Els NGFW són dispositius de seguretat de xarxa que permeten, entre altres coses:

• • • Protegir els Edge de les seus i centres de dades, sigui on-premise o al núvol.
    • Fer una segmentació de la xarxa correcta, millorant la seguretat per prevenir la propagació lateral.
    • Ofereixen una visibilitat completa del que passa a la xarxa, tot permetent detectar i protegir els usuaris que es troben a dins de la xarxa de certes amenaces gràcies a funcionalitats com ara antivirus, filtrat web o control d’aplicacions. A més, gràcies als sistemes d’IPS/IDS, és possible prevenir (IPS) o identificar (IDS) qualsevol activitat sospitosa que intenti aprofitar-s d’alguna vulnerabilitat coneguda.

La SD-WAN (Software Defined Wide Area Network) és una solució que permet transformar les capacitats WAN d’una organització, tot procurant mecanismes de control centralitzats que permeten determinar i encaminar el trànsit de forma automatitzada per la connexió WAN (MPLS, 3G/4G o banda ampla) que millor s’adapti al trànsit de sortida en cada moment. Aquesta solució permet deixar de dependre d’arquitectures tradicionals amb connectivitat MPLS, que és més lenta i costosa, les quals no ofereixen cap avantatge amb les aplicacions basades al núvol (SaaS, IaaS, aplicacions en núvols públics).

L’ús d’aquest tipus de solució permet a les organitzacions:

• • • Obtenir capacitats de xarxa d’alt rendiment, compatibles amb les iniciatives de transformació digital.
    • Simplificar la complexitat tot unificant certes funcionalitats WAN en una solució i gestió unificades.
    • Millorant l’experiència dels usuaris amb aplicacions corporatives gràcies a la priorització d’aquestes i a l’accés directe a les aplicacions al núvol i a Internet des de les sucursals.
    • Estalvi de costs en comparació amb solucions tradicionals com ara MPLS.

És una solució nativa del núvol, que permet a les organitzacions protegir tant el trànsit web com el trànsit al núvol, tot permetent diferenciar i aplicar distintes mesures de seguretat depenent de si la instància a la qual es connecta l’usuari és personal o corporativa dins d’una aplicació gestionada.

Algunes de les funcionalitats que ofereixen els NG-SGW són:

• • • Visibilitat completa i en línia de milers d’aplicacions i serveis al núvol.
    • Control granular en temps real del trànsit web i aplicacions al núvol a les quals accedeixen els usuaris, aplicant-les funcions de CASB i DLP.

    • Protecció vers amenaces avançades, tot limitant l’ús d’instàncies no corporatives i no autoritzades, que poden fer-se servir per a la propagació de phishing i amenaces, tot realitzant una anàlisi prèvia a l’execució de seqüències de comandaments o macros, a més de l’ús de Machine Learning.

    • Protecció de les dades independentment de la seva ubicació.

    • Protecció de les connexions directes dels usuaris a Internet, tot evitant haver de redirigir el trànsit i millorant el rendiment oferint una millor experiència als usuaris.

CASB és un servei o aplicació que permet a les organitzacions definir les polítiques de seguretat corporativa quan s’accedeix als serveis al núvol de la organització. D’aquesta forma, l’aplicació anomenada obliga els usuaris a complir les polítiques establertes pels administradors del servei.

Algunes de les funcionalitats que ofereix el CASB SGW són:

• • • Visibilitat i control, permetent que les organitzacions tinguin aquestes funcions dels serveis al núvol, tant administrats pel departament d’IT com no, tot permetent-los perfilar no només l’accés o no d’un servei, sinó les funcions que poden realitzar amb ell depenent de si la instància és corporativa o personal.
    • Seguretat de les dades, permetent als departaments d’IT detectar de forma eficient les possibles violacions de seguretat de dades gràcies a la interacció amb altres mòduls com ara el de DLP, permetent identificar i aturar aquestes activitats, a més de procurar les eines necessàries per a la seva anàlisi posterior per part del departament d’IT.

    • Protecció vers amenaces avançades, tot limitant l’ús d’instàncies no corporatives i no autoritzades, que poden fer-se servir per a la propagació de phishing i amenaces, tot realitzant una anàlisi prèvia a l’execució de seqüències de comandaments o macros, a més de l’ús de Machine Learning.

DLP o Data Loss Prevention inclou un conjunt de pràctiques i eines amb l’objectiu de detectar i prevenir fuites de dades, evitant l’exfiltració de dades sensibles, sigui per un mal ús intencionat i no intencionat.

DLP permet a les empreses detectar la pèrdua de dades, i evitar la transferència il·lícita de dades fora de l’organització i la destrucció no desitjada de dades confidencials o d’identificació personal. També es fa servir per ajudar les organitzacions amb la seguretat de les dades i per garantir que compleixin amb les regulacions, com ara CCPA, RGPD, HIPAA o PCI-DSS.

DLP permet a les empreses:

• • • • Identificar informació confidencial als diversos sistemes locals i basats al núvol.
      • Evitar l’exposició accidental de les dades.

      • Supervisar i protegir les dades.

      • Garantir el compliment normatiu.

ZTNA o Zero Trust Network Access és un conjunt de productes i serveis que habiliten les condicions d’accés a una aplicació basada en la identitat i el context.

Les aplicacions romanen amagades als possibles intents maliciosos de descobriment i l’accés a les quals està restringit, fent servir un broker de confiança, als usuaris els quals estan habilitats. El broker de confiança verifica la identitat, el context i el compliment de la política dels usuaris especificats abans de permetre l’accés i prohibeix el moviment lateral a qualsevol altre lloc de la xarxa. D’aquesta forma s’elimina l’aplicació de la visibilitat pública i redueix significativament l’àrea de superfície per l’atac.

ZTNA elimina la confiança implícita excessiva que, sovint, va lligada a altres formes d’accés a aplicacions, com ara les VPN clàssiques.

El treball remot és cada vegada més habitual, fet que obliga les organitzacions a protegir tots els seus endpoint d’una forma eficaç amb solucions d’antivirus de nova generació, basades en intel·ligència artificial, procurant a l’equip d’IT visibilitat i protecció instantània vers les amenaces avançades.

La protecció dels endpoint de nova generació procura amb una única solució i des d’un únic agent, funcions com ara:

• • • Next Generation AntiVirus els quals han evolucionat aprofitant els avantatges del big data i la intel·ligència artificial, per donar protecció contra les amenaces avançades amb un consum mínim de recursos dels endpoint, per no estar basat en signatures i no fent necessari realitzar els clàssics escanejats en signatures cercant coincidències als endpoint.

    • Endpoint Detection and Response (EDR) és una solució de seguretat d’endpoints que enregistra i emmagatzema d’una forma contínua els comportaments al nivell de sistema de l’endpoint, fent servir diverses tècniques d’anàlisi de dades per tal de detectar comportaments sospitosos del sistema, procurant informació contextual, bloquejant l’activitat maliciosa i donant suggeriments de correcció per tal de restaurar els sistemes afectats.

    • Managed detection and response (MDR), és un servei de ciberseguretat que combina tecnologia i experiència humana per tal de fer recerques, monitorització i resposta vers a les amenaces avançades. El principal benefici del MDR és que ajuda a identificar i limitar ràpidament l’impacte de les amenaces sense la necessitat de personal addicional de l’organització.

    • Extended detection and response (XDR), és una solució que s’encarrega de recollir dades d’amenaces facilitats per diferents eines de seguretat, les quals originalment es trobaven aïllades dins de la gran quantitat de tecnologies que feien servir, per poder realitzar investigacions, recerques d’amenaces i respostes més ràpides i eficaces. Una plataforma XDR pot recollir telemetria de seguretat dels endpoints, càrregues de treball al núvol, correu electrònic, etc. Amb totes aquestes dades d’amenaces enriquides es filtren i relacionen en una mateixa consola, la qual cosa permet els equips de seguretat cercar i eliminar de forma ràpida i eficient les amenaces de seguretat en múltiples dominis des d’una solució unificada.

                

Un dels vectors d’atac que es fan servir més sovint pels ciberdelinqüents segueix sent el correu electrònic. Per això, és essencial la implementació d’una solució, sigui on-premise o com a servei al núvol, que protegeixi els usuaris corporatius.

Algunes de les funcionalitats que ofereixen les solucions de seguretat al correu electrònic són:

• • • Protecció contra el correu electrònic fraudulent, permetent al departament d’IT fer bloquejos dels correus de phishing de forma dinàmica, els quals intenten obtenir accés a informació crítica de l’empresa o obtenir diners fent servir engany d’algun dels empleats de l’organització.

    • Gestió granular del correu electrònic no desitjat, permetent al departament d’IT poder classificar-los i posar-los en quarantena de forma automatitzada.

    • Afegir etiquetes d’advertència a l’assumpte del correu electrònic de forma automatitzada per tal que l’usuari pugui diferenciar de forma ràpida i senzilla qualsevol correu electrònic sospitós.

    • Continuïtat empresarial, permetent mantenir el servei de correu electrònic malgrat la caiguda dels servidors de correu electrònic.

El NAC és una solució de control d’accés a la xarxa corporativa, que procura al departament d’IT una visibilitat ampliada de tots els dispositius que s’hi connecten. Gràcies a aquesta visibilitat, és possible realitzar diferents accions de forma automatitzada, com ara pot ser:

• • • Autoconfiguració de dispositius de xarxa (Switches, punts d’accés sense fil, firewalls, etc.) basats en el dispositiu connectat i gràcies a la seva detecció i perfilat.

    • Microsegmentació, restringint l’accés a la xarxa dels dispositius connectats, únicament als actius de xarxa necessaris, gràcies a un control dinàmic de les polítiques.

    • Detecció i identificació dels dispositius connectats a la xarxa, gràcies a la gran visibilitat de la xarxa que aporta, el departament d’IT pot veure tots els dispositius i usuaris a mida que s’uneixen a la xarxa corporativa.

Tradicionalment, els entorns OT no eren connectats a Internet, de forma que pràcticament no s’exposaven a amenaces externes. Això implicava que la ciberseguretat en entorns OT es donava per la seva “obscuritat”.

El paradigma ha canviat i els entorns OT cada vegada necessiten més connectivitat amb altres serveis que es poden trobar tant a dins com fora de l’organització, fet que obliga les empreses a assegurar els processos OT de forma eficient.

Alguns dels dominis a tenir en compte per protegir els processos en entorns OT són:

• • • • Descobriment i monitorització dels actius, perquè en moltes ocasions, la pròpia organització ignora el 100 % dels dispositius que es troben connectats a la xarxa OT i les relacions que s’estableixen entre ells.

        Hardening de dispositius.

      • Escanejat de vulnerabilitats, que permetin a les organitzacions conèixer l’exposició de tots els seus actius d’OT i les seves possibles vulnerabilitats.

      • Virtual patching, doncs és habitual l’existència de sistemes operatius i altres eines vulnerables.

      • Control d’accés i limitació dels moviments laterals, incloent la gestió d’accessos remots o in-situ per part de fabricants i terceres persones.

Les solucions de Vulnerability Scanning permeten a les organitzacions conèixer l’exposició de tots els seus actius, obtenint visibilitat de tota la superfície d’atac, gràcies a l’escanejat de vulnerabilitats de totes les aplicacions, dispositius en xarxa, aplicacions web, etc. Que es troben a l’organització. Aquestes eines no només permeten veure quines són les vulnerabilitats, sinó que permeten al departament d’IT tenir una visió centralitzada, des de la qual analitzar i mesurar els riscs, permetent-los avaluar, prioritzar i corregir les vulnerabilitats amb un consum de temps i esforç més reduït.

Les solucions de Breach and Attack Simulation (BAS) permeten gestionar d’una forma operativa la intel·ligència d’amenaces i el marc MITRE ATT&CK des de l’equip de Ciberseguretat de l’organització, permetent-los avaluar amb la simulació d’atacs reals executats de forma automatitzada. Aquesta avaluació permet a l’equip de ciberseguretat optimitzar de forma contínua els controls de seguretat a tota la cyber kill chain.

Les dades són el principal actiu de les organitzacions. Els atacants ho saben i per això cal disposar d’una solució de còpies de seguretat a prova de ransomware que cobreixi, al menys, les dades corporatives crítiques. Un backup immutable permetrà a l’organització recuperar-se en cas de rebre un atac, ajudant a complir adequadament els RPO i RTO que s’hagin marcat.