CÓMO PROTEGEN SU EMPRESA

LOS CORTAFUEGOS DE NUEVA

GENERACIÓN DE PALO ALTO
NETWORKS
Adopte las innovaciones con facilidad, evite que los ciberataques consigan sus
objetivos y céntrese en lo importante

La rápida evolución de las tecnologías de la información ha cambiado la fisonomía

del perímetro de las redes. Los datos están en todas partes y los usuarios acceden
a ellos desde cualquier lugar y dispositivo. Al mismo tiempo, los equipos de TI,
con el fin de agilizar la entrega de nuevas aplicaciones e impulsar el crecimiento
empresarial, están incorporando entornos de nube, datos de análisis y la
automatización de procesos. Estos cambios fundamentales están creando un
mundo de amenazas que ponen en evidencia las debilidades de las tecnologías de
seguridad tradicionales, como la seguridad de la red basada en puertos, o del uso
de herramientas y tecnologías dispares que no están integradas de forma nativa.
Estas herramientas de seguridad, que no están pensadas para la automatización,
exigen que los analistas recopilen manualmente información de muchas fuentes
inconexas antes de actuar.

Necesitamos un enfoque diferente: uno en el que el cortafuegos de nueva

generación de Palo Alto Networks® sea la piedra angular de una plataforma
integrada. Ventajas no le faltan, pues ofrece una arquitectura orientada a
la prevención que no solo es sencilla de implementar y de utilizar, sino que
además reduce el esfuerzo manual mediante la automatización, lo que facilita
la adopción de innovaciones y hace que los equipos de seguridad puedan
centrarse en lo importante.

Palo Alto Networks | Cómo protegen su empresa los cortafuegos de nueva generación de Palo Alto Networks | Informe técnico 1
La piedra angular de la plataforma Security Operating Platform
Nuestros cortafuegos de nueva generación inspeccionan todo el tráfico que circula por su red, incluido el relacionado con las
aplicaciones, las amenazas y el contenido, y lo vinculan al usuario independientemente de su ubicación o del tipo de dispositivo que
utilice. El usuario, la aplicación y el contenido —es decir, los elementos que mueven su negocio— se convierten así en componentes
integrales de la política de seguridad empresarial. Además de armonizar la seguridad con sus políticas empresariales, esto permite
escribir reglas que sean fáciles de entender y de mantener.
Gracias a los cortafuegos de nueva generación, un
componente esencial de nuestra plataforma Security
Operating Platform, las organizaciones pueden:
• Habilitar de forma segura aplicaciones (incluidas las de
software como servicio, o SaaS), usuarios y contenido
clasificando todo el tráfico, venga del puerto que venga. Usuario Aplicación Contenido
• Reducir el riesgo de un ataque mediante un modelo de
aplicación de políticas positivo que permita todas las Implementación flexible para proteger todas las ubicaciones
aplicaciones deseadas y bloquee todo lo demás.
Gestión sencilla y uniforme
• Aplicar políticas de seguridad que bloqueen tanto el
malware conocido (exploits de vulnerabilidad, virus,
ransomware, spyware y botnets) como el desconocido (las Figura 1: Elementos esenciales de la seguridad en la red
amenazas avanzadas persistentes, por ejemplo).
• Proteger sus centros de datos, incluidos los virtualizados, segmentando los datos y las aplicaciones, por un lado, y aplicando el
principio Zero Trust (confianza cero), por el otro.
• Instaurar un sistema de seguridad uniforme en todos sus entornos, tanto los locales como los de nube.
• Adoptar un modelo informático móvil seguro que ponga la plataforma Security Operating Platform a disposición de todos los
usuarios y dispositivos independientemente de su ubicación.
• Disfrutar de visibilidad centralizada y optimizar la seguridad en la red mediante el aprovechamiento de grandes cantidades de
datos para evitar que los ciberataques consigan sus objetivos.
Estos son los principales motivos por los que nuestros cortafuegos de nueva generación ayudan a proteger su empresa.

Zero Trust
Los modelos de seguridad convencionales siguen dando por supuesto que todo lo que se encuentra en la red de una organización es
digno de confianza. Como están diseñados para proteger el perímetro, las amenazas que logran infiltrarse en la red pasan desapercibi­das
y ponen en peligro datos confidenciales de gran valor para la empresa. En el mundo digital, la confianza no es sino una vulnerabilidad.
Zero Trust (confianza cero) es una práctica de ciberseguridad recomendada en virtud de la cual ningún dato se considera de confianza,
lo que sienta unas bases fiables para la seguridad. En un mundo Zero Trust, no hay dispositivos, sistemas ni personas de confianza. Por
el contrario, se identifican todos y cada uno de los activos y los datos que necesitan protección; se determina quién puede acceder a
qué en función de lo que necesita saber o del criterio del mínimo privilegio; se definen reglas de seguridad que reflejen la política de la
empresa, y se inspecciona y registra todo el tráfico.
Nuestros cortafuegos de nueva generación le ayudan con estos pasos y habilitan el acceso seguro para todos los usuarios, con
independencia de su ubicación; inspeccionan todo el tráfico; se rigen por el criterio del mínimo privilegio para la aplicación de políticas
de control de acceso, y detectan las amenazas avanzadas para bloquearlas. De este modo, se reduce drásticamente el número de vías
de acceso a los activos esenciales de la empresa, lo que dificulta los ataques externos e internos.

Identificación de los usuarios para proteger su identidad

La tecnología User-ID™ permite a nuestros cortafuegos de nueva generación identificar a los usuarios de todas las ubicaciones, al
margen del tipo de dispositivo o sistema operativo que utilicen. La visibilidad de la actividad de las aplicaciones basada en usuarios y
grupos, y no en direcciones IP, permite dar acceso a las aplicaciones con seguridad, ya que ajusta el uso a los requisitos de la empresa.
También es posible definir las políticas de acceso a las aplicaciones en función de los usuarios o de los grupos de usuarios. Por ejemplo,
podría restringir el uso de ciertas herramientas —como el Shell seguro, Telnet y el protocolo de transferencia de archivos— a los
administradores informáticos. La política sigue a los usuarios con independencia del dispositivo que utilicen o de si se encuentran en
la sede central de la empresa, en una sucursal o en casa. Además, puede utilizar opciones de elaboración de informes personalizadas o
predefinidas para generar informes sobre las actividades desarrolladas por los usuarios.
Aun así, el problema de la identidad de los usuarios no se resuelve con una política basada en los usuarios y un sistema de elaboración
de informes que dé cuenta de su actividad. Proteger la identidad de los usuarios es igual de importante. Según el «Informe sobre
investigaciones de brechas en los datos de 2017» publicado por Verizon®, en el 81 por ciento de las brechas perpetradas por hackers
se utilizaron contraseñas robadas o débiles como medio de ataque.1 Los atacantes se sirven de credenciales robadas para acceder
a las redes de las organizaciones, donde hallan aplicaciones y datos valiosos que pueden robar. Para evitar los ataques basados en
credenciales, nuestro cortafuegos de nueva generación:
• Bloquea el acceso a sitios de phishing conocidos mediante el filtrado de URL con PAN-DB, que emplea la inteligencia sobre
amenazas global más reciente (actualizada cada cinco minutos) para proteger a los usuarios de los intentos de sustracción de sus
credenciales.
• Impide que los usuarios envíen credenciales corporativas a sitios desconocidos para protegerlos de los ataques dirigidos que
utilizan sitios de phishing nuevos para pasar desapercibidos.

Palo Alto Networks | Cómo protegen su empresa los cortafuegos de nueva generación de Palo Alto Networks | Informe técnico 2
 • Le permite obligar a sus usuarios a utilizar la autenticación multifactor, o MFA, en cualquier aplicación considerada sensible,
incluidas las aplicaciones más antiguas que no se prestan fácilmente a este tipo de procedimiento. Se trata de una forma de
protegerle frente a adversarios que ya posean credenciales robadas, pues necesitará aplicar mecanismos de autenticación
adicionales para controlar el acceso a los sistemas más importantes. Puede utilizar esta función con el proveedor de identidades
de su elección, como Ping Identity®, Okta®, RSA® y Duo Security, para que los usuarios utilicen el mismo sistema de autenticación
multifactor con todas las aplicaciones a las que accedan.

Habilitación segura de aplicaciones

Ahora los usuarios acceden a diversos tipos de aplicaciones, incluidas las de software como servicio o SaaS. Algunas de estas
aplicaciones estarán autorizadas por su organización; otras, aunque toleradas, no serán obligatorias para trabajar, y el resto no deben
estar permitidas porque entrañan riesgos. La tecnología App-ID™ de nuestros cortafuegos de nueva generación identifica con precisión
las aplicaciones en todo el tráfico que circula por la red, incluidas las disfrazadas de tráfico autorizado y las que utilizan puertos
dinámicos o tratan de ocultarse bajo el velo del cifrado. App-ID le permite entender y controlar las aplicaciones y sus funciones, como
la transmisión de vídeo frente al chat, la carga frente a la descarga, cuándo se comparte la pantalla frente a cuándo se está controlando
un dispositivo de manera telemática, etc.
Las características de las aplicaciones SaaS ayudan a comprender cómo se usan las aplicaciones, por ejemplo, identificando cuáles de
esas aplicaciones a las que se accedió desde su organización carecen de las certificaciones pertinentes o han sufrido brechas de datos
en el pasado. Con aplicaciones SaaS como Microsoft® Office 365®, es posible otorgar acceso a cuentas empresariales autorizadas y
bloquearlo para las cuentas no autorizadas, incluidas las personales.
Protección del tráfico cifrado sin poner en riesgo la privacidad
Los usuarios pasan el 80 % del tiempo en sitios web y aplicaciones cifrados.
Por desgracia, los atacantes utilizan técnicas de cifrado para ocultar las
amenazas a los dispositivos de seguridad.2 Tiempo que pasan los usuarios en
sitios web y aplicaciones cifrados
Gracias a que nuestros cortafuegos de nueva generación emplean el descifrado
basado en políticas, los profesionales de la seguridad pueden descifrar el tráfico
malicioso a fin de contener las amenazas sin que la privacidad del usuario ni el
rendimiento del sistema se vean afectados. Si el tráfico es confidencial —como
ocurre con los datos de carácter comercial, militar, sanitario u oficial—, puede
dejarse cifrado mediante controles flexibles. Asimismo, cabe la posibilidad % de páginas % de tiempo que pasan
de evitar que los usuarios accedan a sitios web que utilicen certificados HTTPS cargadas en páginas HTTPS
autofirmados, no fiables o caducados, o bien de bloquear el acceso si un sitio
web está utilizando versiones de TLS inseguras o conjuntos de cifrado débiles.
Con el fin de preservar la privacidad de los usuarios, puede definir exclusiones
Figura 2: Prevalencia cada vez más acusada
de descifrado por política y permitir que los propios usuarios excluyan del
del cifrado web
descifrado aquellas transacciones que puedan contener datos personales. El
resto del tráfico puede descifrarse y protegerse.
La compatibilidad con módulos de seguridad de hardware ofrece una forma segura de gestionar las claves digitales. Por su parte, el
secreto perfecto y permanente, o Perfect Forward Secrecy, garantiza que el descubrimiento de las claves utilizadas en una sesión
cifrada no ponga en riesgo la seguridad de otras sesiones también cifradas.

Detección y prevención de las amenazas avanzadas

Hoy en día, la mayor parte del malware moderno, incluidas las variantes de ransomware, utiliza técnicas avanzadas para transportar
ataques o exploits a través de dispositivos y herramientas de seguridad de red. Los cortafuegos de nueva generación de Palo Alto
Networks identifican las técnicas de evasión y utilizan diversos recursos para contraatacar de forma automática:
• La tecnología Content-ID™ ofrece un innovador enfoque basado en el análisis completo de todo el tráfico permitido y, con un
solo motor unificado, utiliza distintas tecnologías avanzadas de prevención de amenazas.
• El servicio Threat Prevention de Palo Alto Networks funciona con el cortafuegos de nueva generación para ofrecer un sistema
de prevención contra intrusos que bloquea tanto los exploits de vulnerabilidad como los desbordamientos de búfer y los
escaneos de puertos. Además, protege de los métodos de evasión y ofuscación utilizados por los atacantes, y proporciona
mecanismos de protección de red antimalware y de comando y control.
• Nuestro servicio de filtrado de URL, además de bloquear el acceso a los sitios conocidos de descarga de malware y phishing,
reduce los riesgos asociados a las transferencias de archivos y datos no autorizadas.
• El servicio de prevención de malware WildFire® emplea varios métodos de análisis para detectar amenazas desconocidas,
incluidos el análisis estático con aprendizaje automático, el análisis dinámico y el análisis de hardware. Su arquitectura basada
en la nube permite detectar y prevenir amenazas a gran escala en toda la red, endpoints y nubes para detener amenazas
conocidas y desconocidas.

Inteligencia sobre amenazas compartida

Las organizaciones se sirven de diversas fuentes de inteligencia sobre amenazas para sacar a la luz el mayor número posible de
amenazas desconocidas, pero se las ven y se las desean para agregar, correlacionar, validar y compartir esa información con el fin de
proteger mejor toda su red. El cortafuegos de nueva generación, con ayuda de otros componentes de la plataforma Security Operating
Platform, añade información contextual y ofrece una protección más completa. WildFire detecta las amenazas desconocidas con
datos compartidos por la comunidad internacional y las bloquea; el servicio de inteligencia contextual sobre amenazas AutoFocus™
proporciona información de contexto, agregación y atribución para que los equipos de seguridad puedan acelerar su respuesta, y el
análisis de comportamiento de Magnifier™ detecta las amenazas internas y coteja esa información con WildFire.

Palo Alto Networks | Cómo protegen su empresa los cortafuegos de nueva generación de Palo Alto Networks | Informe técnico 3
Es más, WildFire ayuda al cortafuegos de nueva generación a evaluar el tráfico analizando las amenazas desconocidas e imponiendo la apli-
cación de mecanismos de protección de alta fidelidad automatizados en toda la red, dispositivos móviles y nubes en tan solo cinco minutos.

Aprendizaje automático Análisis de hardware

Análisis dinámico Desempaquetado

</> dinámico

Análisis estático WF Elaboración de

perfiles del
tráfico de la red

Binarios Documentos Malware, WF-AV, URL,

DNS, comando y control

onocidos
JAR APK RTF DOC PDF XLSX

Protección
DLL ELF

automático
PKG DMG MACH-O PPT PPTX XLS DOCX

Desc
Flash Web Archivo Cada 5 minutos
FLASH SWF RTF RTF RTF RTF

VM- TR AP MG TP GP UF
Series

Integraciones Cyber threat Magnifier Threat Global Filtrado

Cortafuegos VM-Series Traps Aperture
de socios alliance Prevention Protect de URL

Sensores y puntos de aplicación de políticas

Figura 3: Detección y prevención de nuevas amenazas con WildFire

Arquitectura de un único paso

Ahora que las amenazas cambian constantemente, adoptar nuevas funciones Si el cortafuegos de nueva generación o endpoint
de seguridad suele ser indispensable para protegerse. Los cortafuegos de nueva de un cliente de Singapur localiza un archivo
generación de Palo Alto Networks se basan en una arquitectura de un único
sospechoso, ese archivo se envía a WildFire para
paso, lo que permite añadir nuevas funciones para que se integren de forma
nativa con otras características. Este enfoque integrado no solo refuerza la someterlo a un análisis avanzado. Los resultados,
seguridad, sino que además es más fácil de usar, algo imposible de conseguir incluidos los veredictos y mecanismos de protección,
añadiendo nuevas capas de funciones a una arquitectura tradicional cuyo se devuelven de manera automática al cliente de
funcionamiento sigue basándose en direcciones IP, puertos y protocolos. Nuestro
Singapur, pero también a los clientes de WildFire del
cortafuegos de nueva generación realiza una inspección, en un único paso pero
en todos los niveles de la pila, del tráfico que pasa por todos los puertos. De esta resto del mundo.
forma, ofrece un contexto completo de la aplicación, el contenido asociado y la
identidad del usuario que podrá servirle de base para la toma de decisiones sobre políticas de seguridad. Como ya ocurría con WildFire
y, más recientemente, con Magnifier, su arquitectura permite añadir nuevas funciones sin esfuerzo.

Implementación flexible
Hay varias formas de implementar los cortafuegos de nueva generación:
• Hardware: una mezcla de potencia, inteligencia, simplicidad y versatilidad protege las implementaciones de la empresa y del
proveedor del servicio en su sede central, centros de datos y sucursales.
• VM-Series: nuestro cortafuegos de nueva generación virtualizado protege las implementaciones de nube pública y privada
segmentando las aplicaciones y previniendo contra las amenazas.
• GlobalProtect cloud service: nuestro cortafuegos de nueva generación proporciona un sistema de seguridad en la nube de gran
eficiencia operativa a través de la solución de seguridad de red para endpoints GlobalProtect™.
Puede elegir entre cualquiera de estos formatos o una combinación de varios en función de cuáles sean los requisitos de su ubicación, y
gestionar todas las implementaciones de forma centralizada a través de Panorama™, nuestra solución de gestión de la seguridad de la red.

Gestión de la seguridad de la red

Los equipos informáticos no dan abasto gestionando las implementaciones de seguridad actuales porque son demasiado complejas.
La plataforma Security Operating Platform facilita la gestión de la seguridad y ayuda a visualizar e interpretar los datos. Los
cortafuegos pueden administrarse individualmente mediante una interfaz basada en navegador completamente equipada. En el
caso de las implementaciones de gran escala, puede utilizar Panorama para disfrutar de visibilidad centralizada, editar las políticas
de seguridad y automatizar acciones en todos sus cortafuegos, sean del tipo que sean. El aspecto y funcionamiento de las interfaces

Palo Alto Networks | Cómo protegen su empresa los cortafuegos de nueva generación de Palo Alto Networks | Informe técnico 4
no varía. Cuando es necesario, el complemento Panorama Interconnect puede vincular varios nodos de Panorama para centralizar la
gestión de la configuración y ampliar su vista unificada a decenas de miles de cortafuegos.
El control de accesos basado en funciones de Panorama, combinado con reglas previas y posteriores, permite encontrar un equilibro
entre la supervisión centralizada y la necesidad de editar políticas locales y de configurar los dispositivos con opciones flexibles.
Las funciones del Application Command Center (Centro de control de aplicaciones) y de la gestión de logs brindan una visibilidad
excepcional de todos los dispositivos desde un solo lugar, independientemente de dónde estén implementados. La compatibilidad
adicional con las herramientas basadas en estándares, como el Simple Network Management Protocol (Protocolo simple de
administración de redes) y las API basadas en REST, facilita la integración de herramientas de gestión de terceros.

Elaboración de informes y creación de logs

Para detectar incidentes de seguridad, investigarlos y responder a ellos, la plataforma Security Operating Platform proporciona:
• Creación de logs: Palo Alto Networks no se limita a procesar y enumerar eventos a la manera tradicional. Los logs se pueden
consultar en formatos que facilitan la interpretación de los datos de la red, como diagramas, mapas, gráficos de tendencias, etc. El
motor de correlación automatizada elimina las tareas de cotejo manuales y arroja luz sobre amenazas que, de lo contrario, pasarían
desapercibidas por culpa del ruido. También se pueden reenviar los logs utilizando cualquier tipo de criterio de filtrado para crear
flujos de trabajo que automaticen las acciones de nuestra plataforma Security Operating Platform o de sistemas de terceros.
Disfrute de la flexibilidad de agregar logs en su entorno local o en el Logging Service basado en la nube.
• Elaboración de informes: puede usar nuestros informes estándar o crear versiones personalizadas para mostrar los datos que le
interesan. Todos los informes se pueden exportar a formato CSV o PDF y se pueden ejecutar y enviar por correo electrónico de
forma programada.
• Caza de las amenazas: AutoFocus ofrece una visibilidad sin precedentes de las amenazas desconocidas gracias a la información
colectiva suministrada por miles de empresas, proveedores de servicios y administraciones públicas de todo el mundo. La
integración de AutoFocus con PAN-OS® agiliza el análisis de amenazas y los flujos de trabajo que permiten detectarlas sin
necesidad de añadir recursos especializados.

¿Por qué elegir el cortafuegos de nueva generación de APLICACIONES DE PALO ALTO NETWORKS APLICACIONES DE TERCEROS APLICACIONES DEL CLIENTE

Palo Alto Networks?

Nuestros cortafuegos de nueva generación permiten a los
usuarios acceder a los datos y las aplicaciones conforme a los
SERVICIOS DE SEGURIDAD EN LA NUBE
requisitos de su empresa, protegen de los ataques basados
en credenciales y previenen las amenazas conocidas y APPLICATION FRAMEWORK Y LOGGING SERVICE
desconocidas, incluidas las que se esconden en el tráfico cifrado.
La automatización le ahorra tiempo con reglas de seguridad que
replican la política de su empresa, son fáciles de mantener, se
adaptan a su entorno dinámico y desencadenan operaciones SEGURIDAD EN LA RED ADVANCED ENDPOINT PROTECTION SEGURIDAD EN LA NUBE

automáticas basadas en políticas. Todos nuestros cortafuegos de

nueva generación, disponibles en formato físico, virtualizado o
en la nube, se gestionan con Panorama.
Figura 4: Security Operating Platform de Palo Alto Networks
Los cortafuegos de nueva generación de Palo Alto Networks son
un componente de la plataforma Security Operating Platform y ayudan a las organizaciones a adoptar rápidamente innovaciones de
seguridad integradas de forma nativa —como WildFire y Magnifier—, además de compartir datos e inteligencia de los endpoints y la nube.
Más de 54 000 clientes de más de 150 países han adoptado nuestra arquitectura orientada a la prevención. Somos líderes en el
apartado de cortafuegos de red de gama empresarial del Magic Quadrant® de Gartner por séptima vez consecutiva y NSS Labs nos ha
otorgado la calificación «Recomendado», la máxima en su categoría.
Aquí tiene unos cuantos recursos útiles que le ayudarán a dar los primeros pasos:
✓ ¿Desea obtener más información sobre nuestros cortafuegos de nueva generación? Visite nuestra página de descripción general
de la seguridad en la red.
✓ ¿ Quiere poner a prueba nuestros cortafuegos de nueva generación? Participe en un taller técnico de pruebas «Ultimate Test
Drive».
✓ ¿ Le gustaría adoptar una arquitectura orientada a la prevención en su empresa? Sométase a una evaluación de la estrategia de
prevención.
✓ ¿ Cree que cumple los requisitos para sacar el máximo provecho a las funciones y herramientas que necesita para proteger su
empresa? Solicite una evaluación de prácticas recomendadas Best Practice Assessment.

1. Verizon Communications. «Informe sobre investigaciones de brechas en los datos de 2017», 26 de julio de 2017.
https://www.knowbe4.com/hubfs/rp_DBIR_2017_Report_execsummary_en_xg.pdf
2. Google, Inc. «Informe de transparencia de Google: Cifrado HTTPS en la Web». Fecha de acceso: 6 de septiembre de 2018.
https://transparencyreport.google.com/https/overview?hl=en

Palo Alto Networks
Oval Tower, De Entrée 99 -179
1101HE Amsterdam
The Netherlands
Tel.: +31 20 888 1883
www.paloaltonetworks.es
© 2018 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial
registrada de Palo Alto Networks. Hay una lista de nuestras marcas comerciales
disponible en https://www.paloaltonetworks.com/company/trademarks.html.
El resto de las marcas mencionadas en este documento pueden ser marcas
comerciales de sus respectivas empresas.
how-palo-alto-networks-next-generation-firewalls-secure-your-businesswp-
091718-ES