Cisco Umbrella tiene el honor de convertirse en el primer proxy inteligente del mundo gracias a su (de momento) única tecnología vanguardista.
Existen muchos dominios a lo lago de Internet que son usados con intenciones maliciosas (repositorios de malware, servidores de control…) y son relativamente sencillos de bloquear para evitar situaciones de compromiso. Sin embargo, hay muchos otros dominios que alojan contenidos seguros y maliciosos a la vez, por ejemplo, sitios web dedicados al intercambio de ficheros. Estos sitios deberían considerados como “de riesgo” pero es una tarea casi imposible saber qué y cuáles partes del sitio son maliciosas o seguras.
Una solución pasa por bloquear el tráfico hacia los dominios “de riesgo” aunque ello suponga un problema para los usuarios y seguramente se traduzca en más peticiones al departamento de soporte. Por otro lado, permitir globalmente el tráfico al sitio puede provocar una infección o el robo de datos. También cabe la posibilidad de analizar todo el tráfico a través de un proxy tradicional, pero ello conlleva un incremento de las latencias, un impacto negativo en el rendimiento de la red y un incremento en la complejidad del enrutamiento. Ahora existe una nueva alternativa donde el proxy inteligente de Cisco Umbrella interviene.
Umbrella utiliza el sistema de nombres de dominio (DNS) como mecanismo principal para obtener el tráfico hacia la plataforma. Cuando un usuario hace clic en un enlace, una solicitud de DNS inicia el proceso de conexión a un sitio de Internet. A través de DNS, las solicitudes de dominios seguros y maliciosos se enrutan, permitiendo el acceso o bloqueándolo respectivamente, y las solicitudes de dominios de riesgo se redirigen a un proxy para una inspección en profundidad.
El archivo capturado por el proxy se analiza para determinar si existe una amenaza y, de ser así, se bloquea para que no se descargue. Esto puede ser tanto una descarga explícita, como cuando un usuario hace clic en un enlace en un correo electrónico, o implícita, como la descarga de un fichero en segundo plano. Esto se informa en su informe de actividad de seguridad de Umbrella y en la búsqueda de actividades para que pueda revisar lo que se bloqueó.
Análisis de reputación web de Cisco Umbrella
Umbrella se nutre de la inmensa base de datos de inteligencia de amenazas de Cisco Talos y otras fuentes de terceros para determinar si una URL es maliciosa. También puede crear listas personalizadas para bloquear adicionalmente otros recursos.
Análisis mediante inspección de firmas y AV
Para una protección más completa, el tráfico “de riesgo” pasa por diferentes motores antivirus, así como por Cisco Advanced Malware Protection (AMP). De este modo, queda asegurado el proceso de descarga de ficheros maliciosos, tanto dentro como fuera de la red corporativa.
Al enrutar solo las peticiones de “riesgo”, las peticiones consideradas seguras, como Office365 o una búsqueda de google, no quedan interceptadas por el proxy, de modo que las latencias no se ven afectadas y la experiencia de navegación es óptima.
