En la última década, la convergencia de tecnologías ha convertido la seguridad de las redes en una tarea compleja. El uso cada vez más extendido de aplicaciones web que utilizan portales para compartir archivos ha ampliado la superficie de ataque.
Los riesgos de ciberseguridad asociados a la subida de archivos son numerosos. El malware puede infiltrarse en las redes a través de archivos subidos que contengan código malicioso o direcciones URL, o bien aprovechando vulnerabilidades de día cero que no se hayan detectado previamente.
En este artículo, describiremos las mejores prácticas para proteger las redes contra este tipo de ataques. Por último, explicaremos cómo una solución ICAP (AV) ICAP puede añadir una capa adicional de protección, protegiendo sus aplicaciones contra la subida de archivos maliciosos.
1. Encuentra la mejor combinación de soluciones de seguridad de red para tus necesidades
Existe una gran variedad de dispositivos de red, muchos de los cuales se encargan de la seguridad de la red. Estos dispositivos de red se ocupan de tareas de seguridad de la red, como la gestión del acceso a la red, la gestión de políticas de seguridad, el almacenamiento de datos de cumplimiento normativo y la garantía de la seguridad de los contenedores.
Los servidores proxy, como los proxies directos e inversos, protegen las conexiones ocultando las direcciones IP y proporcionando un único punto de entrada y salida. Los equilibradores de carga ofrecen una funcionalidad similar, pero además proporcionan coordinación, gestión de políticas y automatización para aplicaciones a gran escala.
Los cortafuegos de aplicaciones web (WAF) inspeccionan el tráfico de red para impedir el acceso no autorizado y proteger contra amenazas como el cross-site scripting y los ataques de denegación de servicio distribuida. Los cortafuegos de nueva generación (NGFW) se centran en el tráfico que circula por las capas 3 y 4 para proteger las redes internas frente a ataques externos. Los controladores de entrada son similares a los equilibradores de carga y a los proxies, pero están diseñados para entornos de contenedores.
Las pasarelas Secure (SWG) actúan como filtro entre los usuarios y el tráfico de Internet, bloqueando las conexiones a aplicaciones y servicios de Internet no autorizados y cifrando el tráfico. Los controladores de entrega de aplicaciones (ADC) ofrecen funciones de proxy, equilibrio de carga y WAF, así como una API , aceleración de aplicaciones y terminación SSL. Por lo general, son gestionados por el equipo de operaciones de desarrollo en lugar del equipo de seguridad. Por último, la transferencia gestionada de archivos (MFT) permite transferencias seguras y gestionadas de archivos de gran tamaño, algo que no ofrecen los servicios tradicionales de FTP o HTTP.
2. Analizar los archivos que se introducen en la red y en los dispositivos de almacenamiento
A pesar de contar con estas soluciones, sigue existiendo el riesgo de que archivos maliciosos entren en su red o se almacenen en su sistema. Para mitigar este riesgo, es fundamental aplicar un análisis antivirus a todos los archivos que entren y se almacenen en su red. De este modo, podrá detectar y eliminar cualquier malware antes de que pueda causar daños. Con una estrategia de seguridad integral que incluya múltiples capas de protección, las organizaciones pueden protegerse mejor contra las amenazas en constante evolución del panorama digital actual.
En la misma línea, la transferencia de grandes cantidades de archivos entre equipos internos y clientes puede brindar oportunidades a los atacantes. Las fuentes externas (proveedores externos, socios externos) pueden introducir inadvertidamente malware en el entorno. Por este motivo, es muy recomendable que las organizaciones examinen el contenido de todos los archivos que se transfieren a sus redes mediante la realización de análisis para detectar y bloquear el malware en el perímetro.
3. Secure amenazas habituales
Los motores antivirus y antimalware tienen dificultades para seguir el ritmo del volumen de nuevas amenazas creadas por los atacantes. La situación se agrava si se tiene en cuenta la creciente complejidad del malware y de las amenazas persistentes avanzadas (APT) dirigidas a las organizaciones. Además, el malware desconocido y las amenazas de día cero siguen siendo un quebradero de cabeza para los equipos de seguridad.
El análisis de archivos en busca de amenazas conocidas constituye una primera línea de defensa eficaz contra la subida de archivos maliciosos. Sin embargo, las soluciones antivirus tradicionales que utilizan solo uno o dos motores no son capaces de detectar suficiente malware con la rapidez necesariapara proteger adecuadamente la red. Las investigaciones en materia de antivirus revelan que se necesitan más de 20 motores antivirus y antimalware para alcanzar tasas de detección superiores al 99 %.
4. Detectar amenazas desconocidas más allá del análisis antivirus tradicional
El aumento de la sofisticación y la complejidad del malware le permite eludir las defensas tradicionales. Por ejemplo, los motores antimalware detectan amenazas conocidas, lo que permite que el malware de día cero eluda fácilmente las soluciones antivirus basadas en firmas. Los archivos de productividad, como los de Word, Excel, PDF, los archivos comprimidos o los archivos de imagen, pueden utilizarse para ocultar amenazas incrustadas en macros y scripts, que no siempre son detectables con motores antivirus o soluciones de análisis dinámico, como los entornos aislados.
Una técnica de prevención eficaz consiste en eliminar todos los objetos incrustados potencialmente maliciosos mediante la depuración de datos, o lo que se conoce como «desactivación y reconstrucción de contenidos» (CDR). La tecnología Deep CDR™ elimina el contenido malicioso de los archivos sin depender de la detección de malware. Procesa los archivos entrantes y, a continuación, los regenera de tal forma que garantiza que los nuevos archivos sean tanto utilizables como inofensivos. En otras palabras, la tecnología Deep CDR™ ayuda a proteger el tráfico de red previniendo tanto las amenazas conocidas como las desconocidas.
5. Ocultar la información confidencial
Incluso con las mejores soluciones automatizadas, los empleados malintencionados y los usuarios descuidados pueden filtrar datos confidenciales. Se necesitan soluciones adicionales para protegerse contra las fugas de datos y las infracciones de cumplimiento normativo.
Las organizaciones tienen múltiples motivos para preocuparse por la exposición de la información de identificación personal (PII), desde el cumplimiento de normativas como PCI-DSS y el RGPD hasta los ciberataques selectivos o las filtraciones involuntarias por parte de empleados. Para mitigar los riesgos de pérdida de datos, es fundamental ocultar la información confidencial en los archivos que se suben o se comparten externamente.
6. Aumenta la eficiencia con una ICAP
Mediante el Protocolo de Adaptación de Contenido de Internet (ICAP), una ICAP permite a los dispositivos de seguridad de red desviar el tráfico de red a un servidor dedicado para tareas como el análisis antivirus y antimalware o la depuración de datos. De este modo, se garantiza que todos los archivos se analicen siguiendo la misma política.
Al desviar el tráfico hacia un ICAP , los dispositivos de red pueden centrarse en su función principal, como el rendimiento de la red, mientras que el ICAP especializado analiza y depura rápidamente los archivos que pasan por él con un impacto mínimo en el rendimiento. Este enfoque resulta especialmente eficaz para la seguridad de la red, ya que ofrece una amplia protección en el perímetro, servicios de valor añadido y una capa adicional de confianza tanto para la empresa como para los socios externos.
Preguntas frecuentes
¿Qué es unServer ICAP ?
Los servidores del protocolo de adaptación de contenidos de Internet (ICAP ) son similares a un servidor HTTP, salvo que el servicio atiende ICAP . El RFC 3507 establece queICAP DEBEN comenzar con una línea de solicitud que contenga un método, el URI completo del ICAP solicitado y una cadena ICAP ».
¿Qué es un ICAP ICAP ?
Un ICAP es una aplicación de software que establece conexiones con ICAP para enviar solicitudes.
¿Cómo interceptar la conexión entre un usuario final o un dispositivo e Internet?
Puedes utilizar servidores proxy transparentes. Un proxy transparente, también conocido como proxy en línea, proxy de interceptación o proxy forzado, es un servidor que intercepta la conexión entre un usuario final o un dispositivo e Internet.
¿Qué son las cachés de proxy HTTP transparentes?
Las cachés de proxy HTTP transparentes son servidores que interceptan la conexión entre Internet y un usuario final o dispositivo; por lo general, se utilizanICAP protocolo de adaptación de contenidos de Internet (ICAP ) para implementar en ellas análisis antivirus y filtros de contenido.
¿Qué es el filtrado de contenidos?
Se puede utilizar un ICAP para enviar un mensaje a un servidor preconfigurado con el fin de adaptar el contenido. Por ejemplo, esto incluye operaciones específicas como el análisis antivirus, el filtrado de contenidos, la inserción de anuncios y la traducción de idiomas.
¿Qué es un ICAP ?
Es similar a un recurso HTTP, pero el Identificador Uniforme de Recursos (URI) hace referencia a un ICAP que realiza adaptaciones de los mensajes HTTP.
¿Qué son el modo de modificación de solicitud y el modo de modificación de respuesta?
En el modo de «modificación de solicitud» (reqmod), un cliente envía una solicitud HTTP a un ICAP . A continuación, el ICAP puede:
- Envía una versión modificada de la solicitud.
- Envía una respuesta HTTP a la solicitud.
- Devuelve un error.
ICAP deben gestionar los tres tipos de respuestas.
Server ICAP de OPSWAT MetaDefender Server confía en el tráfico de tu red
MetaDefender ICAP Server protección avanzada contra amenazas en el tráfico de red frente a la subida de archivos maliciosos, los ataques de día cero y la exposición de datos confidenciales. MetaDefender ICAP Server e inspecciona todo el contenido de los archivos entrantes antes de que lleguen a la red de su organización. La solución se puede integrar con cualquier dispositivo de red ICAP: equilibradores de carga, proxies de reenvío/inversos, controladores de entrada, transferencia gestionada de archivos (MFT) y mucho más. Más información sobre MetaDefender ICAP Server
