque más amplio, en el que intervengan la tecnología, los procesos de la empresa y las personas que intervienen en ellos.

Para empezar, las organizaciones deben mantener los elementos básicos de protección de sus redes, pero dentro de los estándares actuales de la tecnología; un firewall next generation, por ejemplo, además de efectuar una inspección profunda sobre los paquetes que acceden a la red, permite establecer políticas de acceso basadas en las jerarquías y las necesidades de los usuarios. Por otra parte, los dispositivos más avanzados contribuyen a la prevención contra el robo de datos mediante el monitoreo inteligente de la actividad de la red. Las técnicas evasivas pueden enmascarar las actividades de un intruso de modo que sean leídas por los sistemas de defensa como parte del intercambio de las aplicaciones permitidas. Mediante el análisis especializado es posible detectar comportamientos anómalos, por ejemplo, cuando el transgresor ya ha instalado malware dentro de la red y lo utiliza para extraer información sensible. Cuando esta información es procesada adecuadamente, es posible identificar canales que han sido alterados por el transgresor para extraer a través de ellos, “de caballito”, información crítica.

Por otra parte, las empresas requieren revisar los procesos en los que manejan información sensible; es decir, deben identificar las actividades que elevan riesgos y modificarlas o eliminarlas para constituir modelos de operación seguros. Es posible, también, considerar opciones como el manejo de una nube privada para la información relevante, con medidas especiales de acceso, tanto físico como informático y de procedimientos. También es posible implementar candados de seguridad: una “marca de agua” en la lista de precios, por ejemplo, evitará que ésta sea enviada a un competidor sin que dicho movimiento sea detectado, reportado y bloqueado.

Finalmente, el tercer pilar de la protección de la información corresponde a las personas que trabajan con ella: un manejo seguro de los datos requiere una revisión a conciencia del historial laboral de los colaboradores que están en contacto con ellos y una actualización constante sobre los grados de riesgo que cada persona puede generar.

¿Cómo empezar?

Estas preguntas permitirán a tu organización una primera valoración ante el robo de información:

  • ¿Has identificado cuál es la información delicada de tu empresa?
  • ¿Cuentas con una estimación de los daños que produciría una fuga de datos en tu organización?
  • ¿Qué tipo de barrera utilizas? ¿Cuentas con un firewall next generation?
  • ¿Has evaluado el grado de riesgo correspondiente al personal que opera la información crítica?
  • ¿Monitoreas el comportamiento de tu red? ¿Te es posible identificar flujos anómalos?

Pérdida de datos en tu empresa: 4 pasos

Escrito por Ricardo Alemán el . Posteado en datos, Respaldo, Seguridad, servicios administrados

1. Los datos que no quieres perder
Números de cuenta, registros fiscales, ¡contraseñas!, información personal de directivos. Éstos son ejemplos clásicos de información que las empresas buscan resguardar, datos cuya dispersión podría ocasionar pérdidas económicas considerables e inmediatas. Por otra parte, el entorno tecnológico se ha vuelto más complejo y existen nuevas formas en que una compañía puede resultar afectada por el robo de información.
Los datos de tus clientes —información bancaria, de contacto o de las operaciones cotidianas— son otro botín buscado por la ciberdelincuencia. En algunos casos, números de tarjetas de crédito, por ejemplo, resulta evidente el propósito del infractor; en otros, el criminal busca comercializar la información o definir nuevos objetivos de ciberataques. Las repercusiones para la empresa trasgredida pueden ser igual de graves ante las reclamaciones sus clientes, proveedores o socios.
Sería maravilloso que siempre pudieras resguardar esta información valiosa en un servidor aislado sin apenas contacto con internet, equipado sólo con aplicaciones de seguridad garantizada y con un registro detallado de los empleados que acceden a ella. Sin embargo, las empresas demandan operaciones cada vez más complejas, en las que intervienen diversos equipos de la red interna y de otras redes, aplicaciones de proveedores externos (como las que reciben pagos de tarjetas de crédito) y dispositivos móviles, entre otros agentes variados. Proteger la información en este entorno incierto es el reto que enfrentan las organizaciones del presente.
2. ¿Quién amenaza la información?
La ciberdelincuencia tiene muchas formas. Los virus con su potencial destructivo siguen siendo una amenaza importante que siempre deberás considerar en tu empresa; sin embargo, el peligro más grande son los delincuentes más sofisticados, quienes han desarrollado herramientas que evaden las barreras con que las empresas suelen resguardar su información relevante. A veces su objetivo es un robo directo: identifican descuidos en el manejo de información bancaria y con ésta realizan operaciones fraudulentas o robos de identidad, una práctica muy común en México; otras veces tienen fines de largo plazo, como mantener abierta la fuga de información de manera indefinida. En la actualidad, la información misma (nombres, edades, grados de escolaridad, direcciones, fechas de compra) es una prenda atractiva que permite la integración de big data, bases de datos inteligentes que revelan hábitos de consumo y que permiten orientar estrategias de márketing o de desarrollo. Muchos delincuentes despreciarán el riesgo que implica robar la información bancaria de tu compañía o de tus clientes y conseguirán también beneficios importantes si, mediante el uso de software malicioso (malware), convierten tu red en una mina silenciosa de datos personales sin despertar ninguna alarma.
3. La pérdida de datos hoy

  • Mientras en 2011 se reportaron en México 4 564 casos de robo de identidad, en 2015 se reportaron 28 258 casos, ¡seis veces más!
  • Entre abril y septiembre de 2014, una intrusión permitió extraer información de las tarjetas de crédito de 56 millones de clientes de Home Depot.
  • En diciembre de 2015 Hyatt detectó una intrusión que permitió que se insertara en su sistema malware diseñado para robar información de las tarjetas de crédito de sus clientes.
  • Entre febrero y marzo de 2014, los datos de 145 millones de usuarios de Ebay quedaron expuestos cuando un ataque permitió a los delincuentes obtener los datos de acceso de empleados de la empresa y copiar la información.
  • El 20 de julio de 2015 la base de datos de la página de citas ashleymadison.com, especializada en encuentros extramaritales sufrió una intrusión y los perpetradores publicaron un mes después información personal de 32 millones de usuarios: datos de tarjetas de crédito, nombres, teléfonos, contraseñas y direcciones.

4. Tu empresa ante la pérdida de datos
La red contemporánea ofrece opciones de conectividad e interacción sumamente atractivas para tu empresa; dejar pasar estas oportunidades dejaría a cualquier negocio en franca desventaja frente a sus competidores. Al mismo tiempo, estos canales abiertos también son las rutas que los cibercriminales modernos exploran constantemente en busca de beneficiarse a costa de las empresas.
Esto no quiere decir que las medidas básicas de resguardo resulten obsoletas: tu información estará más segura si utilizas software contra virus e intrusiones actualizado y adecuado para el tamaño y el tipo de tu red; además, tus empleados deben observar prácticas seguras en sus operaciones informáticas. Sin embargo, ésta es sólo la primera línea de defensa, en la siguiente publicación de este blog se abordarán las técnicas avanzadas de prevención de pérdida de datos (o DLP, por sus siglas en inglés), en ella conocerás los mecanismos que podrán llevar la protección de tu entorno tecnológico al máximo.

Los aparatos de los empleados en la empresa: 8 recomendaciones

Escrito por Ricardo Alemán el . Posteado en Seguridad

Durante la temporada decembrina muchas personas adquieren nuevos dispositivos de cómputo: laptops, teléfonos celulares y tabletas. Estos aparatos recibirán muchos usos personales, desde juegos hasta comunicaciones familiares, compras y reproducción de videos o música. Esto no impedirá que, en muchos casos, su uso principal se dé en el lugar de trabajo.

byod

Llévalo al trabajo

Hay una tendencia creciente entre las empresas a permitir a sus empleados el uso de los dispositivos personales para sus funciones habituales. Esta práctica permite a la gente personalizar su entorno de trabajo e integrar a su vida cotidiana sus gustos y las marcas de su preferencia. Donde ya se ha implementado esta política (conocida como bring your own device, BYOD), la diversidad se expresa inmediatamente: a las tabletas, los teléfonos y las laptops se suman los aparatos híbridos y los convertibles; algunos modelos muy sencillos, otros, a la vez poderosos y portátiles, algunas personas buscan cambiar cada año, mientras otras no encuentran problema para trabajar con equipos de más de una década de uso.

¿Cómo afecta a la empresa?

Esta situación presenta ángulos muy diversos: ayudas para la adquisición de dispositivos, la integración del dispositivo particular a la red de la empresa, etcétera. Uno de los aspectos más complejos es el del riesgo que esta invasión de dispositivos representa para los datos de la organización. La seguridad siempre es más complicada en un entorno diverso, y en las empresas que utilizan BYOD se pueden presentar estas situaciones:

  • Marina es una vendedora eficaz que se siente muy cómoda con su Blackberry desde hace casi diez años, a través de ella responde correos al momento y mantiene actualizado su plan diario de trabajo. Ahora la empresa le pide que cambie su dispositivo a uno que sí pueda soportar el software de seguridad de la empresa.
  • Samuel es un contador que usa su laptop casi únicamente para cuestiones de trabajo. Así como casi únicamente utiliza las aplicaciones relacionadas con sus balances y reportes, jamás se ha planteado la posibilidad de instalar un antivirus. Y ese equipo se mantiene conectado hasta diez horas diarias al servidor de la empresa.
  • Arturo, que trabaja en de área de producción, utiliza poco su computadora. Sin embargo, se ve obligado a llevarla consigo mientras recorre las plantas para revisar esquemas, para dar seguimiento a avances y para mantener actualizada su correspondencia. Por eso no adquirió un equipo nuevo ni lujoso, prefirió tomar la laptop que había usado su hijo, en la que éste instalaba juegos y descargaba música y películas. Arturo no sabe con certeza si las descargas de su hijo eran seguras ni qué juegos instaló.

¿Qué hacer?

La primera pieza en el rompecabezas que representa la seguridad en un entorno BYOD tiene que ver con el sistema de seguridad informática de la empresa. Ésta requiere un firewall capaz de establecer políticas diferenciadas para los distintos usuarios, de modo que detecte los equipos móviles y asigne jerarquías de acceso en función de la confiabilidad de la conexión, de las funciones del propietario y de las garantías de seguridad del dispositivo. También se puede generar otra política adicional para los accesos remotos.

Por supuesto, una directiva corporativa BYOD necesariamente debe tener como soporte lineamientos que los empleados cumplan con cabalidad; la empresa no sólo debe establecer reglas claras, sino también recabar información actualizada sobre el inventario BYOD de sus empleados y abrir líneas de comunicación que den efectividad a las normas: no servirá de nada un reglamento BYOD estricto si vuelve tan complicadas las operaciones que los empleados rutinariamente lo eluden mediante atajos. El trabajo de comunicación interna también es importante para para que los empleados asuman activamente las prácticas de seguridad que deberán implementar en sus propios equipos; en algunas empresas, los empleados han preferido aceptar la instalación de aplicaciones de monitoreo en vez de ingresar contraseñas de seis u ocho caracteres para cada operación.

Igualmente, reglas como las que determinan cuáles son los puntos de acceso permitidos para los dispositivos BYOD y las acciones que debe seguir un usuario tras la pérdida de un aparato sólo pueden funcionar con la colaboración consciente y motivada del personal.

Reglas básicas para una empresa BYOD

Esta navidad puede llevar nuevos integrantes a la red de tu empresa; para que ésta esté preparada, puedes implementar una directiva BYOD basada en las siguientes recomendaciones (algunas elaboradas por el Security for Business Innovation Council):

  1. Pregunta a tu proveedor de servicios de seguridad los mecanismos que te ofrece para proteger un entorno BYOD.
  2. Asegúrate de que los usuarios se responsabilicen de respaldar sus datos personales.
  3. Clarifica las líneas de responsabilidad respecto del mantenimiento, el soporte y los costos de los dispositivos.
  4. Los empleados deberán eliminar aplicaciones de sus aparatos cuando tu organización lo requiera.
  5. Corta el acceso a la red de los aparatos en los que se instale una aplicación no autorizada.
  6. Impide el acceso a la red a los aparatos en los que se hayan modificado el sistema operativo o las aplicaciones de seguridad.
  7. Deja bien claras las consecuencias de cualquier violación a las reglas BYOD.
  8. Verifica las funciones de protección y monitoreo que tu firewall ofrece para los dispositivos de tus empleados.

Next generation: mucho más que el antiguo firewall

Escrito por Ricardo Alemán el . Posteado en Seguridad, servicios administrados

La barrera
El cortafuegos, en inglés firewall, es un componente fundamental del cómputo corporativo, indispensable para la seguridad de las redes empresariales; la primera defensa que impide el acceso de virus y otros peligros de internet. El origen de esta palabra se refiere a una barrera que impedía que los incendios se extendieran entre las parcelas en el campo o entre los edificios en las ciudades. Del mismo modo, el firewall es una barrera que mantiene la red interna a salvo de las amenazas que circulan fuera de esta defensa.
Los equipos de la empresa están sometidos a inspecciones y controles rutinarios, de modo que las operaciones pueden realizarse en un entorno seguro y confiable. En cambio, Internet es una red abierta, sin regulaciones ni controles, donde las amenazas y los ataques deliberados contra las empresas abundan. El firewall es un dispositivo que se interpone entre esa periferia no confiable y las actividades de la compañía: su software filtra los datos entrantes y salientes a la caza de posibles amenazas informáticas y con la intención de interceptar cualquier operación no autorizada.

dibujo-firewall

Control por puertos y métodos adicionales
Los firewalls tradicionales construyen su barrera protectora mediante la inspección de los puertos (o inspección de paquetes) a través de los cuales los equipos internos intercambian información con el exterior; el firewall examina los paquetes de datos (los bloques en que se divide la información para su intercambio en la red) y los puertos con los que esos paquetes están asociados. Este examen es relativamente sencillo: el firewall lee el encabezado de cada paquete IP para determinar el protocolo de su aplicación —como sería SMTP con el puerto 25 o HTTP y el puerto 80—. De este modo, con las direcciones IP de origen y destino y la información de los puertos TCP/UDP, el firewall determina si puede permitir el acceso de un paquete a la red interna o su paso entre dos segmentos de dicha red con una simple respuesta de “permitido” o “rechazado”.
A este mecanismo se suman otros procedimientos más complejos como la inspección stateful, en la cual se crean reglas dinámicas que, por ejemplo, permiten a una computadora de la red controlada originar una sesión con una computadora o un servidor externo; de este modo, cuando un empleado, desde el equipo de su escritorio, solicita a un buscador de la red una búsqueda, el firewall sabe, antes que la página con los resultados sea recibida, que ésta se generó como respuesta a una petición generada desde el interior. Otra herramienta más es la deep packet inspection (DPI, inspección profunda), que examina el contenido de los paquetes para determinar el tipo de información que contienen; de este modo el firewall puede identificar, por ejemplo, que un empleado tiene abierta una sesión en Facebook y si en ella sólo se está navegando, o en un juego, un chat o una videoconferencia. También se han incorporado otras funciones como la prevención y la detección antintrusos (IDS/IPS), filtros de URL, proxis, redes virtuales (VPN) o la protección contra fuga de datos (DLP), las cuales implican la incorporación de nuevos dispositivos —a veces de considerable complejidad— a su firewall o el uso de un sistema de gestión unificada de amenazas (UTM por sus siglas en inglés), que es un dispositivo que concentra varias máquinas internas que ejecutan esas funciones.

La necesidad de un modelo nuevo
La protección basada en puertos, con todas sus variantes y sus complementos, fue una respuesta sencilla e ingeniosa a los usos y las aplicaciones que se utilizaron durante varias décadas en internet; sin embargo, actualmente apenas puede mantener el paso con las aplicaciones de generaciones más recientes que incorporan técnicas de accesibilidad (puertos no estandarizados, port-hopping y tunneling) para evadir los cortafuegos tradicionales. Algunas de estas aplicaciones corresponden a juegos y aplicaciones de intercambio de archivos, pero otras emplean estas técnicas evasivas para ejecutar actividades importantes para la productividad de la organización. Además, algunas soluciones recientes basadas en este principio crean, por su cuenta, nuevos problemas; por ejemplo, las UTM requieren que cada paquete sea examinado varias veces antes de asignarle una destinación en la red, un proceso que afecta la velocidad y la estabilidad del flujo de datos.

next generation firewall mpsnet

Los firewall next generation
Para responder a los nuevos retos se ha desarrollado una generación nueva de cortafuegos (conocidos como los next generation firewalls, o NGFW), basada en un nuevo enfoque de la seguridad. Su novedad principal es que la inspección de estos cortafuegos está vinculada a la aplicación a la que corresponden los datos, de modo que puede aplicar políticas diferenciadas al tráfico que recibe. Éstas son algunas de sus prestaciones principales:
• Técnicas de DPI (inspección profunda) que permiten identificar en los paquetes anomalías o malware ya conocido con una sola inspección.
• Aprendizaje: los NGFW pueden utilizar la información recabada durante la inspección para mejorar su desempeño futuro.
• Respuesta flexible. El firewall clásico sólo podía producir dos respuestas: permitir o negar el acceso, mientras que los cortafuegos next generation permiten una gestión más completa del tráfico.
• Identifica las aplicaciones sin importar los puertos, los protocolos, el encriptado SSL o las técnicas evasivas que éstas pueden emplear.
• Ofrece visibilidad de la actividad del firewall.
• Permite control granular (a detalle) de las actividades de la red.
• Identifica con precisión las actividades de los usuarios.

¿Qué sigue?

Las siguientes preguntas permiten evaluar el firewall actual de la empresa e identificar posibles necesidades:
• ¿El firewall actual utiliza un sistema basado en la inspección de puertos?
• ¿Es posible reconocer las actividades de aplicaciones que utilizan encriptado SSL antes de que ingresen a la red interna?
• ¿El firewall actual frena con frecuencia el flujo de datos?
• ¿Es posible establecer controles de flujo basados en políticas de acceso?