• No se han encontrado resultados

Descripción de servicio. Servicio de prevención de intrusiones en la red.

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Descripción de servicio. Servicio de prevención de intrusiones en la red."

Copied!
9
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 9 página )

Texto completo

(1)

Descripción de servicio.

Servicio de prevención

de intrusiones en la red.

(2)

Contenido

1 Resumen ejecutivo ...3

2 Descripción del servicio ...4

2.1 Descripción general ...4

2.2 Descripción detallada del servicio ...4

2.3 Informes ... 6

3 Soporte técnico ...6

3.1 Atención al cliente ...6

3.2 Funcionamiento y alertas (monitorización del servicio) ...7

3.3 Coste del servicio ...8

© Interoute, 27 de noviembre de 2012

Este documento contiene información propiedad de Interoute o que Interoute considera confidencial. A menos que se especifique lo contrario, se prohíbe la reproducción de cualquier parte de este documento, así como su almacenamiento o transmisión por cualquier medio, ya sea gráfico, electrónico o mecánico, lo que incluye el fotocopiado, la grabación, el almacenamiento en cinta o en cualquier otro sistema de recuperación de información, cualquiera que sea el propósito, salvo autorización previa por escrito de Interoute.

Interoute es nombre comercial de Interoute Communications Limited, empresa constituida en Inglaterra, con el número 04472687, con domicilio social en Walbrook Building, 195 Marsh Wall, Londres, E14 9SG.

A menos que así se indique expresamente, el contenido de este documento no debe interpretarse en modo alguno como oferta de suministro de bienes o servicios. Toda venta deberá formalizarse contractualmente.

(3)

1 Resumen ejecutivo

Los sistemas de prevención de intrusiones son una herramienta fundamental

para proteger a cualquier organización frente a la incesante proliferación de

amenazas.

La escala y el crecimiento en el número de ciberataques a los que se ven sometidas las redes de las empresas dificulta la predicción del momento en que ocurrirá el próximo ataque, y hace complicado determinar las clases de ataques de los que han de defenderse. La

impredecibilidad y la constante variabilidad y evolución de las propias amenazas impone a las organizaciones la obligación de estar preparadas y ser capaces de desplegar soluciones para contrarrestarlas con flexibilidad.

El servicio de Prevención de intrusiones en la red (IPS, Intrusion Prevention Service) de Interoute ofrece a las empresas una compleja capa de protección, que mediante técnicas de identificación, reconocimiento de protocolos y análisis de tráfico es capaz de detectar e identificar amenazas, alertarle de ellas y proteger a su organización de su impacto, ya sean:

 Gusanos

 Spyware

 Peer to peer (P2P)

Ataques de denegación de servicio (DoS, Denial of service) ordinarios o distribuidos (DDoS)

 Botnets

 Ataques dirigidos contra aplicaciones web

 Salida de la red de datos privados o delicados

Ejecución no autorizada de scripts entre dominios diferentes (cross-site scripting)

 Inyección de código SQL

 Desbordamiento de búferes

Recorrido no autorizado de directorios de la web (“web directory traversal”)

Sin un servicio de Prevención de intrusiones, una empresa podría no enterarse nunca de que ha sido víctima de un ataque malintencionado, o podría ser incapaz de obtener información alguna sobre su naturaleza.

El servicio de Prevención de intrusiones en la red de Interoute añade a la infraestructura una capa de defensa adicional que no sólo detecta ese tipo de ataques y actividades, sino que es capaz también de mitigarlos automáticamente.

(4)

2 Descripción del servicio

2.1 Descripción general

El servicio de Prevención de intrusiones (IPS) de Interoute es un producto gestionado que incluye la instalación de sensores antiintrusiones en lugares estratégicos de la red del cliente. Estos sensores se provisionan en centros de datos y de hosting de Interoute. El servicio se gestiona de forma centralizada a través de nuestro Centro de Operaciones de Seguridad (SOC) de Praga, con servidores de gestión distribuidos estratégicamente teniendo en cuenta los requisitos legales de cada país y los datos que se manejan. El cliente corporativo tiene a su disposición un entorno de gestión delegada que se controla a través de un punto de gestión virtual suministrado localmente. Desde este punto de gestión delegada, el cliente puede recabar información de los sensores IPS que constituyen su infraestructura a efectos de cumplimiento normativo y emisión de informes, y analizar la eficacia de sus políticas.

2.2 Descripción detallada del servicio

El sistema de prevención de intrusiones de Interoute detecta y bloquea los intentos de intrusión, la transmisión de código malicioso y las amenazas procedentes de la red, sin que ello afecte al rendimiento de la red del cliente. En su configuración estándar, la solución puede soportar caudales de tráfico de entre 100 Mbps y 10 Gbps.

También pueden ofrecerse configuraciones a medida con anchos de banda mayores, de hasta 20 Gbps, implementadas en un único dispositivo. Y ajustando la configuración es posible incluso alcanzar caudales y capacidades de inspección aún mayores.

El servicio funciona de manera transparente para el usuario, por lo que no requiere reconfiguración alguna de la red existente a la que se conecta. El servicio IPS tiene los siguientes atributos:

Detección en tiempo real de la actividad en la red

Permite detectar dinámicamente los cambios en la infraestructura

Protección de aplicaciones por el lado del cliente

Protege a los usuarios finales contra ataques dirigidos a las aplicaciones que utilizan a diario

Mecanismos avanzados de protección de la red

Técnicas avanzadas de prevención de intrusiones, como la protección del servicio DNS

Seguridad de datos

Monitorización e identificación de datos no cifrados.

Seguridad en aplicaciones web

Protección de aplicaciones web, web 2.0 y bases de datos.

Control de aplicaciones

Recuperación de ancho de banda malgastado y bloqueo de protocolos de tunelización y peer-to-peer

La metodología estructurada que Interoute aplica para la implementación y gestión de sus servicios de prevención de intrusiones ha sido desarrollada por nuestros profesionales de seguridad, que cuentan con una amplia

(5)

Nuestra metodología general consta de las siguientes fases:

Configuración del servicio de prevención de intrusiones

Reduce el número de falsos positivos Reduce el número de falsos negativos

Proceso de ajuste inicial

Ajusta del servicio IPS a las características del entorno del cliente Permite refinar las reglas como parte del proceso de aprendizaje

Post-instalación

Activación de alertas e informes

Activación de la protección contra amenazas

Nuestra metodología estructurada nos permite introducir el servicio IPS en su red de una manera controlada, garantizando que quede ajustado correctamente y no bloquee el tráfico legítimo del cliente.

Necesidades del cliente

El servicio de Prevención de intrusiones de Interoute utiliza la tecnología más avanzada del mercado, que acorta los ciclos de configuración y aprendizaje de los dispositivos IPS. Su capacidad de detección en tiempo real de la actividad de la red permite construir una política estable en 24 horas (dependiendo del tamaño y la complejidad de la red). Además, el servicio incluye en su configuración básica la protección contra:

 Gusanos

 Spyware

 Peer to peer (P2P)

Ataques de denegación de servicio (DoS, Denial of service) ordinarios o distribuidos (DDoS)

 Botnets

 Ataques dirigidos contra aplicaciones web

 Salida de la red de datos privados o delicados

Ejecución no autorizada de scripts entre dominios diferentes (cross-site scripting)

 Inyección de código SQL

 Desbordamiento de búferes

Recorrido no autorizado de directorios de la web (“web directory traversal”)

Interoute se encargará de todos los aspectos asociados a la configuración del servicio de prevención de intrusiones, como:

 El mantenimiento y modificación del servicio IPS.

 La realización de copias de seguridad de los datos de configuración y las políticas del servicio IPS.

 La administración y el mantenimiento de firmas, lo que incluye la descarga de firmas nuevas en el servicio IPS una vez cada hora.

 Las actualizaciones de la plataforma, con aplicación de parches e instalación de nuevas versiones una vez al mes. El horario concreto de aplicación de las actualizaciones se acordará con el cliente.

(6)

Nota: el tráfico de sesiones SSL que termine en un dispositivo situado detrás del sensor IPS no será analizado, ya que el sensor IPS necesita poder ver el tráfico en formato no cifrado para ser capaz de analizarlo. Todo el tráfico SSL que venga cifrado pasará directamente a través del sensor IPS sin intervención alguna sobre él.

2.3 Informes

Interoute entregará al cliente un informe mensual que incluye la siguiente información acerca de su servicio gestionado de prevención de intrusiones:

 10 incidencias más destacadas  10 principales objetivos  10 principales fuentes

 Tendencia de actividad por incidencias  Información de seguridad

Asimismo, pueden generarse informes ad hoc desde el punto de gestión delegada que ofrecemos a nuestros clientes.

(7)

3 Soporte técnico

3.1 Servicio al cliente

Provisión del servicio

El servicio estándar se provisiona dentro de nuestros centros de datos, en paralelo al firewall que viene incluido con el servicio de conectividad de Interoute. De este modo, el dispositivo de prevención de intrusiones puede inspeccionar el tráfico una vez que ha sido procesado por el firewall. La provisión del dispositivo no requiere ningún cambio en la configuración de la red actual. Puesto que, en caso de fallo, los dispositivos de prevención de intrusiones “dejan abierto el canal”, si hubiera algún problema en dichos dispositivos el tráfico simplemente pasaría a su través, por lo no es necesario incorporar a su diseño ningún mecanismo de alta disponibilidad.

Atención permanente al cliente (24x7)

El Centro de Operaciones de Seguridad (SOC) de Interoute proporciona al cliente asistencia técnica permanente durante las 24 horas del día, 7 días a la semana. El horario normal va de 08.00 a 18.00. Fuera de este horario, nuestro centro de soporte telefónico contactará con los ingenieros de guardia de nuestro Centro de Operaciones de Seguridad. Para contactar con el SOC puede utilizarse el teléfono, el fax o el correo electrónico. Cuando contacte con el servicio de atención al cliente, deberá facilitarles al menos los siguientes datos:

 Nombre de la organización

Código de servicio de Interoute (SID, Service Identifier)

 Descripción de la incidencia

 Persona de contacto

 Teléfono de contacto

El Centro de Operaciones de Seguridad de Interoute trabajará con la persona de contacto que tengamos designada dentro de la organización del cliente para solucionar cualquier incidencia que se haya producido en el servicio. Es importante tener esto en cuenta, ya que en general sólo se atenderán llamadas de soporte técnico realizadas por el equipo de soporte interno de la organización del cliente, no por los usuarios finales. Con ello se pretende garantizar que nuestros técnicos puedan cuantificar y determinar inmediatamente la causa exacta de cualquier corte en el servicio.

3.2 Funcionamiento y alertas (monitorización del servicio)

El Centro de Operaciones de Seguridad (SOC) de Interoute monitorizará el funcionamiento del servicio de prevención de intrusiones y, en caso de que el dispositivo IPS no responda a uno de los mensajes periódicos de verificación de estado (“polls”), se generará una alerta dentro del SOC de Interoute, donde un equipo de profesionales de seguridad que trabajan ininterrumpidamente (24x7) investigará la causa de la incidencia. El SOC de Interoute se encargará también de recoger y atender las alertas generadas por los dispositivos IPS instalados, a través de un sistema de gestión centralizado que incluye funciones de control, monitorización y coordinación.

(8)

Cada vez que el sistema IPS genere una alerta, será evaluada automáticamente y se le asignará un nivel de riesgo que determinará si se trata de una incidencia de prioridad baja, media, alta o crítica. Esta evaluación determinará el tipo de actuación ante ella, la rapidez con que se llevará a cabo, y el método que se empleará para informar al cliente.

A cada alarma se le asigna un nivel de gravedad que dependerá del tipo de ataque, su antigüedad, la amenaza que supone, y su impacto. La forma de actuación es la siguiente: Prioridad Impacto Descripción de la incidencia Acción adoptada

Baja Desconocido

No supone amenaza directa, pero puede contener información sobre una actividad que sugiera la

existencia de un intento de intrusión

Guardar la información durante un ciento tiempo con fines forenses. La incidencia queda visible a través del portal del cliente.

Media

Actualmente no vulnerable

Se ha enviado al objetivo un paquete malintencionado (un ataque que ya no supone riesgo, o una enumeración intrusiva), que no supone una

amenaza directa para su funcionamiento. Una alerta de prioridad media no indica impacto alguno sobre el funcionamiento de un sistema o sobre los controles lógicos de acceso.

Análisis automatizado de la incidencia. Análisis de tendencias y correlación con otros eventos disponibles en el portal del cliente.

Alta

Potencialmente vulnerable

Ataque al objetivo que supone un verdadero riesgo potencial, y que incide en la disponibilidad o seguridad de un sistema y de sus datos,

provocando, por ejemplo, la

interrupción de un servicio, la pérdida de la integridad de los datos, o su exposición, la inyección de software o código malintencionado, etc.

El cliente debe analizar el objetivo para determinar si ha resultado comprometido o se trataba de un falso positivo.

Vulnerable

Clara evidencia de que la seguridad del sistema se encuentra

comprometida en este momento. Gran cantidad de eventos de alta prioridad, corroborados por pruebas visibles en el sistema (por ejemplo, sustitución de contenidos en la web, indisponibilidad del sistema, o saturación de ancho de banda o de CPU).

Notificación inmediata de la incidencia al cliente para que adopte las medidas que considere (escalado).

(9)

El tiempo entre Evento y Alerta define el período máximo que puede transcurrir entre el momento en que se dispara la alarma en la plataforma IPS, su análisis y la comunicación de la información al respecto al cliente. La tabla siguiente detalla los tiempos contemplados para los distintos niveles de amenazas:

Nivel de amenaza Tiempo Medio de comunicación De alerta a respuesta

Vulnerable Indeterminado Alerta por email

Portal del cliente 30 minutos Potencialmente

vulnerable Indeterminado Informe diario por email Portal del cliente N/A No vulnerable /

Desconocido Indeterminado

Informe mensual

Portal del cliente N/A

3.3 Coste del servicio

El coste del servicio de Prevención de intrusiones en la red (IPS) de Interoute combina cuotas de alta no recurrentes (NRC, Non-Recurring Charges) y cuotas mensuales (MRC, Monthly Recurring Charges). El principal criterio de facturación es el número de dispositivos que deben quedar cubiertos por el servicio, lo cual condiciona tanto el tipo de hardware necesario (que afecta principalmente a las cuotas de alta no recurrentes) como el coste de las licencias y actualizaciones de software (que se refleja principalmente en las cuotas recurrentes).

Opciones disponibles para este servicio

 Caudal garantizado (CIR) seleccionable entre 100 Mbps y 1 Gbps (aunque a petición del cliente pueden ofrecerse configuraciones con una capacidad de hasta 20 Gbps)

 Dispositivos IPS virtuales para clientes con máquinas virtuales VMware ESXi alojadas dentro de un centro de datos de Interoute, con caudales garantizados (CIR) de hasta 100 Mbps.

 Un servicio completamente gestionado, en el que se permite al cliente el acceso a las áreas de la plataforma de gestión asociadas a ese cliente

 Administración de reglas estándar (facilitadas por el proveedor), deshabilitando o habilitando reglas para evitar falsos positivos

 Posibilidad de definir reglas, alertas e informes a medida, contratando nuestros servicios profesionales  Posibilidad de inspección en zonas desmilitarizadas (DMZ), siempre y cuando el tipo de hardware se

ajuste a los requisitos del servicio DMZ estándar de Interoute (sólo para servicios IPS de tamaños mediano y grande)

Opciones no disponibles para este servicio

Funciones no relacionadas con los servicios de prevención de intrusiones (IPS) y detección en tiempo real del estado de la red (RNA).

Códigos de producto

Los sistemas de prevención de intrusiones de Interoute se seleccionan especificando un determinado caudal de tráfico (CIR) y un formato de interfaz. Estos atributos se conocen como SVC-IPSI (puntos de inspección IPS).

Tamaño Caudal Garantizado (CIR) Número máximo de puntos de inspección (SVC- IPSI) soportados Posibilidad de

servicio en DMZ Código de producto

Pequeño 100 Mbps 1 No CON-SF3D2100

Mediano 500 Mbps 2 Sí CON-SF3D7120

Referencias

Descargar ahora ( PDF - 9 página - 610.47 KB )

Documento similar

EL CEDULARIO DE LA NUEVA GALICIA EN EL DERECHO INDIANO *

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

Prólogos de ida y vuelta: Juan de Piña, Alonsode Castillo Solórzano, Francisco de Quintana,Juan Pérez de Montalbán y María de Zayas enel campo literario de Lope de Vega

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

III \v~^X ^WVN

En junio de 1980, el Departamento de Literatura Española de la Universi- dad de Sevilla, tras consultar con diversos estudiosos del poeta, decidió propo- ner al Claustro de la

Necessitats i tendències del Sector associa0u

[r]

Ola Catalunya, we’re Jack

SVP, EXECUTIVE CREATIVE DIRECTOR JACK MORTON

Social Media para Turismo de Reuniones

Social Media, Email Marketing, Workflows, Smart CTA’s, Video Marketing. Blog, Social Media, SEO, SEM, Mobile Marketing,

Informe de Posicionamiento Terapéutico de ofatumumab (Kesimpta®) en el tratamiento de pacientes adultos con Esclerosis Múltiple Recurrente

Por lo tanto, en base a su perfil de eficacia y seguridad, ofatumumab debe considerarse una alternativa de tratamiento para pacientes con EMRR o EMSP con enfermedad activa

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de