La solución de seguridad adaptativa de Teldat
Proteja sus sistemas informáticos y redes adaptando la seguridad de forma continuada, para prevenir y actuar sobre amenazas y riesgos que puedan aparecer en su ecosistema digital.
Perspectivas de mercado de CARTA
Los entornos de trabajo actuales demandan el uso de herramientas de ciberseguridad capaces de evaluar riesgos y amenazas en los sistemas de forma continua, más allá de autorizar el acceso a la red, en el marco de una confianza cero.
- Vigilancia permanente de todos los elementos de la red
- Análisis continuo del tráfico y aprendizaje automático (machine learning) para detectar patrones o conductas anómalas
- Detección del nodo de red comprometido y notificación al orquestador SD-WAN
- Anticipación a amenazas y ataques con una toma de decisiones contextual
- Modificación dinámica de la topología de la red para aislar el tráfico que produce la amenaza
Perspectivas de mercado de CARTA
La aparición de herramientas de negocio en la nube pública y su acceso a través de internet se convierte en un nuevo paradigma para empresas y administraciones. La nube pública permite a las organizaciones ahorro en costes (CAPEX), alta capacidad de procesado, fiabilidad y escalabilidad para adaptarse a las necesidades.
La combinación de nube en infraestructura pública junto con nube privada/infraestructura on-premises da lugar al concepto de nube híbrida, como intento de conseguir lo mejor de ambos mundos.
El paso a la nube pública implica en las organizaciones la necesidad de adoptar medidas de seguridad en las comunicaciones, detección y prevención de malware y protección de la integridad de los datos propios y de clientes. La seguridad de las comunicaciones está disponible desde hace tiempo, pero las organizaciones necesitan no sólo las herramientas disponibles en la actualidad de IDS/IPS sino que éstas tengan la capacidad de auto aprendizaje y se preparen para las nuevas amenazas de malware.
Además, cualquier organización debería considerar que las herramientas y métodos que utiliza para gestionar su seguridad podrían no ser efectivos, teniendo en cuenta la integración de nuevos elementos dentro de su ecosistema digital, el trabajo deslocalizado, los distintos dispositivos de acceso y, por supuesto, la evolución constante del malware y los negocios fraudulentos.
Por lo tanto, se hace imprescindible la evaluación continua de la seguridad por parte de empresas y administraciones ante la aparición de nuevas amenazas que podrían comprometer sus sistemas informáticos.
Aspectos clave de CARTA
Evaluación Continua de Amenazas
Las herramientas de análisis de red permiten detectar patrones de tráfico generado por software malicioso (malware) causante de provocar riesgos sobre la actividad económica y comprometer datos personales de empleados y clientes.
Aprendizaje Automático de Nuevas Amenazas
Las técnicas de Machine Learning permiten la identificación de amenazas a partir del aprendizaje de patrones de tráfico previamente etiquetado.
Identificación del Dispositivo Comprometido
El sistema permite detectar el equipo infectado por el malware para poder actuar sobre él de forma inmediata.
Actuación para Aislar Dispositivos Comprometidos
Evitar la propagación del malware a otros elementos de la red y de esta manera no comprometer la actividad económica ni los datos personales.
Entender CARTA
CARTA son las siglas de Continuous Adaptive Risk and Trust Assessment, el nombre complete en inglés.
Gartner introdujo en 2017 el concepto de seguridad adaptativa como un nuevo enfoque en la prevención y detección de amenazas, apostando por la necesidad de dar una respuesta continua a la constante aparición de amenazas y riesgos.
Las organizaciones empresariales que pretenden sobrevivir en el negocio digital están determinadas a afrontar cada día nuevos retos y a saber adaptarse a los cambios de manera constante. Uno de estos retos es la necesidad de adoptar nuevos enfoques que emergen en el ámbito de la ciberseguridad, y que permiten dar respuesta a las nuevas amenazas y riesgos que se presentan de forma dinámica en el ecosistema digital.
Hablamos de seguridad adaptativa, como una estrategia de prevención que lleva a cabo evaluaciones constantes a nivel de ciberseguridad en los sistemas de la compañía, aplicando dichas evaluaciones tanto a empleados, clientes, proveedores y partners. Este mecanismo permite minimizar los riesgos a través de reducir su impacto o probabilidad de comprometer los sistemas.
La Evaluación Adaptativa Continua de Riesgos y Confianza considera la implementación de arquitecturas de seguridad que se adaptan a su entorno con el fin de conocer comportamientos y eventos que permitan anticiparse a las amenazas.
Hoy en día, las organizaciones que ofrecen servicios digitales permiten el acceso a sus redes y sistemas a un gran número de usuarios tanto internos como externos que acceden tanto local como remotamente y que emplean dispositivos o sistemas no gestionados por la propia compañía.
Provocando con todo ello que los riesgos y las amenazas aparezcan de manera continua en el tiempo.
Por lo tanto, todos los sistemas y dispositivos deben considerarse potencialmente comprometidos y sus comportamientos deben ser evaluados continuamente para determinar su riesgo y confianza.
Las soluciones tradicionales en seguridad informática siguen el principio de permitir o bloquear el acceso a redes y sistemas, analizando el riesgo potencial de los distintos usuarios o dispositivos.
Pero este modelo no permite una toma de decisiones contextual suficiente ni una evaluación de la seguridad en tiempo real, pues supone que una vez se autoriza a un usuario o dispositivo entrar en la red, le asigna una confianza permanente sin ser esta reevaluada, dejando así abierta la posibilidad de que estos mismos usuarios o dispositivos puedan estar comprometidos más adelante en el tiempo y ocasionar una potencial amenaza.
El modelo se fundamenta en el marco de la confianza cero, por el que se establece la necesidad de evaluar continuamente a todos los usuarios o dispositivos y tomar decisiones de acceso contextuales, sin otorgarles una confianza intrínseca por el mero hecho de estar dentro de la red.
El modelo de Evaluación Adaptativa Continua de Riesgos y Confianza está basado en 3 fases:
-
- Ejecutar: Esta fase se apoya en la analítica para detectar anomalías en tiempo real y en el aprendizaje automático (machine learning). La analítica acelerará la detección y la automatización acelerará el tiempo de respuesta, aumentando así la capacidad de anticiparse a las amenazas y ataques. No basta con autenticar una sola vez, cuando la amenaza puede encontrarse más allá de la puerta, siendo fundamental llevar a cabo una vigilancia constante y un seguimiento de la actividad para detectar posibles conductas anómalas.
-
- Construir: La gestión de riesgos debe ir más allá del dominio de la propia empresa, esto es, debe considerarse a nivel de todo el ecosistema con el que nos integramos. Esta fase se apoya en el concepto DevSecOps, por el que la seguridad se integra desde el principio y a lo largo de todo el proceso de desarrollo de software. Por ejemplo, resulta fundamental la detección de posibles riesgos de seguridad existentes en las bibliotecas disponibles públicamente que utilizamos en el desarrollo de nuestras aplicaciones, eliminando estos riesgos antes de incorporarlas al código de producción.
-
- Planificar: Los responsables de la empresa, apoyándose en sus expertos en seguridad, deberán decidir cuál es el nivel de riesgo que están dispuestos a asumir para aprovechar las oportunidades de los nuevos entornos TI, como la incorporación del teletrabajo, dar el paso a la nube pública o aceptar nuevos socios dentro del ecosistema. El enfoque estratégico de CARTA permite tomar decisiones menos arriesgadas basadas en el contexto, analizando y evaluando de forma continua los riesgos y la confianza para estar seguros.
Solución & Producto Teldat de CARTA
Contexto
En la actualidad las empresas y administraciones desarrollan parte de su negocio empleando herramientas que exigen el acceso a internet desde los equipos de cliente. El uso de la nube híbrida se acelera y se convierte en una necesidad perentoria para la mayoría de los trabajos. La red Internet se convierte en el mejor medio para poder acceder a los servicios en la nube pública debido a su buena relación calidad precio.
Hasta hace un tiempo los entornos de trabajo se encontraban aislados: data centers privados y acceso a los mismos a través de redes como la MPLS. Sin embargo, el nuevo entorno mixto (nube pública e internet) abre la puerta a la entrada de amenazas tipo malware que impactan gravemente en el desarrollo de las actividades de las empresas provocando un quebranto económico año a año cada vez mayor.
No es solamente necesario disponer de una buena red de datos a un precio asequible, sino que la seguridad de las comunicaciones y de los equipos es absolutamente necesaria. Incorporar herramientas de seguridad es clave pero, además, que posean la capacidad de actualización de forma continua a los nuevos desafíos.
Elementos que constituyen la solución CARTA de Teldat
-
- Equipos de Sede Remota. Son los routers que residen en las instalaciones de cliente y constituyen la red de comunicaciones. Los routers están diseñados y fabricados por Teldat S.A., lo cual permite el acceso directo al software de los equipos y la implementación de las funcionalidades necesarias para la consecución del proyecto.
- be.Safe XDR. Servicio SaaS que recibe información de los Equipos de Sede Remota, analiza el tráfico buscando patrones de potenciales amenazas tipo Zero-Day y reporta sus resultados al servicio CloudWall.
- CloudWall. Servicio SaaS que partiendo de la topología de red del cliente busca el nodo comprometido a partir de la información reportada por be.Safe XDR. La información sobre el nodo comprometido es reportada al servicio Cloud Net Manager.
- Cloud Net Manager. Servicio SaaS responsable de la orquestación de la solución SD-WAN de Teldat. Recibe información del nodo comprometido (router) en la topología del cliente y realiza las acciones necesarias para aislar el tráfico que produce la amenaza.
IA aplicada a la monitorización de la red
Dentro de la fase de “ejecutar” de CARTA las herramientas de monitorización de la red son fundamentales para tener una visión no sólo de la carga de los enlaces sino poder identificar dentro de cada uno de ellos qué aplicaciones están siendo cursadas. En el caso del servicio SaaS be.Safe XDR la información del tráfico es procesada por su capa de IA (Machine Learning) con el objetivo de detectar patrones de tráfico que encajen con tráfico de malware ya aprendidos por el sistema. La capa de IA tiene la funcionalidad de aprendizaje ante nuevas amenazas zero-day, buscando la adaptación continua del conocimiento de nuevos riesgos que puedan afectar a la red de cliente, siguiendo la filosofía de CARTA.
be.Safe XDR no sólo es una herramienta de monitorización, sino que aporta información sobre la identificación de tráfico comprometido y qué elemento de la red es su origen. Esta información está expuesta a terceras partes por medio de un interfaz API Rest.
Aislamiento de nodos comprometidos
La información expuesta por el servicio be.Safe XDR es consumida por el servicio SaaS CloudWall. Este servicio selecciona qué enlaces de la red hay que desconectar con el fin de aislar los nodos comprometidos y evitar que se produzca la extensión de la infección provocada por el malware. Para realizar esta labor necesita acceder a la información de los nodos comprometidos, expuesta por be.Safe XDR, y la topología de la red del cliente, sobre la cual actuar.
La información topológica es suministrada por un servicio orquestador de red.
Integración con la solución SD-WAN
La integración de CloudWall con el servicio de orquestación SDWAN de Teldat (Cloud Net Manager) es directa por los siguientes motivos:
-
- CloudWall accede a la topología de la red SDWAN a través del orquestador CNM por medio del interfaz API Rest disponible en CNM.
- CloudWall comunica al orquestador CNM los cambios en la topología para aislar los nodos comprometidos.
- Al ser la red del cliente tipo SDWAN (Software Defined Network), el orquestador CNM modifica dinámicamente la topología de la red. La modificación consiste en la actualización dinámica de las configuraciones de los routers instalados en el cliente.
Lea nuestros últimos posts
Ciberataques en Agosto: Un riesgo incrementado durante las vacaciones
¿Quiénes han sufrido ciberataques en este mes de agosto? El mes de agosto es sinónimo de vacaciones para millones de personas en todo el mundo. Mientras las playas se llenan y las oficinas se vacían, un grupo diferente de actores se prepara para aprovechar la...
Ataques de seguridad a la Cadena de Suministro
En la era digital, las cadenas de suministro son esenciales para el funcionamiento fluido de las empresas y la economía en general. Las empresas dependen cada vez más de un ecosistema interconectado de proveedores, software y servicios para funcionar. Sin embargo, en...
Revolución de la Ciberseguridad: Inteligencia Artificial y Aprendizaje Automático en Acción
En el escenario siempre cambiante y desafiante de la ciberseguridad, una tendencia ha emergido como un catalizador de cambio: la integración de la Inteligencia Artificial (IA) y el Aprendizaje Automático (ML). Dichas tecnologías están desempeñando un papel fundamental...