Cómo contenían los clientes de MX en un día

Por qué, con Sourcefire IPS, la seguridad MX para sitios distribuidos es insuperable.

Abundan las amenazas en línea, y asegurar una sola red, y mucho menos múltiples redes, es un trabajo de tiempo completo. La revelación de la vulnerabilidad peligrosa (y generalizada) Heartbleed ha impulsado la conciencia pública de las amenazas explotables. Sin embargo, el desafío de proporcionar una respuesta de seguridad rápida en sitios remotos aún es grande.

En esta publicación, explicaremos cómo funciona la prevención de intrusiones (IPS) en los dispositivos de seguridad Cisco Meraki MX y cómo pudimos proteger a los clientes contra Heartbleed dentro de las 24 horas posteriores a su revelación, más rápido que la competencia.

Cómo el MX protege su red  

Incluso antes de que Cisco adquiriera Sourcefire, el líder de la industria en prevención de intrusiones, los dispositivos de seguridad Meraki MX se integraron con Sourcefire IPS para ofrecer una detección de amenazas incomparable. Después de la adquisición, una estrecha asociación de ingeniería entre los equipos de Sourcefire y Meraki ha mejorado el rendimiento y la integración del backend, proporcionando al MX la solución IPS más segura, intuitiva y fácil de implementar disponible para las organizaciones que administran sucursales.

Prevenir la actividad maliciosa con el MX es literalmente un proceso de dos clics. Primero, sin embargo, es importante entender cómo se implementa Sourcefire IPS.

Conjuntos de reglas de Sourcefire

El Meraki MX realiza la prevención de intrusiones a través de conjuntos de reglas: políticas de seguridad predefinidas que determinan el nivel de protección contra amenazas necesario. Hay tres conjuntos de reglas: Conectividad, Equilibrado y Seguridad, y Sourcefire ha definido criterios y métricas de amenazas para cada uno. Para obtener más información, consulte la publicación de blog de Sourcefire, pero para resumir:

  • Conjunto de reglas de conectividad: Protege contra las amenazas de mayor prioridad descubiertas en el año actual, así como en los 2 años anteriores.
  • Conjunto de reglas equilibrado: Protege contra las vulnerabilidades identificadas en el conjunto de reglas de conectividad, así como contra amenazas ligeramente menos críticas. Además, ciertas categorías de amenazas (por ejemplo, kits de exploits e inyecciones SQL) se detectarán independientemente de la edad.
  • Conjunto de reglas de seguridad: Protege contra las vulnerabilidades identificadas en los conjuntos de reglas de Conectividad y Equilibrado, así como las amenazas de menor prioridad, pero amplía el límite de edad a las vulnerabilidades descubiertas en los últimos 4 años. Además, se capturará una lista ampliada de categorías de amenazas, independientemente de la edad.

Sourcefire actualiza los conjuntos de reglas automáticamente (agregando vulnerabilidades recién descubiertas donde sea apropiado y eliminando vulnerabilidades antiguas que son límites de edad pasada), por lo que los clientes de MX no necesitan hacer ningún esfuerzo para beneficiarse de un nivel de seguridad de base bien cuidado y constantemente podado.

Configure IPS en menos de 15 segundos

Para asegurarse de que se aplique un conjunto de reglas de Sourcefire en particular (Conectividad, Equilibrado o Seguridad), simplemente habilite IPS en la página Configurar> el dashboard de filtrado de seguridad y luego seleccione el conjunto de reglas deseado (puede incluir en la lista blanca las firmas para ajustar la detección de amenazas para su entorno).

Habilitación de la prevención de intrusiones MX ejecutando el conjunto de reglas de «Conectividad» de Sourcefire en el dashboard de Meraki.

¡Eso es! El MX implementa los conjuntos de reglas de Sourcefire, asegurando que el tráfico malicioso esté contenido. Aún mejor, estos conjuntos de reglas se actualizan diariamente y se envían dentro de una hora a los clientes MX desde la nube, sin necesidad de etapas o parches manuales. Por lo tanto, con solo unos segundos de esfuerzo, los administradores de TI pueden disfrutar de la prevención de intrusiones actualizada y mejor de su clase mientras evitan el «error piloto» que a menudo afecta la configuración manual compleja y parcheo de IPS.

La nube gestionada es mejor  

¿Qué pasa con la implementación y administración de IPS en cientos o miles de sitios remotos? No hay problema. Las plantillas de configuración permiten a los administradores de TI realizar cambios una vez en un MX que sirve como plantilla maestra para numerosas redes vinculadas a él. Cualquier cambio en el maestro se propagará a las redes MX vinculadas. Esto significa que puede habilitar IPS en su MX maestro, seleccionar su política de conjunto de reglas de Sourcefire y sentarse mientras IPS se aplica en las ubicaciones de sus sucursales.

¿Qué hay de mantener todo, los conjuntos de reglas IPS y el firmware MX, actualizados por motivos de seguridad? De nuevo, no hay problema. Dado que Sourcefire actualiza diariamente los conjuntos de reglas IPS y los envía a su MX en una hora, puede estar seguro de que su IPS detecta las últimas amenazas. Dado que el MX recibe sus propias actualizaciones de firmware, errores y funciones de manera transparente desde la nube de Meraki, también está actualizado (o se puede hacer fácilmente programando actualizaciones desde el dashboard de Meraki).

¿Qué pasa con los informes y la visibilidad de las amenazas detectadas? El MX proporciona a los clientes informes de seguridad detallados, fáciles de digerir y en tiempo real sobre los peligros en sus redes, disponibles desde cualquier dispositivo accesible por Internet.

En resumen: la prevención de intrusiones incorporada contribuye en gran medida a bloquear su red, simplificar la administración de seguridad y ahorrarle tiempo. Es solo una de varias características de seguridad que ofrece Meraki MX, pero es una de las más importantes. Si desea conocer otras características de MX, marque aquí.

Etiquetas: