Soluciones de McAfee para protección switches y routers

12 Dic 2005 en Seguridad

Muchas organizaciones no aplican parches de seguridad en ruoters y switches críticos debido a la falsa percepción de que los atacantes no pueden tomar control de estos dispositivos.
• Los dispositivos de infraestructura de red crítica no están aislados, los problemas que surgen de la aplicación de parches pueden tener como resultado la pérdida total de la disponibilidad de la red y del negocio.
• Las pruebas de parches son procesos lentos y extensos, que toman semanas (incluso meses) de pruebas, especialmente en las organizaciones que poseen cientos o miles de dispositivos.

El sistema de prevención de intrusos (IPS, Intrusion Prevention System) de red de próxima generación de McAfee IntruShield brinda protección preventiva de día cero contra amenazas y ataques orientados a vulnerabilidades actuales y futuras en la infraestructura de red de misión crítica. La tecnología de detección y prevención de IntruShield inspecciona todo el tráfico que viaja a través de la red mientras bloquea proactivamente los ataques a los dispositivos y componentes de la red. Lo más importante es que ofrece protección de día cero contra las vulnerabilidades de la infraestructura mientras se realizan pruebas exhaustivas e implementan en la red nuevos parches de seguridad. La protección de día cero de IntruShield a la infraestructura se brinda mediante su tecnología patentada de detección de shellcode, que es una parte integral de los motores de firmas, anomalías y detección y prevención de DoS de próxima generación de IntruShield. De la misma forma, los equipos diseñados a medida basados en ASIC proporcionan el rendimiento necesario para inspeccionar en tiempo real todo el tráfico de la red, mientras protege a los clientes de la vulnerabilidad subyacente, en comparación con solamente un exploit en particular. La protección de día cero sin paralelo que proporciona IntruShield para infraestructura de red crítica se proporciona mediante su galardonada tecnología de IPS, que incluye las siguientes funciones clave:

• Inspección completa de anomalías de protocolos: la mayoría de las soluciones utilizan correspondencia simple de patrones dentro del tráfico para identificar un ataque, lo que es similar a reconocer palabras en otro idioma (lenguaje) sin la capacidad de hablarlo ni de comprender su gramática. IntruShield decodifica completamente más de 100 protocolos diferentes mientras entiende a cabalidad la comunicación y la gramática del protocolo en sí. Esto permite que IntruShield proteja de manera proactiva la infraestructura de red sin actualizaciones de firmas al identificar anomalías o variantes en el lenguaje del protocolo que a menudo son indicadores de un ataque.
• Detección heurística de shellcode: la mayoría de los ataques intentan ejecutar programas o controlar un sistema. Esto a menudo se logra usando “shellcode” o el lenguaje de comandos del sistema que está siendo atacado. IntruShield utiliza algoritmos avanzados para detectar la presencia del shellcode y bloquear su uso por parte de un atacante, con lo cual bloquea efectivamente la ejecución de programas y el control remoto de un sistema sin necesidad de actualizaciones de firmas o software.
• Detección de anomalías con estadísticas: IntruShield rastrea más de 100 valores individuales asociados con el tipo y cantidad de tráfico que pasa a través del sensor. La elaboración y el mantenimiento de este “perfil” detallado de tráfico normal en la red permite al sistema detectar y bloquear las variaciones que indican ataques DoS o DoS distribuidos que a menudo afectan los componentes de la infraestructura en la red.
• Plataforma de hardware diseñada a medida: las técnicas descritas anteriormente requieren gran potencia computacional para que se ejecuten efectivamente a tasas de tráfico con velocidad IP. Los sistemas IPS basados en computador simplemente no proporcionan la potencia necesaria para ejecutar este tipo de motores sofisticados de detección y prevención, mientras ejecutan simultáneamente un motor avanzado de firmas como el que utiliza IntruShield para detectar y bloquear ataques conocidos. El diseño exclusivo del sensor de IntruShield utiliza varios clusters de procesadores de alta velocidad dedicados y ASIC especializados para alcanzar un nivel de precisión y rendimiento sin comparación en la industria.
• Respaldo de McAfee Research: todos los productos McAfee están respaldados por la organización de investigación de antivirus y vulnerabilidades mejor calificada de la empresa, McAfee AVERT, cuyos investigadores de nivel internacional combinan su experiencia en las organizaciones McAfee IntruShield, McAfee Entercept? y McAfee Foundstone? para proteger de manera proactiva a los clientes las 24 horas del día, los siete días de la semana.