A medida que las amenazas persistentes avanzadas (APT) dominan el panorama del malware, la detección basada en firmas ya no proporciona seguridad adecuada para este entorno de amenazas en rápida evolución. La detección basada en firmas depende de que los proveedores proporcionen actualizaciones de firmas a sus plataformas. Lamentablemente, muchas de las amenazas actuales están dirigidas a infiltrarse en una organización específica, se utilizan una sola vez y luego se reempaquetan y modifican para evadir la detección.
A diferencia de las soluciones limitadas de detección y prevención de intrusiones, los sistemas de protección contra amenazas avanzadas (ATP) atrapan y ejecutan objetos sospechosos antes de que crucen la red, lo que garantiza que el tráfico inspeccionado no represente un peligro para el punto final. Los sistemas ATP también pueden detener una amenaza nunca antes vista, como un ataque de día cero.
Dado que los sistemas ATP son tan eficaces para detener el malware, se están implementando más de estos sistemas para proteger una proporción cada vez mayor del tráfico de entrada y salida. Sin embargo, el mayor despliegue de sistemas ATP ha descubierto tres áreas en las que pueden fortalecerse aún más mediante el uso de tecnologías complementarias que aumentan su eficacia: Asistencia SSL/TLS, alta disponibilidad y direccionamiento de tráfico. Este documento analiza cómo las soluciones F5 y FireEye trabajan juntas para ofrecer un mejor rendimiento y mejores resultados en estas tres áreas.
Una serie de tendencias están impulsando la necesidad de mejorar la inspección de SSL/TLS, incluido el uso creciente de SSL/TLS, la mayor complejidad (por ejemplo, claves de mayor longitud) en los protocolos criptográficos y una tendencia por parte de los "malos" a cifrar las cargas útiles maliciosas para que no puedan detectarse. Estas tendencias suponen una carga cada vez mayor para los sistemas ATP existentes y fueron un factor impulsor del desarrollo de F5® SSL Orchestrator™, una solución que proporciona descifrado y recifrado de alto rendimiento del tráfico SSL/TLS entrante y saliente, encadenamiento dinámico de servicios y direccionamiento de tráfico basado en políticas para la gestión inteligente de flujos de tráfico cifrados en toda la cadena de seguridad, liberando así a los sistemas ATP para que se centren exclusivamente en detectar objetos maliciosos.
F5 SSL Orchestrator aporta mayor flexibilidad a sus sistemas de detección y mitigación de amenazas y mejora enormemente su capacidad de escalar sin interrupciones. Como ocurre con cualquier solución, es posible que los sistemas ATP y sus sensores críticos fallen, y esa falla puede fácilmente terminar bloqueando el tráfico. F5 SSL Orchestrator ayuda a garantizar que los sitios críticos cumplan con sus objetivos de disponibilidad y tiempo de actividad incluso ante una falla del sensor o dispositivo. F5 SSL Orchestrator equilibra de forma inteligente el tráfico entre múltiples sistemas ATP para garantizar que un sitio permanezca disponible incluso cuando se produce una falla o sobrecarga del sensor. Además, esta configuración permite a los administradores agregar o eliminar sensores sin afectar la disponibilidad general del sitio.
F5 SSL Orchestrator, cuando se combina con FireEye Network Security, ofrece opciones de implementación flexibles y escalabilidad para una protección óptima contra amenazas. Cuando se implementa en el cable entre una intranet e Internet, F5 SSL Orchestrator crea una zona de descifrado/texto sin formato entre el cliente y el servidor web, que actúa como un punto de visibilidad de agregación para que los dispositivos de seguridad de FireEye inspeccionen el tráfico. Con la administración de SSL/TLS y la visibilidad del tráfico SSL/TLS entrante y saliente y opciones para implementaciones en línea y fuera de banda, las APT se pueden contener de manera rápida y eficiente en tiempo real. Esto permite a los administradores poner en cuarentena o eliminar datos dañinos antes de que se infiltren en la red.
La Figura 1 muestra la solución integral F5 SSL Orchestration y FireEye, que aprovecha todas las capacidades de las tecnologías combinadas para brindar escalabilidad elástica y encadenamiento de servicios.
F5 SSL Orchestrator implementado en línea en el tráfico web:
1.Descifra el tráfico SSL para su entrega al grupo de seguridad de red de FireEye.
2.Cifra el tráfico SSL que pasa a través del dispositivo de seguridad de red FireEye.
3.Realiza el equilibrio de carga en el grupo de FireEye, lo que proporciona una disponibilidad óptima.
4.Habilita una derivación del grupo cuando todos los miembros están inactivos.
5.Determina si el tráfico debe descifrarse o si puede omitir el grupo de FireEye sin descifrarse, lo que reduce la carga en los dispositivos.
Esta arquitectura permite que los dispositivos FireEye funcionen de manera más eficiente y con su máxima capacidad sin comprometer el rendimiento del tráfico. La administración de claves está centralizada dentro de F5 SSL Orchestrator, lo que libera al grupo de FireEye de tener que realizar cualquier funcionalidad SSL, al mismo tiempo que le proporciona visibilidad completa del tráfico.
El encadenamiento de servicios dinámicos y la dirección de tráfico basada en políticas de F5 SSL Orchestrator le permiten administrar de forma inteligente los flujos de tráfico cifrados en toda la cadena de seguridad con una disponibilidad óptima. La dirección del tráfico permite que el tráfico que se determina que no necesita descifrado (como VDI) evite el grupo ATP, lo que aumenta la capacidad efectiva del grupo. Esta configuración también permite un flujo de tráfico continuo en caso de desaceleración o falla de los sensores FireEye. De esta manera, la arquitectura protege el tráfico al máximo, exponiendo amenazas y deteniendo ataques, al tiempo que aumenta la eficiencia y elimina cuellos de botella en el rendimiento.
Los desafiantes desafíos de seguridad actuales requieren tanto una protección avanzada contra amenazas como la capacidad de garantizar la disponibilidad de las aplicação . F5 y FireEye están trabajando juntos para brindar soluciones que brinden la tecnología, la inteligencia y la experiencia más efectivas para identificar y detener la actividad maliciosa antes de que pueda ocurrir. Las soluciones de F5 y FireEye le permiten encontrar amenazas ocultas con visibilidad SSL mejorada, garantizar seguridad y rendimiento óptimos a través del encadenamiento de servicios dinámicos y la dirección del tráfico basada en políticas, brindar protección avanzada contra amenazas con mayor escalabilidad y mejorar la eficiencia operativa con una arquitectura mejorada.
Para saber cómo F5 y FireEye pueden ayudar a que su negocio tenga éxito, visite f5.com/fireeye .