Riesgos al descubierto
Muchas empresas no están preparadas para hacer frente a la que se puede considerar la peor pesadilla de los ejecutivos: la difusión electrónica de datos sensibles por el personal interno. Nada contribuye más a destruir la marca y reputación de una empresa.
Cuando a las soluciones hardware de monitorización de contenidos se les añade dispositivos de descubrimiento de riesgos se consigue una mayor visibilidad sobre los datos que entran y salen de la red. Así, permiten a las empresas a proteger, por ejemplo, los datos y la propiedad intelectual del cliente, y ayuda a las organización a cumplir las normativas legales. Estos dispositivos monitorizan pasivamente, a la velocidad del cable, el tráfico entrante y saliente que fluye sobre una red con independencia de protocolos y puertos.
Con estos nuevos dispositivos, los flujos de TCP son capturados, reensamblados y analizados en tiempo real para identificar los retos y enviar alertas. Además, se puede aplicar al tráfico políticas predefinidas para detectar patrones de emparejamiento e identificar información. También pueden ser configurados para almacenar el tráfico que viole tales políticas, así como aquél que cursa la red sin activarlas, y, en consecuencia, investigarlo enfrentándolo a datos históricos. Asimismo, los dispositivos de descubrimiento de riesgos proporcionan, vía un navegador seguro, un contexto de incidencias, donde un administrador o usuario autorizado, con permiso en función del rol, pueda ver el contenido original (por ejemplo, un PDF y sus metadatos de transmisión asociados, como usuario e IP de fuente y destino).
Tomando como caso práctico la filtración de números de afiliación de la Seguridad Social a partir de un correo electrónico saliente, el personal encargado de la seguridad y del cumplimiento de las normativa legal, una vez alertado, podría darse cuenta de que dichos datos están siendo enviados por correo en informes de error generados por un servidor de aplicaciones mal configurado. El personal de TI podría reconfigurar el servidor de aplicaciones y el cortafuegos para detener el correo electrónico saliente.
Identificación y almacenamiento
Como los flujos TCP son reconstruidos, el dispositivo de descubrimiento de riesgos identifica el protocolo y el tipo de contenido. Y aún en el caso de que el protocolo sea desconocido, el dispositivo puede continuar escaneando hasta identificar los objetos del contenido, que serían almacenados temporalmente en un sistema de ficheros. El emparejamiento de los metadatos se almacena en una base de datos SQL relacional para, posteriormente, realizar operaciones de datamining. Las alertas se disparan en tiempo real a medida que se van identificando las violaciones.
Adicionalmente, las analíticas conceptuales, que emplean técnicas de emparejamiento de patrones para detectar tendencias y anomalías en la información transmitida, permiten a los usuarios obtener una mayor visión de los flujos de datos históricos. Así, por ejemplo, un contratista de defensa podría realizar auditorías de la información transmitida electrónicamente a otros países para garantizar que no se han violado las regulaciones internacionales. Se podría dar el caso, por ejemplo, de descubrir que las transmisiones FTP a China han puenteado los controles de seguridad perimetral y enviado información confidencial a partir de un servidor FTP no autorizado.
Las soluciones de monitorización de contenidos basadas en dispositivos de descubrimiento de riesgos detectan, escanean y analizan los flujos de información para identificar retos de seguridad e inspecciona los datos para identificar patrones o anomalías. Las peticiones de correlación sobre corrientes de datos históricos y almacenadas por los dispositivos de descubrimiento de riesgos para corroborar las brechas de la seguridad perimetral y proporcionar un contexto adicional para los incidentes en tiempo real.
Cómo funciona
----------------------
Dispositivos de recuperación de riesgos. Un appliance de monitorización de contenidos con un dispositivo de descubrimiento de riesgos inspecciona el flujo de contenidos que cursan la red para identificar retos.
1- El appliance de monitorización de contenidos captura y reconstruye las corrientes de datos entrantes y salientes.
2- El dispositivo de riesgos analiza los retos en tiempo real y envía alertas, en función de reglas y políticas.
3- El dispositivo escribe el contexto global de incidentes en tiempo real no filtrados a una base de datos relacional y a un repositorio de sistemas de archivo para investigaciones posteriores.
Cuando a las soluciones hardware de monitorización de contenidos se les añade dispositivos de descubrimiento de riesgos se consigue una mayor visibilidad sobre los datos que entran y salen de la red. Así, permiten a las empresas a proteger, por ejemplo, los datos y la propiedad intelectual del cliente, y ayuda a las organización a cumplir las normativas legales. Estos dispositivos monitorizan pasivamente, a la velocidad del cable, el tráfico entrante y saliente que fluye sobre una red con independencia de protocolos y puertos.
Con estos nuevos dispositivos, los flujos de TCP son capturados, reensamblados y analizados en tiempo real para identificar los retos y enviar alertas. Además, se puede aplicar al tráfico políticas predefinidas para detectar patrones de emparejamiento e identificar información. También pueden ser configurados para almacenar el tráfico que viole tales políticas, así como aquél que cursa la red sin activarlas, y, en consecuencia, investigarlo enfrentándolo a datos históricos. Asimismo, los dispositivos de descubrimiento de riesgos proporcionan, vía un navegador seguro, un contexto de incidencias, donde un administrador o usuario autorizado, con permiso en función del rol, pueda ver el contenido original (por ejemplo, un PDF y sus metadatos de transmisión asociados, como usuario e IP de fuente y destino).
Tomando como caso práctico la filtración de números de afiliación de la Seguridad Social a partir de un correo electrónico saliente, el personal encargado de la seguridad y del cumplimiento de las normativa legal, una vez alertado, podría darse cuenta de que dichos datos están siendo enviados por correo en informes de error generados por un servidor de aplicaciones mal configurado. El personal de TI podría reconfigurar el servidor de aplicaciones y el cortafuegos para detener el correo electrónico saliente.
Identificación y almacenamiento
Como los flujos TCP son reconstruidos, el dispositivo de descubrimiento de riesgos identifica el protocolo y el tipo de contenido. Y aún en el caso de que el protocolo sea desconocido, el dispositivo puede continuar escaneando hasta identificar los objetos del contenido, que serían almacenados temporalmente en un sistema de ficheros. El emparejamiento de los metadatos se almacena en una base de datos SQL relacional para, posteriormente, realizar operaciones de datamining. Las alertas se disparan en tiempo real a medida que se van identificando las violaciones.
Adicionalmente, las analíticas conceptuales, que emplean técnicas de emparejamiento de patrones para detectar tendencias y anomalías en la información transmitida, permiten a los usuarios obtener una mayor visión de los flujos de datos históricos. Así, por ejemplo, un contratista de defensa podría realizar auditorías de la información transmitida electrónicamente a otros países para garantizar que no se han violado las regulaciones internacionales. Se podría dar el caso, por ejemplo, de descubrir que las transmisiones FTP a China han puenteado los controles de seguridad perimetral y enviado información confidencial a partir de un servidor FTP no autorizado.
Las soluciones de monitorización de contenidos basadas en dispositivos de descubrimiento de riesgos detectan, escanean y analizan los flujos de información para identificar retos de seguridad e inspecciona los datos para identificar patrones o anomalías. Las peticiones de correlación sobre corrientes de datos históricos y almacenadas por los dispositivos de descubrimiento de riesgos para corroborar las brechas de la seguridad perimetral y proporcionar un contexto adicional para los incidentes en tiempo real.
Cómo funciona
----------------------
Dispositivos de recuperación de riesgos. Un appliance de monitorización de contenidos con un dispositivo de descubrimiento de riesgos inspecciona el flujo de contenidos que cursan la red para identificar retos.
1- El appliance de monitorización de contenidos captura y reconstruye las corrientes de datos entrantes y salientes.
2- El dispositivo de riesgos analiza los retos en tiempo real y envía alertas, en función de reglas y políticas.
3- El dispositivo escribe el contexto global de incidentes en tiempo real no filtrados a una base de datos relacional y a un repositorio de sistemas de archivo para investigaciones posteriores.
