1. Objetivos del Proyecto
1.1. Garantizar Servicio Tiendas
1.1.1. Objetivo de Negocio
1.1.1.1. Garantizar la operación en las tiendas
1.1.1.2. Reducir costos
1.1.1.2.1. Bajar los costos de enlaces en las tiendas
1.1.1.2.2. Reducir inversion en equipamiento local de las tiendas
1.1.1.2.3. Reducir costos operativos de IT en las tiendas
1.1.2. Solución Técnica
1.1.2.1. SD WAN
1.1.2.1.1. Permite utilizar cualquier tipo de enlace económico y obtener resultados similares a los de los enlaces privados (MPLS, etc)
1.1.2.1.2. Gran simplicidad de Operación y Adminisrtacion
1.1.2.1.3. Estandarización de TIendas
1.1.2.1.4. Despliegue de nueva Tienda en forma rápida y simple
1.2. Seguridad en las Tiendas
1.2.1. Objetivo de Negocio
1.2.1.1. Cuidar la informacion
1.2.1.1.1. Evitar la fuga de información de clientes (Tarjetas de Crédito)
1.2.1.2. Evitar la indisponibilidad de la operación
1.2.1.2.1. Debido a endpoints infectados con malware
1.2.1.2.2. Caídas de la infraestructura por mal uso de los recursos (sea tanto por usuarios internos como por ataques malintencionados)
1.2.2. Solución Técnica
1.2.2.1. Control de Acceso
1.2.2.1.1. Filtrado de Navegación URL
1.2.2.1.2. Filtrado de Aplicaciones
1.2.2.1.3. Reglas de Seguridad de Red (L4)
1.2.2.2. Protección frente Amenzas
1.2.2.2.1. AntiMalware
1.2.2.2.2. Amenzas de Día Cero
1.2.2.2.3. Phishing
1.2.2.2.4. Command & Control / Botnets
1.2.2.2.5. IPS
2. ¿Qué se probó?
2.1. Sólo IPS
2.1.1. Sólo se realizaron pruebas sobre las funcionalidades de IPS
2.1.2. Cuando se realiza un Test de Penetración, se evalúa la capacidad de un IPS para frenar ataques específicos para el escenario particular de cada cliente. Ej: Exposición de una aplicacion Web. En ese escenario debería probarse la capacidad del IPS de frenar ataques a vulnerabilidades de dicha aplicación. De ese modo nos aseguramos que la aplicación que nos interesa esté protegida
2.1.3. Resultado de las pruebas
2.1.3.1. Se hicieron 12 pruebas de IPS
2.1.3.1.1. 11 No aplican para el caso de uso
2.1.3.1.2. 1 sola de las pruebas aplica para el caso de uso de Farmacity
3. ¿Qué es un IPS?
3.1. ¿Cuál es la función?
3.1.1. Se puede pensar en un IPS de forma análoga a un antivirus. Busca patrones de amenazas CONOCIDAS
3.1.2. Se aplica sobre el tráfico que está PERMITIDO para analizarlo y buscar amenazas
3.2. Se basa en firmas
3.2.1. ¿Cuáles serían las variables a analizar en un IPS?
3.2.1.1. Cantidad de firmas
3.2.1.1.1. Cisco
3.2.1.1.2. Forti
3.2.1.2. Capacidad del Fabricante de crear nuevas firmas
3.2.1.2.1. Cisco TALOS
3.2.1.2.2. Forti
3.2.1.3. Facilidad para aplicar las reglas de interés para el caso de uso
3.2.1.3.1. Cisco
3.2.1.3.2. FortiGate
3.2.1.4. Impacto en performance
3.2.1.5. Posicionamiento del Fabricante
3.2.1.5.1. Cisco Lider
3.2.1.5.2. FortiNet
3.3. ¿Qué Protege?
3.3.1. Servidores
3.3.1.1. Su objetivo principal es proteger servicios expuestos a internet
3.3.2. Clientes
3.3.2.1. Si bien puede proteger algunos escenarios no es el core de un IPS
3.3.2.2. El mejor elemento para proteger a los clientes es el EndPoint Protection
3.3.2.2.1. Farmacity cuenta con McAfee EPO
3.3.2.3. La mayoría del tráfico es SSL
3.3.2.3.1. Si además de hacer IPS se hace desencripcion el impacto en perfomance es muy grande
3.3.2.3.2. En general no se hace descencripcion en equipos pequeños, por lo que la protección sobre los clientes es reducida
4. ¿Cuán importante es el IPS?
4.1. El escenario de Farmacity son 400 tiendas
4.1.1. No se van a exponer servicios
4.1.1.1. La centralization de servicios es el horizonte de todas las organizaciones, principalmente el retail
4.1.1.1.1. Cloud
4.1.1.1.2. DC's Propios
4.1.1.2. Se buscan enlaces lo más económicos posibles
4.1.1.2.1. Por lo tanto no tienen IP's fijas para publicar servicios
4.1.1.3. Las soluciones SD WAN tienen por objetivo justamente facilitar esta centralizacion
4.1.1.3.1. Publicar servicios locales en las tiendas en un proyecto cuyo driver es la simplificación de la gestion/operacion de dichas tiendas sería contradictorio
4.1.1.4. Al no exponerse servicios la importante del IPS es muy baja
4.1.2. Muchas soluciones SD WAN ni siquiera cuentan con funcionalidades de IPS
4.1.2.1. Los fabricantes de UTM's que "agregaron" features de SD WAN son los que tienen funciones de IPS
4.1.2.1.1. Forti
4.1.2.1.2. Palo Alto
4.1.2.1.3. No son soluciones SD WAN nativas
4.1.2.2. SteelConnect
4.1.2.3. SilverPeak
4.1.2.4. Citrix
4.1.3. En el Escenario de Farmacity lo más importante es la protección contra Malware, Reputacion de los sitios y Día Cero
4.1.3.1. Estadisticas de tipos de ataques
4.1.3.1.1. Informacion
4.1.3.1.2. 23% Malware y Worms
4.1.3.1.3. 20% Browsers
4.1.3.1.4. 43% restante no aplica al caso de uso
4.1.3.1.5. 14% otro tipo de ataques
5. ¿Qué funcionalidades no se evaluaron?
5.1. No se evaluó la detección de MALWARE
5.1.1. Esta es una funcionalidad mucho más importante para el caso de uso de Farmacicy
5.1.1.1. Permitiría tener una doble capa de seguridad antimalware
5.1.1.1.1. En el EndPoint con McAfee
5.1.1.1.2. En la red con otro Fabricante como Cisco
5.1.1.2. En las tiendas el tráfico será CLIENTES -> Internet / DataCenter
5.1.1.2.1. Están expuestos a consumir archivos daniños
5.1.2. Cisco Meraki AMP
5.1.2.1. 1.500.000 de malware samples por dia
5.1.2.1.1. 200.000.000 de escaneos por semana
5.1.2.2. 220.000.000 de malware reconocidos
5.1.3. FortiGate
5.1.3.1. 10.000 FortiGate samples por dia
5.2. No se evaluó protección contra amenazas de día zero
5.2.1. Siendo 400 tiendas es muy difícil poder defenderse ante las nuevas amenezas
5.2.1.1. Para este escenario es Umbrella la solución ideal para las tiendas
5.2.1.1.1. No requiere ninguna administracion en los EndPoints
5.2.1.1.2. Gracias a la gran visibiiliad que tiene Umbrella (OpenDNS) + Talos del trafico de internet
5.3. Protección contra sitios de Phising
5.3.1. Exfiltracion de datos / amenazas de infeccion
5.3.1.1. Para este escenario es Umbrella la solución ideal
5.3.1.1.1. Gracias a la gran visibiiliad que tiene Umbrella (OpenDNS) + Talos del trafico de internet
5.4. Protection contra C&C y BotNets
5.4.1. Para este escenario es Umbrella la solución ideal
5.4.1.1. Gracias a la gran visibiiliad que tiene Umbrella (OpenDNS) + Talos del trafico de internet
6. Conclusiones
6.1. Sugerencia de evaluación de Seguridad
6.1.1. Arquitectura
6.1.1.1. Para el caso de uso
6.1.1.1.1. Es muy diferente la problemática de un Datacenter vs una tienda
6.1.1.2. EndPoint Protection
6.1.1.2.1. Tienen McAfee EPO
6.1.1.3. Protección dia cero
6.1.1.3.1. Umbrella
6.1.1.4. Antimalware de Red
6.1.1.4.1. AMP caso Meraki o FortiGuard AV caso Forti
6.2. Las pruebas de seguridad que se llevaron a cabo no son de relevancia para el caso de uso de Farmacity.
6.2.1. La propuesta de la solución Meraki fue realizado en el marco del caso de uso / negocio y no en función de una solución de IPS