Red de amenzas + Meraki MX: Un ganador

¡Aprenda qué es exactamente «desconocido» y por qué MX y Threat Grid son mejores juntos!

Introducción

Hace poco más de un año Meraki lanzo la integración de Threat Grid con Meraki MX y, desde entonces, se ha convertido en una herramienta invaluable para los clientes que han habilitado esta integración. Pero los clientes que no lo han habilitado pueden no entender por qué esta integración no solo es importante para ellos, ¡también es importante para todos en Internet!

Esta no es la primera vez que hablamos sobre Threat Grid en el blog. Desde su debut, tanto Threat Grid como MX han mejorado, pero también han mejorado juntos. En esta publicación de blog exploraremos con más detalles técnicos qué es Threat Grid y cómo se adapta a la arquitectura de seguridad de Meraki. Lo más importante, exploraremos por qué ha hecho que Internet sea un lugar más seguro para todos.

AMP + Rejilla de amenaza

Cisco Advanced Malware Protection (AMP) es una parte intrínseca de la oferta de seguridad avanzada de Meraki MX y lo ha sido durante más de dos años. Durante ese tiempo, AMP ha escaneado cientos de millones de archivos por semana, ha bloqueado cientos de miles de archivos maliciosos por semana y ha enviado miles de alertas retrospectivas por semana. Esto es particularmente importante cuando considera que el volumen de malware ha aumentado 10 veces en los últimos dos años.

Como era de esperar, Meraki hace esto aprovechando la tecnología en la nube. Érase una vez, había una compañía de inicio llamada Immunet AV y tenían una solución súper inteligente para saber si un archivo era bueno, malo o no se había visto antes; en lenguaje geek de seguridad, los archivos estaban etiquetados como «Limpio», «Malicioso» o «Desconocido». Esa empresa fue adquirida por SourceFire, que a su vez fue adquirida por Cisco, al igual que Meraki. Hoy, Meraki MX aprovecha esta tecnología, lo que da como resultado que los clientes obtengan protección en tiempo real contra archivos maliciosos conocidos en múltiples tipos de archivos y múltiples vectores de amenazas.

De acuerdo, eso es genial, pero ¿qué pasa con esas espeluznantes hazañas de «día cero» que escuchamos en las noticias todo el tiempo? Si bien todavía es cierto que no deberías creer todo lo que lees, los exploits de día cero ciertamente existen, ya que después de todo, alguien tiene que ser golpeado primero con cada exploit. Aunque todos estamos tentados a pensar «no me va a pasar a mí«, existe una probabilidad tangible de que así sea. Si usted es la persona responsable de la gestión de riesgos de seguridad de la información en su organización, es su responsabilidad demostrar el deber de cuidado y mitigar el mayor riesgo posible.

Esto es lo que Threat Grid le ayuda a hacer al autorizarle y hacerle saber rápidamente si los archivos «desconocidos» que pasan por su MX son malware de día cero o no.

Red de amenazas inmersión profunda:

Como era de esperar, Threat Grid es muy fácil de habilitar para una red MX. Una vez habilitado, comienza a funcionar de inmediato. Cuando se descarga un archivo a través de MX, el hash del archivo parcial se compara con la nube AMP; si AMP lo desconoce, se envía directamente a Threat Grid, como se muestra a continuación:

El archivo se detonó, que es una forma elegante de decir que se abrió y se le permitió hacer lo suyo, en un entorno virtual de espacio aislado de Microsoft Windows que es completamente independiente y distinto de la infraestructura del cliente. Threat Grid ahora observa de manera activa y pasiva cómo se comporta el archivo, al observar cómo interactúa con el software del sistema, los servicios y los recursos de la red. Al mismo tiempo, Threat Grid analiza las cosas que hace el archivo a través de unos 900 indicadores de comportamiento para comprender si el archivo es malicioso o no.

Una vez que esto se completa, Threat Grid crea automáticamente un informe con un «puntaje de amenaza» de alto nivel y enlaces a herramientas de investigación forense, también integradas en la plataforma. A continuación se muestra un ejemplo de este informe:

Si desea ver este informe y las herramientas forenses que se utilizan en una demostración, eche un vistazo a este gran seminario web de Meraki.

Finalmente, si el archivo era malicioso, recibirá un correo electrónico para informarle que algo malo pasó y con enlaces al Centro de seguridad y los pasos de corrección relevantes que debe seguir para volver a la seguridad.

La nube se volvió más inteligente:

Ahora, si alguien más ve que el archivo llega a través de Meraki MX, Cisco FirePower, Cisco WSA o AMP para teléfonos inteligentes con Endpoints, se bloqueará instantáneamente porque Threat Grid actualizó el estado de disposición del archivo en Cisco AMP Cloud. Lo que significa que no solo detectó y puede detener a los malos en su red, ¡sino que también los detuvo por el resto del mundo!

Las personas que hacen que esta protección automática suceda son Cisco Talos y son un equipo de cientos de chicos y chicas que son el equivalente de seguridad de Internet de la Liga de la Justicia (o Avengers, si lo prefieres). Han intervenido en la desactivación, la deconstrucción y la protección contra todas las amenazas de Internet de las que ha oído hablar en los últimos 2 años. Y una vez que han descubierto cómo detener a los malos, bombean ese conocimiento directamente en el Meraki MX y otros productos de Cisco. Esto significa que, indirectamente, está ayudando a que Internet sea un lugar seguro solo por ser un cliente de Meraki, más aún si tiene Threat Grid.

Talos también toma información de inteligencia de amenazas de muchos otros productos de seguridad de Cisco, incluidos los lotes que se ejecutan o se integran de forma nativa con Meraki MX, como se muestra a continuación:

Conclusión:

Entonces, si ya eres uno de los muchos clientes de Meraki con una red MX, camina un poco más alto, porque Talos te respalda. Y si realmente necesita saber si ese archivo que el CEO acaba de descargar es un vídeo de gato o un ransomware, Threat Grid es para usted.

Comuníquese con su representante de ventas local de Meraki para discutir más y comenzar a ayudar a hacer de Internet un lugar más seguro a través de una tecnología de nube simple y potente.