¿Cómo serán los NextGen Firewall del futuro?
Analizamos los retos a los que se enfrentan los fabricantes para desarrollar los nuevos modelos de firewall y cómo les afecta la complejidad de las distintas modalidades de nube y su gestión.
Tradicionalmente, los firewall han sido dispositivos encargados de rastrear los dominios de los que procede el tráfico de la red y los puertos de los equipos y sistemas a los que va dirigido para de alguna manera poder supervisarlo. Posteriormente, llegaron los denominados NetxtGen Firewall que iban más allá, de forma que además de supervisar el contenido de los mensajes en busca de malware, también se han encargado de filtrar los datos y de detener amenazas en tiempo real. A lo largo de los años, su carga de trabajo se ha intensificado debido a que las empresas manejan principalmente tráfico cifrado con el fin de asegurar en mayor medida las comunicaciones. De esta forma, los últimos en llegar al mercado han agregado nuevas funcionalidades como el análisis de comportamiento, la seguridad de las aplicaciones, la detección de malware conocido como Zero Day, o la de tener que soportar entornos de nube híbridos y securizar el denominado endpoint.
Sin duda, es una tarea compleja que los fabricantes tratan de unificar con el fin de que todo se encuentre supervisado desde un único punto para simplificar la gestión. Es aquí donde las nuevas generaciones de Firewall deben ahondar en profundidad, abordando la problemática de gestión y permitiendo establecer políticas consistentes para garantizar la seguridad así como el cumplimiento con las nuevas normativas que entran en vigor.
Según estimaciones de Gartner para 2020 los firewalls NextGen alcanzarán una implementación de casi el cien por cien de los despliegues en la red. A pesar de lo cual, la mayoría de las organizaciones emplearán solo una o dos de las características presentes en estos nuevos modelos.
Cómo está cambiando el mercado de los NextGen Firewall
No decimos nada nuevo al revelar que los NextGen Firewall llevan en el mercado más de diez años. NSS Labs estima que más del 80 por ciento de las empresas actualmente cuentan con cortafuegos de este tipo. Mike Spanbauer, vicepresidente de estrategia e investigación de NSS Labs afirma que “sigue siendo el control de seguridad número uno para la mayoría de las empresas de hoy en día”. Sin embargo, ninguno de los analizados por NSS Labs a lo largo de este año demostró una resistencia total contra las variantes de ataque, aunque seis de cada diez obtuvieron una puntuación superior al 90% de efectividad. Esto deja un margen considerable de mejora. Se estima que el mercado de NextGen crecerá de los 2.390 mil millones de dólares en 2017 a los 4270 mil millones de dólares para el año 2022 con una tasa de crecimiento anual del 12,3 por ciento. La razón no es otra que tanto el panorama de amenazas como el perímetro corporativo han cambiado drásticamente en los últimos años y las empresas deben invertir en tecnología actual.
Gartner estima el ciclo de vida medio de un dispositivo firewall de tres a cinco años. En 2011 y 2012 hubo un repunte en la adquisición de modelos de nueva generación, según el analista de la propia consultora Adam Hils, una cantidad significativa de esos firewalls deberá ser reemplazada a lo largo de los próximos 12 meses ya que de otra manera no cumplirán con los requisitos de hoy en día como puedan ser las nuevas necesidades de rendimiento para el descifrado de las comunicaciones salientes de Transport Layer Security (TLS). Las empresas actuales también están migrando sus infraestructuras a diferentes modalidades de nube con el aliciente de que tienen usuarios que se conectan a través de aplicaciones web y dispositivos móviles.
La necesidad de adaptarse a la nube
Según palabras de Spanbauer de NSS Labs, “los proveedores de los NextGen Firewall no han sido capaces de traducir completamente sus características y funcionalidades a las necesidades de los entornos de nube. Es una hazaña de ingeniería y todavía no estamos contando con una réplica perfecta de seguridad ya sea física o virtualizada”, concluye.
No obstante no todo es pesimismo. Los nuevos modelos están aprovechando otras capacidades que brinda la nube, incluido el intercambio en tiempo real de información sobre amenazas. “Si eres víctima de un ataque de día zero, estás ante un escenario difícil de bloquear. Por el contrario, si le das unos escasos minutos, las actualizaciones en tiempo real procedentes de la nube protegerán en virtud de las capacidades del firewall”.
¿Qué sucede con la seguridad del endpoint?
El directivo de NSS Labs afirma que si lográramos que los nuevos firewall fusionaran sus capacidades de protección del endpoint con el resto de características, todo sería mucho más fácil de administrar. Pero todo apunta a que esto no sucederá a corto plazo. La protección perimetral y la del punto final seguirán cada una por su camino en un futuro próximo, aunque bien es verdad que ambas tecnologías podrán beneficiarse mutuamente. De esta manera, la información que vea el punto final podrá ser compartida para ayudar al firewall a que sea más efectivo en otro de los puntos de protección.
Según afirma el fabricante de dispositivos Check Point Software Technologies, la próxima evolución de la seguridad perimetral ya no será lo que conocemos hoy en día como firewall sino que requerirá de una nueva categoría de producto que recoja la evolución de la seguridad empresarial combinada con los firewalls NextGen actuales para proteger la nube, el móvil y el punto final. Darrell Burkey, director de productos IPS de la compañía Check Point se refiere a ella como la arquitectura Infinity, puntualizando que “es más saludable poder supervisar toda la infraestructura y abordarla desde la perspectiva de todas las topologías como un único sistema unificado”. Así, un firewall no es suficiente para garantizar la seguridad perimetral completa a día de hoy, convirtiéndose en una capa de protección más”, concluye.
Las soluciones pensadas para afrontar las amenazas avanzadas, también conocidas como protección avanzada contra amenazas, también pueden incluir pasarelas de inteligencia de amenazas que puntúan automáticamente las amenazas y las bloquean en el perímetro, abordando servicios DNS seguros, microsegmentación y controles inteligentes de aplicaciones, puntualiza el analista Jon Oltsik de Enterprise Strategy Group.
La complejidad en la gestión del NextGen Firewall
Según el informe llevado a cabo por FireMon, los profesionales de seguridad encuestados se quejan de la complejidad de las reglas y políticas a aplicar en los firewall, especialmente las relacionadas con el cumplimiento y la preparación para auditorías, así como la optimización de las reglas del firewall en un tercer lugar. La mayoría de las empresas encuestadas tenían más de 10 firewalls desplegados en su infraestructura y el 26% informaron que tenían más de 100 firewalls.
Cualquier norma y política que las empresas establezcan para sus firewalls normalmente se reflejan en otros productos de seguridad que tengan en su entorno. Para Tim Woods, vicepresidente de alianzas tecnológicas de FireMon, “la red promedio cuenta con soluciones de 80 a 90 puntos que los ayudan a proteger a nivel de escritorio, nivel de servidor y nivel de red”. Las iteraciones más recientes de los firewalls pueden consolidar algunas de estas soluciones; no obstante, siguen apareciendo nuevas amenazas y los entornos empresariales continúan evolucionando, por lo que nunca se detiene. La nube y algunas aplicaciones SaaS ni siquiera están bajo el control de los equipos de seguridad, lo que obliga a que tengan que estar supervisados por otros departamentos. A medida que la complejidad va en aumento, la probabilidad de error también se acrecienta en base a errores humanos, errores de configuración, o problemas que maduran dentro de la infraestructura.
Woods afirma que “en el futuro, las empresas podrán definir sus preferencias en seguridad, de manera que un motor de cálculo de políticas creará automáticamente las reglas del firewall que sean requeridas. Podría estar en el centro de datos, en un firewall tradicional, en un firewall virtual en la nube, o en un control nativo o contenedor” comenta. La clave será utilizar inteligencia contextual sin requerir de intervención humana. Los fabricantes desean eliminar estos procesos tradicionales que han creado una brecha entre la velocidad los negocios y la velocidad en el despliegue de medidas de seguridad.
Apertura de APIs entre proveedores
Otra de las claves radica en que los proveedores de seguridad abran sus APIs para permitir intercambiar información entre todos y poder actuar desde una ubicación central, algo que ya está sucediendo. Woods afirma que todos los principales proveedores de NextGen Firewall ya están aportando su granito de arena para poder aportar a las empresas un producto de administración centralizado. Los vendedores de cortafuegos particulares también están entrando en el espacio de la administración y políticas de cumplimiento, algo en lo que los proveedores generalmente se han enfocado en solo administrar sus propios productos y no los de terceros. Es el caso del Check Point Compliance Blade, el cual solo funciona con productos de la compañía, concluye el propio Woods.
