Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Nube de prevención avanzada de amenazas de Juniper

Acerca de Juniper Advanced Threat Prevention Cloud

La nube de prevención avanzada de amenazas de Juniper® (Juniper ATP Cloud) es un marco de seguridad que protege a todos los hosts de su red contra las amenazas de seguridad en evolución mediante el empleo de software de detección de amenazas basado en la nube con un sistema de firewall de última generación. Consulte la figura 1.

Figura 1: Descripción general de ATP Cloud de Juniper ATP Cloud Overview Juniper

ATP Cloud de Juniper protege su red realizando las siguientes tareas:

  • El firewall de la serie SRX extrae objetos y archivos potencialmente maliciosos y los envía a la nube para su análisis.

  • Los archivos maliciosos conocidos se identifican rápidamente y se eliminan antes de que puedan infectar un host.

  • Múltiples técnicas identifican el malware nuevo y lo agregan a la lista conocida de malware.

  • La correlación entre el malware recién identificado y los sitios conocidos de Comando y Control (C&C) ayuda al análisis.

  • El firewall de la serie SRX bloquea las descargas de archivos maliciosos conocidos y el tráfico saliente de C&C.

Juniper ATP Cloud admite los siguientes modos:

Características de Juniper ATP Cloud

Juniper ATP Cloud es una solución basada en la nube. Los entornos de nube son flexibles y escalables, y un entorno compartido garantiza que todos se beneficien de la nueva inteligencia de amenazas casi en tiempo real. Sus datos confidenciales están protegidos aunque se encuentren en un entorno compartido en la nube. Los analistas de seguridad pueden actualizar su defensa cuando se descubren nuevas técnicas de ataque y distribuir la inteligencia de amenazas con muy poca demora.

Además, ATP Cloud de Juniper ofrece las siguientes funciones:

  • Integrado con el firewall de la serie SRX para simplificar el despliegue y mejorar las capacidades antiamenazas del firewall.

  • Ofrece protección contra amenazas de "día cero" mediante una combinación de herramientas para proporcionar una cobertura sólida contra amenazas sofisticadas y evasivas.

  • Comprueba el tráfico entrante y saliente con mejoras de política que permiten a los usuarios detener el malware, poner en cuarentena los sistemas infectados, evitar la exfiltración de datos e interrumpir el movimiento lateral.

  • Alta disponibilidad para brindar un servicio ininterrumpido.

  • Escalable para manejar cargas cada vez mayores que requieren más recursos informáticos, un mayor ancho de banda de red para recibir más envíos de clientes y un gran almacenamiento para malware.

  • Proporciona inspección profunda, informes procesables y bloqueo de malware en línea.

  • API para fuentes de C&C, operaciones de listas de permitidos y bloqueados, y envío de archivos. Consulte la Guía de configuración de API abierta de Threat Intelligence para obtener más información.

  • Ofrezca funciones como DNS, información de tráfico cifrado (ETI) y seguridad de IoT si tiene una licencia premium de ATP Cloud. Consulte la Guía de licencias para obtener más información.

En la figura 2 se enumeran los componentes de ATP Cloud de Juniper.

Figura 2: Componentes de ATP Cloud de Juniper ATP Cloud Components Juniper

En la tabla 1 se describe brevemente el funcionamiento de cada componente de ATP Cloud de Juniper.

Tabla 1: Componentes de ATP Cloud de Juniper

Componente

Operación

Fuentes en la nube de comando y control (C&C)

Las fuentes de C&C son esencialmente una lista de servidores que son conocidos de comando y control para botnets. La lista también incluye servidores que son fuentes conocidas de descargas de malware.

Fuentes de nube de GeoIP

GeoIP feeds es un mapeo actualizado de direcciones IP a regiones geográficas. Esto le da la capacidad de filtrar el tráfico hacia y desde geografías específicas del mundo.

Fuentes de nube de host infectadas

Los hosts infectados indican dispositivos locales que están potencialmente comprometidos porque parecen ser parte de una red C&C u otros presentan otros síntomas.

Lista de permitidos, listas de bloqueo y fuentes personalizadas en la nube

Una lista de permitidos es simplemente una lista de direcciones IP conocidas en las que confía, y una lista de bloqueo es una lista en la que no confía.

Firewall serie SRX

Envía el contenido del archivo extraído para su análisis y detecta aciertos de C&C dentro de la red del cliente.

Realiza bloqueos en línea basados en la base de datos de firmas de archivos proporcionada por Juniper ATP Cloud.

Canalización de inspección de malware

Realiza análisis de malware y detección de amenazas.

Detección de compromiso interno

Inspecciona archivos, metadatos y otra información.

Portal de servicios (interfaz de usuario web)

Interfaz gráfica que muestra información sobre las amenazas detectadas dentro de la red del cliente.

Herramienta de administración de configuración donde los clientes pueden ajustar qué categorías de archivos se pueden enviar a la nube para su procesamiento.

Información de tráfico cifrado

Encrypted Traffic Insights restaura la visibilidad perdida debido al tráfico cifrado sin la pesada carga del descifrado TLS/SSL completo.

SecIntel

Proporciona inteligencia de seguridad seleccionada en forma de fuentes de amenazas que incluyen dominios, URL y direcciones IP malintencionados utilizados en campañas de ataque conocidas. SecIntel también permite a los clientes alimentar y distribuir su propia inteligencia de amenazas para el bloqueo en línea.

Creación adaptable de perfiles de amenazas

Cree automáticamente fuentes de amenazas de inteligencia de seguridad basadas en quién y qué está atacando actualmente la red para combatir la avalancha continua de nuevas amenazas. La creación adaptable de perfiles de amenazas aprovecha los servicios de seguridad de Juniper para clasificar el comportamiento de los puntos de conexión y crear fuentes de inteligencia de amenazas personalizadas que se pueden usar para inspecciones o bloqueos adicionales en múltiples puntos de aplicación.

Seguridad DNS

Proporciona prevención de amenazas frente a ataques que utilizan técnicas de tunelización DGA y DNS. Protéjase contra ataques de DNS para comunicaciones de C&C, exfiltración de datos, ataques de phishing y ransomware que comúnmente explotan DNS utilizando una variedad de técnicas.

Prevención de amenazas de IoT

ATP Cloud permite a los clientes controlar la superficie de ataque de IoT en su red al proporcionar una manera fácil de identificar y categorizar los dispositivos de IoT

Cómo el firewall de la serie SRX corrige el tráfico

Los firewalls de la serie SRX utilizan la inteligencia proporcionada por Juniper ATP Cloud para corregir el contenido malicioso mediante el uso de políticas de seguridad. Si están configuradas, las políticas de seguridad pueden bloquear ese contenido antes de que se entregue a la dirección de destino.

Para el tráfico entrante, las políticas de seguridad del firewall de la serie SRX buscan tipos específicos de archivos, como archivos .exe, para inspeccionar. Cuando se encuentra uno, la política de seguridad envía el archivo a la nube ATP Cloud de Juniper para su inspección. El firewall de la serie SRX contiene los últimos KB del archivo del cliente de destino, mientras que Juniper ATP Cloud comprueba si este archivo ya se ha analizado. Si es así, se devuelve un veredicto y el archivo se envía al cliente o se bloquea según el nivel de amenaza del archivo y la política definida por el usuario vigente. Si la nube no ha inspeccionado este archivo antes, el archivo se envía al cliente mientras Juniper ATP Cloud realiza un análisis exhaustivo. Si el nivel de amenaza del archivo indica malware (y dependiendo de las configuraciones definidas por el usuario), el sistema cliente se marca como un host infectado y se bloquea el tráfico saliente. Para obtener más información, consulte ¿Cómo se analiza y detecta el malware?.

La figura 3 muestra un flujo de ejemplo de un cliente que solicita la descarga de un archivo con Juniper ATP Cloud.

Figura 3: Inspección de archivos entrantes en busca de malware Inspecting Inbound Files for Malware
Tabla 2: Flujo de trabajo de inspección de malware

Paso

Descripción

1

Un sistema cliente detrás de un firewall de la serie SRX solicita una descarga de archivos de Internet. El firewall de la serie SRX reenvía esa solicitud al servidor apropiado.

2

El firewall de la serie SRX recibe el archivo descargado y comprueba su perfil de seguridad para ver si se debe realizar alguna acción adicional.

3

El tipo de archivo descargado se encuentra en la lista de archivos que deben inspeccionarse y se envía a la nube para su análisis.

4

Juniper ATP Cloud ha inspeccionado este archivo antes y tiene el análisis almacenado en caché. En este ejemplo, el archivo no es malware y el veredicto de nivel de amenaza se devuelve al firewall de la serie SRX.

5

Según las políticas definidas por el usuario y el veredicto de nivel de amenaza, el firewall de la serie SRX envía el archivo al cliente.

Para el tráfico saliente, el firewall de la serie SRX supervisa el tráfico que coincide con las fuentes de C&C que recibe, bloquea estas solicitudes de C&C y las informa a Juniper ATP Cloud. Hay disponible una lista de hosts infectados para que el firewall de la serie SRX pueda bloquear el tráfico entrante y saliente.

Casos de uso de ATP Cloud de Juniper

Juniper ATP Cloud se puede utilizar en cualquier lugar de una implementación de la serie SRX. Consulte la figura 4

Figura 4: Casos de uso de ATP Cloud de Juniper Juniper ATP Cloud Use Cases

  • Firewall perimetral del campus: ATP Cloud de Juniper analiza los archivos descargados de Internet y protege los dispositivos de los usuarios finales.

  • Borde del centro de datos: al igual que el firewall del borde del campus, ATP Cloud de Juniper evita que los archivos infectados y el malware de aplicaciones se ejecuten en sus computadoras.

  • Enrutador de sucursal: Juniper ATP Cloud brinda protección contra despliegues de túnel dividido. Una desventaja del túnel dividido es que los usuarios pueden eludir la seguridad establecida por la infraestructura de su empresa.

Licencias

ATP Cloud de Juniper tiene tres niveles de servicio: Free, Basic (solo feed) y Premium. No se requiere licencia para la versión gratuita, pero debe obtener una licencia para los niveles Basic y Premium.

Para obtener más información sobre las licencias de ATP Cloud de Juniper, consulte Licencias para la nube de Prevención avanzada de amenazas (ATP) de Juniper. Consulte la Guía de licencias para obtener información general sobre la administración de licencias. Para obtener más información, consulte las hojas de datos del producto o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.