La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Jesús Díaz – jdiaz@paloaltonetworks.com Diseñando soluciones Zero Trust con una plataforma de seguridad de nueva generación Jesús Díaz – jdiaz@paloaltonetworks.com.

Publicada porLuis Miguel Vega Maldonado Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Jesús Díaz – jdiaz@paloaltonetworks.com Diseñando soluciones Zero Trust con una plataforma de seguridad de nueva generación Jesús Díaz – jdiaz@paloaltonetworks.com."— Transcripción de la presentación:

1 Jesús Díaz – jdiaz@paloaltonetworks.com
Diseñando soluciones Zero Trust con una plataforma de seguridad de nueva generación Jesús Díaz –

2 Problemática

3 Modelo de confianza tradicional
Internet FW de nivel 4 + IPS Trust Partners Untrust Extranet Trust Untrust tcp/139/445 abiertos a través de toda la red Trust ¿¿Tiene sentido??

4 Ciclo de vida de un ataque avanzado
Movimiento lateral Brecha en servidores Zero-Day C&C Obtener inteligencia Planear el ataque Comprometer red y hosts Entregar malware nuevo, desconocido y silencioso Más control de red Identificar recursos y usuarios de valor Robar datos Robar propiedad intelectual con canales encubiertos ¡Asume que ALGO entrará! ¿Puedes controlar lo que sale (C&C)? 4 | ©2014, Palo Alto Networks. Confidential and Proprietary.

5 ¿Entonces cuál es el problema?
Internet Trust Partners IPS AntiVirus AntiSpyware Filtrado URL Seguridad DNS Detección C&C Sandbox Untrust Extranet ¡Zona libre! Trust Untrust

6 ¿Qué es el modelo Zero-Trust?

7 CONFÍA PERO VERIFICA

8 Modelo Zero Trust Untrust Untrust Untrust Untrust
Internet Control positivo de aplicaciones Control de tráfico desconocido IPS AntiVirus AntiSpyware Filtrado URL Seguridad DNS Detección C&C Sandbox Untrust Partners Untrust Extranet Untrust Untrust

9 Conceptos de zero trust (Forrester)
Todos los recursos son accedidos de manera segura, independientemente de la localización. El control de acceso es estrictamente forzoso para todos los usuarios. Verificar siempre y no confiar nunca. Inspeccionar y loguear todo el tráfico. La red se diseña de dentro hacia afuera.

10 Deconstruyendo la red tradicional
Edge FW IPS Core WCF WAF VPN DAM DLP DB ENC Distribución IPS IPS WLAN GW FW NAC FW Acceso

11 Reconstruyendo la red de manera segura
FW WLAN GW CRYPTO AM CF IPS WAF NAC FW IPS AC WCF DAM Packet Forwarding Engine DLP DB ENC VPN

12 Gateway de Segmentación
FW IPS CF AC Crypto AM NGFW Alta velocidad Múltiples interfaces 10G Integrado en el ADN de la red 12 | ©2014, Palo Alto Networks. Confidential and Proprietary.

13 Zero Trust en detalle User MCAP WWW MCAP Management = Backplane
MCAP – Micro Core and Perimeter Los recursos MCAP tienen una funcionalidad similar y comparten los atributos de las políticas globales Los MCAPs se gestionan centralmente para crear un switching fabric de seguridad unificado User MCAP WWW MCAP MGMT server Management = Backplane 13 | ©2014, Palo Alto Networks. Confidential and Proprietary.

14 Implementando Zero-Trust con Palo Alto Networks

15 Es imperativo ofrecer flexibilidad en el despliegue de red
Modo visibilidad (tap) Virtual Wire L2 L3 Recolección de logs distribuida y gestión centralizada Log Collector Distribuido Log Collector Distribuido Panorama 15 | ©2014, Palo Alto Networks. Confidential and Proprietary.

16 Ej. de segmentación con MCAP – Zonas de Seguridad
Base de Datos Web Aplicación Crear perfiles de seguridad separados: Perfil “Base de Datos” Perfil “Web” Perfil “Aplicación” Las zonas de seguridad representan redes con diferentes niveles de confianza, independientes de la localización del tráfico. Cada zona puede tener diferentes políticas y perfiles El grupo “Finanzas de la Universidad” puede acceder a la zona PCI usando la aplicación Oracle Inspeccionar todo el contenido de Oracle buscando amenazas y DLP 16 | ©2014, Palo Alto Networks. Confidential and Proprietary.

17 Solución completa en el datacenter
Seguridad Red Aplicación Sistemas de Orquestación Red Corporativa Securización del tráfico Norte-Sur Securización del tráfico Este-Oeste Servidores Virtualizados Servidores Físicos 17 | ©2014, Palo Alto Networks. Confidential and Proprietary.

18 La importancia de la nube

19 La importancia de la nube: Wildfire
WildFireTM Nube Pública Red Empresarial Exe, APK, PDF, JAR, Office, weblinks, … Ficheros Protecciones Internet Plataforma de Seguridad de Palo Alto Networks Nube Privada (appliance WF-500 opcional) Ficheros Protecciones center

20 WildFire: Entorno de emulación de amenazas
WildFire: inteligencia de nube compartida Windows 7 Superficie de ataques de aplicación Móvil Windows XP Entorno de emulación total de amenazas en hardware Visibilidad Evasión Anti-VM Entorno virtual personalizado, Hypervisor y S.O. Plataforma Hardware basada en nube elástica Visibilidad completa por Puerto, Protocolo & Cifrado

21 Técnicas de detección core de WildFire
Fase I Fase II Fase III Fase IV Los ficheros sospechosos son recopilados por todas las plataformas Filtrar los Benignos Análisis estático de PDF, Office, Java y APKs Análisis dinámico Ficheros conocidos Fuentes confiables Ficheros incrustados Código incrustado Anomalías de estructura Shell-code incrustada Tráfico de red Actividad del fichero Actividad de procesos & servicios Cambios en el registro Análisis con ejecución Se filtra los bueno conocido El análisis escala sin ejecución Descubre amenazas desconocidas basándose en el análisis de 200+ comportamientos maliciosos Genera protecciones Genera protecciones

22 Efectos visibles de WildFire
Fuentes de amenazas Usuarios WildFire WildFire Pública Privada Firmas WildFire Firmas AV Firmas DNS Filtrado URL Malware Firmas Anti-C&C ~15 Minutos 24 Horas 24 Horas 30 Minutos 1 Semana

23 WE DON‘T HAVE BETTER ALGORITHMS. WE JUST HAVE MORE DATA.
PETER NORVIG, Director of Research at Google

24 Nube: Capacidad de escalado
En un día normal WildFire recibe unos ficheros únicos cada hora 195 cada minuto 3 cada segundo De los desconocidos alrededor de son malware nuevo >70% no detectado por ninguno de los AV líder De media, cada fichero se procesa en menos de 6 minutos Incluso a pesar de que el volumen de ficheros se ha cuadruplicado 6.0 Released 24 | ©2014, Palo Alto Networks. Confidential and Proprietary.

25 Plataforma integral Nube de Nueva Generación
Firewall de Nueva Generación Automated Nube de Nueva Generación Inspecciona todo el tráfico Bloquea las amenazas conocidas Envía lo desconocido a la nube Extensible al móvil y al entorno virtual Obtiene las amenazas potenciales de la red y el endpoint Analiza y correla el comportamiento Disemina las contramedidas a la red y al endpoint Extensible Network Cloud Natively integrated Endpoint Endpoint de Nueva Generación Inspecciona todos los procesos y ficheros Previene exploits conocidos y desconocidos Se integra con la nube para la prevención de lo desconocido 25 | ©2014, Palo Alto Networks. Confidential and Proprietary.

26

Descargar ppt "Jesús Díaz – jdiaz@paloaltonetworks.com Diseñando soluciones Zero Trust con una plataforma de seguridad de nueva generación Jesús Díaz – jdiaz@paloaltonetworks.com."

Presentaciones similares

ÍNDICE Mission Statement Breve historia Posicionamiento

ÍNDICE Mission Statement Breve historia Posicionamiento
Construyendo una LAN segura

Construyendo una LAN segura
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
La seguridad TI gestionada desde la nube Alejandro Castañar Sr. Product Manager.

La seguridad TI gestionada desde la nube Alejandro Castañar Sr. Product Manager.
Administración del Datacenter y la Nube La computación en la nube está transformando la forma en que las empresas proveen y consumen servicios de IT, bajo.

Administración del Datacenter y la Nube La computación en la nube está transformando la forma en que las empresas proveen y consumen servicios de IT, bajo.
Servidores Windows Http Ftp …

Servidores Windows Http Ftp …
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
DIRECT ACCESS.

DIRECT ACCESS.
Índice Introducción: - Fraud Modus Operandi Detección:

Índice Introducción: - Fraud Modus Operandi Detección:
Desarrollo de un laboratorio para la enseñanza, diseño y desarrollo de servicios móviles abiertos Autor: D. Mario de Molina Gómez Tutor: D. Francisco Javier.

Desarrollo de un laboratorio para la enseñanza, diseño y desarrollo de servicios móviles abiertos Autor: D. Mario de Molina Gómez Tutor: D. Francisco Javier.
Experiencia e innovación

Experiencia e innovación
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.

Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
UNIFIED THREAT MANAGEMENT

UNIFIED THREAT MANAGEMENT
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Jesús Díaz Barrero jdiaz@paloaltonetworks.com Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero.

Jesús Díaz Barrero Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero.
Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

Presentaciones similares

Anuncios Google