ES2898070T3 - Sistema de cortafuegos distribuido - Google Patents

Sistema de cortafuegos distribuido Download PDF

Info

Publication number
ES2898070T3
ES2898070T3 ES17798167T ES17798167T ES2898070T3 ES 2898070 T3 ES2898070 T3 ES 2898070T3 ES 17798167 T ES17798167 T ES 17798167T ES 17798167 T ES17798167 T ES 17798167T ES 2898070 T3 ES2898070 T3 ES 2898070T3
Authority
ES
Spain
Prior art keywords
network
client
host
gateway
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17798167T
Other languages
English (en)
Inventor
Peter Arnoth
Markus Cserna
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyan Security Group GmbH
Original Assignee
Cyan Security Group GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyan Security Group GmbH filed Critical Cyan Security Group GmbH
Application granted granted Critical
Publication of ES2898070T3 publication Critical patent/ES2898070T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un procedimiento implementado por ordenador que comprende: monitorizar, en una pasarela de red (1), un tráfico de red entre un cliente de red (2) y la pasarela de red (1), comprobar, en la pasarela de red (1), si el tráfico monitorizado coincide con uno o varios patrones de tráfico de red que indican un comportamiento no deseado del cliente de red (2), si resulta de las pruebas que el tráfico monitorizado coincide con uno o más patrones de tráfico de red que indican un comportamiento no deseado, aumentar, en la pasarela de red (1), un nivel de amenaza del cliente asociado con el cliente de red (2) basado en los uno o más patrones de tráfico de red coincidentes, transmitir, tan pronto como el nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, un comando de acción desde la pasarela de red (1) al cliente de red (2) asociado con dicho nivel de amenaza del cliente, para instruir al cliente de red (2) para que active una medida de protección basada en el huésped, después de recibir el comando de acción, activar, en el cliente de red (2), la medida de protección basada en el huésped instruida por la pasarela de red (1), en el que la medida de protección basada en el huésped en el cliente de red activada por la recepción del comando de acción está adaptada para obstruir otros comportamientos no deseados.

Description

DESCRIPCIÓN
Sistema de cortafuegos distribuido
La presente invención se refiere a la seguridad informática, y más concretamente a un procedimiento implementado por ordenador y a un sistema distribuido para proporcionar una protección eficaz de los dispositivos móviles conectados a un proveedor de seguridad frente a tipos predeterminados de comportamiento malicioso de los programas informáticos que se ejecutan en el dispositivo móvil. En concreto, la invención se refiere a sistemas y procedimientos para combinar un sistema de seguridad de pasarela de red con módulos de seguridad en un cliente de red.
Los dispositivos móviles son, por ejemplo, teléfonos inteligentes, tabletas u otros dispositivos portátiles que dependen de la energía de la batería para su funcionamiento y que se operan con un enfoque de uso no estacionario. Las características de los dispositivos móviles modernos son una pantalla gráfica, algún tipo de dispositivo de entrada del cliente, como pantalla táctil, teclado o control por voz, conectividad a Internet (a través de datos móviles, WiFi u otros enlaces de comunicación) y soporte de instalación de paquetes de software como aplicaciones. La potencia de cálculo de estos dispositivos móviles depende en gran medida de la energía eléctrica disponible, que suele provenir de las baterías. Cuanta más potencia de cálculo se necesita, más batería se utiliza en una cantidad de tiempo. Sin embargo, la energía de la batería es limitada y un uso elevado de la misma en los dispositivos móviles se traduce en una corta duración de la batería y una mala experiencia para el cliente.
En la actualidad, los sistemas de seguridad de las pasarelas de red actúan de forma puramente remota, es decir, por medio de la monitorización y el control a distancia del tráfico entrante y saliente. Estos sistemas se conocen comúnmente como cortafuegos de red. Otros ejemplos son los sistemas de detección/prevención de intrusos (capas OSI 3 y 4) o el software de proxy web (capa OSI 7). Estos sistemas se limitan a medidas de protección basadas en la red, tales como el bloqueo de determinados tipos de tráfico a través de la pasarela, cuando se detecta un comportamiento no deseado basado en el tráfico monitorizado que se origina o se dirige al cliente de red. Este tipo de sistema de seguridad también se denomina como sistema de seguridad "en red”. Estos sistemas no tienen control sobre las actividades en el propio cliente de red, a pesar de que dichas actividades pueden provocar daños a los datos almacenados en el cliente de red y también establecer rutas alternativas para el acceso a la red, para de ese modo eludirla pasarela de red y sus medidas de protección basadas en la red.
Por otro lado, los sistemas de seguridad basados en el huésped, que se conocen actualmente, están configurados para llevar a cabo comprobaciones de seguridad directamente en un dispositivo conectado a la red (un cliente de red). Estos sistemas (también denominados como sistemas de "seguridad fuera de la red") se suelen implementar como software, que se instala en el cliente de red y se ejecuta directamente en él, como los módulos antivirus o los sistemas de cortafuegos de software local. Este tipo de sistemas requiere importantes recursos del propio dispositivo (el cliente de red), en particular en lo que respecta a los requisitos de memoria, tiempo de computación y consumo de energía. Además, estos sistemas basados en huésped se deben actualizar con frecuencia a fin de reaccionar ante las nuevas amenazas de seguridad descubiertas, lo que suele provocar accesos frecuentes a la red y, por lo tanto, aumenta aún más los requisitos de recursos, independientemente del uso real del dispositivo. En particular, cualquier transferencia de datos en los dispositivos móviles es un proceso que exige mucha batería y un factor de coste para el usuario. Los operadores de telefonía móvil pueden cobrar por cada megabyte de datos transferidos entre el dispositivo móvil e Internet. De este modo, las actualizaciones frecuentes pueden degradar la experiencia del usuario y suponer un coste para éste. Por último, los sistemas basados en huésped están naturalmente limitados en su monitorización a las actividades de un solo cliente de red. No pueden detectar comportamientos no deseados que impliquen a varios clientes, que sólo se pueden detectar por medio de patrones que coincidan con ciertas acciones concertadas o compartidas entre varios clientes (correlaciones).
El documento US 2013/097701 A1 desvela un entorno informático distribuido para detectar comportamientos inusuales de los usuarios.
El documento US 2004/044912 A1 se refiere al registro, la clasificación y la notificación de eventos amenazantes en una red informática.
Un objeto de la presente invención es proporcionar un procedimiento, un sistema de seguridad y componentes del mismo, que proporcionen la eficacia de los sistemas basados en huésped en combinación con la potencia y discreción de los sistemas basados en red.
A fin de lograr el objetivo mencionado anteriormente, la presente invención proporciona un procedimiento implementado por ordenador que comprende:
monitorizar, en una pasarela de red, un tráfico de red entre un cliente de red y la pasarela de red,
comprobar, en la pasarela de red, si el tráfico monitorizado coincide con uno o más patrones de tráfico de red que indican un comportamiento no deseado del cliente de red,
si resulta de las pruebas que el tráfico monitorizado coincide con uno o más patrones de tráfico de red que indican un comportamiento no deseado, aumentar, en la pasarela de red, un nivel de amenaza del cliente asociado con el cliente de red basado en los uno o más patrones de tráfico de red coincidentes,
transmitir, tan pronto como un nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, un comando de acción desde la pasarela de red a un cliente de red asociado con dicho nivel de amenaza del cliente, para instruir al cliente de red para que active una medida de protección basada en el huésped, después de recibir el comando de acción, activar, en el cliente de red, la medida de protección basada en el huésped instruida por la pasarela de red,
en el que la medida de protección basada en el huésped en el cliente de red activada por la recepción del comando de acción está adaptada para obstruir otros comportamientos no deseados.
En consecuencia, el objetivo mencionado anteriormente se puede lograr de acuerdo con la presente invención con una pasarela de red que comprende medios para llevar a cabo las etapas de
monitorizar un tráfico de red entre un cliente de red y la pasarela de red,
comprobar el tráfico monitorizado para uno o más patrones de tráfico de red que indiquen un comportamiento no deseado del cliente de red,
aumentar un nivel de amenaza del cliente asociado con el cliente de reden base a los patrones de tráfico de red coincidentes, si resulta de las pruebas que uno o más patrones de tráfico de red son coincidentes, y enviar un comando de acción a un cliente de red asociado con dicho nivel de amenaza del cliente, tan pronto como el nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, el comando de acción instruye al cliente de red para que active una medida de protección basada en el huésped,
en el que el comando de acción es uno de los diferentes comandos de acción que activan diferentes medidas de protección basadas en el huésped en el cliente de red, dependiendo del nivel de amenaza actual del cliente. A fin de lograr el objetivo mencionado al principio, la presente invención también proporciona en general un sistema de cortafuegos distribuido que comprende
una pasarela de red para monitorizar un tráfico de red entre un cliente de red y la pasarela de red, y al menos un cliente de red conectado a dicha pasarela de red y que comprende medios para aplicar medidas de protección basadas en el huésped,
en el que la pasarela de red tiene el control de los medios para aplicar las medidas de protección basadas en el huésped del al menos un cliente de red.
En particular, un sistema de cortafuegos distribuido de acuerdo con la invención puede comprender una pasarela de red del tipo descrito anteriormente y de la que a continuación se describen realizaciones preferidas y un cliente de red que comprende medios para llevar a cabo las etapas de
recibir un comando de acción desde una pasarela de red, para instruir al cliente de red para que active una medida de protección basada en el huésped, y
activar la medida de protección basada en el huésped instruida por la pasarela de red tras recibir el comando de acción.
Uno o más clientes de red pueden estar conectados a una única pasarela de red y los niveles de amenaza del cliente asociados a dichos clientes de red se pueden almacenar en una tabla de la base de datos accesible por la pasarela de red, en particular por los medios para aumentar el nivel de amenaza del cliente. El nivel de amenaza del cliente puede ser representado por un número, por ejemplo, un número de punto flotante.
La monitorización en una pasarela de red se refiere generalmente al tráfico de red entre uno o más clientes de red y la pasarela de red. Se puede limitar a monitorizar los metadatos de dicho tráfico. Alternativa o adicionalmente, el contenido completo (carga útil) del tráfico puede ser monitorizado, por ejemplo, por medio de la aplicación de la inspección profunda de paquetes.
El término "comportamiento no deseado" se refiere generalmente al tráfico de red no deseado hacia y desde un dispositivo móvil y a las actividades de fondo no deseadas en el dispositivo móvil. Lo que no se desea es una cuestión de configuración y, opcionalmente, de preferencias del usuario.
Típicamente, esto puede incluir cualquier tráfico de red y actividad que no sea necesaria para proporcionar el servicio deseado por el usuario. Por ejemplo, el procesamiento en segundo plano y el acceso a la red en el cliente de red que no está relacionado con el funcionamiento requerido del dispositivo (el cliente de red) y tampoco está relacionado con la interacción del usuario con el dispositivo se pueden calificar como no deseados.
Los patrones de tráfico de red que indican un comportamiento no deseado pueden incluir, por ejemplo
un patrón de tráfico de red que coincida con cualquier acceso a un objetivo de red sospechoso basado en la categorización de la URL (es decir, en una lista negra que enumera todos los objetivos sospechosos y/o en una lista blanca que enumere todos los objetivos de confianza) y/o
un patrón de tráfico de red que coincide con una firma de una comunicación de red con un conjunto de patrones de firma predeterminados de comunicación de red maliciosa (por ejemplo, la transmisión de un programa o script conocido como malicioso, tal como un virus informático conocido o similar).
Para aumentar el nivel de amenaza del cliente asociado con el cliente de red en base a los patrones de tráfico de red coincidentes, la pasarela de red accede a un nivel de amenaza del cliente anterior asociado con el cliente específico en cuyo tráfico se ha determinado la coincidencia con uno o más de los patrones de tráfico de red. Para ello, la pasarela de red puede almacenar una tabla con un registro para cada cliente de red conectado, en la que cada registro comprende un nivel de amenaza del cliente asociado al respectivo cliente de red. El intervalo predeterminado aceptable puede ser definido por una marca de agua alta. Se puede definir más de un intervalo aceptable, asociado con diferentes medidas de protección que se pueden activar una vez superado el intervalo respectivo.
La transmisión de un comando de acción desde la pasarela de red a un cliente de red asociado con dicho nivel de amenaza del cliente comprende el envío del comando de acción desde la pasarela de red al cliente de red y la recepción del comando de acción desde la pasarela de red en el cliente de red. El comando de acción puede ser un mensaje, que se interpreta en el cliente de red. En función del contenido del mensaje, el cliente de red activa una o varias medidas de protección basadas en el huésped. Hay diferentes comandos de acción que activan diferentes medidas de protección basadas en el huésped en el cliente de red, dependiendo del nivel de amenaza actual del cliente.
Generalmente, la medida de protección basada en el huésped en el cliente de red activada por la recepción del comando de acción está adaptada para obstruir otros comportamientos no deseados. Estas medidas de protección basadas en el huésped suelen ser más eficaces y/o informativas que las medidas de protección basadas en la red, que se pueden aplicar únicamente en la pasarela de red. Por ejemplo, los programas maliciosos pueden evitar o eludir las medidas de protección habilitadas en la pasarela de red, pero no pueden evitar o eludir las medidas de protección habilitadas localmente en el dispositivo que actúa como el cliente de red. Por ejemplo, las medidas de protección basadas en el huésped se pueden aplicar a todas las interfaces de comunicación, incluidas las que no están conectadas a la pasarela de red y, por lo tanto, son más eficaces para controlar el tráfico de red del cliente de red en su conjunto. Los ejemplos de medidas de protección basadas en el huésped son: mostrar un mensaje en el cliente de red (por ejemplo, el dispositivo del cliente) para concienciar sobre posibles amenazas a la seguridad (en el que el mensaje preferentemente es un mensaje del sistema no interrumpible por otros programas que se ejecuten en el cliente de red), iniciar la ejecución de escaneos antivirus rápidos/superficiales o lentos/profundos en el cliente de red, detener como una acción de precaución la ejecución de programas, scripts o aplicaciones desconocidas que se ejecuten en el cliente de red, y/o prohibir al cliente de red la activación de rutas de acceso a la red alternativas (por ejemplo, unirse a redes WiFi públicas o conexiones Bluetooth).Otra forma de medidas de protección basadas en el huésped obtiene información adicional sobre el comportamiento no deseado indicado por los patrones de tráfico de red coincidentes. Las medidas de protección adaptadas para obtener información adicional sobre el comportamiento no deseado indicado por los patrones de tráfico de red emparejados pueden mejorar la seguridad al permitir una evaluación de seguridad más precisa, para aumentar posiblemente el nivel de amenaza del cliente si la información adicional confirma la presencia de un comportamiento no deseado en el cliente de red. En consecuencia, la pasarela de red puede activar medidas de protección más severas adaptadas para obstruir este comportamiento confirmado.
El comando de acción real transmitido y, en consecuencia, la medida de protección basada en el huésped activada por el cliente de red puede depender de la gravedad del nivel de amenaza del cliente realmente observado, por ejemplo, lo lejos que está el nivel de amenaza del cliente del intervalo aceptable. Dado que cada medida de protección restringe o, al menos, molesta potencialmente al usuario del cliente de red, en función del nivel de amenaza del cliente se selecciona y activa una medida de protección razonable. La medida de protección razonable es esencialmente la medida de protección menos intrusiva necesaria para garantizar el estado de seguridad general de un dispositivo del cliente (que es un cliente de red típico) y evitar en la medida de lo posible los efectos secundarios negativos que se notarían si todas las acciones se aplicaran todo el tiempo (por ejemplo, el agotamiento de la batería debido a los constantes análisis antivirus, la prohibición de iniciar aplicaciones desconocidas, la prohibición de unirse a redes WiFi públicas). En consecuencia, se considerará poco razonable cuando un nivel de amenaza del cliente relativamente bajo y sólo ligeramente por encima del intervalo aceptable (por ejemplo, por encima de una primera marca de agua alta) conduzca a una desconexión completa de todas las interfaces de red y a un apagado inmediato del dispositivo en el cliente de red.
En cambio, se considerará razonable si un nivel de amenaza tan bajo, que puede ser provocado por el acceso accidental a un sitio web sospechoso, desencadena una notificación al usuario del cliente de reda fin de sensibilizarlo sobre el aumento del peligro, de forma que el usuario sea alertado de los posibles riesgos y pueda optar por interrumpir la actividad presente. Cuando se alcanza un nivel de amenaza medio para el cliente (por ejemplo, por encima de una segunda marca de agua alta) puede ser razonable activar medidas de monitorización o inspecciones adicionales en el cliente de red, por ejemplo, un escaneo de virus del cliente de red a nivel del sistema de archivos. Un nivel de amenaza del cliente aún más alto (por ejemplo, por encima de una tercera marca de agua) puede provocar medidas de protección cada vez más radicales, tal como un bloqueo parcial (es decir, a ciertos destinos) o completo del acceso a la red, la terminación de algunas o todas las aplicaciones que no sean específicamente de confianza, o incluso un cierre completo de rescate para evitar cualquier daño a los datos almacenados en el cliente de red.
El comando de acción real transmitido y, en consecuencia, la medida de protección basada en el huésped activada por el cliente de red también puede depender del consumo de energía y de la transferencia de datos requerida de la medida de protección respectiva, en particular si el cliente de red es un dispositivo móvil. La pasarela de red puede tener en cuenta estos factores y activar o desactivar ciertas medidas de protección basadas en el huésped a fin de permitir un uso óptimo de la batería y los datos móviles en el dispositivo móvil.
Ventajosamente el procedimiento de acuerdo con la presente invención además puede comprender:
activar, tan pronto como un nivel de amenaza del cliente supere un intervalo aceptable predeterminado, en la pasarela de red, una medida de protección basada en la red,
en el que la medida de protección basada en la red está adaptada para proteger al cliente de red del tráfico de red potencialmente malicioso o para notificar a un usuario del cliente de red sobre el tráfico de red malicioso, en el que el tráfico de red malicioso es el tráfico de red relacionado con el comportamiento no deseado indicado por los patrones de tráfico de red coincidentes.
En consecuencia, una pasarela de red de acuerdo con la invención puede comprender medios para llevar a cabo la etapa de
activar (en dicha pasarela de red) una medida de protección basada en la red tan pronto como un nivel de amenaza del cliente supere un intervalo aceptable predeterminado,
en el que la medida de protección basada en la red está adaptada para proteger al cliente de red del tráfico de red malicioso o para notificar a un usuario del cliente de red sobre el tráfico de red malicioso.
En estos casos, se puede lograr una seguridad adicional por medio de la combinación de medidas de protección basadas en el huésped y en la red. Las medidas de protección basadas en la red pueden ser todo tipo de medidas que también pueden ser aplicadas por sistemas de seguridad puramente basados en la red. Algunos ejemplos de medidas de protección basadas en la red son: el filtrado o el bloqueo de tipos de tráfico predeterminados basados en metadatos de tráfico tal como el origen, el destino, el protocolo, el volumen, el tiempo, la frecuencia o cualquier combinación de ellos, el filtrado o el bloqueo basados en el contenido del tráfico (también llamado "carga útil"), la manipulación del tráfico para eliminar o mitigar los componentes maliciosos, la manipulación del tráfico para inyectar componentes que cambien el procesamiento por parte del cliente de red, tales como la inyección de una notificación en un documento transmitido para notificar a un usuario del cliente de red el comportamiento no deseado y el tráfico de red potencialmente malicioso. La medida de protección basada en la red puede ser específica para el cliente de red, al que también se transmite el comando de acción, o se puede aplicar a varios o a todos los clientes de red conectados a la pasarela de red. En cualquier caso, la posibilidad de elegir o combinar medidas de protección basadas en el huésped y/o en la red permite una configuración y un control más precisos de la medida de protección más adecuada (es decir, la que proporciona un equilibrio óptimo entre eficacia e invasividad) aplicada por el sistema de seguridad para cualquier amenaza de seguridad determinada.
Preferentemente, el procedimiento de acuerdo con la presente invención además puede comprender: paralelamente a la monitorización del tráfico de red entre el cliente de red y la pasarela de red en la pasarela de red, monitorizar, en el cliente de red, los eventos del dispositivo que se producen en el cliente de red, comprobar, en el cliente de red, los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indiquen un comportamiento no deseado,
si resulta de las pruebas que uno o más patrones de eventos del dispositivo coinciden, transmitir un informe de eventos del dispositivo desde el cliente de red a la pasarela de red, para informar sobre los patrones de eventos del dispositivo coincidentes,
después de recibir el informe de eventos del dispositivo, aumentar, en la pasarela de red, el nivel de amenaza del cliente asociado con el cliente de red del que se ha recibido el informe de eventos del dispositivo, en base a los patrones de eventos del dispositivo informados.
En consecuencia, el cliente de red de un sistema de cortafuegos distribuido de acuerdo con la invención puede comprender medios para llevar a cabo las etapas de
monitorizarlos eventos del dispositivo que se producen en el cliente de red,
comprobar los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indiquen un comportamiento no deseado, y
enviar un informe de eventos del dispositivo desde el cliente de red a la pasarela de red, para informar sobre los patrones de eventos del dispositivo coincidentes, si resulta de las pruebas que uno o más patrones de eventos del dispositivo son coincidentes.
En consecuencia, una pasarela de red de acuerdo con la invención puede comprender medios para llevar a cabo las etapas de
recibir un informe de eventos del dispositivo de un cliente de red, el informe de eventos del dispositivo informa sobre uno o más patrones de eventos del dispositivo coincidentes, y
aumentar un nivel de amenaza del cliente asociado con el cliente de reden base a los patrones de eventos del dispositivo informados después de recibir el informe de eventos del dispositivo.
Los eventos del dispositivo se refieren generalmente a eventos característicos del funcionamiento del dispositivo que es el cliente de red. En particular, se incluyen los eventos del sistema operativo, que suelen indicar cambios de estado en relación con el hardware del dispositivo o con el funcionamiento general del mismo, y los eventos desencadenados por los medios locales de monitorización de la seguridad operados en el dispositivo, tales como los escáneres antivirus o los programas que detectan el acceso potencialmente ilegítimo a datos sensibles. Un patrón de eventos del dispositivo que indica un comportamiento no deseado puede comprender uno o más criterios aplicables a determinadas propiedades de los eventos del dispositivo. Esto incluye el origen, la hora y la frecuencia del evento, así como las correlaciones entre múltiples eventos. Algunos ejemplos de patrones de eventos del dispositivo son: entrar en una WiFi pública no segura, llevar a cabo una transferencia de archivos a través de una conexión Bluetooth con un tercero, manipular los sistemas de seguridad del dispositivo (por ejemplo, desactivar un cortafuegos/módulo de seguridad del dispositivo).
La comprobación de los eventos del dispositivo observado llevada a cabo localmente en el cliente de red puede ser sólo una primera etapa. Específicamente, se pueden aplicar otras pruebas en la pasarela de red basadas en el informe de eventos del dispositivo enviado desde el cliente de red a la pasarela de red. El informe de eventos del dispositivo comprende una lista de los eventos del dispositivo observados en el cliente de red. En este caso, las pruebas locales llevadas a cabo en el cliente de red son un primer nivel de un sistema de activación de varios niveles para detectar comportamientos no deseados. Las pruebas adicionales opcionales llevadas a cabo en la pasarela de red pueden tener en cuenta las correlaciones entre los eventos de varios dispositivos diferentes. Por lo tanto, en general una coincidencia de un patrón de eventos del dispositivo puede ser sólo uno de varios criterios para provocar un aumento de un nivel de amenaza del cliente asociado con el cliente de red del que se ha recibido el informe de eventos del dispositivo. El hecho de que se lleve a cabo o no dicho aumento y la cantidad del mismo se determinan en base a los patrones de eventos del dispositivo informados por el cliente de red actual y generalmente también por otros clientes de red. Por ejemplo, ciertos patrones de eventos del dispositivo (tales como unirse a una WiFi pública) pueden justificar un incremento por sí mismos, en cuyo caso el patrón de evento del dispositivo puede estar asociado con un incremento que puede ser un incremento constante o una función de los parámetros del evento del dispositivo. Otros patrones de eventos del dispositivo (tales como la encriptación de datos locales), cuando se observan solos no provocarán un incremento de ningún nivel de amenaza del cliente, pero cuando se observan en varios clientes de red dentro de una corta duración, provocarán un incremento de los niveles de amenaza del cliente de todos los clientes involucrados. En cualquier caso, una vez que el nivel de amenaza de un cliente concreto supere el intervalo aceptable predeterminado, se aplicarán las medidas de protección apropiadas (basadas en el huésped y/o en la red), como se ha explicado con más detalle anteriormente.
La selección de medidas de protección basadas en el huésped y/o en la red también puede tener en cuenta el consumo de energía/batería de cada medida de protección a fin de evitar degradar innecesariamente la vida útil de la batería de un cliente de red móvil (dado que el cliente de red es un dispositivo móvil). Se puede lograr un uso óptimo de la batería por medio del control cuidadoso de qué medidas de protección son necesarias y útiles en un dispositivo móvil en función del nivel de amenaza del cliente. En función del nivel de amenaza del cliente y, por lo tanto, de la probabilidad de estar expuesto a una amenaza de seguridad, las medidas que exigen mucha batería, como los escaneos Antivirus, se pueden desactivar por completo (nivel de amenaza bajo), configurarse para un escaneo bajo demanda de los archivos o aplicaciones descargados (nivel de amenaza medio) o activar escaneos completos en el dispositivo móvil a determinados intervalos (nivel de amenaza alto). Esto mantiene un uso óptimo de la batería en ausencia de amenazas a la seguridad y reduce la mala experiencia del cliente en caso de que los módulos de seguridad lleven a cabo innecesariamente operaciones con altas demandas de potencia de cálculo y, por lo tanto, un alto uso de la batería.
A fin de lograr las ventajas descritas anteriormente, el procedimiento implementado por ordenador de acuerdo con la presente invención además puede comprender:
informar sobre un consumo de batería asociado con una medida de protección basada en el huésped desde el cliente de red a la pasarela de red,
modificar la selección y/o el tiempo del comando de acción transmitido desde la pasarela de red a un cliente de red, para instruir al cliente de red para que active una medida de protección basada en el huésped, para que prefiera las medidas de protección basadas en la red o las medidas de protección basadas en el huésped asociadas con un consumo de batería relativamente bajo notificado y/o para que posponga las medidas de protección basadas en el huésped asociadas con un consumo de batería relativamente alto notificado a un nivel de amenaza del cliente superior.
Más específicamente, una primera medida de protección basada en el huésped, que está asociada con un primer consumo de batería notificado, se puede seleccionar (y activar) sólo después de una segunda medida de protección basada en el huésped, que está asociada con un segundo consumo de batería notificado, si el segundo consumo de batería notificado es inferior al primer consumo de batería notificado, o después de una medida de protección basada en la red (por ejemplo, que ofrezca un nivel de protección similar). El orden de selección (y consecuentemente de activación) de las medidas de protección basadas en el huésped y/o en la red se puede lograr por medio de la priorización de las medidas de protección y/o por medio del cambio del nivel de amenaza del cliente, con el que está asociada cada medida de protección (y por el que se activa). Este cambio se puede implementar como un sesgo o compensación basada en el huésped, que se determina a partir del consumo de batería informado por el cliente de red respectivo; es decir, se aplicará sólo al cliente de red específico. El sesgo o la compensación se pueden aplicar a un orden generalmente predefinido de medidas de protección (por ejemplo, predefinido en función de la invasividad de las respectivas medidas).
Para equilibrar aún más la habilitación de las medidas de protección que exigen la batería, el estado actual del suministro de energía (por ejemplo, el nivel de carga de la batería, la conexión de carga) del cliente de red móvil y/o el consumo de energía (la utilización promedio de la batería durante un cierto tiempo) se pueden transmitir a la pasarela de red como una influencia interna. Como tal, puede ser tenido en cuenta por la pasarela de red cuando decida habilitar las medidas de protección que exigen la batería para los dispositivos móviles y puede retener un comando de acción a un dispositivo móvil que ordene tal medida.
Los módulos de seguridad del propio dispositivo móvil pueden estar configurados para decidir la activación de las medidas de protección de la batería por sí mismos (para de ese modo anular el comando de acción enviado por la pasarela de red), si el dispositivo está conectado a una toma de corriente. En este caso, el consumo de batería no es un factor y la desactivación de las medidas de seguridad no es razonable. Estas medidas se pueden desactivar automáticamente, si no se decide lo contrario a través de un comando de acción de la pasarela de red, tan pronto como el dispositivo móvil se desconecte de la toma de corriente y vuelva a alimentarse con la batería.
Además, se puede tener en cuenta un uso de datos asociado durante la selección de las medidas de protección basadas en el huésped y/o en la red. El uso óptimo de los datos móviles en los clientes de red móvil se consigue por medio del control cuidadoso de las operaciones de transferencia de datos pesados. En función del nivel de amenaza del cliente, y por lo tanto de la probabilidad de estar expuesto a una amenaza de seguridad, las acciones que exigen grandes cantidades de datos en el cliente de red móvil, como las actualizaciones de las firmas de seguridad de un motor antivirus, se pueden desactivar durante un determinado período de tiempo (nivel de amenaza bajo), posponerse durante un breve período de tiempo hasta que el cliente de red móvil se encuentre en una red WiFi privada o en otra conexión de datos gratuita (nivel de amenaza medio) o aplicarse aunque pueda suponer un coste para el usuario (nivel de amenaza alto).Otros ejemplos de operaciones que exigen datos móviles son la transferencia de datos de comportamiento de uso desde un cliente de red como una influencia a la pasarela de red. Dichos datos de comportamiento de uso pueden incluir el uso del dispositivo, el uso de las aplicaciones, las posiciones geográficas, la información de conectividad WiFi u otros datos estadísticos de uso disponibles en el dispositivo móvil, todos los cuales no están relacionados con un evento de seguridad real en el dispositivo móvil, sino que son información utilizada como una influencia interna por la pasarela de red a la hora de determinar las medidas de protección óptimas. En particular, estos factores de influencia pueden ser tenidos en cuenta por la pasarela de red a la hora de decidir la habilitación de medidas de protección basadas en el huésped para dispositivos móviles que demanden datos móviles y pueden retener un comando de acción a un dispositivo móvil que ordene dicha medida. Los módulos de seguridad del propio dispositivo móvil pueden estar configurados para decidir llevar a cabo procesos de demanda de datos móviles por su cuenta (para de ese modo anular el comando enviado por el motor de correlación y decisión), por ejemplo si el dispositivo está conectado a una WiFi privada. A fin de lograr las ventajas descritas anteriormente, el procedimiento implementado por ordenador de acuerdo con la presente invención además puede comprender: modificar la selección y/o el momento del comando de acción transmitido desde la pasarela de red a un cliente de red, instruir al cliente de red para que active una medida de protección basada en el huésped, para que prefiera las medidas de protección basadas en la red o las medidas de protección basadas en el huésped que no requieran o requieran menos transferencia de datos que otras medidas de protección basadas en el huésped y/o para que posponga las medidas de protección basadas en el huésped que requieran más transferencia de datos a un nivel de amenaza del cliente superior.
Más específicamente, una primera medida de protección basada en el huésped que, cuando se activa, provocará una mayor cantidad de transferencia de datos, se selecciona sólo después de una segunda medida de protección basada en el huésped que, cuando se activa, no provocará ninguna transferencia de datos o una cantidad menor de transferencia de datos que la primera medida de protección basada en el huésped, o después de una medida de protección basada en la red (por ejemplo, que ofrece un nivel de protección similar). El orden de selección (y consecuentemente de activación) de las medidas de protección basadas en el huésped y/o en la red se puede lograr por medio de la priorización de las medidas de protección y/o por medio del cambio del nivel de amenaza del cliente, con el que está asociada cada medida de protección (y por el que se activa). Este cambio se puede implementar como un sesgo o compensación basada en el huésped; es decir, se puede aplicar sólo a un cliente de red específico. El sesgo o la compensación se pueden aplicar a un orden generalmente predefinido de medidas de protección (por ejemplo, predefinido en función de la invasividad de las respectivas medidas).
Ventajosamente el procedimiento de acuerdo con la presente invención además puede comprender:
recibir, en la pasarela de red, una advertencia de seguridad general de una fuente externa de confianza, después de recibir la advertencia de seguridad general, aumentar, en la pasarela de red, todos los niveles de amenaza del cliente en base al contenido de la advertencia de seguridad general.
En consecuencia, una pasarela de red de acuerdo con la invención puede comprender medios para llevar a cabo las etapas enumeradas anteriormente.
De este modo, las influencias externas, normalmente proporcionadas por sistemas de seguridad independientes y/o redactadas por supervisores humanos, se pueden tener en cuenta a la hora de seleccionar y aplicar las medidas de protección en la pasarela de red y/o en el cliente de red. Algunos ejemplos de advertencias de seguridad generales son: las oleadas de phishing que se están produciendo, las nuevas filtraciones de seguridad que se están aplicando activamente en los dispositivos o cualquier otra información que pueda influir en la evaluación final de la seguridad y en la toma de decisiones.
En la práctica, habrá disposiciones para disminuir el nivel de amenaza del cliente. Por ejemplo, cualquier nivel de amenaza del cliente que no haya cambiado dentro de un período predeterminado (por ejemplo, 12 horas) puede disminuir en un valor constante (es decir, el parámetro de decaimiento) hasta que alcance un valor inicial definido del nivel de amenaza del cliente.
Preferentemente, el procedimiento de acuerdo con la presente invención además puede comprender: después de una cantidad de tiempo predeterminada o a un intervalo regular, disminuir, en la pasarela de red, todos los niveles de amenaza del cliente por medio de un parámetro de decaimiento predeterminado.
En consecuencia, una pasarela de red de acuerdo con la invención puede comprender medios para llevar a cabo la etapa de disminuir los niveles de amenaza del cliente como se ha definido anteriormente.
De acuerdo con una realización preferida de la invención, un sistema de cortafuegos distribuido puede comprender una pasarela de red
para monitorizar un tráfico de red entre un cliente de red y la pasarela de red,
para comprobar el tráfico monitorizado para uno o más patrones de tráfico de red que indiquen un comportamiento no deseado del cliente de red,
para aumentar un nivel de amenaza del cliente asociado con el cliente de reden base a los patrones de tráfico de red coincidentes, si resulta de las pruebas que uno o más patrones de tráfico de red son coincidentes, y para enviar un comando de acción a un cliente de red asociado con dicho nivel de amenaza del cliente, tan pronto como un nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, para instruir al cliente de red para que active una medida de protección basada en el huésped, y
un cliente de red
para recibir un comando de acción desde la pasarela de red, para instruir al cliente de red para que active una medida de protección basada en el huésped, y
para activar la medida de protección basada en el huésped instruida por la pasarela de red tras recibir el comando de acción.
Más preferentemente, la pasarela de red del sistema de cortafuegos distribuido, como se ha definido anteriormente, puede estar configurada para llevar a cabo las etapas de
activar una medida de protección basada en la red tan pronto como el nivel de amenaza de un cliente supere un intervalo aceptable predeterminado,
en el que la medida de protección basada en la red está adaptada para proteger al cliente de red del tráfico de red malicioso o para notificar a un usuario del cliente de red sobre el tráfico de red malicioso.
En particular, el cliente de red del sistema de cortafuegos distribuido definido anteriormente puede estar configurado para llevar a cabo las etapas de
monitorizarlos eventos del dispositivo que se producen en el cliente de red,
comprobar los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indiquen un comportamiento no deseado, y
enviar un informe de eventos del dispositivo desde el cliente de red a la pasarela de red, para informar sobre los patrones de eventos del dispositivo coincidentes, si resulta de las pruebas que uno o más patrones de eventos del dispositivo son coincidentes,
y la pasarela de red del sistema de cortafuegos distribuido puede estar configurada para llevar a cabo las etapas de
recibir un informe de eventos del dispositivo del cliente de red, para informar sobre los patrones de eventos del dispositivo coincidentes, y
aumentar un nivel de amenaza del cliente asociado con el cliente de reden base a los patrones de eventos del dispositivo informados después de recibir el informe de eventos del dispositivo.
Dentro del mismo objeto y propósito que el procedimiento, los dispositivos y los sistemas descritos anteriormente, la presente invención además proporciona un primer producto de programa informático que comprende instrucciones que, cuando el programa es ejecutado por una pasarela de red, provocan que la pasarela de red lleve a cabo las etapas descritas como llevadas a cabo por una pasarela de red de uno de los tipos descritos anteriormente. Específicamente, el primer producto de programa de ordenador de acuerdo con la invención comprende instrucciones que, cuando el programa es ejecutado por una pasarela de red, provocan que la pasarela de red lleve a cabo las etapas de:
monitorizar un tráfico de red entre un cliente de red y la pasarela de red,
comprobar el tráfico monitorizado para uno o más patrones de tráfico de red que indiquen un comportamiento no deseado del cliente de red,
aumentar un nivel de amenaza del cliente asociado con el cliente de reden base a los patrones de tráfico de red coincidentes, si resulta de las pruebas que uno o más patrones de tráfico de red son coincidentes, y enviar un comando de acción a un cliente de red asociado con dicho nivel de amenaza del cliente, tan pronto como el nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, el comando de acción instruye al cliente de red para que active una medida de protección basada en el huésped;
opcionalmente pueden incluir:
activar una medida de protección basada en la red tan pronto como el nivel de amenaza de un cliente supere un intervalo aceptable predeterminado,
en el que la medida de protección basada en la red está adaptada para proteger al cliente de red del tráfico de red malicioso o para notificar a un usuario del cliente de red sobre el tráfico de red malicioso; y/o recibir un informe de eventos del dispositivo de un cliente de red, el informe de eventos del dispositivo informa sobre uno o más patrones de eventos del dispositivo coincidentes, y
aumentar un nivel de amenaza del cliente asociado con el cliente de reden base a los patrones de eventos del dispositivo informados después de recibir el informe de eventos del dispositivo.
La presente divulgación además proporciona un segundo producto de programa informático que comprende instrucciones que, cuando el programa es ejecutado por un cliente de red, provocan que el cliente de red lleve a cabo las etapas descritas como llevadas a cabo por un cliente de red de uno de los tipos descritos anteriormente. Específicamente, el segundo producto de programa de ordenador de acuerdo con la presente divulgación comprende instrucciones que, cuando el programa es ejecutado por un cliente de red, provocan que el cliente de red lleve a cabo las etapas de:
recibir un comando de acción desde una pasarela de red, para instruir al cliente de red para que active una medida de protección basada en el huésped, y
activar la medida de protección basada en el huésped instruida por la pasarela de red tras recibir el comando de acción;
opcionalmente pueden incluir:
monitorizarlos eventos del dispositivo que se producen en el cliente de red,
comprobar los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indiquen un comportamiento no deseado, y
enviar un informe de eventos del dispositivo desde el cliente de red a la pasarela de red, para informar sobre los patrones de eventos del dispositivo coincidentes, si resulta de las pruebas que uno o más patrones de eventos del dispositivo son coincidentes.
Por último, la presente invención también se refiere a un soporte de datos legible por ordenador que tiene almacenado en él el primer producto de programa informático como se ha definido anteriormente. Y la presente divulgación incluye un soporte de datos legible por ordenador que tiene almacenado en él el segundo producto de programa informático como se ha definido anteriormente.
Con referencia a continuación a los dibujos, en los que las figuras son a efectos de ilustrar la presente invención y no a efectos de limitar la misma,
La Fig. 1 muestra esquemáticamente una estructura ejemplar de un sistema de cortafuegos distribuido de acuerdo con la presente invención;
La Fig. 2 muestra esquemáticamente una visión general de tres posibles etapas de ampliación de un sistema de acuerdo con la Fig. 1 para utilizar la presente invención;
La Fig. 3 muestra esquemáticamente una arquitectura de una realización preferida de acuerdo con la presente invención;
La Fig. 4 muestra un diagrama de secuencia que ilustra un caso de uso ejemplar de la presente invención; La Fig. 5 ilustra con más detalle las conexiones de un cliente de red del sistema de cortafuegos distribuido de acuerdo con la presente invención;
La Fig. 6 ilustra el flujo de control de algunos comandos de acción ejemplares transmitidos a través de las conexiones mostradas en la Fig. 5.
La Fig. 1 muestra una estructura ejemplar de un sistema de cortafuegos distribuido que comprende una pasarela de red 1 y tres clientes de red 2. Los clientes de red 2 son dispositivos móviles, en particular smartphones. Se conectan a una red externa 3, por ejemplo, Internet, a través de la pasarela de red 1. La pasarela de red 1 procesa y coloca en un proxy las solicitudes de acceso a la red y las respuestas 4 de los clientes de red 2 a la red externa 3. La pasarela de red 1 es capaz de monitorizar el tráfico de red que se maneja entre los clientes de red 2 y la red externa 3.
La pasarela de red 1 comprende medios para monitorizar un tráfico de red entre un cliente de red 2 y la pasarela de red 1. La pasarela de red 1 comprende medios para comprobar el tráfico monitorizado en busca de uno o más patrones de tráfico de red que indiquen un comportamiento no deseado del cliente de red 2. La pasarela de red 1 comprende medios para aumentar un nivel de amenaza del cliente asociado con el cliente de red 2 basado en uno o más patrones de tráfico de red coincidentes, si resulta de las pruebas que uno o más de los patrones de tráfico de red son coincidentes. Por último, la pasarela de red 1 comprende medios para enviar un comando de acción a un cliente de red 2 asociado con dicho nivel de amenaza del cliente, tan pronto como el nivel de amenaza del cliente excede un intervalo aceptable predeterminado, el comando de acción instruye al cliente de red 2 para que active una medida de protección basada en el huésped. El cliente de red 2 comprende medios para recibir el comando de acción de la pasarela de red 1, instruye al cliente de red para que active una medida de protección basada en el huésped. El cliente de red 2 también comprende medios para activar la medida de protección basada en el huésped instruida por la pasarela de red 1 tras recibir el comando de acción.
La Fig. 2 indica tres etapas diferentes 5, 6, 7 de extensión de un sistema de cortafuegos distribuido de acuerdo con la Fig. 1, las etapas 5, 6, 7 se indican con líneas discontinuas diferentes. Cada una de las etapas 5, 6, 7 comprende diferentes componentes lógicos 8, 9, 11, 12 de un sistema de cortafuegos distribuido. En cada etapa intervienen uno o varios componentes lógicos 8, 9 de un grupo basado en la red ("en red") 10 y uno o varios componentes lógicos 11, 12 de un grupo basado en el huésped ("fuera de la red") 13. Los componentes lógicos 8, 9 del grupo basado en la red 10 se encuentran en la pasarela de red 1. Los componentes lógicos 11, 12 del grupo basado en el huésped 13 se encuentran en cada uno de los clientes de red 2. Todos los componentes lógicos 8, 9, 11, 12 están conectados a un motor de seguridad 14 que se encuentra en parte en la pasarela de red 1 y en parte en los clientes de red 2, como indica su posición superpuesta.
Los componentes lógicos indicados en la Fig. 2 son eventos desencadenantes 8, 11 o acciones desencadenadas 9, 12. Los eventos 8, 11 proporcionan al motor de seguridad 14 información relevante para una evaluación de seguridad, es decir, representan las entradas de la pasarela de red 1 y los clientes de red 2. Las acciones 9, 12 representan las medidas de protección activadas por el motor de seguridad 14 en la pasarela de red 1 (en caso de medidas de protección basadas en la red) y/o en uno o varios de los clientes de red 2 (en caso de medidas de protección basadas en el huésped).
El evento basado en la red 8 es representativo de uno o más desencadenantes basados en la red que se proporcionan para monitorizar el tráfico entre un cliente de red 2 y la pasarela de red 1. La monitorización la lleva a cabo una parte del motor de seguridad 14 situada en la pasarela de red 1, como se indica en la flecha 16. El evento basado en el huésped 11 es representativo de uno o más desencadenantes basados en el huésped que se proporcionan para monitorizar los eventos de los dispositivos que ocurren en un cliente de red 2. La monitorización la lleva a cabo una parte del motor de seguridad 14 situada en el cliente de red 2, como se indica en la flecha 17. La acción basada en la red 9 es representativa de una o más medidas de protección basadas en la red que son activadas y aplicadas por la pasarela de red 1 como se indica en la flecha 18. La acción basada en el huésped 12 es representativa de una o más medidas de protección basadas en el huésped que son activadas y aplicadas por un cliente de red 2 como se indica en la flecha 19.
En la primera etapa 5 de ampliación del sistema de cortafuegos distribuido, el motor de seguridad 14 recibe información únicamente del evento basado en la red 8. En esta etapa el motor de seguridad 14 no recibe información del evento basado en el huésped 11. En cuanto a las medidas de protección, en la primera etapa 5 de extensión el motor de seguridad 14 está configurado para activar sólo una acción basada en el huésped 12, es decir, sólo se activan las medidas de protección basadas en el huésped en respuesta a los incidentes de seguridad detectados a partir del tráfico monitorizado.
En la segunda etapa 6 de extensión, el motor de seguridad 14 sigue recibiendo información sólo del evento basado en la red 8 y no del evento basado en el huésped 11. Sin embargo, en la segunda etapa 6 de extensión, el motor de seguridad 14 está configurado para activar una acción basada en el huésped 12 o una acción basada en la red 9 o ambas acciones 9, 12, es decir, las medidas de protección basadas en el huésped y/o en la red se pueden activar en respuesta a los incidentes de seguridad detectados a partir del tráfico monitorizado.
En la segunda etapa 6 de extensión, la pasarela de red 1 comprende medios para activar una medida de protección basada en la red tan pronto como un nivel de amenaza del cliente excede un intervalo aceptable predeterminado, en la que la medida de protección basada en la red está adaptada para proteger al cliente de red 2 del tráfico de red malicioso o para notificar a un usuario del cliente de red 2 del tráfico de red malicioso.
En la tercera etapa 7 de ampliación del sistema de cortafuegos distribuido, el motor de seguridad 14, además de la segunda etapa 6, también recibe información de un evento basado en el huésped 11. Es decir, el motor de seguridad 14 puede activar medidas de protección basadas en el huésped y/o en la red en respuesta a los incidentes de seguridad detectados a partir del tráfico monitorizado, así como de los eventos de los dispositivos monitorizados de los clientes de red 2.
En la tercera etapa 7 de extensión, el cliente de red 2 comprende medios para monitorizar los eventos del dispositivo que se producen en el cliente de red 2. Además, comprende medios para comprobar los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indican un comportamiento no deseado. Por último, el cliente de red 2 comprende medios para enviar un informe de eventos del dispositivo desde el cliente de red 2 a la pasarela de red 1, para informar sobre los patrones de eventos del dispositivo coincidentes, si resulta de las pruebas que uno o más patrones de eventos del dispositivo son coincidentes. Además, la pasarela de red 1 comprende medios para recibir un informe de eventos del dispositivo de un cliente de red 2, el informe de eventos del dispositivo informa sobre uno o más patrones de eventos del dispositivo coincidentes. La pasarela de red 1 además comprende medios para aumentar un nivel de amenaza del cliente asociado con el cliente de red 2 en base a los patrones de eventos del dispositivo informados después de recibir el informe de eventos del dispositivo. La reacción de la pasarela de red 1 una vez que el nivel de amenaza del cliente sale de un intervalo aceptable se ha descrito anteriormente y se aplica de forma similar a la tercera etapa 7 de extensión.
Si bien la protección más completa se puede lograr con la tercera etapa 7 de extensión del sistema de cortafuegos distribuido, las tres etapas 5, 6, 7 de extensión son realizaciones viables de la presente invención, que proporcionan diferentes graduaciones de seguridad y protección a diferentes complejidades y esfuerzos respectivos del sistema.
En la Fig. 3 se muestra una realización ejemplar de la tercera etapa 7 de ampliación de un sistema de cortafuegos distribuido. El motor de seguridad 14 toma como entrada los eventos de los dispositivos en red 20, que incluyen la pasarela de red 1, y los dispositivos fuera de la red 21, que incluyen los clientes de red 2, además de las influencias internas 22 y las influencias externas 23, y calcula un nivel de amenaza por cliente (por ejemplo, por cliente de red 2 correspondiente). A partir de esta evaluación, se envían controles en forma de comandos de acción a los dispositivos en red 20 y a los dispositivos fuera de la red 21 para desencadenar ciertas acciones, en particular para activar ciertas medidas de protección.
Todos los eventos que ocurren en los dispositivos de la red 20 (tales como un cortafuegos de red o un filtro web de red) y en los dispositivos fuera de la red 21 (tales eventos activados por los módulos de seguridad del dispositivo o los módulos antivirus) se informan al motor de seguridad 14 a medida que ocurren en tiempo real. Los eventos en la red se originan en los dispositivos de seguridad integrados en la red (por ejemplo, el cortafuegos de red, el filtro web de red) y pueden ser cualquiera de los tráficos a sitios web de una determinada categoría sospechosa (por ejemplo, pornografía, juegos de azar, etc.), el tráfico a sitios web ubicados en un país sospechoso (por ejemplo, un cliente en Alemania que accede a un sitio web en Vietnam), la detección de contenido sospechoso en la transacción de la red (por ejemplo, palabras clave que aparecen en los mensajes) o cualquier otra indicación de tráfico sospechoso como tal. Dichos eventos en la red se activan por medio de la coincidencia de los correspondientes patrones de tráfico de la red con el tráfico monitorizado entre los dispositivos en la red, que incluye la pasarela de red 1, y los dispositivos fuera de la red, que incluyen los clientes de red 2. Los eventos fuera de la red pueden provenir directamente de los módulos de seguridad dedicados instalados en los dispositivos del cliente que actúan como clientes de red 2 (por ejemplo, módulos de seguridad del dispositivo, software antivirus) y pueden ser cualquiera de entrar en una WiFi pública no segura, participar en una transferencia de archivos a través de una conexión Bluetooth con un tercero, la manipulación de los sistemas de seguridad del dispositivo (por ejemplo, la desactivación de un módulo de cortafuegos en el dispositivo) o cualquier otra indicación de acciones sospechosas como tal. Dichos eventos fuera de la red se desencadenan por medio de la coincidencia de los correspondientes patrones de eventos del dispositivo con los eventos de dispositivos monitorizados en los dispositivos fuera de la red, incluidos los clientes de red.
Las influencias 22, 23 indicadas en la Fig. 3 proporcionan una fuente de información adicional que permite al motor de seguridad 14 una mejor visión de los eventos recogidos en la red y/o fuera de la red a fin de mejorar la correlación y la toma de decisiones llevada a cabo por el motor de seguridad. Las influencias internas 22 se calculan y recogen a partir de los datos recogidos por los eventos y desencadenantes descritos anteriormente y pueden ser cualquiera de la cantidad (recuento) de eventos de una sola fuente, el intervalo de tiempo entre los eventos, la cronología de los eventos, diferentes eventos con la misma causa de seguridad subyacente o cualquier otra combinación de eventos individuales, que pueden influir en la evaluación de seguridad final y la toma de decisiones. Las influencias externas 23 son proporcionadas desde fuera del sistema de cortafuegos distribuido, normalmente por seres humanos que alimentan el motor de seguridad 14 con información útil para la toma de decisiones. Se puede tratar de información relativa a las oleadas de phishing en curso, a las nuevas fugas de seguridad que se están aplicando activamente en los dispositivos o a cualquier otra información que pueda influir en la evaluación final de la seguridad y en la toma de decisiones.
Todas las entradas, que incluyen los eventos en la red, los eventos fuera de la red y las influencias internas y externas se registran en una base de datos de eventos 24. El motor de seguridad 14 evalúa el contenido de la base de datos de eventos 24 y calcula un nivel de amenaza por cliente de red en tiempo real, basándose en los eventos e influencias reales y almacenados. El nivel de amenaza del cliente puede ser una suma ponderada de todos los eventos correlacionados que permite evaluar la situación de seguridad de cada cliente/red individual. Las acciones de control se activan si el nivel de tratamiento de un cliente alcanza un umbral y supera un intervalo aceptable predeterminado (véase la Fig. 4).
Dependiendo del nivel de amenaza de un cliente de red, ciertas acciones se activarán a través de los canales de control de los dispositivos 20, 21 tanto dentro como fuera de la red. Estas acciones se activan si el nivel de amenaza del cliente se eleva por encima de un determinado umbral (marcas de agua altas) o por debajo de un determinado umbral (marcas de agua bajas). Cuando la marca de agua es alta, se activan las acciones para garantizar la seguridad del cliente (y su cliente de red), mientras que cuando la marca de agua es baja, estas medidas de seguridad adicionales se reducen de nuevo.
Las acciones desencadenadas desde el nivel de amenaza del cliente para los dispositivos de seguridad en red 20 pueden ser, dependiendo de la gravedad del nivel de amenaza real, inyectar advertencias en el flujo de datos de los clientes por medio de mensajes HTML para concienciar sobre las amenazas, permitir el bloqueo del tráfico de las categorías sospechosas, restablecer las anulaciones de los clientes que se han hecho para eludir las medidas de seguridad en red (por ejemplo, debido a falsas alarmas positivas) como una acción de precaución o cualquier otra acción que permita las medidas de seguridad en red (en la red de) un operador. En función del nivel de amenaza del cliente, se activa la acción de seguridad menos invasiva para garantizar el estado de seguridad general de un cliente y evitar en la medida de lo posible los efectos secundarios negativos que se notarían si todas las acciones se aplicaran todo el tiempo (por ejemplo, limitación del tráfico del cliente, sitios no accesibles, flujos de datos capados). Las acciones desencadenadas desde el nivel de amenaza del cliente para los dispositivos de seguridad fuera de la red 21 pueden ser, dependiendo de la gravedad del nivel de amenaza real, enviar un mensaje al dispositivo del cliente (el cliente de red) para concienciar sobre las amenazas de seguridad por medio de una pasarela de mensajes (por ejemplo, SMS, Mm S, Correo Electrónico, Notificación de Inserción), ejecutar escaneos antivirus rápidos/superficiales o lentos/profundos en el cliente de red, detener la ejecución de aplicaciones desconocidas como acción de precaución, prohibir el acceso a redes WiFi públicas o conexiones Bluetooth o cualquier otra acción que active una medida de seguridad fuera de la red (en el dispositivo de) los clientes. En función del nivel de amenaza del cliente, se activa la acción de seguridad menos invasiva para garantizar el estado de seguridad general del dispositivo del cliente y evitar en la medida de lo posible los efectos secundarios negativos que se notarían si todas las acciones se aplicaran todo el tiempo (por ejemplo, el agotamiento de la batería debido a los constantes análisis antivirus, la prohibición de iniciar aplicaciones desconocidas, la prohibición de unirse a redes WiFi públicas). La correlación de eventos de los dispositivos 20, 21, tanto dentro como fuera de la red, permite combinar los resultados y calcular un nivel de amenaza del cliente específico para el usuario, una métrica que se puede utilizar para evaluar el riesgo de que un usuario esté expuesto a amenazas de seguridad. Los módulos de seguridad independientes, como se conocen en la técnica anterior, sólo pueden ver y basar sus acciones en los resultados individuales de sus análisis. Una combinación de diversas herramientas y procedimientos, tanto en la red como fuera de ella, permite tener una visión mucho más amplia, evaluar el riesgo y poner en marcha acciones para garantizar la seguridad del usuario.
Además, muchas medidas de protección consumen mucho tiempo y/o tienen un alto impacto en el rendimiento (por ejemplo, el escaneo antivirus o el análisis profundo de aplicaciones como el aislamiento de procesos). Llevar a cabo estas medidas constantemente sin que el usuario note una degradación del rendimiento no es factible. Debido a este impacto en el rendimiento, estas medidas a menudo sólo se aplican en intervalos de tiempo específicos, lo cual de este modo degrada la seguridad alcanzable.
De acuerdo con la presente invención, los niveles de amenaza del cliente se pueden ajustar constantemente y calcularse en tiempo real a partir de
- Desencadenantes/eventos en la red
° Detección de accesos a objetivos de red sospechosos basados en la categorización de URLs
° Detección de firmas de comunicación de red maliciosa basada en la detección de patrones
° Otros desencadenantes que detectan comportamientos inusuales o maliciosos en la comunicación de red - Desencadenantes/eventos fuera de la red
° Cambio de la conexión WiFi a una conexión insegura/no encriptada, conexión directa punto a punto a un dispositivo desconocido o a un punto de acceso falso
° Establecimiento de una conexión Bluetooth con el propósito de intercambiar archivos
° Uso de software de dispositivo sospechoso o que haya llevado a cabo un comportamiento malicioso ° Otro desencadenante que detecta un comportamiento inusual o malicioso del software en el dispositivo Los cálculos se llevan a cabo por medio de la multiplicación de los eventos desencadenantes por un peso (gravedad del desencadenante) y la suma de los eventos que ocurren en un marco temporal específico (período de observación).
Si el nivel de amenaza de un usuario supera un umbral configurado, se activan automáticamente medidas de protección específicas en el dispositivo y/o en la red para garantizar la seguridad:
• El análisis antivirus del dispositivo para detectar y eliminar el código malicioso
• El escaneo profundo de las aplicaciones en ejecución en busca de comportamientos inusuales o maliciosos • La notificación activa al usuario para informarle de una posible amenaza por medio de SMS, correo electrónico, notificación de inserción o cualquier otro medio de comunicación directa al usuario
• En última instancia, la desconexión del dispositivo de la red (apagado de la conexión de red) para eliminar el riesgo de violación de la privacidad de los datos o de que un código malicioso provoque daños.
La Fig. 4 ilustra un caso de uso ejemplar de la presente invención en un diagrama de secuencia. Para simplificar, sólo se muestra un usuario 25 y un cliente de red 26. Por supuesto, otros clientes de red pueden interactuar con la misma pasarela de red 27 simultáneamente. La escala de tiempo apunta hacia abajo en la Fig. 4. Sólo los eventos sospechosos o los que tienen impacto en el nivel de amenaza del cliente se destacan en el diagrama. Entre estos eventos, el cliente puede llevar a cabo muchas acciones diferentes que no alteran el nivel de amenaza de ninguna manera (por ejemplo, acceder a varios sitios web o llevar a cabo tráfico de Internet inofensivo).
En la etapa 28, el usuario 25 accede a un sitio web conocido A de la categoría "Juegos de Azar" (es decir, un sitio web conocido por el sistema de cortafuegos distribuido, por ejemplo, registrado en una lista gris por medio de una influencia externa), que indica un sitio web dedicado al juego ilegal en línea (por ejemplo, casinos en línea). Un acceso a un sitio web de esta categoría de Internet indica un ligero aumento del riesgo de amenazas a la seguridad y eleva el nivel de amenaza del cliente asociado al cliente de red 26 en 0,1 en la etapa 29. El nivel de amenaza del cliente para el usuario 25 se establece ahora en 0,1.De lo contrario, el contenido solicitado se procesa como se esperaba.
En la etapa 30, el usuario 25 accede a un sitio web conocido B en la categoría "Violencia/Discurso de Odio", que indica un sitio web con contenido violento y/o discurso de odio. Un acceso a un sitio web en esta categoría de Internet indica un ligero aumento del riesgo de amenazas a la seguridad y eleva el nivel de amenaza del cliente de nuevo en 0,1 en la etapa 31. El nivel de amenaza del cliente para el usuario 25 se establece ahora en 0,2. Por otra parte, si el sitio web B fuera desconocido, es decir, situado en un dominio válido (en términos de registro), pero con contenido desconocido (por ejemplo, ni en la lista negra, ni en la lista gris, ni en la lista blanca), un acceso a un sitio web de esta categoría de Internet también indica un ligero aumento del riesgo de amenazas a la seguridad y eleva el nivel de amenaza del cliente en 0,1.
En la etapa 32 el cliente de red 26 cambia a una conexión WiFi insegura. Esto sucede si se conecta un punto de acceso WiFi público, que suele encontrarse en lugares públicos para uso gratuito de los clientes. El uso de un punto de acceso WiFi de este tipo con una situación de seguridad poco clara (por ejemplo, sin encriptación del WiFi o con una encriptación que no sea de confianza, otros clientes en el WiFi que intentan piratear a los participantes, vigilancia ilegal del tráfico en el punto de acceso WiFi) indica un aumento del riesgo de amenazas a la seguridad. Se detecta como un evento del dispositivo y se informa a la pasarela de red 27, que eleva el nivel de amenaza del cliente en 1,0 en respuesta al informe del evento del dispositivo 33. El nivel de amenaza del cliente para el usuario 25 se establece ahora en 1,2.
En la etapa 34, el usuario 25 descarga contenidos a través de la conexión WiFi insegura. Esto aumenta el riesgo de amenazas a la seguridad y eleva el nivel de amenaza del cliente en 0,3. El nivel de amenaza del cliente para el usuario 25 se establece ahora en 1,5. Un nivel de amenaza del cliente de 1,5 corresponde a la primera marca de agua y permite un nivel de Advertencia. La activación del nivel de advertencia desencadena inmediatamente la primera acción 35. El cliente de red 26 recibe una notificación de la pasarela de red 27 para activar un escaneo de virus del dispositivo. El escaneo de virus se lleva a cabo en la etapa 36 y el resultado se comunica a la pasarela de red 27.
A continuación, el cliente de red no activa ningún nuevo evento. Un socio externo 37 informa de una oleada de Phishing que se está ejecutando en estos momentos, dirigida a un proveedor de pagos. Esta influencia externa es registrada por la pasarela de red 27. En la etapa 38, el usuario 25 accede a un sitio web conocido D de la categoría "Phishing", que indica un sitio web dirigido a robar los datos del usuario con el propósito de robar la identidad o hacer un fraude con la tarjeta de crédito. Esto aumenta aún más el riesgo de amenazas a la seguridad y, en combinación con la influencia externa del informe del socio externo 37, eleva el nivel de amenaza del cliente en 1,0. El nivel de amenaza del cliente para el usuario 25 se establece ahora en 2,5. El nivel de amenaza del cliente de 2,5 sigue estando por encima de una primera marca de agua y se mantiene en el nivel de Advertencia.
Al procesar el nuevo evento y permanecer en el nivel de Advertencia se activa la siguiente acción 39 para este nivel. Al usuario 25 se le mostrará una pantalla de advertencia en la red que llamará la atención sobre posibles amenazas a la seguridad del cliente (por ejemplo, "Le advertimos de que se está produciendo un ataque de phishing dirigido a los clientes del proveedor de pagos XYZ").
En la etapa 40, el cliente de red 26 muestra el tráfico hacia un dominio extranjero inusual. Esto aumenta aún más el riesgo de amenazas a la seguridad y, en combinación con la cantidad de eventos, que desencadena una correlación en la etapa 41 como influencia interna, eleva el nivel de amenaza del cliente en 0,5. El nivel de amenaza del cliente para el usuario 25 se establece ahora en 3,0. La cantidad de tráfico hacia el dominio extranjero inusual está por encima de la cantidad de tráfico promedio hacia este país y, por lo tanto, se suma al nivel de amenaza del cliente. El nivel de amenaza del cliente ha alcanzado una segunda marca de agua alta de 3,0, que permite el nivel de Riesgo. Se activan inmediatamente las acciones 42, 43 En Red y Fuera de la Red para el nivel de Riesgo. Las acciones en red 42 permiten avisar del tráfico a categorías web sospechosas para el usuario 25 (por ejemplo, sitios web de categorías como "Juegos de azar", "Violencia" o "Discurso de Odio"). Las ventanas emergentes de advertencia tienen como objetivo aumentar la conciencia de seguridad del clientelas acciones fuera de la red 43 activan un escaneo profundo del dispositivo del cliente con el objetivo de encontrar aplicaciones sospechosas que puedan ser la fuente de los eventos de tráfico sospechosos.
A partir de ese momento, no se notifican más eventos, ni En Red ni Fuera de la Red, durante las siguientes 24 horas para este usuario 25. El nivel de amenaza del cliente ha disminuido en 1,0 puntos debido a que no hay nuevos eventos y ahora vuelve al nivel de Advertencia. El retroceso al nivel de Advertencia desactiva las advertencias en la red para el tráfico hacia categorías web sospechosas de nuevo, lo cual de ese modo reduce las medidas de seguridad que se imponen al usuario 25.
La Fig. 5 muestra un dispositivo móvil 44 (fuera de la red) como un cliente de red conectado a través de una conexión de datos móviles 45 proporcionada por un operador de red móvil 46 a Internet 47. El operador de red móvil 46 proporciona una pasarela de red con un componente de seguridad de red en red 48 que está configurado para monitorizar el tráfico de los clientes móviles tales como el dispositivo móvil 44. El componente de seguridad de red en red 48 está conectado a un motor de seguridad 50 a través de una red de operador. El dispositivo móvil 44 se conecta a través de una red WiFi pública o privada 49 a Internet 47.
El dispositivo móvil 44 comprende componentes fuera de la red implementados como módulos de seguridad que están conectados al motor de seguridad 50 a través de la conexión de datos móviles 45. Los mensajes de eventos 51 al motor de seguridad 50 se envían desde los módulos de seguridad instalados en el dispositivo móvil 44 de un usuario y desde el componente de seguridad de red 48 que supervisa el tráfico de red de los usuarios móviles. Los mensajes de influencia interna 52 al motor de seguridad 50 se envían desde los módulos de seguridad instalados en el dispositivo móvil 44 de un usuario. Estos mensajes incluyen datos de comportamiento del usuario, tales como el uso del dispositivo móvil en general, el uso de la aplicación, la información de conectividad de la red, la posición geográfica u otra información estadística disponible en el dispositivo móvil 44 que puede ser importante para detectar un comportamiento anormal y puede actuar como una influencia interna 22 (véase la Fig. 3) para el cálculo del nivel de amenaza del cliente. Además, los mensajes de influencia externa 53 pueden ser enviados al motor de seguridad 50 por operadores humanos 54 o automáticamente a través de APIs para cualquier tipo de información general que pueda influir en el nivel de amenaza del cliente de todos los usuarios, tales como los ataques en curso a nivel mundial o dirigidos a ciertos dispositivos/usuarios, tales como ataques de phishing, brotes de malware o eventos de seguridad en general.
Los comandos de acción 55 a los módulos de seguridad en el dispositivo móvil 44 y al componente de seguridad de la red 48 se envían desde el motor de seguridad 50 cuando se alcanzan ciertos umbrales del nivel de amenaza del cliente de un usuario o cliente de red particular. Además, los comandos de acción 55 pueden ser activados directamente por los operadores humanos 54 a través del motor de seguridad 50 a los usuarios individuales o globalmente a todos los usuarios para forzar una acción específica en los componentes en red o fuera de la red. La necesidad de dicha interacción humana puede ser la interacción con un usuario a través de un canal fuera del ámbito del sistema de nivel de amenaza (por ejemplo, para ayudar a un usuario por teléfono en un servicio de asistencia).
La Fig. 6 ilustra algunos flujos de mensajes y de control ejemplares indicados por flechas. El cliente accede 56 a un sitio web conocido que distribuye malware. El acceso es detectado por el componente de seguridad de red 48 en la red del operador. Desde este módulo se envía un evento 57 al motor de seguridad 50. El motor de seguridad 50 desencadena una acción 58 y envía un mensaje al dispositivo móvil 44 para habilitar un módulo de seguridad antivirus. El cliente abre un archivo adjunto de correo electrónico en su dispositivo móvil 44. El módulo de seguridad antivirus analiza el archivo adjunto del correo electrónico y encuentra un fragmento de código sospechoso. Desde este módulo se envía un evento 59 al motor de seguridad 50. El motor de seguridad 50 desencadena una acción 60 y envía un mensaje al dispositivo móvil del cliente para que habilite el módulo de seguridad antivirus para llevar a cabo un análisis inmediato del sistema de archivos completo. Además, las exploraciones se programan repetidamente. (Estas acciones exigen mucha potencia de cálculo y batería). El módulo de seguridad del dispositivo móvil decide 61, en base a la energía de la batería disponible en el dispositivo móvil 44 (por ejemplo, un teléfono), posponer el análisis antivirus programado para un momento posterior. Posteriormente, el dispositivo móvil 44 se conecta a una toma de corriente y el módulo de seguridad del dispositivo móvil ahora decide 62 llevar a cabo el análisis antivirus programado. Después de un período de no recibir ningún evento nuevo del dispositivo móvil 44, el motor de seguridad activa una acción 63 y desactiva el módulo de seguridad Antivirus. (Esto reduce el consumo de energía en el dispositivo móvil). El usuario llama al servicio de asistencia telefónica y pide ayuda porque el dispositivo móvil ya no es utilizable (por ejemplo, la pantalla está bloqueada y asegurada con una frase de contraseña por una infección de malware). Un operador humano envía 64 un mensaje de control 65 a través del motor de seguridad 50 al componente de seguridad de la red 48 para detener todo el tráfico del dispositivo móvil 44 afectado para evitar cualquier fuga de datos y otro mensaje de control 66 directamente a los módulos de seguridad del dispositivo móvil 44 para iniciar un escaneo Antivirus para limpiar el incidente de seguridad.

Claims (12)

REIVINDICACIONES
1. Un procedimiento implementado por ordenador que comprende:
monitorizar, en una pasarela de red (1), un tráfico de red entre un cliente de red (2) y la pasarela de red (1), comprobar, en la pasarela de red (1), si el tráfico monitorizado coincide con uno o varios patrones de tráfico de red que indican un comportamiento no deseado del cliente de red (2),
si resulta de las pruebas que el tráfico monitorizado coincide con uno o más patrones de tráfico de red que indican un comportamiento no deseado, aumentar, en la pasarela de red (1), un nivel de amenaza del cliente asociado con el cliente de red (2) basado en los uno o más patrones de tráfico de red coincidentes, transmitir, tan pronto como el nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, un comando de acción desde la pasarela de red (1) al cliente de red (2) asociado con dicho nivel de amenaza del cliente, para instruir al cliente de red (2) para que active una medida de protección basada en el huésped, después de recibir el comando de acción, activar, en el cliente de red (2), la medida de protección basada en el huésped instruida por la pasarela de red (1),
en el que la medida de protección basada en el huésped en el cliente de red activada por la recepción del comando de acción está adaptada para obstruir otros comportamientos no deseados.
2. Un procedimiento implementado por ordenador de acuerdo con la reivindicación 1, que además comprende activar, tan pronto como el nivel de amenaza del cliente supere un intervalo aceptable predeterminado, en la pasarela de red (1), una medida de protección basada en la red,
en el que la medida de protección basada en la red está adaptada para proteger al cliente de red (2) del tráfico de red potencialmente malicioso o para notificar a un usuario del cliente de red (2) sobre el tráfico de red malicioso,
en el que el tráfico de red malicioso es el tráfico de red relacionado con el comportamiento no deseado indicado por los patrones de tráfico de red coincidentes.
3. Un procedimiento implementado por ordenador de acuerdo con la reivindicación 1 o 2, que además comprende paralelamente a la monitorización del tráfico de red entre el cliente de red (2) y la pasarela de red (1) en la pasarela de red (1), monitorizar, en el cliente de red (2), los eventos de dispositivo que se producen en el cliente de red (2),
comprobar, en el cliente de red (2), los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indiquen un comportamiento no deseado,
si resulta de las pruebas que uno o más patrones de eventos del dispositivo coinciden, transmitir un informe de eventos del dispositivo (33) desde el cliente de red (2) a la pasarela de red (1), para informar sobre los patrones de eventos del dispositivo coincidentes,
después de recibir el informe de eventos del dispositivo (33), aumentar, en la pasarela de red (1), el nivel de amenaza del cliente asociado con el cliente de red (2) del que se ha recibido el informe de eventos del dispositivo (33) en base a los patrones de eventos del dispositivo informados.
4. Un procedimiento implementado por ordenador de acuerdo con una de las reivindicaciones 1 a 3, que además comprende
informar sobre un consumo de batería asociado con la medida de protección basada en el huésped desde el cliente de red (2) a la pasarela de red (3),
modificar la selección y/o el tiempo del comando de acción transmitido desde la pasarela de red (1) al cliente de red (2), para instruir al cliente de red (2) para que active la medida de protección basada en el huésped, para que prefiera las medidas de protección basadas en la red o las medidas de protección basadas en el huésped asociadas con un consumo de batería relativamente bajo notificado y/o para que posponga las medidas de protección basadas en el huésped asociadas con un consumo de batería relativamente alto notificado a un nivel de amenaza del cliente superior.
5. Un procedimiento implementado por ordenador de acuerdo con una de las reivindicaciones 1 a 4, que además comprende modificar la selección y/o el momento de la orden de acción transmitida desde la pasarela de red (1) al cliente de red (2), para instruir al cliente de red (2) para que active la medida de protección basada en el huésped, para que prefiera las medidas de protección basadas en la red o las medidas de protección basadas en el huésped que no requieran o requieran menos transferencia de datos que otras medidas de protección basadas en el huésped y/o para que posponga las medidas de protección basadas en el huésped que requieran más transferencia de datos a un nivel de amenaza del cliente superior.
6. Una pasarela de red (1) que comprende medios para llevar a cabo las etapas de
monitorizar un tráfico de red entre un cliente de red (2) y la pasarela de red (1), para comprobar si el tráfico monitorizado coincide con uno o varios patrones de tráfico de red que indiquen un comportamiento no deseado del cliente de red (2);
si resulta de las pruebas que el tráfico monitorizado coincide con uno o más patrones de tráfico de red que indican un comportamiento no deseado, aumentar un nivel de amenaza del cliente asociado con el cliente de red (2) basado en el uno o más patrones de tráfico de red coincidentes; y
enviar un comando de acción al cliente de red (2) asociado con dicho nivel de amenaza del cliente, tan pronto como el nivel de amenaza del cliente exceda un intervalo aceptable predeterminado, el comando de acción instruye al cliente de red (2) para que active una medida de protección basada en el huésped,
en el que el comando de acción es uno de los diferentes comandos de acción que activan diferentes medidas de protección basadas en el huésped en el cliente de red, dependiendo del nivel de amenaza actual del cliente.
7. Una pasarela de red (1) de acuerdo con la reivindicación 6, que comprende medios para llevar a cabo la etapa de
activar una medida de protección basada en la red tan pronto como el nivel de amenaza del cliente supere un intervalo aceptable predeterminado,
en la que la medida de protección basada en la red está adaptada para proteger al cliente de red (2) del tráfico de red malicioso o para notificar a un usuario del cliente de red (2) sobre el tráfico de red malicioso.
8. Una pasarela de red (1) de acuerdo con la reivindicación 6 o 7, que comprende medios para llevar a cabo las etapas de
recibir un informe de eventos del dispositivo (33) del cliente de red (2), el informe de eventos del dispositivo (33) informa sobre uno o más patrones de eventos del dispositivo coincidentes, y
aumentar el nivel de amenaza del cliente asociado con el cliente de red (2) en base a los patrones de eventos del dispositivo informados después de recibir el informe de eventos del dispositivo (33).
9. Un sistema de cortafuegos distribuido que comprende una pasarela de red (1) de acuerdo con una de las reivindicaciones 6 a 8 y un cliente de red (2) que comprende medios para llevar a cabo las etapas de recibir un comando de acción desde la pasarela de red (1), para instruir al cliente de red (2) para que active una medida de protección basada en el huésped, y
activar la medida de protección basada en el huésped instruida por la pasarela de red (1) tras recibir el comando de acción.
10. Un sistema de cortafuegos distribuido de acuerdo con la reivindicación 9, en el que el cliente de red (2) comprende medios para llevar a cabo las etapas de
monitorizarlos eventos del dispositivo que se producen en el cliente de red (2),
comprobar los eventos del dispositivo monitorizado para uno o más patrones de eventos del dispositivo que indiquen un comportamiento no deseado, y
enviar un informe de eventos del dispositivo (33) desde el cliente de red (2) a la pasarela de red (1), para informar sobre los patrones de eventos del dispositivo coincidentes, si resulta de las pruebas que uno o más patrones de eventos del dispositivo son coincidentes.
11. Un producto de programa de ordenador que comprende instrucciones que, cuando el programa es ejecutado por una pasarela de red (1), provocan que la pasarela de red (1) lleve a cabo las etapas definidas en una de las reivindicaciones 6 a 8.
12. Un soporte de datos legible por ordenador que tiene almacenado en el mismo el producto de programa informático de la reivindicación 11.
ES17798167T 2016-11-03 2017-11-03 Sistema de cortafuegos distribuido Active ES2898070T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP16197107.2A EP3319355A1 (en) 2016-11-03 2016-11-03 Distributed firewall system
PCT/EP2017/078147 WO2018083219A1 (en) 2016-11-03 2017-11-03 Distributed firewall system

Publications (1)

Publication Number Publication Date
ES2898070T3 true ES2898070T3 (es) 2022-03-03

Family

ID=57281001

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17798167T Active ES2898070T3 (es) 2016-11-03 2017-11-03 Sistema de cortafuegos distribuido

Country Status (4)

Country Link
US (1) US11140129B2 (es)
EP (2) EP3319355A1 (es)
ES (1) ES2898070T3 (es)
WO (1) WO2018083219A1 (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10635822B2 (en) * 2017-11-30 2020-04-28 Bank Of America Corporation Data integration system for triggering analysis of connection oscillations
CN110083701B (zh) * 2019-03-20 2023-07-21 重庆邮电大学 一种基于平均影响力的网络空间群体性事件预警系统
US11765590B2 (en) * 2020-09-15 2023-09-19 Sophos Limited System and method for rogue device detection
US11956117B1 (en) * 2023-05-22 2024-04-09 Google Llc Network monitoring and healing based on a behavior model

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418733B2 (en) * 2002-08-26 2008-08-26 International Business Machines Corporation Determining threat level associated with network activity
US8244745B2 (en) * 2005-12-29 2012-08-14 Nextlabs, Inc. Analyzing usage information of an information management system
US8286243B2 (en) * 2007-10-23 2012-10-09 International Business Machines Corporation Blocking intrusion attacks at an offending host
US9552478B2 (en) * 2010-05-18 2017-01-24 AO Kaspersky Lab Team security for portable information devices
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US20160198341A1 (en) * 2012-12-11 2016-07-07 Koninklijke Kpn N.V. Communication Between a Mobile Device and Telecommunications Network
US9798883B1 (en) * 2014-10-06 2017-10-24 Exabeam, Inc. System, method, and computer program product for detecting and assessing security risks in a network
US10003606B2 (en) * 2016-03-30 2018-06-19 Symantec Corporation Systems and methods for detecting security threats

Also Published As

Publication number Publication date
EP3319355A1 (en) 2018-05-09
EP3536004B1 (en) 2021-09-22
EP3536004A1 (en) 2019-09-11
WO2018083219A1 (en) 2018-05-11
US11140129B2 (en) 2021-10-05
US20200267120A1 (en) 2020-08-20

Similar Documents

Publication Publication Date Title
US20240154996A1 (en) Secure Notification on Networked Devices
US10594732B2 (en) Selective traffic blockage
US11201883B2 (en) System, method, and apparatus for data loss prevention
US9055090B2 (en) Network based device security and controls
ES2898070T3 (es) Sistema de cortafuegos distribuido
US20160232349A1 (en) Mobile malware detection and user notification
RU2477520C1 (ru) Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства
US20070117593A1 (en) System and method for detection and notification of improper access of a wireless device
Penning et al. Mobile malware security challeges and cloud-based detection
JP2013175166A (ja) サービスの漸進劣化によりネットワーク保護を提供する方法およびシステム
US9124617B2 (en) Social network protection system
Chen et al. Simple and effective method for detecting abnormal internet behaviors of mobile devices
Xenakis et al. Attacking the baseband modem of mobile phones to breach the users' privacy and network security
BalaGanesh et al. Smart devices threats, vulnerabilities and malware detection approaches: a survey
Khatri et al. Mobile guard demo: network based malware detection
Ghallali et al. Mobile phones security: the spread of malware via MMS and Bluetooth, prevention methods
Agrawal et al. Pegasus: Zero-Click spyware attack–its countermeasures and challenges
Shaulov Bridging mobile security gaps
Ghallali et al. Security of mobile phones: Prevention methods for the spread of malware
Ugus et al. A leaky bucket called smartphone
Patil et al. Pegasus: Transforming Phone Into A Spy
Copeland et al. Securing enterprise mobile information
AMMARI et al. MOBILE SECURITY: SECURITY MECHANISMS AND PROTECTION OF MOBILE APPLICATIONS.
US11956216B2 (en) Security system for individually-owned electronic devices
Liu et al. A survey on smartphone security