WatchGuard ThreatSync, el XDR de WatchGuard: lo probamos
La seguridad es una de las áreas en las que las empresas tienen que invertir más esfuerzos de cara a no quedarse atrás. Los ciberataques ya no persiguen la notoriedad, sino la usurpación de datos, que son los que pueden monetizarse de un modo más jugoso. Ya sea mediante técnicas de ransomware o mediante la venta de estos a terceros o mediante acuerdos con las propias empresas para no sacarlos a la luz o para aprovechar esos datos para acceder a cuentas bancarias si se trata de información sobre medios de pago.
Las modalidades son muchas, por no hablar de las exigencias de la LOPD sobre la comunicación de brechas de seguridad, con posibles sanciones, o de los problemas derivados de tener que paralizar la actividad de la empresa si el ciberataque afecta a departamentos o infraestructuras especialmente sensibles.
De la protección perimetral a la protección de los equipos
La seguridad ha tenido que adaptarse a la evolución de las tecnologías empleadas para desplegar las infraestructuras IT de las empresas. La protección perimetral ha sido la más comúnmente adoptada en los tiempos de las redes corporativas on-prem, desplegadas en infraestructuras instaladas localmente en las delegaciones.
Con la proliferación de la nube como plataforma de computación, las infraestructuras on-prem han ido moviéndose o complementándose con despliegues cloud. Además, los empleados ya no necesariamente se conectan “detrás” de las redes corporativas on-prem, sino que lo hacen desde una amplia diversidad de ubicaciones y dispositivos.
Así pues, la protección perimetral ya no es suficiente, el futuro está en soluciones unificadas y simplificadas, que protegen varios vectores de intrusión (red, endpoint, identidad y redes wi-fi) bajo un mismo paraguas, permitiendo un mayor enriquecimiento de datos, contextualización y por ello visibilidad para identificar y remediar ciberataques. Esa es la base y el fundamento del funcionamiento de XDR de WatchGuard.
WatchGuard XDR es la solución de WatchGuard para aumentar la detección de amenazas cruzando la información de sus diferentes productos de seguridad, y programar respuestas automáticas, reduciendo con ello la exposición.
WatchGuard XDR protege a los usuarios de amenazas avanzadas, amenazas avanzadas persistentes (APT), malware de día cero, ransomware, suplantación de identidad, rootkits, vulnerabilidades en la memoria y ataques sin malware. Además, proporciona funcionalidades de IDS, Firewall, control de dispositivos y filtrado de contenido y de direcciones URL, todo ello, sustentado por la potencia de procesamiento de WatchGuard Cloud.
Por otro lado, WatchGuard tiene adoptado el principio de Confianza Cero de Aplicaciones (Zero Trust). Es un servicio basado en tecnologías de IA que se ejecutan en la nube de WatchGuard. Por defecto, se deniega la actividad en todos los procesos, habilitándose solo los que se aprueben por los sistemas de detección automatizados y los que se clasifican manualmente por los profesionales de WatchGuard. El 99,98% de los procesos son tratados de forma automática, mientras que el 0,02% restante se clasifica manualmente.
La proactividad es otra de las cualidades de la solución WatchGuard XDR. A través del servicio de Threat Hunting, los equipos de análisis y detección de ataques pueden anticiparse a los ataques propiamente dichos mediante la identificación de comportamientos anormales y sospechosos para categorizarlos como indicadores de ataques. WatchGuard implementa el marco de MITRE ATT&CK como una de las bases de conocimiento que usa para completar la metodología de búsqueda de ataques incluso aquellos desconocidos. Al mismo tiempo, se reducen los falsos positivos y se reduce el tiempo promedio de detección y el tiempo promedio de respuesta.
Las notificaciones sobre la actividad se realizan a través de la consola web en la nube con todo lujo de detalles sobre la amenaza y con recomendaciones para su mitigación.
Gestión de la seguridad centralizada
XDR de WatchGuard es una herramienta escalable y de fácil despliegue, capaz de satisfacer necesidades tanto de PYMES como de gran cuenta. Con todo, la gestión de estos dispositivos y assets corporativos se lleva a cabo de forma centralizada a través de la plataforma Unified Security Platform o Plataforma de Seguridad Unificada de WatchGuard. En esta plataforma se realizan las tareas de monitorización y gestión de los dispositivos, simplificando el trabajo de los equipos TI dedicados a gestionar la seguridad empresarial. A través de XDR, además, es posible aislar un equipo de forma automática en el caso de que se detecte actividad maliciosa en el mismo.
La conexión de los equipos con la nube se lleva a cabo a través de un agente ligero, que habilita las opciones de análisis, detección de amenazas y protección de los puestos de trabajo y servidores en tiempo real, basándose tanto en firmas tradicionales como en el análisis mediante IA, así como el análisis selectivo de amenazas que no hayan pasado la aprobación de la IA, por parte de los profesionales de WatchGuard.
Probando WatchGuard XDR
WatchGuard ha puesto a nuestra disposición un entorno de pruebas para su solución XDR. En este entorno de pruebas podemos adentrarnos en las posibilidades de la plataforma cloud junto con un endpoint para generar algunas alertas y tomar contacto de primera mano con la solución, así como establecer políticas de filtrado de tráfico, todo ello sustentado en la nube de WatchGuard por la correspondiente instancia Firebox adecuada a las necesidades del entorno de pruebas.
Una de las premisas de WatchGuard es la facilidad de uso de la plataforma cloud, así como su versatilidad a la hora de llevar cuenta de la seguridad de los equipos que intervienen en los procesos corporativos. Facilidad que no comprometa la seguridad, por supuesto. De hecho, WatchGuard cuenta con herramientas que permiten añadir fácilmente autenticación multi factor, como AuthPoint, para robustecer el acceso a servicios y aplicaciones, incluyendo la propia plataforma WatchGuard Cloud.
La metodología de puesta a punto de la plataforma de protección pasa por instalar los agentes en los dispositivos que se vayan a proteger y configurarlos para que se conecten con la plataforma cloud de acuerdo con las licencias adquiridas y condiciones de servicio contratadas con WatchGuard. Dentro de los productos de Unified Threat Management, con el bundle de Total Security, así como las soluciones de endpoint con EDR, se incluye la funcionalidad de XDR sin incurrir, por ello, en costes añadidos.
Una vez realizada esta puesta a punto inicial, podremos entrar en la plataforma cloud correspondiente a nuestra zona geográfica o en la que más convenga en América, Europa o Asia, para la gestión de nuestra compañía. Los datos se quedan almacenados en Europa en cualquier caso. En la página inicial del dashboard se muestra un resumen general del estado de nuestra plataforma de seguridad que gira en torno a máquinas Firebox instaladas en la nube. Los equipos Firebox son firewalls de alto rendimiento de WatchGuard y un componente fundamental de la arquitectura Unified Security Platform. La solución WatchGuard XDR se sustenta sobre esta arquitectura, pero gestionada en la nube de WatchGuard con las ventajas que ello conlleva de escalabilidad automática, mantenimiento y uptimes gestionados por WatchGuard, actualizaciones, redundancia, etcétera.
En este Dashboard encontramos herramientas como el análisis de Dark Web, que permite identificar vulneraciones de datos en nuestras cuentas que estén circulando en dicha Dark Web. Tenemos también las alertas activas, incidentes pendientes, resumen con los endpoints o detalles de la licencia.
Monitorizar y configurar WatchGuard XDR
En la parte de monitorización obtendremos información sobre el estado de las amenazas, productos contratados, como los dispositivos Firebox o servicios como Threat Detection o los de los Endpoints.
La monitorización de los dispositivos Firebox es excepcional, con todo tipo de informes sobre tráfico, conexiones, redes, accesos web, etcétera. Tenemos diferentes dashboards donde encontramos información proveniente de los logs, así como del estado en directo de las máquinas encargadas de gestionar la seguridad de nuestros endpoints.
En la parte de endpoint, es posible mejorar la seguridad mediante módulos adicionales, como WatchGuard Full Encryption, WatchGuard Advanced Reporting Tool, WatchGuard Data Control (amplifica la administración de datos personales), así como la gestión de parches con Patch Management.
La monitorización también contempla, por supuesto, los endpoints, con paneles que indican es estado de la seguridad o el riesgo de la compañía en base al estado de los endpoints, así como los indicadores de ataque detectados (IOA) o la evaluación de vulnerabilidades que dependen directamente de los parches aplicados en nuestros sistemas operativos, sin ir más lejos.
Las opciones de configuración de los endpoints son sumamente granulares y detalladas, siendo posible realizar configuraciones generales para todos los endpoints o personalizadas. Es posible, por ejemplo, limitar la conectividad de accesorios a los puertos USB, controlar el acceso a páginas web, denegar acceso a categorías predefinidas, dominios, la visualización de alertas, gestionar los antivirus o las actualizaciones entre centenares de posibilidades.
El bloqueo de programas está también contemplado, por supuesto, por nombre o por código MD5. La búsqueda automática de parches de seguridad o la autorización de programas específicos son otras opciones dentro de la configuración de los endpoints. Los listados de equipos, hardware o software están en este apartado de monitorización.
En lo que respecta al apartado Configurar, tenemos todo lo necesario para poner a punto las opciones de funcionamiento de WatchGuard XDR.
Se pueden añadir políticas de remediación y archivo de acuerdo con determinadas condiciones relativas a nivel de riesgo, tipo de incidente o tipo de dispositivo para provocar acciones tales como bloquear IPs, borrar archivos, aislar dispositivos o detener procesos (y viceversa).
La configuración de los dispositivos Firebox, el Firewall propiamente dicho, es otro apartado destacado. Llegados a este punto, sobra decir que la administración de la seguridad debe ser llevada a cabo por personal TI que conozca la organización al detalle para definir las políticas de seguridad y los parámetros de configuración de un modo preciso y ajustado a la necesidad de la organización, preferiblemente aplicando políticas Zero Trust que limiten el uso de aplicaciones y acceso a recursos a quienes no necesiten expresamente estos usos y accesos.
Administración: Acceso mediante API, personalización, notificaciones e informes
Dentro del apartado de la Administración, tenemos opciones habituales como la gestión de la cuenta, detalles de la Licencia, pruebas de productos adicionales o el acceso gestionado. En este apartado se configura el acceso a WatchGuard XDR a través de un API RESTful.
Es una propuesta interesante para una personalización avanzada del uso de WatchGuard XDR, habilitando la creación de herramientas a medida
para realizar actividades desde aplicaciones o interfaces personalizadas en una organización. Hay documentación completa sobre cómo usar este API RESTful a través de parámetros específicos.
Los Informes Programados son de utilidad para compartir información sobre el estado de la seguridad de una organización. Es posible seleccionar los elementos que compondrán estos informes con una excelente granularidad de acuerdo con los perfiles a los que vayan dirigidos.
Una propuesta versátil, escalable y completa para gestionar la seguridad de una organización
WatchGuard tiene en WatchGuard XDR una propuesta para la seguridad de las empresas y organizaciones que contempla las más recientes tendencias en seguridad. La arquitectura de seguridad de la solución XDR de WatchGuard permite unificar todos los aspectos relacionados con la seguridad empresarial a modo de paraguas que engloba tanto telemetría como contexto y automatización. En este caso, WatchGuard lleva sus Firebox a la nube, construyendo desde ahí una solución de seguridad para los dispositivos (endpoints) y usuarios (identidades) integrados en WatchGuard XDR sin necesidad de contar con las tradicionales (e insuficientes en muchos casos) instalaciones on-prem.
Las opciones de configuración de la plataforma cloud y los endpoints son ingentes, aunque organizadas de un modo sencillo en torno a menús de fácil acceso y con los que es posible familiarizarse en poco tiempo.
Es cierto que hay que tener muy claras las políticas de seguridad y los roles de los usuarios para definir con precisión qué recursos serán accesibles por cada usuario, así como las aplicaciones que pueden usar y las que no pueden abrir por razón de dichos roles. Las políticas Zero Trust son las que priman hoy en día y es interesante definir estrategias de seguridad que partan de una política de cero confianza.