RFP

SOLUCIÓN DE CIBERSEGURIDAD

GUÍA RFP

Instructions for use

USANDO EL PROCESO RFP PARA SELECCIONAR LA SOLUCIÓN DE CIBERSEGURIDAD PERFECTA

Típicamente cuando se seleccionan componentes críticos de infraestructura de seguridad las organizaciones utilizan una requisición de propuesta (RFP) para asegurar que sus necesidades son cubiertas.

De acuerdo con una investigación de Gartner, sobre seguridad de la información y ataques dirigidos avanzados.

“El futuro de la

infraestructura de seguridad informática es contextual y adaptativo, capaz de cambiar para soportar la evolución de las amenazas y de los ambientes de negocio,

todo casi en tiempo real.”

Además recomienda a las organizaciones tener foco en incrementar en la cantidad de contexto provisto por sus herramientas de seguridad.

En el momento que las oportunidades de nuevas instalaciones ocurran se deben expandir los criterios de selecciones del proceso RFP, incluyendo visibilidad total de datos, aplicaciones, usuarios, y dispositivos en conjunto con un esquema robusto de protección.

En una de nuestras guías establecimos los diez puntos prioritarios que debe poseer tu siguiente solución de ciberseguridad, en esta entrega traduciremos esos requerimientos en herramientas que puedas usar para identificar y seleccionar un fabricante adecuado.

Existen muchos elementos para considerar, cuando evaluar, que tan efectivamente pueden entregar seguridad a nivel aplicación, usuario, dispositivo y datos.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

“

Siempre es mejor opción contar con tecnologías de ciberseguridad que

funcionan en modo de alerta a no tener ninguna, sin embargo en este contexto no

están asegurando nada.

La meta objetivo al evaluar o implantar cualquier solución de ciberseguridad debe

ser asegurar la información de tu organización y prevenir amenazas en

tiempo real.

“

Los usuarios modernos de redes asumen que existe la conectividad para trabajo desde diversas ubicaciones más allá del perímetro tradicional de corporativo.

Estos usuarios y todos los repositorios de datos deben permanecer protegidos incluso en instancias donde los usuarios trabajan fuera de la red corporativa o si los datos están almacenados en nubes públicas o privadas.

Considera las siguientes preguntas y cuestionamientos al realizar un RFP:

->Describa los requerimientos de segmentación.

¿Cuántos usuarios, servidores o máquinas virtuales pueden soportarse simultáneamente?

¿De qué forma permite o niega el uso de aplicaciones?

¿Cómo protege los datos almacenados en nubes públicas y privadas?

¿Cómo protege dispositivos móviles?

¿Es capaz de aplicar políticas cuando los usuarios están en redes externas o redes inalámbricas corporativas?

¿Cómo resuelve los problemas de BYOD?

¿Incluye algún agente para dispositivos?

¿Cómo se distribuye este agente y cómo se mantiene optimo?

-> Describa detalladamente incluyendo todos los componentes necesarios y opciones disponibles para proteger usuarios remotos.

¿Es capaz de ejecutar múltiples análisis de tipos de archivo incluyendo pero no limitando a LNK, Microsoft objects, PDF, EXE, SWF, DLL, JAR, CLASS, SCR, and APK?

1.

Protegiendo la infraestructura de red y datos

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

El RFP debe determinar los detalles de como la arquitectura de ciberseguridad certeramente identifica amenazas ocultas dentro del tráfico haciendo contexto de aplicaciones, usuarios, dispositivos y datos, sobre cualquier puerto, cifrado SSL o cualquier otra técnica evasiva.Para asegurar que tu RFP cubre la

identificación contextual de aplicaciones, considera lo siguiente:

Cuando recibe el tráfico, ¿Colecta el contexto de comportamiento en aplicación, usuario o dispositivo de otra herramienta de seguridad?

¿Cómo se rastrea o utiliza el estado de la aplicación para asegurar un alertamientocontextual consistente a funciones secundarias?

-> Describa en detalle como el tráfico es contextualizado.

¿Cuáles mecanismos más allá de las firmas son usados para contextualizar tráfico?

-> Describa la amplitud y alcance del descifrado de aplicaciones y protocolos.

¿Cómo está implantado el descifrado de SSL y SSH?

¿Permite implantar descifrado de tráfico SSL para tráfico de entrada y salida?

¿El tráfico es otra vez cifrado después de ser revisado?

¿Cómo determina el contexto basado en usuarios?

¿Cómo determina el contexto basado en dispositivos?

En ambientes virtualizadosdescriba como el tráfico es contextualizado a través de las máquinas virtuales. (ejemplo norte – sur, este – oeste)

Identificando Amenazas en Contexto

2.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

¿Tiene la habilidad de negar tráfico desconocido?

¿Es capaz de identificar usuarios? ¿En que está basada esa identificación?

¿Qué servicios de autenticación de terceros integra la solución?

¿Cómo la solución identifica usuarios operando remotamente y/o en dispositivos personales?

¿Qué tipo de firmas de amenazas están incluidas en la solución? (Ejemplo, URL, malware, vulnerabilidades, DNS, firmas, etc.)

¿Con que periodicidad la base de datos de firmas de amenazas es actualizada, es una actualización dinámica o requiere reinicio?

2.

Identificando Amenazas en Contexto

-> Describa los puntos de integración dentro de los ambientes virtualizados.

-> Describa el proceso de creación de políticas de seguridad para máquinas virtuales recién creadas.

-> Describa cómo los mecanismos de identificación de aplicaciones son parte del núcleo de la solución de ciberseguridad.

Muchas aplicaciones pueden evadir la detección usando puertos no estándar, con el cambio de puerto o la forma en que son configurados para ejecutarse en puertos diferentes.

¿Los mecanismos de identificación de aplicaciones son dependientes del puerto estándar que usan?

¿Las políticas de protección contra amenazas pueden ser aplicados en una aplicación en todos los puertos y este proceso es automático o se configura manualmente??

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

Porque las amenazas avanzadas son identificadas de forma más precisa cuando son divididas en múltiples eventos, los analistas recomiendan a las organizaciones que consoliden las tecnologías tradicionales de prevención de amenazas en una sola plataforma de ciberseguridad.

Para asegurar que tu RFP cubre y previene ataques de múltiples etapas considere lo siguiente:

-> Describa todas las tecnologías de prevención de amenazas que posee la solución. (IPS, anti-malware, anti-comando y control, sandboxing, filtrado de datos, etc.)

-> Describa la coordinación existente entre sus soluciones de prevención.

¿Son estas tecnologías de prevención hardware o software adicional?

¿Cómo son licenciadas estas tecnologías?

-> Describa como la solución identifica estas fases en el ciclo de vida de un ataque:

— Entrega — Explotación — Instalación — Comando y control

-> Describa que mecanismos de prevención son desarrollados internamente u obtenidos por un servicio de terceros.

¿Cómo los mecanismos de prevención examinan contenido dentro de archivos comprimidos como ZIP?

-> Describa los procesos de investigación de amenazas y desarrollo.

¿Qué tan efectivas son las firmas de malware?

¿Cuántas variantes de malware puede una sola firma prevenir?

¿Cómo se defiende de un movimiento lateral?

Prevención en Múltiples Etapas de Ataque

3.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

Las amenazas se han vuelto más evasivas y los atacantes adecuan sus métodos para burlar las nuevas tecnologías de defensa.

La habilidad de no solo detectar las nuevas tácticas de evasión pero también identificar amenazas ocultas es crítica para una seguridad efectiva.

Para asegurar que tu RFP cubre la detección de amenazas evasivas considera lo siguiente:

¿Cómo maneja evasiones a nivel paquete?

¿Soporta re ensamble de TCP y UDP para protección de paquetes fragmentados?

¿Cómo se realiza el descifrado de SSL?

¿Puede soportar por lo menos cuatro niveles de compresión? (Ejemplos, cifrado, codificado y por lo menos dos niveles de compresión de archivos)

¿Cómo detecta malware personalizado o polimórfico?

¿Qué mecanismos son usados para bloquear estos tipos de malware?

¿Cómo la función de sandboxinghace uso de múltiples versiones de aplicación?

¿El dispositivo incluye la capacidad de ejecutar ambientes virtuales con un solo appliancepara simular actividades con archivos y encontrar comportamientos maliciosos para detectar amenazas avanzadas?

¿Puede identificar el uso de un DNS dinámico?

¿Puede identificar URL maliciosas?

De ser afirmativa la respuesta, ¿Qué tan granular es la identificación de URL? (Ejemplo, por dominio, por ruta de archivo, por página)

Detectando Amenazas Evasivas

4.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

Porque los atacantes están modificando las amenazas existentes de forma constante, crear nuevas estrategias para tener una protección actualizada es la única forma exitosa de estar al día sobre el cambiante panorama de amenazas.

La solución debe ser capaz de adaptar sus capacidades de detección en consecuencia y constantemente actualizando las protecciones basadas en las tácticas actuales de amenazas.

Para asegurar que tu RFP cubre la detección de amenazas evasivas considera lo siguiente:

¿Cómo actualiza su librería de amenazas conocidas? (exploits, malware, fuentes de infección, comando y control, dominios, etc.)

¿Con qué frecuencia se actualizan las firmas?

¿Después que las amenazas de día cero son descubiertas que tan rápido se envía la protección a la librería de firmas para protección de dispositivos?

¿Cuántas fuentes de inteligencia externa sobre amenazas alimentan a la solución?

-> Describa cómo maneja el cambio rápido en los dominios de control y comando.

-> Describa cómo la solución maneja sitios web legítimos o dominios que han sido comprometidos.

Implementando una Protección Actualizada con Inteligencia de Contexto

5.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

Siempre es preferible prevenir, pero todavía existirán amenazas que infecten dispositivos en la red, es por eso que una rápida mitigación y remediación son necesarias.

Los analistas recomiendan a los equipos de seguridad invertir en soluciones que los ayuden a entender rápidamente el alcance e impacto de una infección detectada.

Para asegurar que tu RFP cubre la detección de amenazas evasivas considera lo siguiente:

¿Es capaz de analizar archivos para amenazas de día cero y mitigarlas en minutos?

¿Cómo identifica certeramente infecciones?

¿De qué forma clasifica la severidad en la infección y la fidelidad del dato?

¿Cómo correlaciona comportamientos sospechosos para dispositivos a través de múltiples segmentos dentro de la organización?

¿Los reportes de infección son presentados en tiempo real?

¿Qué tan rápidamente las protecciones o acciones de bloqueos son activadas después de identificar una infección?

Mitigación Efectiva

6.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

El desempeño a nivel operación real es un componente crítico al instalar una solución de ciberseguridad. El control de aplicaciones y escaneo de amenazas requiere una investigación profunda de tráfico y computacionalmente mayor que una simple labor de firewall a nivel puertos.

Es crítico determinar el desempeño de la red cuando todas las características de seguridad son encendidas y analizan el diverso tráfico de la operación real.

Para asegurar que tu RFP cubre la detección de amenazas evasivas considera lo siguiente:

¿Cómo la solución detecta y verifica la autenticidad de una firma?

-> Investigue la arquitectura de hardware para confirmar que el adecuado procesamiento de poder para una continua clasificación de amenazas y tráfico a nivel de aplicación.

-> Describa la mezcla de tráfico usado para producir las métricas de desempeño:— Control de Aplicaciones— Control de Aplicaciones + Logging— Control de Aplicaciones + IPS— Control de Aplicaciones +IPS+AV— Control de Aplicaciones +IPS+AV + Anti-Spyware

¿Cuál es el rendimiento para. . .?— Control de Aplicaciones— Control de Aplicaciones+Logging— Control de Aplicaciones+IPS— Control de Aplicaciones+IPS+AV— Control de Aplicaciones+IPS+AV+ Anti-Spyware

¿La función de sandboxing agrega latencia para el usuario final? Si es así, ¿cuánta?

Impacto al Negocio

7.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

La administración es un elemento crítico para implementar una estrategia de ciberseguridad efectiva.

Si estás contemplando una nueva solución de ciberseguridad, en la transición un objetivo clave debe ser simplificar en lo posible la administración de la seguridad.

Para asegurar que tu RFP cubre la detección de amenazas evasivas considera lo siguiente:

¿Requiere un servidor por separado u otro dispositivo?

¿Tiene un sistema de administración separado con un CPU, memoria y disco dedicado?

-> Describa todas las opciones de administración que soporta:

¿Interfaz de línea de comando (CLI), navegador, cliente de software, servidor centralizado?

Para cada opción de administración soportada, describa que tanto esfuerzo es requerido para cambiar de una a otra.

Describa las opciones de arquitectura de administración centralizada e implementación.

¿Qué herramientas de visibilidad fuera del visor de log y reportes están disponibles para obtener una visión completa de campañas de ataque dentro del contexto de aplicaciones, usuarios, dispositivos y data a través de la red?

¿Las herramientas de visibilidad incluidas son parte de la funcionalidad principal, tienen un costo extra o se necesitan agregar licencias?

¿Las herramientas de visibilidad están instaladas en un solo servidor o se requieren dispositivos / applianceadicionales?

Administración

8.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

Describa el esfuerzo y pasos requeridos para obtener una visión integral de todas las aplicaciones, tráfico de datos, usuarios e informe de dispositivos y amenazas detectadas o bloqueadas.

¿Pueden los controles de aplicación, usuarios, dispositivos, datos y amenazas ser activados en una sola regla?

-> Describa cómo el acceso a la interfaz de administración está asegurado cuando el equipo tiene un alto nivel de tráfico.

-> Describa la relación entre dispositivos individuales y la administración centralizada de múltiples dispositivos.

Administración

8.

GUÍA RFP SOLUCIÓN DE CIBERSEGURIDAD I GRUPO SMARTEKH PARTNER PLATINUM PALO ALTO NETWORKS

-> Describa la diferencia entre administración, hardware e instancias virtualizadas.

¿Son requeridos dispositivos diferentes o separados para asegurar ambientes de nubes públicas o privadas?

No hace mucho tiempo atrás, el concepto de ciberataques a blancos enconstante movimiento era imposible, era una teoría irracional solo posible enalgún punto en el futuro.

Pero ahora, el futuro está aquí y es parte de nuestra realidad.

Por esto, es vital verificar que tu solución de ciberseguridad cumpla con losdiez puntos básicos, logrando la ejecución de las aplicaciones seguras encualquier lugar a nivel red corporativa, nube y endpoint.

Debe quedar claro que después de usar las herramientas y tácticas de estasguías, lograrás reducir la superficie de ataque usando las principalesfunciones de tu infraestructura de seguridad; sin embargo, si realmente teenfocas en prevenir una brecha debes contemplar una estrategia deciberseguridad integral que pueda adaptarse dinámicamente al actualpanorama de amenazas.

Ciberseguridad con una plataforma de tecnología de nueva generación

PRUEBA NUESTRA TECNOLOGÍA DE NUEVA GENERACIÓN Y EXPERIMENTA EL NIVEL DE SEGURIDAD

QUE TU EMPRESA NECESITA

HANDS ON WORKSHOP RESERVA TU LUGAR

#CIBERSEGURIDADWWW.SMARTEKH.COM