“En el 2013, estimamos que el mercado NAC (Network Access Control, Control de Acceso a Red) era de 350 millones de dólares, lo cual fue un incremento de alrededor de 55% con respecto al 2012”, sostiene Lawrence Orans, vicepresidente de investigación de Gartner. Según Orans, Gartner espera que el crecimiento se desacelere en el 2014, con un aumento estimado del 45% sobre las cifras del 2013. Las crecientes preocupaciones acerca de BYOD en las empresas han sido los principales impulsores de este crecimiento, señala Orans. El proveedor NAC ForeScout está integrando sus capacidades con las de Invincea con el fin de disminuir aún más estas preocupaciones.
Un nuevo enfoque de protección BYOD combina la tecnología NAC CounterACT de ForeScout con la tecnología de contenerización de FreeSpace de Invincea con el fin de proteger mejor a los datos corporativos. En esta alianza, ForeScout ofrece lo que describe como una infraestructura de control para la seguridad y un enfoque basado en arquitectura y proceso para la protección de BYOD, basándose en estándares de la industria en lugar de en tecnologías propietarias aisladas. La infraestructura de control trabaja en tándem con elementos de la red tales como los firewalls y los switches, de donde recoge los datos y controla/inicia la respuesta de la red ante los ataques e infecciones.
El análisis de seguridad de Invincea incrementa el valor y la eficacia de la cooperación. “Nuestros análisis de seguridad tienen mucho valor”, explica el Dr. Ghosh, especialista de Invicea. La analítica de Invincea informa sobre los adversarios de la empresa a través de un análisis ‘fuera de banda’ de los ataques y de las direcciones IP que son las fuentes de dichos ataques. Esto es magnífico para las compañías de servicios financieros debido a que sus analistas de amenazas utilizan estos datos para hacer descubrimientos acerca de las mismas.
A continuación, CSO examina cómo la integración ForeScout / Invincea logra lo que ninguna tecnología puede hacer por sí sola.
NAC y la contenedorización
La tecnología de contenedorización FreeSpace de Invincea ejecuta aplicaciones, navegadores y software de oficina en un contenedor virtual, protegiendo al dispositivo y a la empresa contra las infecciones. Invincea es una herramienta basada en el comportamiento, en lugar de estar basada en firmas; no está limitada por el uso de firmas de malware conocidas para identificar la infección. Detecta malware y ataques basándose en el comportamiento sospechoso. “Detectamos cuando un nuevo malware se ejecuta en el contenedor, acabamos con él y lo reportamos a nuestro servicio IMS”, señala el Dr. Ghosh. El Servicio de Gestión Invincea (IMS, por sus siglas en inglés), responde a los informes de amenazas y gestiona las configuraciones para distintos usuarios y dispositivos.
La contribución fundamental de ForeScout es un módulo/plug-in para Invincea para que éste pueda asegurar que la tecnología de contenedorización de Invincea se ejecute. “En algunos casos, los usuarios pueden detener a Invincea o no instalarlo ni ejecutarlo en sus dispositivos”, sostiene Gil Friedrich, vicepresidente de Tecnología de ForeScout. CounterACT de ForeScout comprueba los dispositivos para asegurarse de que el usuario haya instalado y esté ejecutando Invincea. La solución inicia automáticamente Invincea si éste no se está ejecutando.
La integración Invincea/ForeScout hace cumplir la instalación del agente de usuario Invincea para que el gateway de la web pueda bloquear y/o redirigir a los usuarios que no estén utilizando Invincea, señala el Dr. Ghosh. Y si la tecnología de FreeSpace alerta a CounterACT de que algo anda mal con el dispositivo, CounterACT lo pondrá en cuarentena para remediar el problema. “Esto representa lo que las empresas y usuarios de TI desean siempre: Los mejores productos trabajando juntos. Este es un paso en esa dirección”, señala el Dr. Ghosh.
La integración permite a ambos proveedores descubrir los rastros de infecciones de malware que se han dejado atrás. Si un proceso en ejecución tiene un cierto valor, eso significa que se ha producido una infección. “Cuando recogemos los datos forenses, podemos utilizar ForeScout para buscar en otras máquinas pistas similares a la infección, tanto en BYOD como en los dispositivos administrados, incluyendo teléfonos inteligentes, tabletas, laptops, desktops y estaciones de trabajo”, señala el Dr. Ghosh. CounterACT puede entonces utilizar su integración con firewalls corporativos para bloquear las direcciones del servidor que Invincea descubra como la fuente de los ataques.
¿Qué tiene de siguiente generación CounterACT?
Las iteraciones previas de NAC permitían a las empresas determinar cuándo alguien estaba tratando de acceder a la red, autenticarlo y hacer las pruebas de cumplimiento básico. Proveedores NAC como ForeScout se están convirtiendo en almacenes de contexto, lo cual significa que tienen visibilidad acerca de qué dispositivos están en la red, la configuración de cada dispositivo y su sistema operativo, el nivel de revisión del endpoint y si el antivirus está actualizado, señala Orans. “Se tiene acceso a esta información contextual, además de acceso a la dirección IP”, señala el ejecutivo.
La infraestructura de control de CounterACT es lo que hace que sea un almacén de contexto, al recopilar datos de la infraestructura de red y de aplicaciones como Active Directory. CounterACT cuenta con este contexto, ya que éste proporciona la funcionalidad para asegurar que el dispositivo se mantenga continuamente saludable y autenticado, ya que podría ser saludable en un primer momento y luego podría descargar algo malo. “Podemos intervenir. Nuestra solución también gestiona toda la infraestructura de red para alertar a la empresa cuando un dispositivo recibe el acceso, lo que permite controlar y gestionar los endpoints y su acceso”, sostiene Friedrich.
Usando un motor de políticas, ForeScout automatiza todo aquello que TI/seguridad quiere lograr, incluyendo detalles sobre el comportamiento requerido o permisible de los endpoints en la red. Mediante la identificación de usuario, CounterACT permite a la empresa, además, hacer cumplir las políticas en torno al uso de BYOD. Por ejemplo, si los empleados lo están utilizando de manera inapropiada, la empresa puede instruir o reprender al empleado, o limitar sus capacidades en la red.
Integraciones de seguridad más amplias que ForeScout e Invincea
ForeScout ha permitido integraciones de CounterACT con otros socios antes de Invincea. LogRhythm, FireEye, McAfee, y ciertos proveedores de MDM son todos sus socios. A través de su Control Fabric Partnership Program, ForeScout hace APIs públicas y abre el sistema ForeScout para que el cliente corporativo, revendedor o VAR puedan integrarse con las soluciones de ForeScout. La estandarización en tecnologías abiertas hace atractiva a la alianza con ForeScout.
“Cuando abrimos o usamos una API, estandarizamos en tecnologías como REST y SNMP Syslog para asegurar que nuestras APIs utilicen una capa a la que todos puedan acceder (no es propietaria)”, sostiene Friedrich. De esta manera, incluso las pequeñas empresas pueden integrarse con ForeScout.
“Varios otros proveedores NAC están usando un concepto similar”, señala Orans. Cisco tiene algo llamado PX Grid, que se utiliza para compartir información entre su sistema NAC y sus socios. Aruba también cuenta con varios socios de seguridad con los que se integran y comparten información. “ForeScout ha hecho un buen trabajo con esto, pero no es el único. Es la tendencia en el mercado NAC”, sostiene Orans.
– David Geer, CSO (EE.UU.)
