Stormshield Breach Fighter funciona en la nube contra las amenazas potenciales que se 'capturan' en la solución perimetral SNS y se llevan a un entono 'sandboxing'. Simple, pero con miga El esquema de funcionamiento es simple, pero tiene un grado de complejidad que se detecta durante la prueba real del producto. En esta fase, el organigrama encaja a la perfección y cumple con su cometido de un modo elegante y efectivo. Eso sí, la puesta a punto de la solución pasa por con gurar de un modo detallado y ordenador las opciones de con guración del appliance SNS para que se analice el trá co de un modo óptimo, preferiblemente estableciendo reglas, segmentando a los usuarios, gestionando privilegios o de niendo grupos de usuarios dentro de la red. El estudio de los logs de actividad es otro componente que requiere de un trabajo sistemático y detallado, especialmente en los primeros días o semanas tras el despliegue de la solución. Una vez establecidas las directrices generales, el funcionamiento de la solución debería ser capaz de ltrar porcentajes de malware no basado en rmas de más del 97% con el 3% restante sujeto a avisos y a alertas que, en buena lid, deberían evitar que se produjesen situaciones críticas. Los candidatos potenciales a ser malware se llevan a la nube para pasar por un proceso de comparación con amenazas detectadas por los usuarios de Stormshield que usan Breach Fighter. ANÁLISIS Un paso más allá Stormshield Breach Fighter va un paso más allá y combina la poten- cia del SES con las técnicas de Sandboxing, las tecnologías cloud y la seguridad multicapa colaborativa para ofrecer una solución de protección adicional que complementa a las soluciones clásicas integradas en las soluciones SNS de rewall y antivirus combinadas. Básicamente, Breach Fighter es un Stormshield Endpoint Security que funciona en la nube contra las amenazas potenciales que se 'capturan' en la solución perimetral SNS y se llevan a un entono 'sandboxing' que se ejecuta de un modo completamente aislado e inocuo en los servidores que Stormshield tiene en Europa. Es una solución elegante y efectiva, que cuenta con la ventaja añadida de contar con la 'experiencia colaborativa' de los cientos de miles de dispositivos de seguridad instalados por Stormshield. Cuando uno de estos equipos intercepta un posible malware, auto- máticamente se ponen en alerta todos los dispositivos clientes de Stormshield, de modo que ya no hará falta llevar a esa potencial amenaza al entorno sandboxing y se parará antes de que cause daño alguno en los equipos de los clientes. Cómo funciona Los requisitos fundamentales para integrar Breach Fighter en el arsenal de soluciones de seguridad de una empresa son básicamente dos: dis- poner de un equipo SNS de tipo appliance de seguridad de Stormshield, ya sea uno para pyme o para gran empresa o mediana, y disponer de la licencia correspondiente para activar el sandboxing en la nube. En las opciones de con guración del dispositivo appliance o los dis- positivos appliance para protección perimetral de toda la red o de segmentos de esta, se puede activar Breach Fighter de modo que el trá co de red que pase por estos dispositivos appliances se analizará en tiempo real. Estos dispositivos pueden 'abrir' los contenidos encrip- tados, analizara el trá co web seguro y los archivos, datos y binarios que entran y salen de la red corporativa en busca de amenazas. Primero se analizan a través de las soluciones tradicionales antivirus a partir de la solución de Kaspersky de los equipos SNS. Si se detecta un virus, se procesa con el antivirus, Pero si pasa este primer corte, se analiza a través de la solución de sandboxing. Existen listas blancas y negras de aplicaciones, y múltiples opciones para acotar de forma precisa qué archivos y trá co de Internet se va a analizar y procesar. Los candidatos potenciales a ser malware se llevan a la nube para pasar por un proceso de comparación con amenazas detectadas por los usuarios de Stormshield que usan Breach Fighter (la parte colabo- rativa). En caso de que se necesite un análisis más detenido, se lleva al entorno sandboxing donde se trata como si estuviera en un entorno real de producción, con un SES funcionando a modo de 'escrutiñador' de comportamiento para detectar si trata de acceder a datos, aplica- ciones o servicios que no le corresponderían, por ejemplo. Es un proceso que requiere de cierto tiempo, por lo que hay una ventana temporal en la que, potencialmente, el usuario se expone a ser víctima de un ataque. Pero es un tiempo mínimo, y que, ade- más, no afectará a otros usuarios, ya que en pocos minutos podrán tener información detallada acerca de la nueva amenaza que se interceptará en lo sucesivo, en los equipos que dependan de las soluciones de seguridad de Stormshield, sin necesidad de pasar al entorno de 'sandboxing'. 65