Protección de Terminales

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 32

Módulo 22: Protección de terminales

Materiales del Instructor

CyberOps Associate v1.0


Materiales para el instructor: Guía de planificación del módulo 22
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor
• Información que le ayudará a familiarizarse con el módulo
• Ayuda didáctica
• Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva n.º 8
Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales, diríjase a la página principal del instructor y a los recursos del curso para
este curso. También puede visitar el sitio de desarrollo profesional en www.netacad.com, la página oficial de
Facebook de Cisco Networking Academy, o el grupo de Facebook exclusivo para instructores.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 2
¿Qué esperar en este módulo?
• Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser
incluidas en este módulo:
Característica Descripción
Vídeos Exponga a los aprendices a nuevas habilidades y conceptos.
Verifique su Cuestionario por tema en línea para ayudar a los aprendices a medir la
aprendizaje comprensión del contenido.
Cuestionarios de Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo de
módulo los temas presentados en el módulo.
Resumen del módulo Resumen breve del contenido del módulo.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 3
Verificar su Aprendizaje

• Las actividades "Verifique su aprendizaje" están diseñadas para permitir que los estudiantes
determinen si están entendiendo el contenido y pueden continuar, o si es necesario un
repaso.
• Las actividades "Verifique su aprendizaje" no afectan las calificaciones de los aprendices.
• No hay diapositivas separadas para estas actividades en la presentación de PowerPoint. Se
enumeran en el área de notas de la diapositiva que aparece antes de estas actividades.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 4
Módulo 22: Actividades
¿Qué actividades están asociadas con este módulo?

N.° de
Tipo de actividad Nombre de la actividad ¿Opcional?
página
22.1.5 Verifique su aprendizaje Identificar términos y conceptos sobre antimalware Recomendado
Identificar la terminología sobre la protección contra
22.2.5 Verifique su aprendizaje Recomendado
intrusiones basada en hosts
22.3.4 Video Uso de sandboxing para ejecutar malware Recomendado

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 5
Módulo 22: Mejores prácticas
Antes de enseñar el Módulo 22, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas posibles, con el fin de mantener a los
estudiantes concentrados durante la presentación.

Tema 22.1
• Describir los tres métodos para detectar virus
• Realizar una explicación sobre los dispositivos y las técnicas utilizadas para proteger los
terminales.
• Familiarizar a los aprendices con la protección avanzada contra malware (Advanced
Malware Protection, AMP) de Cisco

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 6
Módulo 22: Mejores prácticas
Tema 22.2
• Explique con ejemplos el Firewall basado en host.
• Describa la arquitectura del sistema de detección de intrusiones basado en hosts (HIDS).
• Solicite a la clase que busque en Internet OSSEC para obtener más información.

Tema 22.3
• Enfatice cómo se está ampliando la superficie de ataque por las tecnologías en la nube, la
movilidad y el Internet de las cosas (IoT).
• Explique la técnica de sandboxing y las diferentes herramientas de sandbox.
• Muestre a la clase un video en el que se utilice un ambiente de sandbox para ejecutar y
analizar un ataque de malware.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 7
Módulo 22: Protección de terminales

CyberOps Associate v1.0


Objetivos del módulo
Título del módulo: Protección de terminales

Objetivo del módulo: Explicar cómo un sitio web de análisis de malware genera un reporte
de análisis de malware.

Tema Objetivo del tema


Protección antimalware Explicar los métodos de mitigación de malware.
Prevención de intrusiones Explicar las entradas del registro del sistema
basada en hosts IPS/IDS basado en host.
Explicar cómo se utiliza un sandbox para analizar
Seguridad de las aplicaciones
malware.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 9
22.1 Protección antimalware

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 10
Protección de terminales
Amenazas a terminales
• malware en la red VPN desde la red pública.
• Se ha descubierto que numerosos tipos
comunes de malware han modificado
significativamente sus características en
menos de 24 horas para evadir la detección.
• Los terminales son hosts en la red que
pueden tener acceso a otros hosts de la red
y viceversa.
• Cada terminal es un posible lugar que el
software malicioso tiene para obtener acceso
a una red.
• Los dispositivos que acceden de forma
remota a redes a través de VPN también son
Porcentaje de Spam malicioso
terminales que podrían inyectar
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 11
Protección de terminales
Seguridad de terminales
• Ya que muchos ataques se originan desde el
interior de la red, proteger una LAN interna es
casi tan importante como proteger el perímetro
externo de la red.
• Si un atacante se infiltra en un host interno, este
puede ser el punto de partida para que obtenga
acceso a dispositivos esenciales del sistema,
como servidores, y a información confidencial.
• Hay dos elementos de la LAN interna que se
deben proteger:
• Terminales: Los hosts son susceptibles a
ataques relacionados con malware.
• Infraestructura de red: Los dispositivos de
infraestructura LAN interconectan terminales

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 12
Protección de terminales
Protección de malware basada en hosts
El software antivirus/antimalware y los Firewalls basados en hosts se utilizan para proteger
dispositivos que utilizan VPN.
Software antivirus/antimalware
Es un software que se instala en un host para detectar y eliminar virus y malware. Por ejemplo:
Windows Defender Virus & Threat Protection, Cisco AMP para terminales, Norton Security,
McAfee, Trend Micro y otros.
Los programas antimalware pueden detectar virus por medio de tres enfoques diferentes:
• Basado en firmas: Reconoce diversas características de archivos de malware conocidos
• Basado en heurística: Reconoce características generales que comparten diversos tipos
de malware
• Basado en comportamiento: Emplea análisis de comportamiento sospechoso
• A la protección antivirus basada en hosts también se le conoce como basada en agentes, y es
ejecutada en cada dispositivo protegido.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 13
Protección de terminales
Protección de malware basada en hosts
Firewall basado en hosts
• Este software se instala en un host.
• Limita las conexiones entrantes y
salientes a conexiones iniciadas por
ese host solamente.
• Algunos software de Firewall pueden
evitar que un host se infecte e impedir
que los hosts infectados propaguen
malware a otros. Esta función se
incluye en algunos sistemas
operativos.
• Por ejemplo, Windows incluye uno
nombrado: Windows Defender
Firewall with Advanced Security.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 14
Protección de terminales
Protección de malware basada en hosts
Conjuntos de seguridad basados en los hosts
• Se recomienda instalar un conjunto de productos de seguridad basada en hosts en redes
domésticas y empresariales para proporcionar una defensa en capas que proteja contra las
amenazas más comunes.
• Estos conjuntos de seguridad basados en host incluyen funcionalidades antivirus,
antiPhishing, navegación segura, sistemas de prevención de intrusiones basados en host y
funcionalidades de Firewall.
• Los productos de seguridad basados en hosts también proporcionan la función de telemetría.
• La mayoría del software de seguridad basado en hosts incluye una sólida funcionalidad de
registro que es esencial para las operaciones de ciberseguridad.
• El laboratorio de pruebas independiente AV-TEST proporciona evaluaciones de alta calidad
sobre protecciones basadas en los hosts, así como información acerca de muchos otros
productos de seguridad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 15
Protección de terminales
Protección de malware basada en la red
• Los dispositivos de prevención de malware basados en la red son capaces de compartir
información entre ellos para permitir que se tomen mejores decisiones.
• La protección de terminales en una red sin fronteras puede lograrse usando técnicas
basadas en la red y basadas en los hosts.

Protección avanzada contra malware en todas partes


© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 16
Protección de terminales
Protección de malware basada en la red
Los siguientes son ejemplos de dispositivos y técnicas que implementan las protecciones para
hosts en el nivel de red.
• Protección avanzada contra malware
(AMP): Proporciona protección a los
terminales en contra de virus y malware.
• Dispositivo de seguridad de correo
electrónico (ESA): Filtra el Spam y los
correos que podrían ser maliciosos antes de
que lleguen al terminal.
• Dispositivo de seguridad web (WSA):
Proporciona filtrado de sitios web y sistema
de lista negra
• Control de admisión de red (NAC):
Permite que se conecten a la red solamente
los sistemas que estén autorizados y que
cumplan con las normas. © 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 17
22.2 Protección contra
intrusiones basada en hosts

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 18
Protección contra intrusiones basada en hosts
Firewalls basados en hosts
• Los Firewalls basados en hosts personales son programas de software autónomos que controlan el
tráfico que entra o sale de una computadora.
• Las aplicaciones de Firewall basadas en host también pueden configurarse para emitir alertas a los
usuarios si se detecta comportamiento sospechoso.
• Estos son algunos ejemplos de Firewalls basados en hosts:
• Windows Defender Firewall : Incluido por primera vez en Windows XP, el Windows Firewall
(actualmente conocido como Windows Defender Firewall) utiliza un enfoque basado en perfiles
para configurar la funcionalidad del Firewall.
• iptables: Es una aplicación que les permite a los administradores de sistemas de Linux
configurar reglas de acceso a la red que forman parte de los módulos de Linux Kernel Netfilter.
• nftables: La aplicación sucesora de iptables, es una aplicación de Firewall de Linux que utiliza
una máquina virtual simple en el Kernel de Linux.
• TCP Wrappers: Es un sistema de control de acceso y registro basado en reglas, para Linux.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 19
Protección contra intrusiones basada en hosts
Detección de intrusiones basada en hosts
• Un sistema de detección de intrusiones
basado en hosts (HIDS) está diseñado
para proteger a los hosts de malware
conocido y desconocido.
• Un HIDS puede realizar monitoreo e
informes detallados de la actividad de
configuración y aplicaciones del sistema.
• HIDS es una aplicación de seguridad
integral que combina las funcionalidades
de las aplicaciones antimalware con las
de Firewall.
• Debido a que el software HIDS debe
ejecutarse directamente en el host, se
considera un sistema basado en Arquitectura para la detección de intrusiones basada en hosts
agentes.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 20
Protección contra intrusiones basada en hosts
Funcionamiento de HIDS
• Un HIDS puede prevenir intrusiones ya que utiliza firmas para detectar malware conocido y
así evitar que infecte un sistema.
• Algunas familias de malware se caracterizan por ser polimorfas.
• Se utiliza un conjunto adicional de estrategias para detectar la posibilidad de intrusiones
exitosas de malware que evada la detección de firmas:
• Basada en anomalías: El comportamiento del sistema del host se compara con un
modelo normal de referencia aprendido. Si se detecta una intrusión, el HIDS puede
registrar detalles de la intrusión, enviar alertas a los sistemas de administración de
seguridad y tomar medidas para evitar el ataque.
• Basada en políticas: El comportamiento normal del sistema se describe mediante reglas
o la violación de las reglas, que fueron predefinidas. La violación de estas políticas tiene
como resultado las acciones del HIDS, por ejemplo finalizar procesos de software.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 21
Protección contra intrusiones basada en hosts
Productos HIDS
• La mayoría de los productos HIDS utiliza el software en el host y algún tipo de funcionalidad
centralizada de administración de la seguridad que permite la integración con servicios de
monitoreo de seguridad de la red y de inteligencia contra amenazas.
• Algunos ejemplos son: Cisco AMP, AlienVault USM, Tripwire, y Open Source HIDS SECurity
(OSSEC).
• OSSEC utiliza un servidor central de administración, y agentes que se instalan en hosts
individuales.
• El servidor o Administrador OSSEC también puede recibir y analizar alertas de una variedad
de dispositivos de red y Firewalls a través de syslog.
• OSSEC monitorea los registros del sistema en los hosts y también lleva a cabo la verificación
de la integridad de los archivos.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 22
22.3 Seguridad de las
aplicaciones

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 23
Seguridad de las aplicaciones
Superficie de ataque
• Una superficie de ataque es la suma total de las
vulnerabilidades presentes en un sistema
determinado a las que puede acceder un atacante.
• Puede consistir sobre puertos abiertos en
servidores o hosts, software que se ejecuta en
servidores conectados a internet, protocolos de
redes inalámbricas e incluso usuarios.
• Componentes de la superficie de ataque:
• Superficie de ataque de la red: El ataque
aprovecha las vulnerabilidades en las redes.
• Superficie de Ataque de Software: El
ataque se realiza aprovechando
vulnerabilidades en aplicaciones de software
web, en la nube o basadas en hosts. Superficie de ataque en expansión
• Superficie de Ataque Humana: El ataque
aprovecha las debilidades en el
comportamiento del usuario.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 24
Seguridad de las aplicaciones
Listas negras y listas blancas de aplicaciones
• La limitación del acceso a amenazas
potenciales mediante la creación de
listas de aplicaciones prohibidas se
conoce como lista negra.
• Las listas negras de aplicaciones
pueden determinar qué aplicaciones de
usuario no tienen permitido ejecutarse
en una computadora.
• Las listas blancas especifican cuales
programas pueden ejecutarse.
• De esta manera, se puede evitar que
las aplicaciones vulnerables conocidas Listas negras y listas blancas de aplicaciones
creen vulnerabilidades en los hosts de
la red.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 25
Seguridad de las aplicaciones
Listas negras y listas blancas de aplicaciones
• Los sitios web también pueden incluirse en
listas blancas y negras.
• Estas listas se pueden crear manualmente o
pueden obtenerse de distintos servicios de
seguridad.
• Los servicios de seguridad pueden
actualizar las listas negras constantemente
y distribuirlas a Firewalls y
otros sistemas de seguridad que las usen.
• El sistema Firepower security management
de Cisco
es un ejemplo de un sistema que puede
tener acceso al servicio de inteligencia de
seguridad de Cisco Talos para obtener listas
negras. © 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 26
Seguridad de las aplicaciones
Sandboxing basado en sistema
• Sandboxing es una técnica que
permite analizar y ejecutar en un
entorno seguro los archivos
sospechosos.
• Cuckoo Sandbox es un sistema
sandbox gratuito para el análisis
de malware. Se puede ejecutar
localmente y usarlo para
analizar muestras de malware.
• ANY.RUN es una herramienta
en línea que ofrece la posibilidad
de cargar una muestra de
malware para su análisis como
cualquier sandbox en línea.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 27
Seguridad de las aplicaciones
Video - Usando una Sandbox para ejecutar malware
• Reproduzca el video para ver una demostración de uso del entorno sandbox para iniciar y
analizar un ataque de malware.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 28
22.4 Resumen: Protección de
terminales

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 29
Resumen: Protección de terminales
¿Qué aprendimos en este módulo?
• Los terminales son definidos como hosts en la red que pueden tener acceso a otros hosts de la red
y viceversa.
• Hay dos elementos de la LAN interna que se deben proteger: Los Terminales y la Infraestructura de
la Red.
• El software Antivirus/Antimalware se instala en un host, para detectar y mitigar virus y malware
• Los Firewalls basados en hosts pueden utilizar un conjunto de políticas o perfiles predefinidos para
controlar los paquetes que entran y salen de una computadora.
• Algunos ejemplos de Firewalls basados en host incluyen Windows Defender Firewall, iptables,
nftables y TCP Wrappers.
• HIDS protege a los hosts contra malware conocido y desconocido.
• Una superficie de ataque es la suma total de las vulnerabilidades presentes en un sistema
determinado a las que puede acceder un atacante.
• Las listas negras de aplicaciones determinan cuales aplicaciones de usuario no tienen permitido
ejecutarse en una computadora, y las listas blancas especifican cuales programas pueden
ejecutarse.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 30
Módulo 22
Nuevos términos y comandos

• Antivirus/Antimalware • Firewall basado en • Sistema de detección de intrusiones


• Terminal host basado en hosts (HIDS)
• Sandboxing • Superficie de ataque

© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 31

También podría gustarte