Cisco ha ampliado su oferta AMP (Advanced Malware Protection) con soluciones de seguridad de los contenidos procedentes de la adquisición de Sourcefire y que incluyen las plataformas Secure Web Proxy, de seguridad del email y el servicio de seguridad web en la nube.
Según Cisco, esta funcionalidad integrada ahora en las soluciones de la compañía, diseñada originalmente por Sourcefire, proporciona a los clientes de todo el mundo amplias capacidades para combatir el malware, incluyendo detección y bloqueo, análisis continuo y eliminación retrospectiva de amenazas avanzadas (APT). Esta oferta mejorada extiende la opción de protección contra malware avanzado a más de 60 millones de usuarios empresariales actualmente protegidos por las soluciones de seguridad del contenido de Cisco.
Al igual que los ataques contra los que actúa, Advanced Malware Protection se apoya en la inteligencia de red de las extensas redes de seguridad en la nube de Cisco y de Sourcefire y está diseñada para proporcionar una monitorización y un análisis constante a través de toda la red y en todas la etapas del ataque: antes, durante y después.
Cisco también ha añadido la funcionalidad de Análisis Cognitivo frente a Amenazas -incorporada tras la adquisición de la compañía Cognitive Security el pasado año- como opción para los clientes de Cisco Cloud Web Security. El Análisis Cognitivo frente a Amenazas es un sistema altamente intuitivo y autodidacta que utiliza modelos de conducta y detección de anomalías para identificar actividad maliciosa y reducir el tiempo empleado en descubrir amenazas operando desde dentro de la red. Tanto el Análisis Cognitivo frente a Amenazas como la funcionalidad AMP están disponibles como licencia opcional de Cisco Cloud Web Security.
En lugar de apoyarse en firmas de malware -técnica que puede tardar semanas o meses en crearse para cada nueva amenaza-, AMP utiliza una combinación de reputación de archivo, sandboxing (entorno seguro de ejecución acotado) de archivo y análisis de archivo retrospectivo para identificar y detener las amenazas durante todas las etapas del ataque.
Enfoques de seguridad
La reputación de archivo analiza cargas de archivos según atraviesan la red, proporcionando a los usuarios la información necesaria para bloquear archivos maliciosos de forma automática y aplicar políticas definidas por el administrador utilizando la actual interfaz de usuario de las soluciones de seguridad web y del e-mail de Cisco y otros entornos similares de generación de informes basados en políticas.
El sandboxing de archivo, por su parte, utiliza un entorno altamente seguro de ejecución acotado para analizar y entender el verdadero comportamiento de archivos desconocidos atravesando la red. Esto permite a la protección AMP obtener detalles más precisos acerca del archivo basados en el comportamiento, y combinar esos datos con un análisis detallado tanto automatizado como manual para identificar el nivel de amenaza del archivo.
Finalmente, la retrospección de archivo soluciona el problema de archivos maliciosos que han atravesado las defensas perimetrales y que posteriormente son considerados una amenaza. En lugar de operar en un momento concreto, la retrospección de archivo proporciona análisis de forma continua, utilizando actualizaciones en tiempo real desde la inteligencia de red basada en la nube de la tecnología AMP para estar al tanto de los cambiantes niveles de amenaza. Como resultado, la funcionalidad AMP permite identificar el paciente 0, así como el resto de sistemas afectados y detener un ataque rápidamente, antes de que tenga la oportunidad de extenderse.
Además de la inclusión de la funcionalidad de AMP en las plataformas de seguridad web (Secure Web Proxy), seguridad en correo electrónico y servicio de seguridad web en la nube, AMP se ofrece como funcionalidad integrada en los dispositivos de red FirePOWER. Igualmente, la funcionalidad de AMP proporciona protección del terminal para PC, dispositivos móviles y entornos virtuales, trabajando conjuntamente con las soluciones FirePOWER y los dispositivos independientes a través de un conector.
A medida que la velocidad de red continúa aumentando, se necesitan dispositivos con mayor rendimiento que incluyan protección contra malware avanzado. Para responder a esta necesidad, Cisco ha anunciado también cuatros dispositivos FirePOWER de mayor velocidad, todos compatibles con la funcionalidad AMP: los modelos FirePOWER 8350 (15 Gbps), 8360 (30 Gbps), 8370 (45 Gbps) y 8390 (60 Gbps). Preparada para operar con todos los NetMods existentes para ofrecer una mayor modularidad y soporte, la familia FirePOWER 8300 aumenta el rendimiento de inspecciones en un 50% y puede incrementar la tasa de transferencia de datos hasta en 120 Gbps.
Francisco Carrasco, CIO America Latina