Encora Webinar Protección Avanzada de Sophos

Encora Webinar Protección avanzada de Sophos

Amigos de Encora TV, os queremos presentar un nuevo capítulo de Encora Webinars. En este webinar, realizado en febrero de 2021 para nuestros clientes, comentamos de la mano de Eric Ros, Head of Cyber Security, todo lo que necesitamos saber para optimizar la protección empresarial gracias al porfolio de Sophos.

Eric nos propone un escenario base con una arquitectura que puede ser tradicional o clásica. Es el típico escenario que nos podemos encontrar en cualquier entorno empresarial:

  • Datacenters.
  • Firewalls perimetrales.
  • Soluciones cloud.
  • Soluciones on-premise.
  • APs WiFi.
  • Endpoints.
  • Dispositivos móviles.

 En resumen, todo tipo de soluciones y ubicaciones diferentes. 

¿QUÉ NOS PODEMOS ENCONTRAR EN UN ESCENARIO CLÁSICO O BÁSICO?

Eric pasa a explicar las diferentes soluciones que nos podemos encontrar en cualquier entorno empresarial.

  • Soluciones aisladas e independientes:

Cabe destacar que las soluciones que nos podemos encontrar en este tipo de entornos están diseñadas específicamente para cada elemento a proteger.

Normalmente tenemos una solución de Firewalls que se administran de una forma individual, una plataforma de WiFis o de APs WiFi que se administra también en su consola de administración, la solución de Endpoints, las soluciones cloud, cada una de ellas trabaja local y aisladamente.

  • Seguridad focalizada en cada solución específica:

Se puede observar que hay una protección dedicada a cubrir cada necesidad. En este caso, solo se cubrirá a esa solución específica sin tener en cuenta el resto.

¿POR QUÉ HABLAMOS DE LA SEGURIDAD SINCRONIZADA?

Pasamos al apartado en el que Eric nos comenta cuál es el objetivo final de la Seguridad Sincronizada. Aclara que la idea es que cada una de estas soluciones que anteriormente trabajaban aisladamente, dejen de hacerlo. La intención de esta herramienta es que se las distintas soluciones conecten entre ellas, sincronizando información en tiempo real. En este caso, estaremos hablando de un Security Heartbeat y de una comunicación entre todas las soluciones que conforman nuestra protección empresarial. 

El hecho de tener una comunicación en tiempo real nos permitirá compartir todo tipo de información de inteligencia, amenazas, dispositivos, threats que vienen y que van, etc.

El objetivo es obtener una seguridad del entorno ofrecida por todo el conjunto de soluciones. No nos centramos sólo en un Firewall, unos Endpoints o un antispam (que puede estar en cloud) sino que entre todas ellas se va a establecer una comunicación y vamos a sacar provecho de todas ellas al mismo tiempo. 

Pongamos un ejemplo, un evento que se detecte en un Endpoint, rápidamente al mismo tiempo, va a informar al Firewall. El Firewall informará al cloud, a la solución antispam para proteger o aislar su buzón de correo y tomar una serie de acciones derivadas de una amenaza que se detecta en el entorno.

¿QUÉ VENTAJAS OBTENEMOS DE LA SEGURIDAD SINCRONIZADA?

Pasamos al apartado en el que Eric nos comenta cuál es el objetivo final de la Seguridad Sincronizada. Aclara que la idea es que cada una de estas soluciones que anteriormente trabajaban aisladamente, dejen de hacerlo. La intención de esta herramienta es que se las distintas soluciones conecten entre ellas, sincronizando información en tiempo real. En este caso, estaremos hablando de un Security Heartbeat y de una comunicación entre todas las soluciones que conforman nuestra protección empresarial. 

El hecho de tener una comunicación en tiempo real nos permitirá compartir todo tipo de información de inteligencia, amenazas, dispositivos, threats que vienen y que van, etc.

El objetivo es obtener una seguridad del entorno ofrecida por todo el conjunto de soluciones. No nos centramos sólo en un Firewall, unos Endpoints o un antispam (que puede estar en cloud) sino que entre todas ellas se va a establecer una comunicación y vamos a sacar provecho de todas ellas al mismo tiempo. 

Pongamos un ejemplo, un evento que se detecte en un Endpoint, rápidamente al mismo tiempo, va a informar al Firewall. El Firewall informará al cloud, a la solución antispam para proteger o aislar su buzón de correo y tomar una serie de acciones derivadas de una amenaza que se detecta en el entorno.

¿QUÉ VENTAJAS OBTENEMOS DE LA SEGURIDAD SINCRONIZADA?

A continuación, Eric nos expone las ventajas que podemos obtener con la Seguridad Sincronizada que ofrece Sophos Central.

Ventajas de la seguridad sincronizada de Sophos.

Para empezar, obtenemos una monitorización completa del entorno, de todas y cada una de las soluciones. Además, la sincronización entre ellas ocurre en tiempo real, hecho que es muy importante, no trabajamos con unos minutos de demora, es una sincronización directa y en tiempo real entre todas las soluciones.

Otra de las ventajas sería la detección de amenazas avanzadas que puedan tener distintos vectores de entrada o afectaciones en soluciones diferentes.

El análisis que obtenemos una vez detectado un threat en cualquier elemento de seguridad es un análisis completo de todas las acciones que puede llevar a cabo, de por dónde ha venido y si ha intentado replicarse. Obtenemos una visión completa y obviamente nos da una respuesta entre incidentes muy completa.

Concluye que todas las soluciones sacan partido de la información de cada una de ellas.

¿CÓMO PODEMOS HABILITAR LA SEGURIDAD SINCRONIZADA O EL SECURITY HEARTBEAT DE SOPHOS?

Eric prosigue con la explicación paso a paso del procedimiento que hay que seguir para poder habilitar la seguridad sincronizada de Sophos Central.

Sophos central es una solución cloud que incorpora muchas soluciones diferentes. Incorpora protección perimetral, firewalls, soluciones Endpoint de servidor, sistemas antispam, sistemas de concienciación a usuarios, etc…

Todas las soluciones integradas en Sophos Central nativamente están sincronizadas mediante Security Heartbeat (seguridad sincronizada).

El proceso comienza con el acceso a la solución en concreto, ir a la parte de configuración correspondiente y habilitar la característica de Security Heartbeat. 

La mayoría de las configuraciones necesarias están habilitadas por defecto. Las configuraciones que no vengan habilitadas, las tendremos que ir activando bajo demanda. Algunas de ellas son:

  • Wireless (SSIDs). Cuando publicamos un portal WiFi, tenemos la opción (en el apartado de seguridad) de habilitar bajo demanda la seguridad sincronizada basada en el Heartbeat que puedan tener los dispositivos que hay por debajo. Si están en verde significa que están sanos y si están en amarillo significa que han tenido algún tipo de incidente en el dispositivo que se ha detectado y ha cambiado el nivel de Security Heartbeat. Finalmente, si están rojos, nos estarán indicando que está bloqueado cualquier tipo de comunicación ya sea por una infección, por una incidencia grave en el dispositivo o por el usuario. Podríamos afirmar que es una especie de período de cuarentena.
  • Otra de las soluciones que también se tiene que activar en base a la demanda es el firewall perimetral. En un firewall existen muchas reglas que sirven para clasificar y utilizar el Synchronized Security Heartbeat de Sophos. Tenemos que habilitarlo en la regla o las reglas específicas que queramos utilizar. Habrá reglas que no nos interese habilitar como, por ejemplo, una regla de entrada de internet hacia adentro. En las reglas de salida, si queremos tener control del Security Heartbeat, tendremos que acceder a la regla en cuestión y habilitarla. 

En esta diapositiva, Eric nos muestra la sección donde podremos indicar si el Security Heartbeat mínimo permitido es verde, amarillo o si no ofreceremos restricción ninguna.

Además, se podría llegar a bloquear a los clientes que no tengan la solución Security Heartbeat de Sophos instalada (lo vemos en el check box que aparece debajo de la diapositiva). Esta es una medida de control más intrusiva.

ACCIONES QUE PUEDEN DETONARSE CON LA SEGURIDAD SINCRONIZADA

En este apartado, Eric nos propone una tabla con las funciones que pueden realizar los diferentes productos de Sophos cuando estos trabajan conjuntamente.

Acciones destacadas que podrán detonarse con la Seguridad Sincronizada de Sophos.

Cuando el producto Intercept X (solución de protección Endpoint) trabaja de manera conjunta con la solución de firewall, realiza la función de aislar automáticamente todas las amenazas o incidentes que lleguen a suceder en Endpoints. Además, se identifican todas las aplicaciones de la red y se pueden llegar a vincular ciertas amenazas con usuarios o dispositivos.

Con la unión de las funciones que puede realizar Endpoint con las que puede realizar la plataforma de correo de antispam, obtenemos la funcionalidad de aislamiento de un buzón comprometido de manera automática. Además, la solución de email solicitará un escaneo completo y una limpieza del equipo o los equipos que tenga el usuario asociados y que estén probablemente infectados.

Cuando unimos Intercept X con Wireless, podemos llegar a restringir el acceso WiFi a ciertos dispositivos móviles no compliant con el nivel de Heartbeat mínimo. A su vez, esa unión, nos permitirá poder restringir el acceso a internet a ciertos equipos.

Uniendo las funciones que puede realizar el servicio SafeGuard de Sophos con las funciones de Incercept X y Firewall, conseguimos una comunicación para revocar automáticamente claves de encriptado en equipos infectados.

Con la unión de las funciones de la plataforma de correo con las del Phish Threat, conseguimos el enrollment automático de aquellos usuarios que estén en riesgo (detectados por la plataforma de antispam) y que automáticamente se asocien en campañas de formación específicas de Phish Threat.

Todas estas, son acciones que automáticamente el porfolio de Sophos va a sincronizar y tener en cuenta.

LA OFERTA DE SOPHOS SECURITY HEARTBEAT

Eric apunta que lo que obtendremos con el Security Heartbeat que ofrece Sophos Central es una respuesta ante incidentes muy completa frente a cualquier amenaza que se detecte.

La característica de sincronización de Heartbeat viene incluida de base en todos los productos de Sophos central.

La premisa es que la actuación sea lo más proactiva posible en toda la plataforma y que las medidas de aislar un dispositivo, lanzar una limpieza o un escaneo en remoto, restaurar accesos y demás se realice de forma automática o lo más autónoma posible.

Finalmente, Eric nos enseña una imagen en la que aparecen las distintas soluciones de Sophos Central que entran en juego en toda la comunicación y sincronización.

Soluciones de Sophos.

Recordad que podéis consultar todos los webinars y que os podéis suscribir a la Encora Newsletter para estar al día de todas nuestras novedades. 

Gracias por compartirlo en redes sociales. Esperamos vuestros comentarios.

¡Hasta pronto!

Si estás interesado en contactar con el Encora Team para hablar de un proyecto para tu empresa, pulsa en el botón y te llamamos.

Compártelo en redes sociales

SUSCRÍBETE A LA ENCORA NEWSLETTER

SÉ EL RPIMERO EN ESTAR INFORMADO DE LA ACTUALIDAD TIC CON ENCORA

estamos a tu lado en este momento crítico

Nuestro equipo de expertos te ayuda inmediatamente