Aruba anunció Aruba 360 Secure Fabric, un marco de seguridad que brinda detección de amenazas de 360 grados impulsado por analítica, además de mayor agilidad para ayudar a las organizaciones a reducir el riesgo que trae el cambiante panorama de amenazas cibernéticas. Aruba también presentó innovaciones en el Análisis de Comportamiento de Entidades y Usuarios (UEBA) al expandir su línea de productos IntroSpect, que permite a los negocios escalar rápida y fácilmente la detección de comportamiento con aprendizaje autónomo de un proyecto pequeño a un despliegue completo.
“La investigación de Gartner sobre amenazas internas indica que las organizaciones no consideran las amenazas que vienen de sus usuarios confiables, a pesar de que existen varios ejemplos en los que han sido impactadas. En una noticia positiva, Gartner encontró un incremento de 100% de clientes que quieren atender el problema de amenazas internas, y en ese campo UEBA es una de las principales tecnologías.”[1]
Para atender este panorama cambiante, el marco Aruba 360 Secure Fabric brinda a los equipos de TI y seguridad, una manera sencilla e integrada para responder rápidamente a los ciberataques con estructuras de distintos proveedores, para atender a empresas de todos los tamaños.
Los componentes de la solución Aruba 360 Secure Fabric incluyen:
- Aruba IntroSpect UEBA: Una nueva familia de software autónomo de la red que se use, que incluye monitoreo continuo y detección avanzada de ataques, tiene un Nuevo modelo de entrada que usa aprendizaje autónomo para detectar cambios en el comportamiento de los dispositivos e indicar cuando han evadido las defensas tradicionales. Algoritmos de aprendizaje autónomo generan un marcador de riesgo (Risk Score) basado en la severidad del ataque para dar prioridad a la investigación del ataque.
- Aruba ClearPass: Una solución de control de acceso a la red (NAC) y de manejo de políticas para automatizar la respuesta ante ataques, integrada con Aruba IntroSpect. ClearPass también se puede desplegar en una red de cualquier proveedor.
- Aruba Secure Core: Capacidades críticas de seguridad incluidas en el centro de la red, gracias a los Access Points de Aruba, sus controladores y switches, incluyendo el recién lanzado switch Aruba 8400.
Nueva edición de la familia Aruba IntroSpect UEBA
Aruba IntroSpect de edición estándar se une a la familia IntroSpect UEBA, además de que la solución insignia de la compañía: Aruba IntroSpect Advanced Edition tiene nuevas características. La expansión de la familia IntroSpect UEBA brinda a los equipos de seguridad nuevas opciones para detectar ciberataques dentro de la propia red.
Aruba IntroSpect Standard es una solución sencilla para las organizaciones que de esta manera pueden comenzar a usar protección UEBA de aprendizaje autónomo. Está diseñada especialmente para monitoreo básico y simplificación de procesos en la detección de comportamientos anómalos, muchas veces muy sutiles, que sin embargo pueden indicar la expansión de un ataque o la filtración y transmisión de datos.
Aruba IntroSpect Standard se puede implementar desde que se tienen tan solo tres fuentes de datos, lo que acelera el tiempo para adentrarse a la protección. Ingiere datos de fuentes comunes como Microsoft Active Directory u otros registros de autenticación, información de identidad basada en el protocolo LDAP, y registros de firewall de fuentes como Checkpoint, Palo Alto Networks o monitoreo de Aruba (AMON) así como desde los propios procesadores de IntroSpect. De tal manera, los usuarios de dispositivos que muestren comportamiento malicioso pueden ser detectados usando el manejo de políticas de ClearPass para ser puestos en cuarentena, restringidos o removidos para evitar una amenaza.
Los equipos de seguridad que usen IntroSpect Standard pueden mejorar aIntroSpect Advanced con facilidad conforme lo requieran.
Mejoras a la analítica de comportamientos con Aruba IntroSpect Advanced Edition
Aruba IntroSpect Advanced brinda un conjunto de herramientas más amplio que su versión estándar, para proveer defensas ante ataques que provienen de una más amplia variedad de fuentes, así como investigación de incidentes, búsqueda de amenazas y profundas herramientas de cómputo forense. Incluye más de 100 modelos de aprendizaje autónomo, tanto supervisados como sin supervisar, que incorporan el rango más amplio de fuentes de datos tanto al análisis como a la computación forense, incluyendopackets, flujos, registros, alertas, terminales y el tráfico en la nube.
Las nuevas características de Aruba IntroSpect Advanced incluyen:
- Aprendizaje autónomo dinámico: Permite a los equipos de seguridad personalizar los modelos analíticos de IntroSpect según el nivel actual de amenazas y la prioridad en protección. Esto incluye la función conocida como “chaining,” en la que los más de 100 modelos de aprendizaje con los que cuenta la solución pueden unirse para construir nuevos escenarios de detección e índices asociados de riesgo.
- Clasificación con el agrupamiento de dispositivos móviles, en la nube y de IoT, que utiliza la función de perfiles de ClearPass para construir grupos de dispositivos similares incluso si sólo se conoce su dirección IP. Por ejemplo, ClearPass señalará a IntroSpect que un dispositivo es una cámara de vigilancia o sensor de movimiento, para que su comportamiento se pueda comparar al de sus símiles. De tal manera, si una anomalía no se detecta en un perfil individual, IntroSpect aplica una segunda dimensión de detección basada en la comparación con sus pares, lo que resulta importante para cubrir el vasto número de dispositivos IoT con las funcionalidades de UEBA.
- Respuesta integrada a ataques, permite a un analista de seguridad responder ante un ataque usando ClearPass directamente desde la consola de IntroSpect.