Facebook Linkedin twitter

El testimonio de un cliente demuestra la eficacia del antimalware Sky ATP

Publicado en Palabra del cliente, Seguridad, por Juniper en 13/02/2017


Por Matt Jolly*


En Vology, instalamos el firewall SRX1500s y, recientemente, activamos el antimalware Sky ATP, un servicio basado en la red e integrado a los firewalls de la Serie SRX de Juniper Networks, que emplea varias tecnologías en la nube e identifica varios niveles de riesgos de manera automatizada, usando análisis profundo, bloqueo in line de malware y accionamiento de reportes.


El objetivo era obtener un servicio capaz de mostrar en tiempo real el tráfico remoto en todo nuestro centro de datos. Queríamos ver las amenazas en el momento en que surgen y actuar muy rápidamente. Lo que experimentamos ha sido inesperado y aclarador. El sistema y los paneles de monitoreo son muy fáciles de usar. Entrar en hosts específicos es extremadamente simple. Esto nos permitió ver las descubiertas del Sky ATP ya en sus primeras horas online.


Descubrimos que algunos de nuestros servidores internos en el centro de datos y varios de nuestros usuarios remotos fueron señalizados y bloqueados por hits de comando y control (C&C). Analizando los detalles del incidente, verificamos rápidamente que las amenazas de comando y control estaban llegando por el navegador web local de las máquinas infectadas. Los servidores C&C esperaban respuestas de scripts ingresados en páginas web de sitios web legítimos (por ejemplo, Yahoo y CNN). La mayoría de los sitios web públicos tiene publicidad incorporada que llena espacios en blanco a la derecha o a la izquierda de la página principal. Estos anuncios son de empresas como Outbrain o Webtrends. Observamos que muchos de estos scripts de anuncios parecen no ser objeto de control y están permitiendo la inserción de códigos maliciosos. En algunos casos, el potencial servidor C&C conectaría la máquina de los usuarios sin que ellos necesitasen hacer clic en el anuncio. El Sky ATP inmediatamente bloquea el cliente para protegerlo de este acceso hasta que el problema sea resuelto.


El sistema registra todo el tráfico sospechoso y lo clasifica en escala de 1 a 10. Fuimos inmediatamente notificados de incidentes originados en Holanda, Rusia, China y EE.UU. con niveles de amenaza de 8 a 10. En la primera semana, una de las amenazas más preocupantes, evaluada en el nivel 10, vino de Holanda y realizó 1282 accesos en una hora. Ha sido categorizada como una VPN, Bot. El Sky ATP ha bloqueado automáticamente esta amenaza y permitió que nuestros administradores corrigieran los hosts que podrían estar comprometidos. Los reportes y paneles de monitoreo proveen los IPs del servidor externo, el nivel de amenaza de C&C, la cantidad de accesos, país/continente, detalles de data y hora y nombres de hosts externos, IPs y URLs, además de acciones tomadas por el sistema Sky ATP, como bloquear/permitir y categoría de ofensa.


Nuestro equipo de TI ha percibido que necesita cambiar su postura en las cuestiones de seguridad para responder a las amenazas en tiempo real. El equipo estaba frustrado y alarmado porque no tenía una solución para el problema. Tenían razón. Las plataformas de desktop o servidor basadas en audio y video (A/V) no detectan las amenazas (ni son capaces de hacerlo). Ahora el equipo está trabajando en el desarrollo de nuevas políticas de seguridad, que van a incorporar sistemas activos de prevención de amenazas (el Sky ATP en nuestra oficina corporativa, por ejemplo).


Esto apunta la necesidad de una solución de borde robusta, que pueda tomar medidas inmediatas para frenar amenazas que evolucionan activamente. Aprendimos que sitios web en que creemos no son confiables. Aprendimos que nuestro equipo de TI debe estar adelante de las amenazas y de las respuestas de seguridad. Aprendimos que las amenazas activas no pueden ser gestionadas con soluciones de seguridad reactivas.


El Sky ATP es una herramienta de seguridad valiosa, fácil de usar y eficaz. Vamos a llevar este conocimiento a nuestros clientes e incorporarlo al ciclo de ventas.


* Matt Jolly  es arquitecto de soluciones IP de Vology,  proveedor  de servicios de TI en los  Estados Unidos, donde administra más de 100 mil dispositivos en más de 20 mil puntos del país.
 


Lea también
Conozca el malware AutoIT
Utilizar ROP para detectar malware es perder tiempo
Juniper divulga el primero de una serie de reportes sobre las amenazas del momento en la red.

 

 


Tags: Sky ATP, Seguridad, Red, Prevención de Amenazas, SRX, Firewall, Malware, Centro de Datos


Tags: sky-atp, seguridad, red, prevencion-de-amenazas, srx, firewall, malware, centro-de-datos


Posts Relacionados