Por Rees Johnson.

Si usted cuenta con alguna aplicación que posee una red de informantes, hemos de compartirle que esto tiene sus ventajas y desventajas. Una ventaja es que usted puede proveer información, consejos y pistas que en caso contrario se perderían si no contara con esta red. Por otro lado, una desventaja es que algunos de estos informantes pueden no ser confiables y su información estará en riesgo.

La seguridad de la red necesita moverse en una dirección similar. Hay informantes dentro de sus sistemas, otros que están por fuera. Sus informantes internos son sus endpoints, servidores de Internet, servidores de correo, y las herramientas de prevención de pérdida de datos (DLP), los cuales están viendo lo que sucede en su alrededor y si les pregunta, le dirán lo que saben.

Rees Johnson
Rees Johnson

Intel Security amplía su red de informantes mediante la integración de McAfee Web Gateway y DLP Endpoint a McAfee Threat Intelligence Exchange (TIE) y McAfee Email Gateway a Enterprise Security Manager (ESM). Estos componentes comparten de forma inmediata lo que saben a todo el ecosistema conectado.

Los ataques de hoy en día utilizan varios factores para tratar de entrar a sus sistemas por primera vez y conseguir rápidamente información desde el primer informante para ver los archivos sospechosos o malintencionados, un factor vital para la rápida contención. McAfee Web Gateway y Threat Intelligence Exchange comparten ahora la reputación de archivos en tiempo real. Archivos convictos que son desconocidos para el servidor de Internet, se detienen durante la solicitud de web antes de que lleguen a su destino.

Los servidores de correo electrónico son seguros como informantes y cuentan con memoria fotográfica. Registran detalles útiles sobre los archivos recibidos, los archivos vistos, las direcciones de IP de los remitentes de correo electrónico, y la identidad de los destinatarios. Si en algún momento se descubre malware en la red, solo hay que preguntar al administrador de eventos de su sistema (SIEM), si alguien recibió también el archivo con el adjunto malicioso. También puede solicitar a quién se le envió el correo electrónico y comprobar la actividad de esa dirección IP, estableciendo al instante el alcance del ataque y tomar medidas para contener la infección.

El endpoint es otro caso valioso, incluso antes de saber que están siendo atacados. El endpoint puede consultar vía TIE los indicadores de reputación en procesos desconocidos. Si el proceso tiene una reputación desagradable (por ejemplo, posiblemente malicioso o más probablemente malicioso), el DLP endpoint puede observar el acceso de los archivos confidenciales o algún intento de trasladar datos a la nube, registrar o bloquear la actividad y dar la alarma por ser una situación considerada como crítica. Lo que sucederá después, es que se podrá investigar mientras el crimen potencial está en curso. Su investigación se beneficiará inmediatamente del análisis del endpoint, que le da una comprensión de las actividades maliciosas que han estado sucediendo y por cuánto tiempo.

Mediante la conexión de servidores de web, servidores de correos electrónicos y endpoint DLP a la red de informantes, la puerta está abierta para que todo el mundo comparta y aprenda sobre alguna actividad sospechosa o maliciosa en cuanto aparezca. Independientemente de quién lo vio primero, McAfee Threat Intelligence Exchange hace correr la voz, convirtiendo su red de informantes en un reloj local de gran alcance.