Descripción de servicio.
Servicio de prevención
de intrusiones en la red.
Contenido
1 Resumen ejecutivo ...3
2 Descripción del servicio ...4
2.1 Descripción general ...4
2.2 Descripción detallada del servicio ...4
2.3 Informes ... 6
3 Soporte técnico ...6
3.1 Atención al cliente ...6
3.2 Funcionamiento y alertas (monitorización del servicio) ...7
3.3 Coste del servicio ...8
© Interoute, 27 de noviembre de 2012
Este documento contiene información propiedad de Interoute o que Interoute considera confidencial. A menos que se especifique lo contrario, se prohíbe la reproducción de cualquier parte de este documento, así como su almacenamiento o transmisión por cualquier medio, ya sea gráfico, electrónico o mecánico, lo que incluye el fotocopiado, la grabación, el almacenamiento en cinta o en cualquier otro sistema de recuperación de información, cualquiera que sea el propósito, salvo autorización previa por escrito de Interoute.
Interoute es nombre comercial de Interoute Communications Limited, empresa constituida en Inglaterra, con el número 04472687, con domicilio social en Walbrook Building, 195 Marsh Wall, Londres, E14 9SG.
A menos que así se indique expresamente, el contenido de este documento no debe interpretarse en modo alguno como oferta de suministro de bienes o servicios. Toda venta deberá formalizarse contractualmente.
1 Resumen ejecutivo
Los sistemas de prevención de intrusiones son una herramienta fundamental
para proteger a cualquier organización frente a la incesante proliferación de
amenazas.
La escala y el crecimiento en el número de ciberataques a los que se ven sometidas las redes de las empresas dificulta la predicción del momento en que ocurrirá el próximo ataque, y hace complicado determinar las clases de ataques de los que han de defenderse. La
impredecibilidad y la constante variabilidad y evolución de las propias amenazas impone a las organizaciones la obligación de estar preparadas y ser capaces de desplegar soluciones para contrarrestarlas con flexibilidad.
El servicio de Prevención de intrusiones en la red (IPS, Intrusion Prevention Service) de Interoute ofrece a las empresas una compleja capa de protección, que mediante técnicas de identificación, reconocimiento de protocolos y análisis de tráfico es capaz de detectar e identificar amenazas, alertarle de ellas y proteger a su organización de su impacto, ya sean:
Gusanos
Spyware
Peer to peer (P2P)
Ataques de denegación de servicio (DoS, Denial of service) ordinarios o distribuidos (DDoS)
Botnets
Ataques dirigidos contra aplicaciones web
Salida de la red de datos privados o delicados
Ejecución no autorizada de scripts entre dominios diferentes (cross-site scripting)
Inyección de código SQL
Desbordamiento de búferes
Recorrido no autorizado de directorios de la web (“web directory traversal”)
Sin un servicio de Prevención de intrusiones, una empresa podría no enterarse nunca de que ha sido víctima de un ataque malintencionado, o podría ser incapaz de obtener información alguna sobre su naturaleza.
El servicio de Prevención de intrusiones en la red de Interoute añade a la infraestructura una capa de defensa adicional que no sólo detecta ese tipo de ataques y actividades, sino que es capaz también de mitigarlos automáticamente.
2 Descripción del servicio
2.1 Descripción general
El servicio de Prevención de intrusiones (IPS) de Interoute es un producto gestionado que incluye la instalación de sensores antiintrusiones en lugares estratégicos de la red del cliente. Estos sensores se provisionan en centros de datos y de hosting de Interoute. El servicio se gestiona de forma centralizada a través de nuestro Centro de Operaciones de Seguridad (SOC) de Praga, con servidores de gestión distribuidos estratégicamente teniendo en cuenta los requisitos legales de cada país y los datos que se manejan. El cliente corporativo tiene a su disposición un entorno de gestión delegada que se controla a través de un punto de gestión virtual suministrado localmente. Desde este punto de gestión delegada, el cliente puede recabar información de los sensores IPS que constituyen su infraestructura a efectos de cumplimiento normativo y emisión de informes, y analizar la eficacia de sus políticas.
2.2 Descripción detallada del servicio
El sistema de prevención de intrusiones de Interoute detecta y bloquea los intentos de intrusión, la transmisión de código malicioso y las amenazas procedentes de la red, sin que ello afecte al rendimiento de la red del cliente. En su configuración estándar, la solución puede soportar caudales de tráfico de entre 100 Mbps y 10 Gbps.
También pueden ofrecerse configuraciones a medida con anchos de banda mayores, de hasta 20 Gbps, implementadas en un único dispositivo. Y ajustando la configuración es posible incluso alcanzar caudales y capacidades de inspección aún mayores.
El servicio funciona de manera transparente para el usuario, por lo que no requiere reconfiguración alguna de la red existente a la que se conecta. El servicio IPS tiene los siguientes atributos:
Detección en tiempo real de la actividad en la red
Permite detectar dinámicamente los cambios en la infraestructura
Protección de aplicaciones por el lado del cliente
Protege a los usuarios finales contra ataques dirigidos a las aplicaciones que utilizan a diario
Mecanismos avanzados de protección de la red
Técnicas avanzadas de prevención de intrusiones, como la protección del servicio DNS
Seguridad de datos
Monitorización e identificación de datos no cifrados.
Seguridad en aplicaciones web
Protección de aplicaciones web, web 2.0 y bases de datos.
Control de aplicaciones
Recuperación de ancho de banda malgastado y bloqueo de protocolos de tunelización y peer-to-peer
La metodología estructurada que Interoute aplica para la implementación y gestión de sus servicios de prevención de intrusiones ha sido desarrollada por nuestros profesionales de seguridad, que cuentan con una amplia
Nuestra metodología general consta de las siguientes fases:
Configuración del servicio de prevención de intrusiones
Reduce el número de falsos positivos Reduce el número de falsos negativos
Proceso de ajuste inicial
Ajusta del servicio IPS a las características del entorno del cliente Permite refinar las reglas como parte del proceso de aprendizaje
Post-instalación
Activación de alertas e informes
Activación de la protección contra amenazas
Nuestra metodología estructurada nos permite introducir el servicio IPS en su red de una manera controlada, garantizando que quede ajustado correctamente y no bloquee el tráfico legítimo del cliente.
Necesidades del cliente
El servicio de Prevención de intrusiones de Interoute utiliza la tecnología más avanzada del mercado, que acorta los ciclos de configuración y aprendizaje de los dispositivos IPS. Su capacidad de detección en tiempo real de la actividad de la red permite construir una política estable en 24 horas (dependiendo del tamaño y la complejidad de la red). Además, el servicio incluye en su configuración básica la protección contra:
Gusanos
Spyware
Peer to peer (P2P)
Ataques de denegación de servicio (DoS, Denial of service) ordinarios o distribuidos (DDoS)
Botnets
Ataques dirigidos contra aplicaciones web
Salida de la red de datos privados o delicados
Ejecución no autorizada de scripts entre dominios diferentes (cross-site scripting)
Inyección de código SQL
Desbordamiento de búferes
Recorrido no autorizado de directorios de la web (“web directory traversal”)
Interoute se encargará de todos los aspectos asociados a la configuración del servicio de prevención de intrusiones, como:
El mantenimiento y modificación del servicio IPS.
La realización de copias de seguridad de los datos de configuración y las políticas del servicio IPS.
La administración y el mantenimiento de firmas, lo que incluye la descarga de firmas nuevas en el servicio IPS una vez cada hora.
Las actualizaciones de la plataforma, con aplicación de parches e instalación de nuevas versiones una vez al mes. El horario concreto de aplicación de las actualizaciones se acordará con el cliente.
Nota: el tráfico de sesiones SSL que termine en un dispositivo situado detrás del sensor IPS no será analizado, ya que el sensor IPS necesita poder ver el tráfico en formato no cifrado para ser capaz de analizarlo. Todo el tráfico SSL que venga cifrado pasará directamente a través del sensor IPS sin intervención alguna sobre él.
2.3 Informes
Interoute entregará al cliente un informe mensual que incluye la siguiente información acerca de su servicio gestionado de prevención de intrusiones:
10 incidencias más destacadas 10 principales objetivos 10 principales fuentes
Tendencia de actividad por incidencias Información de seguridad
Asimismo, pueden generarse informes ad hoc desde el punto de gestión delegada que ofrecemos a nuestros clientes.
3 Soporte técnico
3.1 Servicio al cliente
Provisión del servicioEl servicio estándar se provisiona dentro de nuestros centros de datos, en paralelo al firewall que viene incluido con el servicio de conectividad de Interoute. De este modo, el dispositivo de prevención de intrusiones puede inspeccionar el tráfico una vez que ha sido procesado por el firewall. La provisión del dispositivo no requiere ningún cambio en la configuración de la red actual. Puesto que, en caso de fallo, los dispositivos de prevención de intrusiones “dejan abierto el canal”, si hubiera algún problema en dichos dispositivos el tráfico simplemente pasaría a su través, por lo no es necesario incorporar a su diseño ningún mecanismo de alta disponibilidad.
Atención permanente al cliente (24x7)
El Centro de Operaciones de Seguridad (SOC) de Interoute proporciona al cliente asistencia técnica permanente durante las 24 horas del día, 7 días a la semana. El horario normal va de 08.00 a 18.00. Fuera de este horario, nuestro centro de soporte telefónico contactará con los ingenieros de guardia de nuestro Centro de Operaciones de Seguridad. Para contactar con el SOC puede utilizarse el teléfono, el fax o el correo electrónico. Cuando contacte con el servicio de atención al cliente, deberá facilitarles al menos los siguientes datos:
Nombre de la organización
Código de servicio de Interoute (SID, Service Identifier)
Descripción de la incidencia
Persona de contacto
Teléfono de contacto
El Centro de Operaciones de Seguridad de Interoute trabajará con la persona de contacto que tengamos designada dentro de la organización del cliente para solucionar cualquier incidencia que se haya producido en el servicio. Es importante tener esto en cuenta, ya que en general sólo se atenderán llamadas de soporte técnico realizadas por el equipo de soporte interno de la organización del cliente, no por los usuarios finales. Con ello se pretende garantizar que nuestros técnicos puedan cuantificar y determinar inmediatamente la causa exacta de cualquier corte en el servicio.
3.2 Funcionamiento y alertas (monitorización del servicio)
El Centro de Operaciones de Seguridad (SOC) de Interoute monitorizará el funcionamiento del servicio de prevención de intrusiones y, en caso de que el dispositivo IPS no responda a uno de los mensajes periódicos de verificación de estado (“polls”), se generará una alerta dentro del SOC de Interoute, donde un equipo de profesionales de seguridad que trabajan ininterrumpidamente (24x7) investigará la causa de la incidencia. El SOC de Interoute se encargará también de recoger y atender las alertas generadas por los dispositivos IPS instalados, a través de un sistema de gestión centralizado que incluye funciones de control, monitorización y coordinación.
Cada vez que el sistema IPS genere una alerta, será evaluada automáticamente y se le asignará un nivel de riesgo que determinará si se trata de una incidencia de prioridad baja, media, alta o crítica. Esta evaluación determinará el tipo de actuación ante ella, la rapidez con que se llevará a cabo, y el método que se empleará para informar al cliente.
A cada alarma se le asigna un nivel de gravedad que dependerá del tipo de ataque, su antigüedad, la amenaza que supone, y su impacto. La forma de actuación es la siguiente: Prioridad Impacto Descripción de la incidencia Acción adoptada
Baja Desconocido
No supone amenaza directa, pero puede contener información sobre una actividad que sugiera la
existencia de un intento de intrusión
Guardar la información durante un ciento tiempo con fines forenses. La incidencia queda visible a través del portal del cliente.
Media
Actualmente no vulnerable
Se ha enviado al objetivo un paquete malintencionado (un ataque que ya no supone riesgo, o una enumeración intrusiva), que no supone una
amenaza directa para su funcionamiento. Una alerta de prioridad media no indica impacto alguno sobre el funcionamiento de un sistema o sobre los controles lógicos de acceso.
Análisis automatizado de la incidencia. Análisis de tendencias y correlación con otros eventos disponibles en el portal del cliente.
Alta
Potencialmente vulnerable
Ataque al objetivo que supone un verdadero riesgo potencial, y que incide en la disponibilidad o seguridad de un sistema y de sus datos,
provocando, por ejemplo, la
interrupción de un servicio, la pérdida de la integridad de los datos, o su exposición, la inyección de software o código malintencionado, etc.
El cliente debe analizar el objetivo para determinar si ha resultado comprometido o se trataba de un falso positivo.
Vulnerable
Clara evidencia de que la seguridad del sistema se encuentra
comprometida en este momento. Gran cantidad de eventos de alta prioridad, corroborados por pruebas visibles en el sistema (por ejemplo, sustitución de contenidos en la web, indisponibilidad del sistema, o saturación de ancho de banda o de CPU).
Notificación inmediata de la incidencia al cliente para que adopte las medidas que considere (escalado).
El tiempo entre Evento y Alerta define el período máximo que puede transcurrir entre el momento en que se dispara la alarma en la plataforma IPS, su análisis y la comunicación de la información al respecto al cliente. La tabla siguiente detalla los tiempos contemplados para los distintos niveles de amenazas:
Nivel de amenaza Tiempo Medio de comunicación De alerta a respuesta
Vulnerable Indeterminado Alerta por email
Portal del cliente 30 minutos Potencialmente
vulnerable Indeterminado Informe diario por email Portal del cliente N/A No vulnerable /
Desconocido Indeterminado
Informe mensual
Portal del cliente N/A
3.3 Coste del servicio
El coste del servicio de Prevención de intrusiones en la red (IPS) de Interoute combina cuotas de alta no recurrentes (NRC, Non-Recurring Charges) y cuotas mensuales (MRC, Monthly Recurring Charges). El principal criterio de facturación es el número de dispositivos que deben quedar cubiertos por el servicio, lo cual condiciona tanto el tipo de hardware necesario (que afecta principalmente a las cuotas de alta no recurrentes) como el coste de las licencias y actualizaciones de software (que se refleja principalmente en las cuotas recurrentes).
Opciones disponibles para este servicio
Caudal garantizado (CIR) seleccionable entre 100 Mbps y 1 Gbps (aunque a petición del cliente pueden ofrecerse configuraciones con una capacidad de hasta 20 Gbps)
Dispositivos IPS virtuales para clientes con máquinas virtuales VMware ESXi alojadas dentro de un centro de datos de Interoute, con caudales garantizados (CIR) de hasta 100 Mbps.
Un servicio completamente gestionado, en el que se permite al cliente el acceso a las áreas de la plataforma de gestión asociadas a ese cliente
Administración de reglas estándar (facilitadas por el proveedor), deshabilitando o habilitando reglas para evitar falsos positivos
Posibilidad de definir reglas, alertas e informes a medida, contratando nuestros servicios profesionales Posibilidad de inspección en zonas desmilitarizadas (DMZ), siempre y cuando el tipo de hardware se
ajuste a los requisitos del servicio DMZ estándar de Interoute (sólo para servicios IPS de tamaños mediano y grande)
Opciones no disponibles para este servicio
Funciones no relacionadas con los servicios de prevención de intrusiones (IPS) y detección en tiempo real del estado de la red (RNA).
Códigos de producto
Los sistemas de prevención de intrusiones de Interoute se seleccionan especificando un determinado caudal de tráfico (CIR) y un formato de interfaz. Estos atributos se conocen como SVC-IPSI (puntos de inspección IPS).
Tamaño Caudal Garantizado (CIR) Número máximo de puntos de inspección (SVC- IPSI) soportados Posibilidad de
servicio en DMZ Código de producto
Pequeño 100 Mbps 1 No CON-SF3D2100
Mediano 500 Mbps 2 Sí CON-SF3D7120