Entradas populares

  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...
  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...

jueves, 28 de febrero de 2013

SourceFire NGIPS: Inteligencia colectiva

SourceFire es un IPS de nueva generación que trabaja a nivel de usuario, aplicación, flujos...pero que realiza un inventario de los activos de la red. Este inventario se compone de direccionamiento, sistema operativo, nivel de parcheado y versión de aplicaciones instaladas.
A esta primera fase de profiling es la que se conoce como discover dentro del producto.
En función de esta información y del tráfico que ha visto pasar, realiza sugerencias de las políticas de protección a aplicar. Según fuentes del fabricante, del 70%-85% de las políticas necesarias para proteger la infraestructura nace de las recomendaciones automatizadas. Esta fase se conoce como "Determine".
Finalmente, aplicamos las políticas reduciendo la superficie de ataque, y activando unicamente las firmas y las inspecciones que se ajusten a los dispositivos-aplicaciones a proteger. 
Hasta aquí, os puede recordar bastante a un NGFW con la diferencia del inventariado de los activos. 
Si bien es cierto que hay clientes que están contentos con firewalls de primera generación, o quieren abordar proyectos de DLP, que esta tecnología puede ir como anillo al dedo.

¿Qué es extraordinario y diferencial en comparación con el resto de productos? La forma de realizar seguimiento de los ficheros que se intercambian entre los dispositivos de movilidad, como smartphones, tablets, o pc fuera de la oficina. En este caso, realiza el seguimiento de todos los ficheros identificado con una firma hash. Y también, registra que se hace con el mismo, por ejemplo ejecutarlo, copiarlo, reenviarlo, o si el mismo crea otros ficheros(virus). Esto a diferencia de la tecnología de SANDBOXING, puede rastrear las infecciones y ataques, tiempo después de que se haya producido. 
En el momento que se identifica una amenaza el cuadro de mandos de SourceFire cambia el icono, y se puede rastrear el origen de la infección, la posible expansión y las variaciones del mismo.
Es una herramienta forense que minimiza el impacto de los posibles problemas, realizando una vista retrospectiva gracias a la inteligencia colectiva.
Hth,
Robclav

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)