¿Qué es un NextGeneration Firewall?

Según los resultados de las últimas encuestas realizadas a los administradores de la seguridad en las organizaciones públicas y privadas en el mundo, nos encontramos con tres necesidades principales:

  • Visibilidad. Los administradores de la seguridad desean tener una mejor visión de lo que ocurre en su red. Esta ha sido la primera necesidad de los administradores por años.
  • Bloquear amenazas desconocidas. Ya no es suficiente con bloquear las amenazas conocidas, las que tenemos bien identificadas en nuestros archivos de identificación (también conocidos como huellas) o las que hemos tenido el tiempo de desarmar, analizar y documentar. En este momento el desafío más grande es protegernos de las amenazas que no han atacado a ninguna organización aún.
  • Responder a incidentes de forma automática. Este punto lo considero muy importante y es el que está cambiando al mercado. Porque a veces tenemos el registro de un incidente dentro de nuestro dispositivo de seguridad pero el administrador no ha tenido el tiempo de verlo o no tiene la preparación o la experiencia para detectarlo e iniciar una respuesta en un corto tiempo. En este caso necesitamos que el dispositivo de seguridad realice solo y automáticamente una tarea, como puede ser aislar la estación de trabajo comprometida o aislar el servidor que fue vulnerado por algún ransomware.

Respondiendo la pregunta inicial, un Next-Generation Firewall es un dispositivo de seguridad que realiza al menos estas tres funciones:

  • Visibilidad y Control de la actividad de los usuarios y aplicaciones en la red. Fíjense que no hablamos ya de una dirección IP, un rango de direcciones IPs o incluso un mac address, hablamos que este dispositivo debe tener cierta inteligencia para identificar usuarios y a su vez analizar los paquetes que viajan a través de él para vincularlos con una aplicación. También deben monitorear y controlar el ancho de banda utilizado por ese usuario y la aplicación identificados anteriormente.
  • Prevenir ataques externos. Este punto también nos habla de inteligencia. No solo debe detectar que un equipo en una red externa está intentando acceder a nuestra red local sino también poder detectar técnicas de explotación, amenazas desconocidas, ataques de ransomware, robo de credenciales e incluso malware sigiloso.
  • Ser un punto de control para detener amenazas y evitar que un malware se distribuya y/o extraiga datos entre subredes locales y hacia redes externas.

Todos los comentarios son bien recibidos.