Seguridad | Noticias | 07 JUL 2016

La diferencia entre appliances NGFW y dispositivos UTM: ¿qué es mejor?

El CTO de la compañía WatchGuard, Corey Nachreiner, nos aclara las principales diferencias entre los appliance NGFW y los dispositivos UTM en un momento en el que ambos productos comparten capacidades similares.
Watchguard NGFW vs UTM

A la industria de la seguridad le gusta crear acrónimos: IAM, UTM, NGFW, MFA, EDR... Tal vez se trate de una tendencia general de los humanos de querer simplemente definir temas complejos. En una industria que se encuentra en constante cambio, como es la de la seguridad de la información, estas siglas y agrupaciones crean grandes desafíos en el tiempo. Cada año hay nuevas amenazas que generan más innovación y diferentes enfoques de seguridad, los cuales tratamos inicialmente de agrupar en clasificaciones predefinidas, a menudo diluyendo el valor de las tecnologías en desarrollo y confundiendo a los usuarios finales. Un ejemplo de ello es el actual intento de clasificar las plataformas de seguridad de red en dos grupos diferenciados: firewalls de próxima generación (NGFW) y appliances de gestión unificada de amenazas (UTM). La confusión entre ambas se ha vuelto tan evidente que el tema ya se ha convertido en objeto de debate de los analistas en encuentros internacionales como la Conferencia de Seguridad y Gestión de Riesgos de Gartner del año pasado. El hecho es que la mayoría de los usuarios sólo quieren tener una buena protección que resuelva las amenazas a la seguridad de su red, preocupándose menos por las siglas NGFW y UTM. En este artículo espero aclarar parte de este galimatías, y compartir algunos datos que ilustran por qué la protección UTM incrementa la eficacia de su seguridad.

UTM vs. NGFW: ¿cuál es la diferencia?

En un momento determinado, cuando los analistas definieron estos dos segmentos de producto, tenían claras las delimitaciones de las funciones de cada uno. En términos generales, los appliances NGFW eran firewalls con sistemas de prevención de intrusiones (IPS) y control de aplicaciones; mientras que los dispositivos UTM eran firewalls con IPS, antivirus (AV), filtrado URL y funciones antispam. Sin embargo, con el tiempo los mercados han evolucionado y cambiado orgánicamente. Ahora ambas soluciones comparten un conjunto básico de capacidades similares. Por ejemplo, algunas soluciones NGFW han añadido nuevos controles de seguridad (como detección de malware), que solían estar en el campo de los UTM. Mientras tanto, los UTM han adoptado todas las medidas de seguridad que ayudaron a definir el mercado NGFW, tales como el control de aplicaciones e, incluso, han añadido nuevos servicios adicionales de seguridad a la mezcla.  

"La seguridad por capas sigue siendo la forma más eficaz de prevenir la mayoría de los ataques que sufren las organizaciones", destaca Nachreiner

 

Esta fusión de funciones entre NGFW y UTM ha hecho que sea un poco más difícil de diferenciar los productos, pero creo que una descripción detallada es válida y útil. Las soluciones UTM se centran en la unificación de la mayor cantidad de controles de seguridad que sea posible en un solo lugar, haciendo más fácil y más rentable la gestión, mientras que las soluciones NGFW se centran solamente en consolidar un subconjunto limitado de controles; concretamente, los que tienen más sentido en ciertos casos de uso, como por ejemplo en un entorno de centros de big data. Por decirlo de forma más clara, las soluciones UTM tienden a incluir más tipos de controles de seguridad que los NGFW.  

Cómo la seguridad UTM en capas mejora la defensa en general

En esencia, la principal propuesta de valor del UTM es que combina muchos controles de seguridad en un solo lugar, aumentando la eficacia general de la seguridad y haciendo posible la seguridad en capas para algunas organizaciones que no la pueden implementar de otra manera. Para apreciar realmente esto, es necesario entender por qué la seguridad en capas mejora la eficacia de la defensa global.

En última instancia, dos son las razones por las que la seguridad por capas de los UTM ofrece la mejor defensa:

  1. No hay ningún control de seguridad único que sea infalible. La historia ha demostrado que la seguridad de la información es una carrera constante. Los “buenos” inventan un nuevo control de seguridad que bloquea un ataque al principio, pero los “malos” reaccionan y encuentran nuevas maneras de evitar esas defensas. Los antivirus (AV) son un buen ejemplo de esto. La industria comenzó con soluciones basadas en firmas que, en su momento, hicieron un buen trabajo, pero al final los malos evolucionaron y reaccionaron con nuevas técnicas de evasión que evitaban las soluciones reactivas basadas en firmas de virus. Hoy en día, tenemos más soluciones AV avanzadas y basadas en el comportamiento, pero los atacantes ya están investigando las formas de “engañar” y no ser detectados por estas nuevas soluciones. El punto es, no importa lo grande que pueda parecer un control de seguridad, los atacantes encontrarán alternativas a su alrededor para superarlo, por lo que es importante contar con las capas adicionales de seguridad que un dispositivo UTM proporciona.

  2. Los ataques combinados modernos tienen diferentes etapas. Por ejemplo, la distribución de un ataque inicial, la porción de exploit del ataque, la carga útil o la entrega de malware, la llamada al atacante y así sucesivamente. Los expertos en seguridad a menudo se refieren a estas etapas como Kill Chain. La importancia de estas etapas es doble: en primer lugar, cada fase es una oportunidad adicional para que usted pueda capturar o detener el ataque. Si se falla en la primera fase, es posible que pueda detenerse en la segunda. Además, cada una de estas etapas requiere un tipo diferente de defensa. Por ejemplo, el IPS no está destinado a atrapar el malware, sino más bien a bloquear exploits de software. Las tecnologías incorporadas en nuestros dispositivos UTM rompen la Kill Chain incorporando los diferentes tipos de defensa necesarios para cada etapa de un ataque, y las estratifica entre sí por lo que, lo que se escapa en un fase es bloqueado en otra etapa. En pocas palabras, cuantas más etapas de un ataque se cubran con protección, más eficaz será la defensa global, incluso cuando las nuevas amenazas traspasen una barrera de protección.  

 

En mi opinión, poco importa cómo el usuario defina lo que hacemos -UTM, seguridad multicapa, NGFW, etc.-, lo que realmente debe preocuparnos y debe ser nuestro objetivo como fabricante es el hecho de crear un mecanismo para examinar y detener todas las diferentes etapas de un ataque a la red moderna y, estratificando en capas estas protecciones, ofrecemos al usuario múltiples oportunidades para bloquear la amenaza incluso cuando una defensa falla. La buena noticia es que esta tecnología ¡ya existe!

Algunos han afirmado, que la defensa en profundidad o la seguridad por capas está muerta.  Esta declaración es fruto de la frustración, porque últimamente hemos visto a muchas organizaciones comprometidas a pesar de sus tecnologías de defensa. Sin embargo, desde mi punto de vista, la seguridad en capas sigue siendo la forma más eficaz de prevenir la mayoría de los ataques. Las infracciones y brechas seguirán ocurriendo porque ninguna defensa es infalible, pero si se cuenta con los niveles de seguridad de un dispositivo UTM aumenta la eficacia global de la seguridad, e incluso se puede bloquear con éxito un ataque cuando una capa de seguridad falla.

Es un artículo elaborado por Corey Nachreiner, CTO de WatchGuard. CISSP  (@SecAdept)

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información