Ciberseguridad para los proveedores de servicios de comunicaciones
Tráfico de red de alto rendimiento
Los proveedores de servicios de comunicaciones (Communications Service Providers, SCP) se enfrentan a un desafío muy complicado a la hora de proteger sus redes. Las redes de telecomunicaciones están distribuidas por todo el mundo y son muy diversas, ya que abarcan centros de datos locales, implementaciones en la nube pública y privada, y locales de venta al por menor. Estas ubicaciones suelen incluir redes inalámbricas para invitados y dispositivos del Internet de las Cosas (Internet-of-Things, IoT) conectados a la red de área ancha (WAN) de la empresa.
Para un CSP, la ciberseguridad es de suma importancia. Todo el tráfico de los clientes pasa por los centros de datos de la organización, lo cual los convierte en el principal objetivo de los ataques. Los sistemas de punto de venta (Point of Sale, POS) en sus tiendas tradicionales de venta al por menor también suelen ser el objetivo de los ciberdelincuentes. Los CSP no solo deben proteger los datos sensibles que se les confían de acuerdo con las normas aplicables, como la Norma de seguridad de datos de la industria de tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) y el próximo Marco de seguridad de software (Software Security Framework, SSF) de PCI, sino que también deben protegerse contra los ataques diseñados para degradar los servicios que prestan a sus clientes. Para lograrlo es necesario contar con una visibilidad centralizada y una protección de seguridad completa que no impacte de forma negativa el rendimiento de red ni la experiencia del cliente.
La red de la sede central de un proveedor de servicios de comunicaciones (Communications Service Provider, CSP) es vital para realizar sus operaciones y contiene grandes cantidades de información confidencial. La información sobre las tarjetas de pago y la facturación de los clientes pasa por esta red y se almacena en ella. El tráfico de los clientes se enruta y se procesa en los centros de datos de la empresa, proporcionando una gran cantidad de datos valiosos para cualquier atacante que pueda acceder a ellos. La empresa debe poder proteger todos estos datos y respetar las normas vigentes.
Sin embargo, la exposición de un CSP a las ciberamenazas no se limita al robo de datos. Un ataque de denegación de servicio distribuido (DDoS) o una infección de ransomware podrían dejar fuera de servicio servicios críticos. De esta manera, un atacante que haya logrado vulnerar la red de la empresa puede explotar y utilizar de forma abusiva los dispositivos de monitoreo conectados a Internet en la red.
La innovación digital motiva a muchos CSP a ampliar sus WAN para incluir nubes públicas y privadas, además de los centros de datos corporativos que ya tienen. Proteger un entorno de red tan heterogéneo como éste requiere una solución de ciberseguridad global y completamente integrada. FortiManager, FortiSIEM y FortiAnalyzer permiten que los equipos de seguridad obtengan visibilidad y control centralizados en toda su red y puedan realizar fácilmente informes de cumplimiento. FortiClient y FortiEDR (detección y respuesta de puntos finales) ofrecen soluciones de seguridad integradas y avanzadas de punto final tanto para los puestos de trabajo de los empleados como para los sistemas de puntos de venta (POS). FortiWeb y FortiNAC ofrecen seguridad para sitios web así como la identificación automática y el análisis de vulnerabilidades en los dispositivos del Internet de las Cosas (IoT) conectados a la red, mientras que FortiAuthenticator simplifica la administración de identidades.
Para los CSP, las soluciones de Fortinet alivian la carga de proteger redes complejas y distribuidas con características como:
Fortinet Secure SD-WAN Gives the Performance of a Lifetime, Recommended by NSS Labs FortiGate Intrusion Prevention Continues to Excel in NSS Labs’ NGIPS Testing Results How Fortinet Connects with Communications Service Providers (CSPs) MSSPs: Disrupting the SD-WAN Market for Fun and Profit Enabling Security-Driven Networking Across Industries With Secure SD-WAN Accelerate Security Operations Leveraging Fortinet’s Security Fabric + SOAR
El Estándar de seguridad de datos de la industria de tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) es una preocupación importante para los proveedores de servicios de comunicaciones (Communications Service Providers, CSP). Dado que los comercios minoristas están distribuidos por todo el país, resulta complejo rastrear y proteger los datos de las tarjetas de pago de los consumidores. Cuando se publique el próximo Marco de seguridad de software (Software Security Framework, SSF) de la industria de tarjetas de pago (PCI), se exigirá el cumplimiento de estos requisitos con mayor fuerza y la complejidad para lograr y mantener dicho cumplimiento aumentará.
Para lograr y mantener el cumplimiento es necesario tener un enfoque integrado e intencionado del mismo. Muchas organizaciones intentan implementar controles de seguridad específicamente para cumplir con los requisitos reglamentarios. Esto suele dar lugar a un desorden de soluciones de seguridad específicas sin una estructura subyacente, lo cual proporciona pocos o ningún beneficio real en materia de seguridad.
A medida que la red de comercios minoristas de una empresa se amplía y los requisitos de la PCI se hacen más complejos, resulta cada vez más difícil lograr la visibilidad de toda la red y la administración centralizada necesarias para mantener y demostrar el cumplimiento de las regulaciones. Las iniciativas de innovación digital aumentan la carga de los equipos de TI y seguridad a medida que se añaden nuevos dispositivos a la red y la huella digital de la empresa se expande a la nube. Esto se agrava aún más con el crecimiento de la computación en la nube, donde las organizaciones deben proteger y controlar adecuadamente el acceso a los datos protegidos, procesados y almacenados en la infraestructura de la nube, que no está bajo su completo control.
Con Fortinet Security Fabric, los CSP pueden lograr la visibilidad y el control centralizados necesarios para los DSS o SSF de la PCI y otras áreas de cumplimiento. El Security Fabric incluye 12 conectores Fabric y más de 135 interfases de programación de aplicaciones (Application Programming Interface, API) de Fabric para una integración con soluciones de terceros lista para utilizar. Un ecosistema de API abierto, la colaboración con más de 30 organizaciones de intercambio de información sobre amenazas y la integración con más de 100 productos de proveedores externos permiten una integración sin problemas y una administración centralizada de cualquier solución de seguridad.
La integración de seguridad proporcionada por Fortinet Security Fabric ofrece una variedad de soluciones centradas en el cumplimiento para los CSP, tales como:
Las sucursales de los proveedores de servicios de comunicaciones (CSP) necesitan acceder a una conectividad de red rápida, confiable y escalable. Con frecuencia, los comercios minoristas deben realizar tareas de resolución de problemas y reparaciones para sus clientes, lo cual requiere un acceso rápido a los datos del cliente y la capacidad de realizar pruebas de diagnóstico que necesitan una conexión de red estable y confiable.
La implementación de esta conectividad a través de líneas de switching de etiquetas multiprotocolo (Multiprotocol Label Switching, MPLS) tradicionales es una solución cara e inflexible. En cambio, las redes de área amplia definidas por software (SD-WAN) proporcionan las garantías de confiabilidad de MPLS, pero funcionan a través de una conexión de banda ancha. Al optimizar el uso de múltiples medios de transporte, SD-WAN ofrece velocidades de conexión más rápidas con un costo total de propiedad (CTP) menor. La optimización de la infraestructura de red mejora el rendimiento de red y disminuye la carga en el centro de datos de la empresa, lo cual aumenta la eficiencia operativa. Esto permite a los CSP cumplir sus acuerdos de nivel de servicio (Service Level Agreements, SLA) y, al mismo tiempo, minimizar los gastos operativos (Operational Expenditure, OpEx).
Una de las consideraciones que hay que tener en cuenta a la hora de implementar SD-WAN es que requiere disposiciones de seguridad adicionales. Para aprovechar al máximo las capacidades de SD-WAN, es necesario implementar la seguridad en el borde de la red que da lugar a productos de múltiples puntos. Eso no es necesario con Secure SD-WAN de Fortinet, una solución SD-WAN diferente a otras soluciones del mercado, que ofrece una solución todo en uno para SD-WAN que incluye una sólida protección contra amenazas de SD-WAN. El firewall de próxima generación (NGFW) integrado proporciona controles de seguridad para las capas 3 a la 7 y un rendimiento líder en el sector en un dispositivo que cuenta con el primer chip de circuito integrado específico de la aplicación SD-WAN (Application Specific Integrated Circuit, ASIC) de la industria. El dispositivo Secure SD-WAN de Fortinet también incluye un sistema de prevención de intrusión integrada (IPS), que proporciona una inspección completa del tráfico en la sucursal. Esto permite enrutar el tráfico directamente a su destino, lo que mejora el rendimiento de red, especialmente del tráfico vinculado a la nube, sin sacrificar la seguridad.
Secure SD-Branch de Fortinet sienta las bases para ampliar la seguridad de las sucursales con SD-Branch de Fortinet. SD-Branch de Fortinet centraliza la visibilidad y la administración de la infraestructura de seguridad en las sucursales desde Internet hasta la capa de switching. Esto aumenta la eficiencia de las operaciones de seguridad; simplifica la ejecución del control de seguridad y la recopilación de datos para las actividades de cumplimiento; y mejora la visibilidad y la seguridad de la WAN de la empresa. Esto permite a los CSP reducir los gastos generales y optimizar los OpEX. Los puntos de acceso inalámbrico FortiAP, que forman parte de SD-Branch de Fortinet, proporcionan una conectividad de red segura y de alto rendimiento para redes empresariales y de invitados, mientras que FortiNAC proporciona una identificación y un control de acceso automatizados para todos los dispositivos que se conectan a la red.
Gracias a la conectividad de red segura y confiable proporcionada por Secure SD-WAN de Fortinet, las sucursales también pueden implementar Voz sobre IP (VoIP) en lugar de un servicio telefónico independiente sin preocupaciones sobre el consumo de ancho de banda, la disponibilidad o la calidad de la experiencia. En ese sentido, FortiVoice ofrece una solución de VoIP flexible y fácil de configurar que se puede aislar de otras redes empresariales y del Wi-Fi público utilizando las capacidades de switching y control de acceso integradas en SD-Branch de Fortinet. Para garantizar la conectividad en caso de una interrupción de la red, FortiExtender ofrece una solución de copia de seguridad 3G, 4G, LTE y 5G.
A la hora de seleccionar una solución de red, los CSP requieren una solución que les permita cumplir con sus parámetros de rendimiento y seguridad, proporcionando características como las siguientes:
SD-Branch de Fortinet permite a los CSP ampliar su visibilidad y administración de seguridad centralizada a las sucursales con funciones como las siguientes:
Los proveedores de servicios de comunicaciones (CSP) son un objetivo habitual de los ataques de malware. Un punto de apoyo en la red de un CSP se utiliza para propagar malware a sus clientes aprovechando su relación de confianza. Los CSP deben ser capaces de detectar y bloquear el malware que opera en sus redes. Sin embargo, según el análisis realizado por Laboratorios FortiGuard, el 40 % del malware nuevo que se detecta cada día es de día cero o era desconocido anteriormente.
La protección avanzada contra amenazas requiere una defensa de varias capas, que incluya funciones como las siguientes:
Utilizando datos derivados del análisis de más de 10.000 millones de eventos de seguridad por día, los Laboratorios FortiGuard recopilan, analizan y clasifican rápidamente las amenazas con un grado de precisión extremadamente alto. Saca provecho de la IA y ML para escribir firmas de malware y publicarlas en todo el Fortinet Security Fabric. Gracias a la integración que ofrece el Fortinet Security Fabric para toda la red de la organización, los equipos de seguridad también pueden aprovechar lo más avanzado en orquestación, automatización y respuesta de seguridad (Security Orchestration, Automation and Response, SOAR).
Las redes de los CSP, con una amplia distribución, ofrecen muchas vías posibles para que las amenazas desconocidas puedan acceder a ellas, entre ellas conexiones Wi-Fi públicas, dispositivos móviles y dispositivos conectados al Internet de las Cosas (IoT). Cualquier contenido sospechoso detectado por un firewall de próxima generación (NGFW) FortiGate se reenvía a FortiSandbox para cuarentena e inspección, incluido el descifrado del contenido de la capa de sockets seguros (SSL) o la seguridad de la capa de transporte (TLS), antes de que llegue a la red. La inteligencia de amenazas obtenida por FortiSandbox se comparte con otros elementos de seguridad a través del Fortinet Security Fabric. La protección avanzada de puntos finales FortiEDR (detección de puntos finales y respuesta) ofrece una protección avanzada de puntos finales, con características simples, con garantías de alta disponibilidad, lo que le permite proteger incluso los sistemas críticos de la empresa.
Por supuesto, las ciberamenazas no se limitan a atacantes externos. Con FortiDeceptor, una organización puede identificar a los intrusos o atacantes maliciosos que hayan accedido a la red. Las funciones de análisis del comportamiento de usuarios y entidades (User and Entity Behavior Analytics, UEBA) de FortiInsight ayudan a identificar comportamientos irregulares, que no cumplen las normas o que son sospechosos de los puntos finales o usuarios y que pueden constituir una amenaza para la empresa.
Advanced Threats: The CIO’s Time Bomb Advanced Threats: Keeping CISOs on Their Toes Proactive, Actionable Risk Management with the Fortinet Security Rating Service A Network Operations Guide for Intent-based Segmentation Navigating Network Complexity: Unraveling the Inefficiency and Risks of Digital Transformation
Las organizaciones recurren cada vez más a los servicios en la nube para almacenar datos y aplicaciones críticas para la empresa, y estos recursos necesitan una seguridad que sea sólida. Aunque la mayoría de los proveedores de servicios en la nube ofrecen configuraciones de seguridad integradas, las organizaciones suelen configurarlas incorrectamente, lo cual deja los datos sensibles vulnerables a la exfiltración. Una de las razones por las que esto ocurre es que no se comprende el modelo de responsabilidad compartida en la nube, que describe las responsabilidades de seguridad asignadas al proveedor de servicios en la nube y al cliente, y lo que se comparte entre ellos.
Lograr una visibilidad centralizada y una administración coherente de la configuración de seguridad también es una tarea difícil en la nube, ya que cada proveedor de la nube ofrece distintos controles e interfaces de seguridad integrados. Para proteger la nube es necesario contar con una visibilidad centralizada en las instalaciones locales y en la nube, así como con soluciones de seguridad diseñadas para brindar una administración coherente de la seguridad y las políticas para las aplicaciones basadas en la nube en entornos de múltiples nubes.
El primer paso para proteger una red con múltiples nubes requiere visibilidad de toda la red y una administración de configuración centralizada. Securtiy Fabric de Fortinet es compatible con los principales proveedores de nube y más de 250 soluciones de seguridad de terceros. Esto le permite romper los silos entre las distintas implementaciones en la nube, ya que ofrece una visibilidad centralizada y la aplicación de las políticas de seguridad en toda la red. Este control centralizado hace que no sea necesario que los equipos de seguridad configuren manualmente los ajustes de seguridad que ofrece cada proveedor de servicios en la nube.
Una vez obtenida la visibilidad completa de la implementación de la nube de una organización, el siguiente paso es proteger las aplicaciones basadas en la nube. Muchas regulaciones, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), requieren un firewall de aplicación web (WAF). De conformidad con el requisito 6.6 de PCI DSS, se requiere un WAF en entornos DevOps excepto si la organización realiza una revisión completa del código cada vez que se modifica una aplicación.
Por lo tanto, el WAF es una parte fundamental de la implementación de seguridad en la nube de una empresa. FortiWeb WAF está disponible como dispositivo físico, como máquina virtual (Virtual Machine, VM) o como una oferta de software como servicio (Software-as-a-Service, SaaS) para proteger en la nube los sitios web, portales de pago e interfaces de programación de aplicaciones (Application Programming Interfaces, API) web de la organización.
Las organizaciones también deben administrar el acceso a sus implementaciones en la nube como un todo. FortiCASB y FortiCWP ofrecen un control de acceso nativo en la nube y protección de la carga de trabajo, simplificando la visibilidad y administración de la seguridad en implementaciones de múltiples nubes. Por último, los firewalls de próxima generación (NGFW) FortiGate están disponibles en un factor de forma de Infraestructura como servicio (Infrastructure-as-a-Service, IaaS) nativa en la nube, que ofrece seguridad escalable para cualquier entorno de implementación.
Las aplicaciones y el almacenamiento de datos no son los únicos activos basados en la nube que una organización debe proteger. Las organizaciones sacan cada vez más partido a las soluciones de correo electrónico SaaS basadas en la nube, como Google Mail o Microsoft Office 365. FortiMail permite a la organización proteger tanto las implementaciones de correo electrónico SaaS como en las instalaciones con la misma puerta de enlace de correo electrónico.
En resumen, las soluciones de seguridad adaptativas en la nube de Fortinet incluyen las características necesarias para proteger incluso entornos de múltiples nubes, como:
Los clientes esperan que las redes de sus CSP les proporcionen un alto rendimiento, sin importar si utilizan el acceso inalámbrico en una tienda o si están aguardando a que su tráfico sea enrutado a través del centro de datos corporativo. Si la tecnología de seguridad limita el rendimiento de red, la experiencia del cliente se verá afectada.
Proteger la extensa red de un CSP requiere una gran cantidad de elementos de seguridad. Si estas soluciones de seguridad no están integradas, los flujos de trabajo de seguridad deben administrarse manualmente. Estas ineficiencias operativas retrasan la detección, prevención y respuesta de amenazas, generan redundancia y aumentan los costos de los gastos operativos (Operating Expense, OpEx).
Los CSP cuentan con distintas redes, como centros de datos en las instalaciones, implementaciones en la nube y establecimientos minoristas con sistemas de punto de venta (POS) conectados a Internet. Proteger estas redes heterogéneas requiere visibilidad en toda la red. Sin embargo, los productos de seguridad de punto que se implementan para brindar protección contra ataques sofisticados y multidimensionales crean silos que reducen la visibilidad.
Los centros de datos de un CSP y los dispositivos POS implementados en tiendas minoristas son un objetivo atractivo para los delincuentes cibernéticos. El robo de los datos contenidos en estos dispositivos o el bloqueo al acceso de servicios críticos a través de ataques DDoS o de ransomware impiden obtener acceso a sistemas críticos, lo cual puede perjudicar la capacidad de un CSP para cumplir con los acuerdos de nivel de servicio (Service-Level Agreements, SLA). A medida que la innovación digital crea nuevos vectores de ataque, como redes inalámbricas para invitados en tiendas minoristas y la implementación de dispositivos IoT, resulta cada vez más difícil protegerse contra estas amenazas.
Los CSP recopilan los datos de las tarjetas de pago y otros datos sensibles de los clientes, tanto en las tiendas físicas como en los portales en línea. Estos datos sensibles se almacenan y procesan en toda la red de la organización, tanto en los centros de datos de las instalaciones como en las nubes privadas y públicas, lo que incluye las aplicaciones de software como servicio (SaaS). Proteger estos datos conforme a las normas regulatorias, como PCI DSS se torna más difícil a medida que la red de la organización crece en complejidad.
Los CSP cuentan con varias oficinas remotas que procesan los datos sensibles de los usuarios al momento de incorporar a nuevos clientes y resolver problemas. Estas sucursales pueden ser un objetivo para los atacantes que intentan acceder a datos sensibles o utilizarlas como trampolín para acceder a la red de la sede central.
Fortinet Security Fabric, que ofrece compatibilidad con más de 250 soluciones de seguridad de terceros, permite a los CSP obtener una visibilidad de panel único y una gestión de la configuración de los elementos de seguridad en toda su red. Esto permite aplicar las políticas de seguridad de forma coherente, incluso en entornos de nube y acelerar la detección de amenazas y respuesta. Una estrecha integración permite que los CSP minimicen sus gastos operativos (operational expenditure, OpEx) sin dejar de cumplir con los SLA.
Las soluciones de Fortinet permiten contar con lo más avanzado en capacidades de orquestación, automatización y respuesta de seguridad (security orchestration, automation, and response, SOAR). Esto refuerza la seguridad de un CSP en toda la compañía y permite a estas empresas escalar y hacer frente a las limitaciones de recursos maximizando la eficacia del personal cualificado disponible. La administración de seguridad centralizada permite cumplir con las políticas en toda la red y la generación de informes automatizados para los reguladores, la gerencia principal y la junta directiva.
La inteligencia de amenazas generada por la inteligencia artificial (IA) y el aprendizaje automático (ML) en los Laboratorios FortiGuard se transmite a los dispositivos de seguridad en tiempo real a través de Fortinet Security Fabric. Esto permite una protección total contra las amenazas conocidas y desconocidas en toda la red, desde los sistemas POS de una organización hasta su infraestructura basada en la nube.
El Firewall de próxima generación (NGFW) de FortiGate, que ha sido sometido a pruebas de rendimiento corroboradas por NSS Labs, ofrece la latencia más baja de la industria. El circuito integrado de aplicación específica (Application-Specific Integrated Circuit, ASIC) de FortiGate, altamente eficiente y personalizado, así como el primer ASIC de redes de área amplia definida por software (SD-WAN) del mundo, permite a Fortinet proporcionar seguridad de alto rendimiento en el borde de la WAN y en toda la red. Además, habilitar funciones avanzadas como la inspección del encriptado de la capa de sockets seguros (Secure Sockets Layer, SSL) o Seguridad de la capa de transporte (Transport Layer Security, TLS) no afecta el rendimiento de red en relación a la velocidad o la capacidad de rendimiento. Por otra parte, la serie FortiGate VM es compatible con las tecnologías de aceleración de paquetes, como el kit de desarrollo del plano de datos (Data Plane Development Kit, DPDK), la virtualización de entrada y salida de una sola raíz (SR-IOV) y la tecnología QuickAssist (QuickAssist Technology, QAT) de Intel junto con la tecnología de la unidad de procesamiento de seguridad virtual (vSPU) de Fortinet para ofrecer el mejor rendimiento necesario en los centros de datos de los CSP, ya sea en las instalaciones o en una nube privada o pública.
Fortinet Secure SD-WAN Gives the Performance of a Lifetime, Recommended by NSS Labs FortiGate Intrusion Prevention Continues to Excel in NSS Labs’ NGIPS Testing Results How Fortinet Connects with Communications Service Providers (CSPs) MSSPs: Disrupting the SD-WAN Market for Fun and Profit Enabling Security-Driven Networking Across Industries With Secure SD-WAN Accelerate Security Operations Leveraging Fortinet’s Security Fabric + SOAR