Protección de Terminales
Protección de Terminales
Protección de Terminales
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 2
¿Qué esperar en este módulo?
• Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser
incluidas en este módulo:
Característica Descripción
Vídeos Exponga a los aprendices a nuevas habilidades y conceptos.
Verifique su Cuestionario por tema en línea para ayudar a los aprendices a medir la
aprendizaje comprensión del contenido.
Cuestionarios de Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo de
módulo los temas presentados en el módulo.
Resumen del módulo Resumen breve del contenido del módulo.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 3
Verificar su Aprendizaje
• Las actividades "Verifique su aprendizaje" están diseñadas para permitir que los estudiantes
determinen si están entendiendo el contenido y pueden continuar, o si es necesario un
repaso.
• Las actividades "Verifique su aprendizaje" no afectan las calificaciones de los aprendices.
• No hay diapositivas separadas para estas actividades en la presentación de PowerPoint. Se
enumeran en el área de notas de la diapositiva que aparece antes de estas actividades.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 4
Módulo 22: Actividades
¿Qué actividades están asociadas con este módulo?
N.° de
Tipo de actividad Nombre de la actividad ¿Opcional?
página
22.1.5 Verifique su aprendizaje Identificar términos y conceptos sobre antimalware Recomendado
Identificar la terminología sobre la protección contra
22.2.5 Verifique su aprendizaje Recomendado
intrusiones basada en hosts
22.3.4 Video Uso de sandboxing para ejecutar malware Recomendado
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 5
Módulo 22: Mejores prácticas
Antes de enseñar el Módulo 22, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas posibles, con el fin de mantener a los
estudiantes concentrados durante la presentación.
Tema 22.1
• Describir los tres métodos para detectar virus
• Realizar una explicación sobre los dispositivos y las técnicas utilizadas para proteger los
terminales.
• Familiarizar a los aprendices con la protección avanzada contra malware (Advanced
Malware Protection, AMP) de Cisco
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 6
Módulo 22: Mejores prácticas
Tema 22.2
• Explique con ejemplos el Firewall basado en host.
• Describa la arquitectura del sistema de detección de intrusiones basado en hosts (HIDS).
• Solicite a la clase que busque en Internet OSSEC para obtener más información.
Tema 22.3
• Enfatice cómo se está ampliando la superficie de ataque por las tecnologías en la nube, la
movilidad y el Internet de las cosas (IoT).
• Explique la técnica de sandboxing y las diferentes herramientas de sandbox.
• Muestre a la clase un video en el que se utilice un ambiente de sandbox para ejecutar y
analizar un ataque de malware.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 7
Módulo 22: Protección de terminales
Objetivo del módulo: Explicar cómo un sitio web de análisis de malware genera un reporte
de análisis de malware.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 9
22.1 Protección antimalware
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 10
Protección de terminales
Amenazas a terminales
• malware en la red VPN desde la red pública.
• Se ha descubierto que numerosos tipos
comunes de malware han modificado
significativamente sus características en
menos de 24 horas para evadir la detección.
• Los terminales son hosts en la red que
pueden tener acceso a otros hosts de la red
y viceversa.
• Cada terminal es un posible lugar que el
software malicioso tiene para obtener acceso
a una red.
• Los dispositivos que acceden de forma
remota a redes a través de VPN también son
Porcentaje de Spam malicioso
terminales que podrían inyectar
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 11
Protección de terminales
Seguridad de terminales
• Ya que muchos ataques se originan desde el
interior de la red, proteger una LAN interna es
casi tan importante como proteger el perímetro
externo de la red.
• Si un atacante se infiltra en un host interno, este
puede ser el punto de partida para que obtenga
acceso a dispositivos esenciales del sistema,
como servidores, y a información confidencial.
• Hay dos elementos de la LAN interna que se
deben proteger:
• Terminales: Los hosts son susceptibles a
ataques relacionados con malware.
• Infraestructura de red: Los dispositivos de
infraestructura LAN interconectan terminales
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 12
Protección de terminales
Protección de malware basada en hosts
El software antivirus/antimalware y los Firewalls basados en hosts se utilizan para proteger
dispositivos que utilizan VPN.
Software antivirus/antimalware
Es un software que se instala en un host para detectar y eliminar virus y malware. Por ejemplo:
Windows Defender Virus & Threat Protection, Cisco AMP para terminales, Norton Security,
McAfee, Trend Micro y otros.
Los programas antimalware pueden detectar virus por medio de tres enfoques diferentes:
• Basado en firmas: Reconoce diversas características de archivos de malware conocidos
• Basado en heurística: Reconoce características generales que comparten diversos tipos
de malware
• Basado en comportamiento: Emplea análisis de comportamiento sospechoso
• A la protección antivirus basada en hosts también se le conoce como basada en agentes, y es
ejecutada en cada dispositivo protegido.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 13
Protección de terminales
Protección de malware basada en hosts
Firewall basado en hosts
• Este software se instala en un host.
• Limita las conexiones entrantes y
salientes a conexiones iniciadas por
ese host solamente.
• Algunos software de Firewall pueden
evitar que un host se infecte e impedir
que los hosts infectados propaguen
malware a otros. Esta función se
incluye en algunos sistemas
operativos.
• Por ejemplo, Windows incluye uno
nombrado: Windows Defender
Firewall with Advanced Security.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 14
Protección de terminales
Protección de malware basada en hosts
Conjuntos de seguridad basados en los hosts
• Se recomienda instalar un conjunto de productos de seguridad basada en hosts en redes
domésticas y empresariales para proporcionar una defensa en capas que proteja contra las
amenazas más comunes.
• Estos conjuntos de seguridad basados en host incluyen funcionalidades antivirus,
antiPhishing, navegación segura, sistemas de prevención de intrusiones basados en host y
funcionalidades de Firewall.
• Los productos de seguridad basados en hosts también proporcionan la función de telemetría.
• La mayoría del software de seguridad basado en hosts incluye una sólida funcionalidad de
registro que es esencial para las operaciones de ciberseguridad.
• El laboratorio de pruebas independiente AV-TEST proporciona evaluaciones de alta calidad
sobre protecciones basadas en los hosts, así como información acerca de muchos otros
productos de seguridad.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 15
Protección de terminales
Protección de malware basada en la red
• Los dispositivos de prevención de malware basados en la red son capaces de compartir
información entre ellos para permitir que se tomen mejores decisiones.
• La protección de terminales en una red sin fronteras puede lograrse usando técnicas
basadas en la red y basadas en los hosts.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 18
Protección contra intrusiones basada en hosts
Firewalls basados en hosts
• Los Firewalls basados en hosts personales son programas de software autónomos que controlan el
tráfico que entra o sale de una computadora.
• Las aplicaciones de Firewall basadas en host también pueden configurarse para emitir alertas a los
usuarios si se detecta comportamiento sospechoso.
• Estos son algunos ejemplos de Firewalls basados en hosts:
• Windows Defender Firewall : Incluido por primera vez en Windows XP, el Windows Firewall
(actualmente conocido como Windows Defender Firewall) utiliza un enfoque basado en perfiles
para configurar la funcionalidad del Firewall.
• iptables: Es una aplicación que les permite a los administradores de sistemas de Linux
configurar reglas de acceso a la red que forman parte de los módulos de Linux Kernel Netfilter.
• nftables: La aplicación sucesora de iptables, es una aplicación de Firewall de Linux que utiliza
una máquina virtual simple en el Kernel de Linux.
• TCP Wrappers: Es un sistema de control de acceso y registro basado en reglas, para Linux.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 19
Protección contra intrusiones basada en hosts
Detección de intrusiones basada en hosts
• Un sistema de detección de intrusiones
basado en hosts (HIDS) está diseñado
para proteger a los hosts de malware
conocido y desconocido.
• Un HIDS puede realizar monitoreo e
informes detallados de la actividad de
configuración y aplicaciones del sistema.
• HIDS es una aplicación de seguridad
integral que combina las funcionalidades
de las aplicaciones antimalware con las
de Firewall.
• Debido a que el software HIDS debe
ejecutarse directamente en el host, se
considera un sistema basado en Arquitectura para la detección de intrusiones basada en hosts
agentes.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 20
Protección contra intrusiones basada en hosts
Funcionamiento de HIDS
• Un HIDS puede prevenir intrusiones ya que utiliza firmas para detectar malware conocido y
así evitar que infecte un sistema.
• Algunas familias de malware se caracterizan por ser polimorfas.
• Se utiliza un conjunto adicional de estrategias para detectar la posibilidad de intrusiones
exitosas de malware que evada la detección de firmas:
• Basada en anomalías: El comportamiento del sistema del host se compara con un
modelo normal de referencia aprendido. Si se detecta una intrusión, el HIDS puede
registrar detalles de la intrusión, enviar alertas a los sistemas de administración de
seguridad y tomar medidas para evitar el ataque.
• Basada en políticas: El comportamiento normal del sistema se describe mediante reglas
o la violación de las reglas, que fueron predefinidas. La violación de estas políticas tiene
como resultado las acciones del HIDS, por ejemplo finalizar procesos de software.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 21
Protección contra intrusiones basada en hosts
Productos HIDS
• La mayoría de los productos HIDS utiliza el software en el host y algún tipo de funcionalidad
centralizada de administración de la seguridad que permite la integración con servicios de
monitoreo de seguridad de la red y de inteligencia contra amenazas.
• Algunos ejemplos son: Cisco AMP, AlienVault USM, Tripwire, y Open Source HIDS SECurity
(OSSEC).
• OSSEC utiliza un servidor central de administración, y agentes que se instalan en hosts
individuales.
• El servidor o Administrador OSSEC también puede recibir y analizar alertas de una variedad
de dispositivos de red y Firewalls a través de syslog.
• OSSEC monitorea los registros del sistema en los hosts y también lleva a cabo la verificación
de la integridad de los archivos.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 22
22.3 Seguridad de las
aplicaciones
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 23
Seguridad de las aplicaciones
Superficie de ataque
• Una superficie de ataque es la suma total de las
vulnerabilidades presentes en un sistema
determinado a las que puede acceder un atacante.
• Puede consistir sobre puertos abiertos en
servidores o hosts, software que se ejecuta en
servidores conectados a internet, protocolos de
redes inalámbricas e incluso usuarios.
• Componentes de la superficie de ataque:
• Superficie de ataque de la red: El ataque
aprovecha las vulnerabilidades en las redes.
• Superficie de Ataque de Software: El
ataque se realiza aprovechando
vulnerabilidades en aplicaciones de software
web, en la nube o basadas en hosts. Superficie de ataque en expansión
• Superficie de Ataque Humana: El ataque
aprovecha las debilidades en el
comportamiento del usuario.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 24
Seguridad de las aplicaciones
Listas negras y listas blancas de aplicaciones
• La limitación del acceso a amenazas
potenciales mediante la creación de
listas de aplicaciones prohibidas se
conoce como lista negra.
• Las listas negras de aplicaciones
pueden determinar qué aplicaciones de
usuario no tienen permitido ejecutarse
en una computadora.
• Las listas blancas especifican cuales
programas pueden ejecutarse.
• De esta manera, se puede evitar que
las aplicaciones vulnerables conocidas Listas negras y listas blancas de aplicaciones
creen vulnerabilidades en los hosts de
la red.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 25
Seguridad de las aplicaciones
Listas negras y listas blancas de aplicaciones
• Los sitios web también pueden incluirse en
listas blancas y negras.
• Estas listas se pueden crear manualmente o
pueden obtenerse de distintos servicios de
seguridad.
• Los servicios de seguridad pueden
actualizar las listas negras constantemente
y distribuirlas a Firewalls y
otros sistemas de seguridad que las usen.
• El sistema Firepower security management
de Cisco
es un ejemplo de un sistema que puede
tener acceso al servicio de inteligencia de
seguridad de Cisco Talos para obtener listas
negras. © 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 26
Seguridad de las aplicaciones
Sandboxing basado en sistema
• Sandboxing es una técnica que
permite analizar y ejecutar en un
entorno seguro los archivos
sospechosos.
• Cuckoo Sandbox es un sistema
sandbox gratuito para el análisis
de malware. Se puede ejecutar
localmente y usarlo para
analizar muestras de malware.
• ANY.RUN es una herramienta
en línea que ofrece la posibilidad
de cargar una muestra de
malware para su análisis como
cualquier sandbox en línea.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 27
Seguridad de las aplicaciones
Video - Usando una Sandbox para ejecutar malware
• Reproduzca el video para ver una demostración de uso del entorno sandbox para iniciar y
analizar un ataque de malware.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 28
22.4 Resumen: Protección de
terminales
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 29
Resumen: Protección de terminales
¿Qué aprendimos en este módulo?
• Los terminales son definidos como hosts en la red que pueden tener acceso a otros hosts de la red
y viceversa.
• Hay dos elementos de la LAN interna que se deben proteger: Los Terminales y la Infraestructura de
la Red.
• El software Antivirus/Antimalware se instala en un host, para detectar y mitigar virus y malware
• Los Firewalls basados en hosts pueden utilizar un conjunto de políticas o perfiles predefinidos para
controlar los paquetes que entran y salen de una computadora.
• Algunos ejemplos de Firewalls basados en host incluyen Windows Defender Firewall, iptables,
nftables y TCP Wrappers.
• HIDS protege a los hosts contra malware conocido y desconocido.
• Una superficie de ataque es la suma total de las vulnerabilidades presentes en un sistema
determinado a las que puede acceder un atacante.
• Las listas negras de aplicaciones determinan cuales aplicaciones de usuario no tienen permitido
ejecutarse en una computadora, y las listas blancas especifican cuales programas pueden
ejecutarse.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 30
Módulo 22
Nuevos términos y comandos
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 31