José Carrizales
Escrito por José Carrizales el 11 diciembre, 2020

¿Por qué elegir Palo Alto Networks?

De acuerdo al Informe de las tendencias del cibercrimen en Colombia 2019-2020 el rango de pérdidas monetarias en Colombia, consecuencia de ataques informático, es de 32 millones de pesos a 5.000 millones de pesos dependiendo del ataque y del tamaño de la empresa. 

Es por ello que me gustaría responder la pregunta “¿Por qué elegir Palo Alto Networks?” a medida que mencionó algunos puntos que estoy seguro que serán de tu interés.

Antes de responder esta excelente pregunta, me gustaría llevarte unos años atrás y recapitular contigo el nacimiento de los firewall a nivel comercial hace 30 ó 40 años. Pero antes te comparto la siguiente definición de NIST sobre que es un firewall:

“Es un dispositivo de interconexión de redes que restringe el tráfico de comunicación de datos entre dos redes conectadas. Un firewall puede ser una aplicación instalada en una computadora de uso general o una plataforma dedicada (appliance), que reenvía o rechaza / descarta paquetes en una red. Normalmente, los firewalls se utilizan para definir los límites de las zonas. Los firewalls generalmente tienen reglas que restringen qué puertos están abiertos.”

Nacimiento de Firewalls - Primera Generación

Se dice que el primer firewall o filtrador de paquetes fue desarrollado en la década de los 80 por Digital Equipment Corporation (DEC) y despachado por primera vez a una compañía de químicos en 1991.

Este tipo de firewall estaba basado en proxy y servía como puerta de enlace de una red a otra para una aplicación específica. Hoy en día, los servidores proxy pueden proporcionar funciones adicionales, como almacenamiento de contenido en caché y seguridad. Sin embargo, para ese tiempo era muy limitado lo que podía hacer un firewall.

La administración también era complicada ya que se tenían que editar archivos ASCII a mano. 

Esta primera generación de firewall se conocen como stateless firewall (firewalls sin estado) o static packet filtering firewall y su funcionamiento era muy sencillo ya que solo contaban con una base de datos de acceso basada en ACLs (Lista de control de accesos) que se evaluaba cada vez que se genera tráfico entrante y saliente, sin hacer seguimiento de las sesiones ya que no tenían una tabla de estados.

Tanto esta primera generación de firewall como la segunda de la cual hablaremos a continuación  tuvieron una característica o un diferencial bastante importante y es que solo tenían visibilidad hasta la capa 3 y 4 del modelo OSI.


I
magen 1. Modelo TCP/IP y Modelo de Referencia OSI

Segunda Generación de Firewalls

En 1994 de la mano de CheckPoint, nació una segunda generación de cortafuegos un poco más inteligente que tenía la capacidad de hacer el seguimiento de sesiones a través de una tabla de estados y una mejor gestión de las mismas. Esta segunda generación de firewall se conoce como Statefull Firewall (Firewall con estado) o Dynamic Packet Filtering Firewall.

Para entender la gran diferencia entre stateless firewall y stateful firewall imagínate que estás entrando a un supermercado y hay un vigilante en la entrada del establecimiento que te piden tu identificación y te anota en una lista al entrar y al salir del supermercado para cotejar con la base de datos de clientes, eso es un stateless firewall.

Ahora, imagínate que esté vigilante solo pide tu identificación al entrar al supermercado y no al salir, porque ya te identificó al ingreso, esto es lo que sería un statefull firewall. Con este salto de generación se solucionaron muchos problemas como: escribir 2 políticas para el tráfico de entrada y de salida, se redujo la complejidad en la administración de las políticas y mejoró muchísimo la negociación de protocolos más dinámicos como FTP o P2P.

Esta segunda generación de firewalls fue la primera en ofrecer capacidades de Deep Packet Inspection (DPI), lo que permite no solo ver el origen, destino, puerto y protocolo; sino que además inspecciona la data y la metadata asociada a cada paquete de forma individual. En pocas palabras, inspeccionaba el contenido del paquete, identificando y bloqueando un gran rango de amenazas cibernéticas.

Además, esta generación introdujo las soluciones de IDS/IPS y de UTMs dentro de una sola caja. Normalmente las arquitecturas de seguridad tenían lo mejor de cada tecnología por separado (Best of Breed). De hecho, aún en estos días, no es extraño ver una gran empresa con soluciones completamente distintas y casos de uso diferentes.

Quizás en el pasado funcionaba por que cada una resolvía de mejor manera una falencia o reforzaba un debilidad en particular, pero difícilmente todas ellas te entregaban una única visual y mucho menos se hablaban entre ellas y, si lograbas después de muchas horas de implementación y desarrollo que de alguna forma se integrarán para darte un poco más de información o contexto, el resultado era muy limitado.

Tercera Generación de Firewalls

La tercera generación de firewall, mejor conocida como Next Generation Firewall (NGFW), nace como resultado del constante cambio y crecimiento de los procesos de negocio, amenazas complejas, nuevas aplicaciones y de cómo los protocolos estaban siendo usados en la Web 2.0.

En el año 2007, Palo Alto Networks crea el primer Next Generation Firewall. Uno de los cambios más importantes en esta generación es la visibilidad a nivel de la capa 7 del modelo OSI, permitiendo identificar aplicaciones independientemente del puerto, protocolo o servicio y además inspeccionar el tráfico de las aplicaciones.

Existen otras características importantes de esta tercera generación, pero es necesario destacar que un NGFW se diferenció de todo lo que había en el mercado hasta el momento por su cambio de arquitectura, por desarrollar un motor IPS completamente integrado, por cómo realizaba la gestión de recursos, sesiones, políticas y cómo entregaba una visual más granular y/o detallada de lo que estaba sucediendo en el perímetro corporativo de la red.

En mi opinión, este salto de generación se puede comparar con el salto de los autos a gasolina o diésel a los autos eléctricos. El mismo Nir Zuk, CTO y Co-Fundador de Palo Alto Networks, expresaba que su objetivo era solventar los problemas que las empresas estaban enfrentando con las soluciones de seguridad existentes y es que para ese momento no existía un producto que ofreciera una visibilidad tan detallada y mucho menos con una identificación granular de las aplicaciones.

Gartner menciona en el reporte del año 2009, cuando define lo que es un Next-Gen Firewall, que en el mercado ya existían soluciones de seguridad de red, pero que no se podían definir como NGFW debido a que no contaban con los atributos mínimos, entre esas soluciones están:

      1. Soluciones UTMs.
      2. Soluciones DLP basadas en la red. 
      3. Secure Web Gateway o SWGs.
      4. Soluciones de seguridad de e-mail.


Imagen 2. Historia Resumida de la evolución de las soluciones de Firewalls

¿Por qué elegir Palo Alto Networks?

¿Por qué elegir Palo Alto Networks?, ¿por qué no elegir cualquier otro vendor en el mercado?, ¿que tiene Palo Alto Networks a nivel NGFW que no tengan las demás empresas del sector? ¿por qué confiar en una sola marca?. Si yo tomara tu lugar también me haría preguntas similares.

A la hora de elegir un vendor, es muy importante conocer su reputación. Si el día de mañana pasa algo, esta marca me va a poder responder como lo requiere mi empresa?. Allí es donde empezamos a fijarnos si nos puede ayudar a cumplir nuestros objetivos y nuestros retos. 

Estos retos y objetivos pueden ser distintos de acuerdo al negocio y a la vertical que pertenezca tu empresa, pero en general lo que buscamos es una solución que nos permita conservar la confidencialidad, integridad y disponibilidad de nuestros datos y, que al final del día evitemos perder clientes, dinero o nuestra reputación debido a que nuestra infraestructura se vio comprometida.

La reputación como Factor de Decisión

Según un estudio realizado por Forrester Consulting “El 74% de las empresas cree que sus clientes vinculan la reputación de la marca con la reputación de los ejecutivos”.

La reputación del CEO es importante porque afecta a toda la empresa y afortunadamente, muchos ejecutivos ahora comprenden la influencia de su marca personal en la reputación organizacional.

Dado que los directores ejecutivos son el rostro de su empresa, las declaraciones personales y sus decisiones tienen grandes consecuencias para las marcas o empresas que lideran.

En el caso de Palo Alto Network, su reputación habla por sí sola: 

      1. Es el líder indiscutible en el espacio de la ciberseguridad.
      2. El 85% de las empresas en fortune 100 tienen soluciones NGFW de Palo Alto Networks.
      3. El 70% y el 65% de las empresas en fortune 100 usan soluciones de Prisma Cloud y Cortex respectivamente.

Nominado como líder por novena vez consecutiva en el cuadrante mágico de gartner para Firewalls de Red, obtención de la mayor puntuación en cuanto a la efectividad de la solución NGFW y, el mayor cubrimiento de técnicas en el framework de MITRE ATT&CK.

También ha sido nominado como líder por segunda vez consecutiva por Forrester en la guia de compradores para Zero Trust eXtended Ecosystem Platform Providers, entre otras nominaciones de peso en la industria de ciberseguridad, que evidencian la gran reputación y confianza que depositan los clientes a nivel global en una marca como Palo Alto Networks.

Pero no todo es reputación. Es importante también entender qué soluciones ofrece Palo Alto Networks, cómo estas se diferencian y cómo pueden ayudar a tu empresa a enfrentar los retos de la seguridad digital.

Plataforma Integrada de Seguridad

Los NGFW no son nuevos en el mercado, existen múltiples marcas que comercializan su producto con esa etiqueta, entre las cuales puedes encontrar:

      • ForcePoint
      • Sonic Wall
      • Barracuda
      • Cisco
      • CheckPoint
      • Sophos
      • Juniper
      • Fortinet
      • Huawei
      • WatchGuard
      • VersaNetworks

Aunque cada uno de estos fabricantes integra tecnologías propietarias o de terceros en sus productos, todos tienen características mínimas por los cuales se les considera NGFW. Algunas de estas marcas aún comercializan UTMs en sus líneas de productos, como en el caso de Fortinet, SonicWall, WatchGuard y Sophos.

Ciertos vendors ofrecen soluciones que enfrentan problemas de rendimiento en ambientes reales o de producción. Incluso, algunas hojas técnicas referencian datos que bajo ciertos factores, y dependiendo del ambiente, no son posibles de alcanzar.

Por otro lado, pueden existir compromisos en la solución, que intenten llenar con otros productos del portafolio o incluso con licenciamientos adicionales, aumentando los costos de adquisición al final del día. Personalmente, he visto este comportamiento en algunas de las marcas antes mencionadas cuando no logran crear un ecosistema o plataforma de seguridad integrada totalmente .

Un NGFW debe bloquear ataques y amenazas, tener visibilidad de capa 7, identificar contenido y usuarios, filtrar URLs a través de categorización, realizar descifrado SSL y proteger e identificar vulnerabilidades conocidas y desconocidas.

Lo anteriormente nombrado es un must. Pero realmente no se ofrece nada innovador que genere un efecto WOW si la plataforma de seguridad no está totalmente integrada entre todos los productos como lo mencione anteriormente.

Beneficios Extraordinarios

El firewall de Palo Alto Networks te ofrece mayores beneficios los cuales describo a continuación en el orden de relevancia:

      • Primer NGFW con Tecnología ML (Machine Learning): para obtener la única prevención de suplantación de identidad y software malicioso en línea de la industria y detener amenazas desconocidas a medida que llegan a tu red. Automáticamente reprograma tu red con actualizaciones de firmas sin demora para todas las demás amenazas. Puedes obtener una identificación precisa sin firma de todos los dispositivos de Internet de las cosas (IoT) no administrados y utilizar la telemetría para optimizar las políticas de seguridad, eliminando las brechas de seguridad debido a malas configuraciones. De esta manera, adoptas una plataforma de seguridad de red consistente, integrada y de la mejor clase disponible en entornos físicos, virtuales, y contenedores entregados en la nube, con una gestión completamente centralizada.

La funcionalidad de ML está embebida en el firewall de forma nativa y no requiere sensores o algún hardware adicional para hacer uso de esta inteligencia.  Anteriormente se usaban modelos de machine learning fuera de banda para la detección de malware o phishing, pero con este avance de Palo Alto Networks ya se usan modelos ML en línea para prevenir ataques previamente desconocidos.

      • WildFire como Prevención de Malware conocido y Desconocido: WildFire usa módulos de aprendizaje automático (ML) en línea para identificar y prevenir amenazas nuevas y desconocidas, protegiendo a los usuarios antes de que una amenaza pueda incluso ingresar en tu red. Con su singular capacidad de transmisión de firmas en tiempo real, WildFire te garantiza protección contra ataques desconocidos segundos después de que se descubren por primera vez. Esta funcionalidad agrega muchísimo valor si en tu empresa existe un gran intercambio de información, ya sea vía correo electrónico o algún otro medio digital. La capacidad de tener una respuesta antes amenazas no conocidas puede ser el diferencial entre pasar de una red no comprometida a una red totalmente comprometida.
      • Seguridad de IoT (Internet of Things): es la primera seguridad completa de IoT de la industria, ofreciendo un enfoque basado en aprendizaje automático para descubrir todos los dispositivos no administrados, detectar anomalías de comportamiento, realizar recomendaciones basadas en el riesgo y corregir de forma automatizada sin la necesidad de sensores o infraestructura adicional. Esta combinación única de visibilidad de IoT y el Firewall de próxima generación permite la segmentación de red basada en el contexto para reducir la exposición al riesgo. El valor de este tipo de enfoque en TI y OT lo explica muy bien José Cabello en su artículo “Retos de ciberseguridad en la industria 4.0”.
      • Respuestas Automáticas que se adapten y sigan el comportamiento del usuario: Ya sea que las credenciales de un usuario se vean comprometidas o necesite proporcionar acceso temporal a los usuarios, los DUG (Grupos de Usuarios Dinámicos) y DAG (Grupo de Direcciones Dinámicas) te permiten aprovechar los datos de comportamiento de los usuarios, direcciones y dispositivos para hacer cumplir automáticamente las políticas de seguridad en tiempo real. Esta funcionalidad aporta un gran beneficio a todas las áreas en general, ya que se pueden construir políticas completamente dinámicas basadas en el negocio, en comportamientos y en comportamientos anómalos, además reduce la carga de TI al no tener que modificar o aplicar políticas estáticas en los ambientes, lo que habilita enormemente la automatización. 
      • Seguridad de DNS: para aplicar análisis predictivo, aprendizaje automático y automatización basado en nube y bloquear ataques que utilizan el protocolo DNS. La estrecha integración con el Firewall de próxima generación le brinda protecciones automatizadas, evita que los atacantes eludan medidas de seguridad y elimina la necesidad de herramientas o cambios en el enrutamiento DNS. La analítica integral permite una comprensión profunda de las amenazas y capacita al personal de seguridad con el contexto para optimizar su postura de seguridad. Esta funcionalidad es una de mis favoritas. Muchas veces los equipos de seguridad confían plenamente en el protocolo DNS por ser históricamente un protocolo de infraestructura, incluso el usuario común muchas veces no tiene conocimiento que hay un protocolo que corre en segundo plano que realiza todas las traducciones de nombres que podamos entender a direcciones IP y se le conoce como el diario telefónico de internet.  Por lo que la capacidad de ver sobre el tráfico DNS entrega una visibilidad mucho más completa. Esta funcionalidad en conjunto con DUG o DAG entrega un nuevo nivel de automatización en Firewalls de Próxima Generación.

Desde que Palo Alto Networks fue fundada, se ha dedicado no solo a crear productos y soluciones de seguridad, sino también a crear una plataforma operativa de seguridad que resuelva los innumerables retos a nivel de ciberseguridad.

¿Por qué adquirir una plataforma operativa integrada de seguridad? La plataforma operativa de seguridad te permite automatizar con confianza la identificación, protección, detección y respuesta de amenazas a lo largo de todos tus ambientes: nube, red y puntos finales. De esta manera, utilizando un enfoque basado en datos y análisis precisos. La plataforma integrada de Palo Alto Networks te permite además adoptar fácilmente las mejores prácticas y utiliza un enfoque de cero confianza para reducir al máximo la superficie de ataque.

Hoy más que nunca debido a que las amenazas son dinámicas, se necesita seguir evolucionando para mantenerse a la vanguardia. Las nuevas capacidades técnicas deben estar estrechamente integradas y basarse en su valor.

Con el framework de aplicaciones de Palo Alto Networks, puedes consumir rápidamente aplicaciones de seguridad innovadoras, utilizando tus datos de seguridad, sensores y puntos de refuerzos existentes. Ya sea que estén desarrolladas por tu propio equipo de desarrollo o por terceros, estas aplicaciones pueden detectar e informar sobre amenazas, y/o automatizar los flujos de trabajo para reducir los tiempos de respuesta. De esta manera, la plataforma operativa de seguridad te permite aprovechar al máximo tu inversión existente en Palo Alto Networks.

Para cerrar me gustaría compartirte una serie de 5 artículos creados para evitar los errores más comunes a la hora de evaluar una solución de NGFW “5 Critical Mistakes to Avoid: Buying In to NGFW Roadmap Features and Promises”. Al final del día, no es solo comprar un firewall, es tener la seguridad y la tranquilidad que cuentas con una plataforma nativa y completamente integrada a lo largo de todos tus ambientes.

Escrito por José Carrizales 11 diciembre, 2020
José Carrizales