Deutsch
English
Français
Español
- Compartir:
Gateways seguros para empresas
Cada flujo de datos que entra o sale de un empresa tiene que pasar por una puerta de enlace o gateway. El laboratorio de AV-TEST comprueba la seguridad de puertas de enlace en forma de soluciones de nube, máquinas virtuales o incluso dispositivos de hardware, y entrega certificados de control. Esto permite a los directores de ventas y de productos conseguir una mayor aceptación en el mercado para sus soluciones de gateway.
cuando todo tiene que pasar por el mismo sitio
Una puerta de enlace desempeña un papel crucial en la protección total de una red empresarial. Todo tráfico de datos, sobre todo el que utiliza el protocolo IP y quiere salir de o entrar en la red, tiene que pasar por ella. Dado lo expuesto que es su cometido, un gateway es uno de los componentes de seguridad más importantes, que debería ser capaz de proteger a la empresa de forma extensa. Para ello se tienen que examinar y evaluar todas las conexiones y flujos de datos entrantes y salientes, y, a continuación, tomar las medidas correspondientes. Las puertas de enlace son también ineludibles en la implementación de directrices de seguridad.
Amplia selección de fabricantes y soluciones
Hay muchos fabricantes que ofrecen soluciones. De acuerdo con los investigadores de mercado Gartner o Forrester y los datos que han recabado en los últimos años, estas son las empresas que compiten en el mercado: Allot, Akamai, Barracuda, Broadcom (Symantec), Cisco, Content Keeper, DNSFilter, Forcepoint, Iboss, Infoblox, Kaspersky, McAfee, Menio Security, Netskope, Palo Alto, QI-Anxin Technology Group, Sangfor Technologies, Sophos, Trend Micro, Zscaler. Esta lista, por supuesto, no es exhaustiva. Solo aporta una pequeña vista general del mercado.
El laboratorio certifica la seguridad de Secure Web Gateway (SWG) y Secure DNS
Las pruebas de certificación para Secure Web Gateway y Secure DNS (como solución de nube, máquina virtual o dispositivo de hardware) son idénticas ya se trate de pruebas individuales o comparativas
La estructura y el transcurso de la prueba están definidos; en una prueba comparativa se examinan siempre todos los productos en paralelo
¿Secure Web, DNS, Cloud o Internet Gateway?
Por desgracia, no siempre es fácil para las empresas comprender qué puerta de enlace es adecuada para qué tareas. En las carteras de productos de los fabricantes, los expertos encuentran una y otra vez un montón de terminología mezclada. A menudo se habla de Secure Internet Gateway (SIG), que, no obstante, consta de tres partes: el Secure Web Gateway (SWG), el Secure DNS y el Cloud Access Security Broker (CASB). Además, a pesar de existir una demanda de SIG, estos no se pueden adquirir como producto individual, sino solo como parte de una solución. Un CASB tampoco actúa como gateway, sino que establece, vigila, controla y protocola directrices de seguridad entre el usuario y las aplicaciones de nube.
Las puertas de enlace para redes empresariales que ofrece el mercado son, por lo tanto, casi siempre Secure Web Gateway (SWG) y Secure DNS. El fabricante suele ofrecer estas soluciones en forma de soluciones de nube, máquinas virtuales y, a veces, como dispositivos de hardware locales. Por eso, el laboratorio de AV-TEST se centra en el examen y la certificación de estos dos grupos de productos, que son extremadamente importantes para el área de ventas y para el control de calidad de los fabricantes.
Secure Web Gateway (SWG) y Secure DNS
Las tareas y funciones de Secure DNS son relativamente fáciles de explicar. La consulta de reputación al DNS es el primer componente de seguridad que ya repele numerosos ataques. Secure DNS comprueba si un dominio es o no legítimo y, de este modo, ya detecta y bloquea muchos intentos de ataque durante el establecimiento de la conexión.
Las tareas de un Secure Web Gateway (SWG), que lleva integrada la parte del DNS, son mucho más amplias: filtrado de URL, control del tráfico en tiempo real, controles de aplicación, prevención de fugas de datos, protección antivirus y antimalware, controles del tráfico cifrado, controles de red y de mensajería, así como detección de botnets. Con frecuencia se menciona también la seguridad del correo electrónico, si bien esta se suele ofrecer por separado en una puerta de enlace para correo electrónico (e-mail gateway).
Estructura de la prueba y metodología del laboratorio
Todas las soluciones que examina el laboratorio de AV-TEST se someten a una metodología de prueba fija. La primera parte de la prueba, la protección a nivel de DNS, se realiza, por supuesto, con ambos grupos de productos. Se trata de utilizar la infraestructura de Internet a nivel de DNS para bloquear dominios y aplicaciones de nube maliciosas o indeseadas antes de que se establezca una conexión en el marco de la resolución recursiva. Mediante la protección a nivel de DNS se detiene a tiempo el malware. Además se evitan retrollamadas a atacantes cuando se conectan a la red sistemas infectados.
Mediante la protección a nivel de DNS con proxy selectivo se desvían solo las solicitudes de dominio arriesgadas para una inspección en profundidad del contenido. Esto se realiza de forma transparente a través de la respuesta del DNS.
La prueba va más allá, puesto que los webgateways cumplen también otras tareas. Para que un webgateway sea seguro se requiere un webproxy completo, que detecte y compruebe todas las conexiones web. Al contrario de la protección a nivel de DNS, en la que solo se analizan nombres de dominios y direcciones IP, un webproxy mira todos los archivos y las URL completas. Esto permite un examen y control exhaustivos.
Un ejemplo de SWG: La solución basada en la nube Cisco controla todo el tráfico en la red, ofrece protección antivirus y contra malware ampliada, sandboxing, decodificación, control de contenido y controles granulares de la actividad de aplicaciones
El laboratorio también podría examinar este tipo de extensos SWG. La solución de seguridad web aúna SWG, CASB y DLP para controles conjuntos de directrices con informes definidos por el usuario
Un clásico ejemplo de candidato a la prueba de seguridad DNS. La content filtering solución para empresas, basada en IA a modo de protección DNS ofrece filtrado de contenido y, por tanto, una protección frente amenazas siempre actual
Casos de prueba siempre nuevos y reales en la prueba de DNS
Para una evaluación realista de las soluciones Secure DNS y Secure Web Gateways (SWG) en la sección de prueba DNS, el laboratorio utiliza siempre únicamente muestras, URL y metadatos actuales. El laboratorio los recopila permanentemente con ayuda de honeypots en páginas web o de correos electrónicos.
Antes de una prueba, el laboratorio analiza todas las pruebas para comprobar que se trata de sitios web maliciosos o de enlaces de phishing. AV-TEST realiza análisis tanto estáticos como dinámicos para garantizar que los dominios albergan contenidos maliciosos activos en el momento de la prueba y que estos se comportan de forma maliciosa. En la prueba se examinan:
- URL que remiten a archivos PE maliciosos (archivos Portable Executable para Windows, archivos EXE)
- URL con otros fines maliciosos (archivos no PE, por lo general, páginas web HTML o PHP, incluidos enlaces a scripts como JavaScript o VBS)
- Enlaces a sitios web de phishing
Para que las conclusiones de las pruebas sean fiables, el laboratorio, por lo general, utiliza varios miles de casos de prueba en cada categoría.
Estructura de la prueba para Secure Web Gateways
Dado lo extenso de las tareas y posibilidades de un Secure Web Gateway (SWG), AV-TEST, por regla general, también examina ya su capacidad de detección durante la descarga de software malicioso. En lo relativo al control de malware, el laboratorio también recurre a sus propias bases de datos y muestras que son actualizadas continuamente. Así mismo es posible incluir familias completas de malware en las soluciones a examinar y de este modo establecer con exactitud la capacidad de detección y protección.
Adicionalmente existe un examen ampliado de URL (también basadas en IP), así como un exhaustivo test de falsos positivos (falsas alarmas) cuando se accede a archivos, software y páginas web inofensivos. Para la prueba de falsas alarmas con software, el laboratorio lleva muchos años recopilando archivos de Internet y de aplicaciones, clasificándolos e incluyéndolos en una base de datos. Este fondo de archivos inofensivos permanentemente actualizado y su valores hash ya supera varios millones de ejemplares y crece continuamente.
De forma similar se procede para la prueba de falsas alarmas al visitar páginas web. El laboratorio mantiene una lista de las principales URL de miles páginas web inofensivas, que actualiza constantemente y que se utiliza en la prueba.
Si un fabricante desea que la prueba abarque otros aspectos, estos también se pueden incluir, por ejemplo, el acceso a dominios C2 o la ejecución de malware vivo en un ordenador cliente tras el producto gateway examinado.
