La puerta de enlace web segura (SWG) desempeña un papel crucial en la solución SASE/SSE, cuyo objetivo es proteger las conexiones a Internet.
Su objetivo principal es proteger a los usuarios de las amenazas en línea y aplicar políticas de acceso aceptables dentro de una organización.
El SASE lo consigue interceptando el tráfico de los usuarios y empleando varios motores de seguridad, incluida la aplicación de políticas de acceso.
Sólo se permite el paso al tráfico que cumple las políticas de acceso de la organización y que se considera limpio.
Dado que actualmente el 95% del tráfico de Internet está cifrado, para lograr una seguridad completa en las soluciones SASE/SSE es necesario poder descifrar este tráfico.
Aunque la mayor parte del tráfico puede descifrarse utilizando el descifrado TLS MITM (Man-In-The-Middle), han surgido preocupaciones en torno a la privacidad de los usuarios, sobre todo cuando éstos visitan sitios web que manejan información personal identificable (PII) o sitios bancarios.
Además, algunos proveedores de software de aplicaciones han empezado a adoptar técnicas de anclaje de certificados para evitar por completo el descifrado TLS MITM.
Estos avances plantean interrogantes sobre la seguridad que puede aplicarse en el nivel SASE sin dejar de aportar valor a las empresas.
Aquí es donde los motores de seguridad de reputación están ganando impulso.
Este artículo destaca el valor de los SASE para las conexiones a través de Internet describiendo los motores de seguridad que pueden aplicarse universalmente, con o sin descifrado TLS.
También explora los motores de seguridad que operan sobre el tráfico TLS descifrado, permitiendo medidas de seguridad integrales.

Características genéricas comunes a todos los componentes de SASE

Dado que el control de acceso de SASE Security se centra en la identidad, la autenticación y la autorización son funciones fundamentales necesarias en todos los componentes de SASE.
Los artículos sobre SASE consciente de la identidad y el corredor de identidades proporcionan información sobre los diferentes métodos de autenticación y las interfaces con múltiples servicios de autenticación. Además, el artículo sobre proxies en SASE profundiza en las técnicas utilizadas para capturar el tráfico que fluye de los usuarios a Internet, de los usuarios a los servicios SaaS y de los usuarios a las aplicaciones empresariales.
Sin embargo, este artículo se centra principalmente en los motores de seguridad del componente SWG.
Tenga en cuenta que este artículo tampoco profundiza en otras características comunes que comparten todos los componentes SASE, como la gestión centralizada de la configuración y las capacidades de observabilidad.

Motores de seguridad y evaluación de políticas genéricas

En el marco SASE, todos los motores de seguridad funcionan basándose en políticas administradas, que proporcionan las reglas y acciones para gobernar el comportamiento del sistema.
Cada motor de seguridad puede constar de varias tablas de políticas, y cada tabla puede contener varias políticas.
Una política se compone de una acción y un conjunto de reglas.
La «acción» determina cómo debe manejar el sistema la sesión de tráfico.
Las reglas dentro de una política definen las condiciones que deben satisfacerse para que la política se considere coincidente.
Las reglas constan de atributos coincidentes y sus valores correspondientes.
Si la sesión de tráfico se ajusta a los valores de los atributos especificados, la regla se considera coincidente.
Se pueden utilizar varios atributos de coincidencia dentro de las reglas para aplicar las políticas de seguridad de forma eficaz.
Algunos ejemplos de estos atributos son el horario (intervalo de fecha/hora), la IP de origen, la IP de destino, el puerto de protocolo/destino, el puerto de origen, atributos de reclamaciones de usuario como la dirección de correo electrónico del usuario, el grupo de usuarios, el rol del usuario, el emisor y otros según se especifique en el registro de reclamaciones JWT.
Además, también se pueden utilizar atributos como el nombre de dominio, la URL, las cabeceras y valores de la solicitud, el método HTTP, la postura del dispositivo, la puntuación UEBA, la ubicación del usuario, la categoría del dominio, la puntuación de la reputación del dominio, la categoría de la URL, la puntuación de la reputación de la URL, la categoría de seguridad de la IP, la puntuación de la reputación de la IP y la puntuación de la reputación del archivo.
Es importante tener en cuenta que es posible que todos los motores de seguridad no admitan todos los atributos de coincidencia en sus políticas.
SASE evalúa las sesiones de tráfico haciéndolas pasar a través de múltiples motores de seguridad.
Cada motor de seguridad decide independientemente si permite la sesión de tráfico basándose en sus políticas configuradas.
Si todos los motores de seguridad permiten que la sesión de tráfico continúe, SASE permite que el tráfico pase.
El orden en el que SASE ejecuta los motores de seguridad suele estar predefinido.
Sin embargo, ciertas implementaciones de SASE pueden ofrecer la flexibilidad de seleccionar el orden en el que se ejecutan los motores de seguridad.
Esto permite a los administradores dar prioridad a motores de seguridad específicos o adaptar la secuencia de procesamiento en función de sus necesidades.

Recopilación de información sobre amenazas en línea

El componente SWG (Secure Web Gateway) desempeña un papel crucial en la recopilación de inteligencia sobre amenazas en línea.
Se basa en la alimentación de datos de proveedores acreditados para adquirir información valiosa sobre diferentes aspectos, entre ellos:

  • Reputación de direcciones IP, dominios, URL, archivos y servicios SaaS: El SWG aprovecha las fuentes de información sobre amenazas/datos para evaluar la reputación de estas entidades.
    Esta información ayuda a identificar fuentes potencialmente maliciosas o sospechosas, permitiendo al sistema tomar decisiones informadas.
  • Categorización de dominios, URL y servicios SaaS: Utilizando los feeds de inteligencia, el SWG puede determinar las categorías a las que pertenecen los dominios, las URL y los servicios SaaS.
    Esta categorización ayuda en la aplicación de políticas y permite a las organizaciones definir controles de seguridad granulares basados en categorías específicas.
  • Clasificación del contenido del malware: El SWG emplea la inteligencia sobre amenazas recopilada para clasificar el malware potencial basándose en el análisis del contenido.
    Examinando las características del contenido, el sistema puede identificar y bloquear o poner en cuarentena los archivos o sitios web maliciosos, evitando que causen daños.
  • Clasificación de datos del contenido: El SWG también utiliza fuentes de inteligencia de clasificación de datos para clasificar el contenido del tráfico web.
    Esta clasificación ayuda a identificar la información sensible o confidencial que puede transmitirse o a la que puede accederse, lo que permite a las organizaciones aplicar eficazmente las políticas de protección de datos.

Como todo el tráfico de Internet y SaaS pasa por el SWG, éste tiene la capacidad de recopilar diversos atributos del tráfico.
Aprovechando las fuentes de inteligencia de datos/amenazas, el SWG puede enriquecer estos atributos con valiosa información sobre amenazas.
Esta información no sólo facilita la aplicación de políticas a través de diferentes motores de seguridad, sino que también proporciona visibilidad sobre las amenazas presentes en el tráfico que fluye a través del SWG.
Esta visibilidad mejorada permite a las organizaciones detectar y mitigar los posibles riesgos de seguridad en tiempo real, garantizando una postura de seguridad sólida.

Motores de seguridad antes de la inspección SSL

Estos motores de seguridad procesan las sesiones de tráfico antes de que sean descifradas TLS/SSL.
Estos motores de seguridad actúan sobre todo el tráfico HTTP vinculado a Internet.
Estos motores de seguridad detienen la sesión de tráfico si identifican algún riesgo potencial.

  • Motor de seguridad de protección frente a amenazas basado en la reputación IP: Los administradores del SWG disponen de la capacidad de crear políticas basadas en categorías IP específicas, puntuaciones de reputación IP y otros atributos genéricos, lo que les permite establecer medidas de seguridad a medida.
    Este motor ofrece una sólida protección a los usuarios que acceden a sitios web conocidos por albergar malware y contenidos de phishing.
    Aprovechando la información exhaustiva sobre amenazas recopilada en las direcciones IP de destino, el motor identifica y mitiga eficazmente los riesgos potenciales, protegiendo a los usuarios de actividades maliciosas.
    Al evaluar la reputación de cada dirección IP, el motor de seguridad toma decisiones bien informadas sobre las acciones apropiadas que deben emprenderse en consonancia con la política de coincidencia, garantizando una postura de seguridad proactiva y dinámica.
  • Motor de seguridad de protección frente a amenazas basado en la reputación de dominios: Los administradores de SWG poseen la capacidad de crear políticas basadas en categorías de dominios, puntuaciones de reputación de dominios y otros atributos genéricos, lo que les permite definir eficazmente las medidas de seguridad deseadas.
    Este motor proporciona una protección integral a los usuarios que acceden a sitios web marcados por albergar contenidos de malware y phishing.
    Aprovechando la inteligencia sobre amenazas de dominio recopilada de diversas fuentes, como el encabezado de host HTTP CONNECT, TLS SNI para el tráfico HTTP basado en TLS y el encabezado de host del tráfico HTTP claro, el motor evalúa las políticas para identificar con precisión y mitigar los riesgos potenciales.
    Al incorporar datos de reputación de dominios, el motor de seguridad garantiza medidas de defensa proactivas, reforzando la postura de seguridad general y protegiendo a los usuarios de posibles amenazas.

Los motores de seguridad basados en la reputación dan prioridad tanto a la precisión como a la adaptabilidad.
Estos motores de seguridad ofrecen una amplia flexibilidad a nivel de políticas para dotar a los administradores de SWG de la capacidad de crear excepciones.
Estas excepciones son cruciales por varias razones, como abordar los falsos positivos generados por los feeds de inteligencia de amenazas y acomodar la necesidad deliberada de permitir el tráfico para que los cazadores de amenazas locales realicen más inspecciones.
En lo que se refiere al motor de seguridad de reputación de dominios, surge una pregunta importante sobre qué nombre de dominio utilizar para recopilar inteligencia y aplicar políticas de reputación.
Esta cuestión surge porque el nombre de dominio está presente en múltiples capas del tráfico.
En el caso del tráfico que fluye a través del método proxy de reenvío del SWG, éste puede extraer el nombre de dominio del encabezado de host de la solicitud HTTP CONNECT y del campo TLS Server Name Indication (SNI).
Aunque los valores de la cabecera del host y del SNI TLS suelen coincidir, hay casos en los que pueden diferir.
Como resultado, los SWG realizan inherentemente dos pasadas a través de este motor de seguridad por defecto.
La primera pasada se produce cuando el SWG recibe la solicitud HTTP CONNECT, mientras que la segunda se produce cuando el SWG recibe el tráfico TLS.
Este enfoque garantiza que el SWG pueda evaluar con precisión la reputación del dominio y aplicar las políticas correspondientes.
Sin embargo, los SWG están diseñados para ser inteligentes y eficientes.
Si los nombres de dominio extraídos de la solicitud HTTP CONNECT y del campo SNI de TLS son idénticos, el SWG reconoce esta redundancia y evita la necesidad de una segunda ejecución del motor de reputación.
Esta optimización ayuda a agilizar el proceso de evaluación de la seguridad y reduce la sobrecarga computacional innecesaria, lo que permite al SWG mantener niveles de alto rendimiento al tiempo que garantiza una protección integral contra amenazas basada en la reputación de dominios.

Motor de control de acceso

Además de la protección contra amenazas basada en la reputación, los SWG ofrecen sólidas capacidades de control de acceso, lo que permite a los administradores proporcionar un acceso diferenciado a los usuarios cuando acceden a diversos sitios de Internet.
Este potente motor de seguridad permite a los administradores crear políticas basadas en categorías de dominio, proporcionadas por proveedores de inteligencia sobre amenazas de gran reputación.
Al aprovechar las categorías de dominio, los administradores de SWG pueden simplificar su experiencia de gestión clasificando un gran número de sitios de Internet en unas pocas categorías generales.
Este sistema de clasificación mejora la eficacia y la facilidad de creación de políticas, garantizando que los administradores puedan definir eficazmente las medidas de control de acceso sin necesidad de una configuración granular para cada sitio individual.
Además, el motor de control de acceso también ofrece la flexibilidad de especificar nombres de dominio individuales dentro de las políticas.
Esto permite a los administradores tener un control de grano fino sobre el acceso a sitios específicos, dando cabida a situaciones en las que sitios específicos requieren permisos o restricciones de acceso únicos.
La flexibilidad del motor de control de acceso resulta especialmente útil en escenarios en los que se producen falsos positivos en el proceso de categorización de dominios.
En tales casos, los administradores pueden crear excepciones dentro de las políticas para anular la categorización y garantizar un control de acceso preciso para los sitios afectados.
Esta capacidad de manejar excepciones permite a los administradores mantener un equilibrio entre las estrictas medidas de seguridad y la provisión del acceso necesario para los sitios legítimos que pudieran estar mal clasificados.

Motor de inspección SASE TLS/SSL

El motor de inspección TLS/SSL de SWG desempeña un papel crucial a la hora de habilitar controles de acceso avanzados y protección frente a amenazas que requieren acceso al contenido de las sesiones TLS/SSL.
Sin embargo, la inspección TLS requiere descifrar estas sesiones, lo que exige acceder a las claves privadas.
Como entidad Man-In-The-Middle (MITM), el SWG no tiene acceso directo a las claves privadas.
Para superar esta limitación, los motores de inspección TLS suelen emplear una técnica en la que imitan el certificado del servidor utilizando la Autoridad de Certificación (CA) de confianza de la empresa.
El flujo típico de pasos que sigue el motor de inspección TLS para cada nueva sesión TLS del cliente es el siguiente:

  • Establezca una conexión TLS con el servicio de destino (sitio de Internet).
  • Recuperar el certificado presentado por el servicio de destino.
  • Imita el contenido del certificado, incluida su vida útil, para crear un certificado imitado.
  • Firme el certificado mímico utilizando la CA de confianza de la empresa.
  • Presente este certificado mímico durante el apretón de manos TLS con el cliente.

Para que este proceso funcione a la perfección sin provocar ventanas emergentes de seguridad en los navegadores, es esencial que la cadena de certificados de la CA de la empresa esté incorporada de forma segura en las máquinas de los empleados como CA de confianza, normalmente a través de su software de gestión del sistema.
Para minimizar la sobrecarga computacional asociada a la generación de claves y la firma de certificados mímicos, el motor de inspección TLS almacena en caché los certificados mímicos y las claves privadas correspondientes, reutilizándolos hasta que caduque su vida útil.
Aunque la inspección TLS es muy deseable para la protección contra amenazas avanzadas y el control de acceso, las empresas pueden tener casos específicos en los que no se permite el descifrado.
Estos casos incluyen preocupaciones por la privacidad, especialmente cuando se accede a sitios bancarios, financieros o sanitarios, así como escenarios en los que se emplea el pinning de certificados.
Además, las empresas pueden optar por no habilitar la inspección TLS para el contenido que ya se comprueba en busca de amenazas antes de que se produzca el cifrado TLS en el lado del cliente, como a través del navegador o las extensiones de Office 365.
Para ofrecer flexibilidad a la hora de decidir si se realiza o no el descifrado TLS, el motor de inspección TLS/SSL de SWG permite a los administradores crear políticas.
Estas políticas pueden incluir clasificaciones por categorías de dominios, lo que permite a los administradores eludir el descifrado TLS para categorías específicas como sitios financieros y sanitarios, así como cualquier otro sitio para el que la empresa no se sienta cómoda con el descifrado.
Al ofrecer un control y una categorización basados en políticas, el motor de inspección TLS/SSL de SWG permite a las empresas lograr un equilibrio entre el mantenimiento de la privacidad y la seguridad, al tiempo que garantiza una sólida protección frente a amenazas y controles de acceso avanzados.

SWG Infraestructura PKI

Los servicios SASE son inherentemente multi-tenant, soportando múltiples empresas.
Dentro de este contexto, algunas empresas pueden tener su propia infraestructura de infraestructura de clave pública (PKI), mientras que otras pueden no tener ninguna infraestructura PKI en funcionamiento.
Es importante tener en cuenta que el certificado CA de la empresa (utilizado para firmar los certificados mímicos) debe tener una vida útil relativamente corta, normalmente de unos pocos días, para garantizar una seguridad sólida.
La reemisión periódica del certificado CA es necesaria para mantener un entorno seguro.
Para garantizar la seguridad de la clave privada del certificado de la CA en el contexto del SWG, es preferible la generación de certificados basada en una solicitud de firma de certificado (CSR).
Muchos SWG proporcionan su propia infraestructura PKI para emitir certificados de CA intermedios (certificados de CA de SWG) a sus instancias de plano de datos de SWG.
En los casos en los que una empresa no disponga de su propia infraestructura PKI, la infraestructura PKI del SWG crea automáticamente los certificados CA padre y CA raíz en nombre de la empresa individual.
En situaciones en las que una empresa sí disponga de su propia infraestructura PKI, la infraestructura PKI del SWG establece la comunicación con la infraestructura PKI de la empresa para obtener el certificado CA padre firmado.
Una vez obtenido el certificado de la CA matriz, se utiliza para firmar los certificados de la CA del SWG, garantizando la autenticidad e integridad de los certificados utilizados para firmar los certificados mímicos.
La infraestructura PKI se considera un componente crítico del SWG, ya que desempeña un papel vital en la seguridad de las claves privadas utilizadas para firmar los certificados mímicos.
Mediante la gestión eficaz de la infraestructura PKI, incluida la reemisión periódica de los certificados CA, y la adhesión a las prácticas de seguridad establecidas, los SWG pueden garantizar la integridad y la fiabilidad de los certificados utilizados en el entorno de servicios SASE multiusuario.

Motores de seguridad tras la inspección SSL

Tras el descifrado TLS/SSL, el SWG utiliza un conjunto de motores de seguridad para procesar las sesiones de tráfico e identificar cualquier riesgo potencial.
Estos motores de seguridad desempeñan un papel crucial para garantizar una protección integral frente a las amenazas

Motor de seguridad de protección frente a amenazas basado en la reputación de las URL

Los administradores de SWG están equipados con la capacidad de crear políticas basadas en categorías de URL, puntuaciones de reputación de URL y otros atributos relevantes, lo que les permite definir eficazmente las medidas de seguridad.
Aunque el motor de protección contra amenazas basado en la reputación del dominio proporciona protección a nivel de dominio, hay casos en los que se hace necesario realizar una protección contra amenazas basada en la reputación a nivel de URL.
Esto es especialmente importante para los sitios web que tienen subsecciones o URL diferentes que representan secciones específicas del sitio.
Mientras que la reputación general del dominio puede ser buena, ciertas secciones individuales dentro del sitio podrían estar comprometidas o suponer un riesgo.
Por lo tanto, el motor de seguridad de reputación basado en URL es esencial para una protección integral, evitando que los usuarios accedan a sitios web alojados con malware o de suplantación de identidad.
Al tener en cuenta la reputación de URL específicas, este motor mejora la precisión de la detección de amenazas y permite el bloqueo proactivo de contenidos potencialmente dañinos.
Como se mencionó anteriormente en la sección «Motores de seguridad de predescifrado de SWG», las puntuaciones de reputación derivadas de las fuentes de inteligencia sobre amenazas a veces pueden dar lugar a falsos positivos.
Además, hay casos en los que los administradores pueden querer permitir que una sesión de tráfico continúe para una inspección más profunda por parte de los cazadores de amenazas.
Además, si ya se ha aplicado una protección exhaustiva a nivel de cliente, duplicar la protección contra amenazas a nivel de puerta de enlace puede ser innecesario.
Para hacer frente a estos escenarios, los motores de protección contra amenazas reputacionales posteriores al descifrado también se basan en políticas, lo que permite a los administradores crear políticas de excepción.

Motor de control de acceso avanzado

Además de la protección contra amenazas basada en la reputación, los SWG proporcionan sólidas funciones de control de acceso avanzado, que permiten a los administradores imponer un acceso diferenciado a los usuarios cuando acceden a diversos sitios de Internet.
Este motor de control de acceso avanzado comparte similitudes con el «Motor de control de acceso» descrito anteriormente en la sección «Motores de seguridad SWG previos al descifrado».
Sin embargo, como funciona después del descifrado TLS, ofrece opciones de control de acceso aún más sofisticadas basadas en URL, métodos HTTP y cabeceras de solicitud HTTP.
El motor de control de acceso avanzado aprovecha las categorías de URL, que proporcionan una clasificación más precisa y granular de los sitios web en comparación con las categorías de dominios.
Al utilizar las categorías de URL, los administradores pueden definir eficazmente políticas para regular el acceso basándose en URL específicas, lo que permite un control de acceso de grano fino.
De forma similar al motor de control de acceso, el motor de control de acceso avanzado también proporciona la flexibilidad de crear excepciones, abordando escenarios en los que se producen falsos positivos en la categorización de URL.
Estas excepciones permiten a los administradores anular las políticas de control de acceso predeterminadas para sitios o contenidos específicos que podrían clasificarse erróneamente o requerir permisos de acceso especiales.

Motores de seguridad con inspección de contenidos

Hasta ahora, los motores de seguridad descritos se han centrado en detener las sesiones de tráfico cuando se detectan amenazas o se deniega el acceso.
Estos motores funcionan basándose en la información HTTP inicial y en las cabeceras de las solicitudes, lo que permite suspender el tráfico hasta que éste sea inspeccionado.
Sin embargo, existen motores de seguridad adicionales que requieren una inspección más profunda del contenido dentro de las sesiones HTTP.
Estos motores necesitan acceder al contenido tanto de las solicitudes como de las respuestas para detectar eficazmente las amenazas.
A diferencia de los motores anteriores, estos motores de inspección de contenidos no detienen todo el flujo de tráfico, sino que detienen el tráfico específico en el momento en que se detecta una amenaza.
Algunos de estos motores de seguridad no sólo requieren acceso a todo el contenido, sino que también pueden tener que realizar un procesamiento adicional del mismo antes de utilizar la información sobre amenazas para identificar posibles amenazas.
Por ejemplo, si un archivo está comprimido, es necesario descomprimirlo para analizarlo.
Además, algunos proveedores de inteligencia sobre amenazas esperan la extracción de flujos de texto de distintos tipos de archivos, como documentos de Word, presentaciones de PowerPoint, archivos de OpenOffice, hojas de cálculo de Excel, PDF, etc.
Dado que estas extracciones y detecciones de amenazas pueden ser computacionalmente intensivas, pueden introducir latencia en las transacciones HTTP.
Para solucionarlo, muchos de estos motores de seguridad ofrecen dos opciones: captura en línea con detección de amenazas y aplicación en línea, o captura en línea con detección de amenazas fuera de línea.
En el modo de detección en línea, el tráfico se captura y la detección de amenazas se produce dentro de la sesión HTTP, lo que permite acciones de aplicación inmediatas.
En el modo de detección fuera de línea, el tráfico se sigue capturando, pero la extracción del flujo de texto y la detección de amenazas con fuentes de inteligencia sobre amenazas se realizan fuera de la sesión HTTP.
En este modo, el tráfico infractor no se detiene inmediatamente, pero se mantiene la visibilidad de las amenazas potenciales.
Estos dos modos proporcionan flexibilidad a las empresas para equilibrar la protección contra amenazas en línea y la experiencia del usuario, permitiéndoles elegir el enfoque que mejor se adapte a sus necesidades.

Motor de seguridad de protección contra amenazas basado en la reputación de archivos

El SWG incorpora un motor de seguridad de protección contra amenazas basado en la reputación de los archivos que desempeña un papel vital en la evaluación de la reputación de los archivos transferidos a través de HTTP.
Este motor aprovecha la función de recopilación de información sobre amenazas del SWG, que analiza continuamente el contenido que pasa por la pasarela.
A medida que fluye el tráfico, el motor de inteligencia sobre amenazas calcula el hash del contenido, tanto mientras se transfiere como al final del archivo, para determinar la puntuación de reputación del archivo.
Si es necesario, el SWG realiza la descompresión del contenido antes de calcular el hash.
Los administradores disponen de la flexibilidad necesaria para crear políticas que tengan en cuenta la puntuación de reputación del archivo y dicten si permitir o denegar la sesión de tráfico en función de esta evaluación.
Este motor de seguridad realiza la evaluación de la política y detiene la transferencia ulterior del tráfico una vez detectada la amenaza.

Motor de seguridad antimalware

El motor de seguridad antimalware integrado en los SWG incorpora funciones avanzadas de inteligencia sobre amenazas y antimalware para detectar e impedir eficazmente que los virus y el malware se infiltren en el flujo de tráfico y lleguen a los dispositivos de los usuarios.
Este motor también desempeña un papel crucial a la hora de evitar que los usuarios propaguen malware sin saberlo, ya que supervisa activamente el tráfico en ambas direcciones.
Como ya se ha mencionado, estos motores de seguridad emplean diversas técnicas para analizar el contenido de los archivos locales.
Si es necesario, el motor descomprime los archivos y extrae el flujo de texto, que se somete a un examen exhaustivo mediante funciones antimalware de inteligencia de amenazas.
El flujo de texto es especialmente importante para el análisis basado en firmas, ya que permite detectar cepas de malware conocidas.
Las soluciones SWG ofrecen flexibilidad a los administradores, permitiéndoles crear políticas que dicten las acciones apropiadas a tomar al detectar distintos tipos de malware y teniendo en cuenta el nivel de confianza proporcionado por el proveedor de inteligencia sobre amenazas.
Esto garantiza que las respuestas al malware se adapten a la amenaza específica y al nivel de riesgo.
Además, los SWG proporcionan la capacidad de crear excepciones dentro de las políticas para abordar problemas de rendimiento, falsos positivos y para facilitar inspecciones más profundas de las amenazas por parte de los cazadores de amenazas.
Esta flexibilidad permite a los administradores afinar las medidas de seguridad y lograr el equilibrio adecuado entre protección y eficacia operativa.

Motor de seguridad de detección y prevención de intrusiones (IDP)

El motor de seguridad IDP es una parte integral de los SWG, diseñado para identificar posibles exploits dentro de los flujos de tráfico.
Explotar las vulnerabilidades del sistema es un método común que emplean los atacantes para obtener acceso no autorizado, introducir rootkits y distribuir malware.
Estas vulnerabilidades pueden adoptar la forma de desbordamientos de búfer/pila, validación de entrada inadecuada o configuraciones erróneas en sistemas y aplicaciones.
El IDPS dentro de SWGs puede detectar ataques de exploits dirigidos a máquinas cliente e identificar clientes comprometidos que intenten explotar servicios de terceros en Internet, evitando que los activos de la empresa se conviertan en plataformas de lanzamiento de nuevos ataques.
El motor IDP dentro de SWGs ofrece una detección precisa con menos falsos positivos por varias razones:

  • Acceso a datos limpios: El motor IDP puede acceder a datos de tráfico que han sido limpiados de encriptación, lo que le permite analizar y detectar eficazmente posibles ataques.
  • Acceso a datos reensamblados y resecuenciados: El motor puede acceder a flujos de datos reconstruidos y reordenados, lo que garantiza un análisis exhaustivo y la detección de cualquier actividad maliciosa.
  • Acceso a los datos extraídos y descodificados del protocolo HTTP: Al disponer de datos extraídos y descodificados de la parte proxy de los SWG, el motor IDP obtiene una visibilidad más profunda del contenido, lo que permite una detección más eficaz de los patrones de ataque.

El motor IDP emplea varios tipos de firmas para detectar ataques, incluyendo firmas de anomalías de protocolo, firmas de anomalías de tráfico y firmas basadas en el contenido.
Los proveedores de inteligencia de amenazas ofrecen extensas bases de datos de firmas, pero cargar cada firma puede afectar significativamente al rendimiento del sistema.
Para abordar esta preocupación, los SWG proporcionan capacidades de ajuste de firmas basadas en factores como la aplicabilidad de las firmas.
Por ejemplo, se pueden evitar las firmas que no son relevantes para el tráfico basado en HTTP o las que inspeccionan el contenido no descifrado dentro de HTTP.
El ajuste también puede tener en cuenta factores como el impacto del riesgo o los niveles de confianza de las firmas proporcionadas por los proveedores de inteligencia sobre amenazas.
Las soluciones de SWG también ofrecen una selección del tráfico basada en políticas, lo que permite a los administradores determinar qué tráfico debe someterse al procesamiento de IDP.
Esta flexibilidad permite evitar escaneos IDP redundantes en el tráfico que ya ha sido escaneado en busca de ataques a nivel del punto final del cliente.

Motor de seguridad para la prevención de la pérdida de datos

La inclusión del motor de seguridad de prevención de pérdida de datos (DLP) en los SWG es cada vez más frecuente.
Este potente motor está diseñado para evitar que los usuarios transmitan o reciban inadvertidamente información confidencial de tipo financiero, contable o empresarial sin la debida autorización.
Al aprovechar los controles basados en políticas y los atributos de los usuarios, el motor de seguridad DLP supervisa y mitiga el riesgo de fugas de datos accidentales o intencionadas.
Para desempeñar eficazmente su función, el motor de seguridad DLP necesita acceder al contenido completo de las transmisiones de datos.
Extrae flujos de texto, lo que le permite analizar y clasificar los datos en función de su sensibilidad.
Los proveedores de inteligencia de clasificación de datos utilizan el flujo de texto para generar resultados de clasificación, que abarcan varios atributos como etiquetas de cumplimiento (por ejemplo, información de identificación personal o PII), datos genéricos de documentos confidenciales (por ejemplo, información financiera) y datos sensibles definidos a medida.
Para facilitar un control preciso de los datos confidenciales, los SWG ofrecen a los administradores la posibilidad de crear políticas que incorporan distintos atributos y valores de clasificación.
Estas políticas, combinadas con atributos de correspondencia genéricos, permiten a los administradores definir controles de acceso granulares y especificar cómo deben tratarse los distintos tipos de datos sensibles.

Motores de seguridad personalizados (traiga su propio motor de seguridad)

Aunque los proveedores de SASE/SWG ofrecen una cobertura de seguridad completa, el panorama de amenazas en constante evolución, en particular los ataques de día cero, puede requerir mejoras adicionales.
Los equipos de seguridad de las empresas suelen ser proactivos en sus esfuerzos de caza de amenazas, identificando nuevos patrones de ataque.
También pueden recibir nuevos patrones de amenazas de otros equipos de seguridad de la empresa a través del intercambio de inteligencia sobre amenazas.
En ambos casos, estos equipos pueden querer que los SWG protejan sus activos contra estos patrones de amenazas y ataques emergentes.
Aunque los SWG suelen disponer de motores IDP y otros motores de seguridad bien configurados, hay situaciones en las que los sistemas de configuración pueden carecer de la flexibilidad necesaria para crear reglas que permitan detectar patrones de amenazas complejos.
Confiar únicamente en los proveedores de SWG para añadir nueva lógica de software para estas protecciones puede llevar mucho tiempo.
Además, los patrones de amenaza observados por las empresas pueden ser específicos de su entorno y no aplicables para un uso genérico.
En estos casos, los proveedores de SWG pueden mostrarse reticentes a la hora de lanzar un nuevo software en el momento oportuno para abordar estos requisitos personalizados.
Por lo tanto, existe la necesidad de flexibilidad para integrar nuevos motores de seguridad programática personalizados desarrollados por los departamentos de seguridad de las empresas o los proveedores de servicios de seguridad gestionados (MSSP).
Se espera que las soluciones SWG ofrezcan interfaces abiertas para incorporar nuevos motores de seguridad.
Algunos SWG ofrecen la capacidad de añadir scripts Lua y módulos WebAssembly (WASM).
Con estas capacidades, las organizaciones pueden desarrollar nuevos motores de seguridad como scripts Lua o módulos WASM e integrarlos en la infraestructura del SWG.
Los SWG garantizan que estos motores personalizados no interfieran con otros motores de seguridad y que consuman recursos informáticos dentro de los límites configurados por los administradores de los SWG.
Al permitir la integración de motores de seguridad programáticos personalizados, los SWG facultan a las empresas para mejorar su postura de seguridad, responder rápidamente a las amenazas emergentes y proteger sus activos con eficacia.
Esta flexibilidad permite a las organizaciones aprovechar su experiencia interna en materia de seguridad o colaborar con los MSSP para desarrollar motores de seguridad a medida que respondan a sus requisitos de seguridad exclusivos.

Resumen

En resumen, este artículo ha proporcionado una visión general de los motores de seguridad para el acceso seguro a Internet.
Es importante señalar que la inclusión de todos los motores de seguridad puede variar entre las distintas soluciones SASE/SWG, y que pueden añadirse nuevos motores de seguridad a medida que surjan nuevos tipos de amenazas de Internet.
Las soluciones SASE/SWG aprovechan motores de seguridad como la Protección contra Amenazas basada en la Reputación IP, la Protección contra Amenazas basada en la Reputación de Dominio, el Control de Acceso, la Inspección TLS/SSL, la Protección contra Amenazas basada en la Reputación de Archivos, el Anti-Malware, la Detección y Prevención de Intrusiones, la Prevención de Pérdida de Datos y otros.
Estos motores de seguridad mejoran las medidas de seguridad generales y proporcionan protección contra diversas amenazas cuando se accede a Internet.
Como el panorama de las amenazas sigue evolucionando, las organizaciones deben evaluar periódicamente sus necesidades de seguridad y asegurarse de que la solución SASE elegida incorpora los motores de seguridad necesarios para mitigar eficazmente los riesgos emergentes.

  • Blog CTO Insights

    La serie de blogs Aryaka CTO Insights proporciona liderazgo de pensamiento para temas de red, seguridad y SASE.
    Para conocer las especificaciones de los productos Aryaka, consulte Aryaka Datasheets.