Un vistazo al análisis y bloqueo de amenazas con Cisco Umbrella
SIG es sinónimo de Cisco Umbrella, una puerta de enlace segura de Internet (y de momento, la única). Un SIG proporciona acceso seguro a Internet donde sea que vayan los usuarios, incluso cuando están fuera de la VPN. Antes de conectarse a cualquier destino, un SIG actúa como su pasarela segura a Internet y proporciona la primera línea de defensa e inspección.
Independientemente de dónde se encuentren los usuarios o a qué intentan conectarse, el tráfico pasa primero por Umbrella. Una vez que el tráfico llega a la plataforma en la nube de SIG, pueden ocurrir diferentes tipos de inspección y cumplimiento de políticas para asegurar el cumplimiento de la seguridad.
Cisco Umbrella es una herramienta totalmente en la nube, no hay hardware para implementar ni software que mantener. Solo es necesario actualizar los servidores DNS para que apunten a Umbrella para empezar a funcionar. Las opciones de escalado son controladas directamente desde el panel de control de la herramienta. Cisco Umbrella tiene una estrecha integración con los puntos finales de Cisco y productos de red como AnyConnect, ISR, controladores de WLAN, etc. para que sea aún más fácil integrar Cisco Umbrella en todos los dispositivos.
Cisco Umbrella es capaz de recoger todo el tráfico y, a partir de una inmensa base de datos de dominios e IP maliciosas, es capaz de bloquear cualquier petición hacia esas direcciones. Sin embargo, hay dominios que pueden considerarse de riesgo al mezclar contenido inseguro con el seguro. Para poder actuar en esta situación Umbrella manda esa petición a un proxy inteligente que analiza la amenaza. Este proxy inspecciona los archivos con motores antivirus (AV) y analiza el comportamiento mediante de técnicas de sandboxing.
Cómo funciona el proxy inteligente de Cisco Umbrella
Entrando en detalle, el análisis del fichero pasa por una verificación de su hash o firma del fichero a través de diferentes motores antivirus y otras soluciones avanzadas de protección contra malware como Cisco AMP para determinar si es una amenaza conocida. Para los archivos desconocidos, las tecnologías de sandboxing capturan el archivo fuera de línea para el análisis estático y dinámico. De esa manera su equipo de seguridad puede aprender en cuestión de minutos si el archivo es realmente malicioso y tomar medidas inmediatas para remediarlo.
Para conseguir que la protección sea realmente funcional no podemos olvidar el análisis retrospectivo de archivos. Puede ocurrir que durante el momento del análisis, Umbrella determinara que un archivo es seguro, pero tiempo después lo catalogue como malicioso. Umbrella tiene la capacidad de marcar retrospectivamente esa actividad para que su equipo de seguridad que pueda actuar en consecuencia y poder remediar cualquier tipo de compromiso.
Cisco Umbrella y los Firewall de nueva generación
Umbrella tiene una estrecha relación con los NGFW de Cisco. Umbrella Roaming es un servicio de seguridad prestado a través de la nube para los firewall de última generación de Cisco. Protege a los empleados incluso cuando se encuentran fuera de la VPN sin necesitar ningún otro agente. Solo es necesario habilitar la función Umbrella en el cliente Cisco AnyConnect y se activará una protección continua frente al malware, posibles suplantaciones de identidad y las devoluciones de llamada de control y mando de ransomwares, vayan donde vayan los usuarios.