Mantener los lobos en la bahía

La tecnología de seguridad de clase mundial está literalmente en el ADN de Cisco.

¿Sabía que el creador de Snort y fundador de Sourcefire, la tecnología de detección y prevención de intrusiones de red más popular del mundo, es ahora el arquitecto jefe de la división de Seguridad de Cisco? La familia de dispositivos de seguridad Meraki MX ha estado protegiendo redes con tecnología Sourcefire integrada y detección de malware desde 2012. Con ambas soluciones ahora bajo el paraguas de Cisco, no hay duda de que tenemos una formidable plataforma de seguridad líder en la industria para ofrecer a los clientes. Hoy recapitularemos las herramientas de informes y configuración proporcionadas para la detección y prevención de intrusiones en el dashboard.

Internet es un lugar salvaje, y conectar un MX directamente a Internet con una dirección IP pública en su interfaz WAN lo revelará rápidamente, con la página del Informe de Seguridad iluminada con intentos de intrusión. Aquí hay un ejemplo, con una instantánea tomada solo 24 horas después de que se activó el monitoreo de seguridad, antes de tomar cualquier medida.

En primer lugar, las amenazas potenciales se agrupan en niveles de amenaza, alto, medio y bajo. Estas no son clasificaciones arbitrarias, sino que se basan en el Sistema de puntuación de vulnerabilidad común (CVSS) que busca estandarizar la calificación de las amenazas de seguridad relacionadas con TI. Las descripciones de amenazas se basan en Common Vulnerability and Exposures (CVE), que es efectivamente un diccionario de amenazas de red conocidas públicamente que se ven en todo el mundo. Con una multitud de fuentes para estas amenazas (agencias gubernamentales, parches de software de proveedores, software AV), los CVE ayudan utilizando un lenguaje común y medios para sintetizar fuentes de información sobre amenazas.

El informe de seguridad generará una lista de intentos de intrusión y el dashboard de Meraki hará su mejor intento para descifrarlos para el administrador de la red. Aquí hay un ejemplo:

En este caso, el administrador hizo clic en la primera descripción de la firma para obtener más detalles. Tenga en cuenta los hipervínculos que apuntan a descripciones de CVE relacionadas. Ocasionalmente, estos serán enlaces a artículos o blogs que detallan la amenaza. La ID de regla en sí es una referencia bastante críptica que sigue este formato:

<threat category> : <signature> : <version number>

Si tomamos la firma de la ID de la regla en el ejemplo anterior y usamos un motor de búsqueda para buscar «sourcefire 26233», la primera entrada que regresa contiene una explicación de la firma.

En este caso, el CVSS fue alto, lo que indica que se deben tomar medidas. La lista de eventos de seguridad incluye detalles del origen y el destino de la amenaza, así como una marca de tiempo. El administrador de la red podría simplemente trabajar con el propietario del dispositivo local para garantizar que cualquier vulnerabilidad potencial esté contenida y parchada. Alternativamente, si la prevención de intrusiones está activada, según el conjunto de reglas seleccionado, los ataques como estos podrían bloquearse por completo antes de que entren en el entorno LAN. El conjunto de reglas simplemente determina por encima de qué nivel de CVSS las amenazas identificadas se bloquean proactivamente. Se pueden encontrar más detalles en la página de documentación y en esta publicación de blog anterior que describe el mecanismo que el MX utilizó para bloquear Heartbleed dentro de un día de su descubrimiento. Como una nota al margen oportuna que subraya este rápido tiempo de reacción, los clientes que utilizan Meraki MX con la detección de intrusiones activada ya han recibido firmas que les permiten identificar la vulnerabilidad Shellshock que se anunció ayer.

Ajustar el filtrado de seguridad requiere un poco de práctica para garantizar que solo se bloquee el tráfico no deseado. Afortunadamente, el dashboard hace que sea fácil tener en cuenta los llamados falsos positivos, proporcionando un medio para incluir en la lista blanca dominios, subdominios o URL específicos, muy útil para personalizar la forma en que su entorno de red está bloqueado.

Finalmente, Kaspersky Malware Detection también se presenta en el MX, lo que permite que el dispositivo filtre el tráfico que podría considerarse malware, troyanos o sitios web de phishing, ya sea que estén destinados o se originen desde la LAN.

Al trabajar con los colegas en Cisco, los clientes pueden estar seguros de que la seguridad de sus redes está en buenas manos y estamos listos para reaccionar rápidamente cuando el próximo gremlin de Internet salga a la naturaleza.

Etiquetas: