CEFIROS - Blog #cloud securityCEFIROS - Blog #cloud securityhttps://www.cefiros.net/blogs/tag/cloud-securitySat, 25 Apr 2026 04:25:39 -0700http://zoho.com/sites/<![CDATA[Ataques de nivel 2 y cómo protegerte en redes SDN con HillStone]]>https://www.cefiros.net/blogs/post/Ataques-de-nivel-2-y-como-protegerte-en-redes-SDN-con-HillStone

Como todos sabemos, los ataques de nivel 2 son aquellos que se tienen que ejecutar prácticamente en la misma red, o consiguiendo un acceso remoto a un servidor y desde allí lanzar el ataque, con lo que ya tenemos 2 problemas en este último caso.

Los ataques de ARP Poisoning o ARP Spoofing, pueden causar una tormenta de broadcast de nivel 2, con lo que podemos llegar a afectar a toda la electrónica de red y causar una caída total del sistema. Las respuestas de ARP spoofing, se envían al switch, que básicamente lo convierte en un Hub. Cuando esto sucede, un hacker puede capturar todos los paquetes que pasan por el switch y capturar cualquier cosa de la red. Este defecto de seguridad es inherente a cómo se manejan las comunicaciones TCP / IP y es algo que no se puede modificar, por ello hay que tomar medidas para prevenir estas situaciones.

Imaginemos una red de equipos VDI, sobre una infaestructura de VMWare, al final esos equipos VDI, que no nos olvidemos son equipos de usuarios la gran mayoría, cuelgan de una red de servidores, o de una red de usuarios dentro del ámbito de servidores, y con un direccionamiento entre /18 y /24, es decir entre unas 16300 y 254 IP's, sin segmentación por áreas o departamentos.

Se suele montar así por simplicidad, facilidad de administración y no se suele pensar en la seguridad en el diseño.

Por ello, a la hora de securizar ese entorno o segmentarlo se complica muy mucho, y aquí es donde entra en juego nuestra solución de microsegmentación y protección desde Nivel 2.

Con HillStone Cloud Hive, logramos la microsegmentación a nivel de cada equipo, creando un contenedor por cada equipo virtual, protegiendo así a cada equipo de ataque desde nivel 2, en el caso que nos ocupa, o de ataques dirigiros de L3 a L7 venga de donde venga, protegiendo así el equipo.

Con esto conseguimos una protección de movimientos laterales, sin precedentes, y si un equipo se infecta, estará controlado todos sus accesos, y podemos tenerlo en "cuarentena" sin tener que modificar en ningún momento el entorno de red, que realmente es la parte compleja a la hora de segmentar.

Con esta solución, además, ganamos:
  • Visibilidad a nivel de flujos de tráfico, y es una herramienta perfecta para poder documentar esos flujos de tráfico que desconocemos en equipos nuevos, o documentar aquellas aplicaciones "legacy" que se han virtualizado por sostener el servicio y se desconoce totalmente con quien y como se comunican.
  • Captura de tráfico de red, sin tener que desplegar nada en el servidor o puesto. Quejas de, la red va lenta, son fácilmente resueltas, al tener la capacidad de capturar tráfico, sin tener que molestar a los administradores o usuarios.
  • Protección frente ataques DoS o DDoS, al tener un IPS por cada servidor, recomendado por NSSLabs.
  • Inventario mejorado, teniendo la capacidad de captar cualquier cambio en el entorno virtual, ya sea al renombrar el equipo, añadir nuevos equipos virtuales o redes, migración de equipos etc.

Al desplegar HillStone Cloud Hive, adicionalmente a la red de servicio, que es la que se protege, de cada equipo, se añade una red de gestión fuera de banda, que es por donde se gestiona el servicio, a nivel global

Lo principal de la solución, es la capacidad de desplegarse sin interrupción del servicio y de no necesitar NSX para funcionar, proporcionando esta protección:
  • Defensa contra ataques
  • Firewall
  • Prevención de Intrusiones / Parcheo Virtual
  • Antivirus de pasarela para tráfico HTTP, POP3, SMTP, FTP e IMAP
La visión que se obtiene, aunque sea para auditorías y no se filtre nada, sirve para tener una visión completa de lo que pasa.

Si quieres saber mas sobre el producto, formas de licenciamiento y cualquier cosa que se te ocurra, ponte en contacto con nosotros sin dudarlo.

Os dejo el enlace a la descarga del documento: 

]]>Wed, 25 Oct 2017 10:00:00 +0200<![CDATA[Porque un CASB no aborda las amenazas de seguridad de las plataformas SaaS]]>https://www.cefiros.net/blogs/post/Porque-un-CASB-no-aborda-las-amenazas-de-seguridad-de-las-plataformas-SaaS

Según el informe de CyberSecurity Insiders, se han encuestado a más de 1900 CISO’s y la principal preocupación de los CISO’s, según el 81% de los entrevistados, es la seguridad en la nube, y de este 81%

  • El 15% se muestra extremadamente preocupado
  • El 31% se muestra muy preocupado
  • El 35% se muestra preocupado.

El informe indica que la el servicio en la nube más adoptado, es el correo electrónico, y este punto es el más crítico para los encuestados, ya que, si revisamos a la vez el último informe de Verizon al respecto con las fugas de datos, es el punto más “crítico” para ellos, dado que casi todo se realizad por correo.

Ataques de Phising, malware, etc., siempre se mira desde el punto de vista Internet a Organización, pero ¿qué pasa con las amenazas internas?

 

Si los CASB no resuelven esta amenaza, ¿podemos confiar en ellos para lo demás?

Por ello, quien lo implanta, lo ve como una herramienta de visibilidad y no como una solución de prevención de seguridad. Por ello, la mayoría de los clientes lo usan para conocer, que herramientas no corporativas (Shadow IT), se utilizan en la organización, pero no para prevenir las amenazas.

  

De los principales puntos de seguridad en la nube, relacionado con el dato, lo que más preocupa es:

  • Fuga de Información con el 57%
  • Amenazas a la privacidad de los datos, con el 49%
  • Violaciones de la confidencialidad con el 47%
  • Cumplimiento normativo y legal, con el 36%
  • Control y soberanía de los datos, con el 30%

 Con estos datos, observamos que la solución de DLP que ofrece un CASB, al ser proxy, tiene ciertos puntos ciegos, que no es capaz de resolver:

  • Los proxies sólo pueden ver los datos de los empleados de la empresa, pero pierden de vista los archivos que son compartidos por colaboradores no corporativos como clientes o socios.
  • Los proxies no pueden entender el contexto de un archivo compartido: se coloca en una carpeta o carpeta privada accesible por cualquier persona, etc.
  • Los Proxies no pueden supervisar o son limitados en la supervisión del agente de escritorio. Un solo archivo malicioso o documento confidencial se sincronizará con el teléfono o escritorio de cada usuario a través de la aplicación nativa, sin que el proxy sea el más sabio.
  • Los Proxies no pueden supervisar las conexiones API a SaaS de terceros. Es fácil para un usuario conceder acceso de terceros a archivos y contactos a través de conexiones que nunca pasarán a través del proxy.

 Y es un punto a tener en cuenta, si el proxy corporativo, a no ser que sea cloud, tiene una indisponibilidad, el usuario interno deja de tener acceso a los datos, mientras que el colaborador, sigue teniendo acceso.

 

Y para estas preguntas que lanzo, quien puede contestarlas:

1.  ¿Y que pasa con el resto de servicios cloud?

2.  ¿Quien y como los protege?

3.  ¿Quien protege que los archivos que se suban a una instancia de salesforce, Dropbox o onedrive estén limpios de malware?

4.  ¿Con que clave se cifran tus datos?

La correcta aproximación de seguridad en la nube

Para ello, nosotros como mayorista experto en ciberseguridad y con más de 20 años de experiencia, abogamos por una solución mixta, ya que es importante conocer y ver qué ocurre en la nube, pero no nos debemos de olvidar de mantener los datos seguros y controlados.

Por ello recomendamos usar la solución de SkyHigh como solución CASB y aunarlo junto con AVANAN, que, de esta manera, podemos cubrir todos los aspectos y tenemos cubiertos los siguientes puntos:

Fuga de información con DLP, tanto en CASB como en carpetas compartidas a terceros.

  • Antimalware con sandboxing, para el tráfico de correos entrantes, salientes e internos, cosa que para hacerlo funcionar en una MTA tradicional, es harto complejo, funciona sí, pero a la hora de resolver una incidencia, es muy complejo.
  • AntiPhising, tanto interno como externo, las soluciones de MTA tradicionales, solo miran el correo que entra o sale, no el horizontal.
  • Cifrado de los datos, con tu certificado, usando las capacidades tanto de SkyHigh como de Avanan.

Ambas soluciones cubren todo el espectro de la seguridad en la nube, y ya podemos decir que la seguridad tradicional, está en la nube.

 

Si necesitas más información, no dudes en ponerte en contacto con nosotros, que te informamos sin ningún problema y podemos realizar demos y pruebas de concepto sin impacto.

  

Puedes contactarnos en:

WWW 

Linkedin

Twitter

Telegram

@ Contacto Cefiros

 

 Créditos:

  1. Marcos Caballero, CTO Cefiros
  2. Avanan, ¿qué hay de malo en un CASB?
  3. Verizon, Data breach report 2017
  4. CyberSecurity Insiders, Cloud Security Report 2017

]]>Mon, 10 Jul 2017 11:00:00 +0200