10 preguntas que se deben hacer a un posible proveedor de DNS Firewall

Formas de implementación

Empecemos por lo básico; actualmente hay 3 formas de implementar el DNS Firewall:

• Software open source in situ: Acceso a feeds de datos de inteligencia de amenazas provenientes de un tercero mediante la infraestructura de tu DNS.
• Solución/dispositivo in situ: Está ubicado en tu red y funciona como un sistema de gestión para la infraestructura de seguridad de tu DNS y utiliza feeds de datos de inteligencia de amenazas.
• Nube: Un servicio externo a tu red, en donde un tercero gestiona tus solicitudes de DNS.

1. ¿Cómo se instala y se configura DNS Firewall?

Asegúrate de adoptar una visión holística de esta implementación y tener en cuenta el “panorama general”. Elige una solución que satisfaga tus necesidades y que no solo sea la más rápida de instalar. Elementos clave que se deben considerar:

1. Calidad de los datos de amenazas
2. Precio
3. Control
4. Flexibilidad
5. Transparencia
6. Apoyo
7. Periodo de prueba ¹

• Software open source in situ: Se trata de una implementación más técnica porque configuras los feeds de datos de inteligencia de amenazas directamente en tu DNS. Aquí es vital comprender el apoyo que te dará el proveedor de servicios durante la implementación.
• Dispositivo in situ: Normalmente, involucra una implementación con un mayor grado de profundidad. Te pedirán que hagas cambios directamente en tu DNS.
• Servicio en la nube: Normalmente, solo te pedirán que hagas unos cambios mínimos a la configuración de tu DNS. Tendrás que apuntar tu resolución recursiva a una dirección IP diferente, mediante la cual se ejecutará la resolución de tu DNS.

2. ¿Cuánto cuesta?

El costo siempre es un factor importante a la hora de comprar hardware o servicios nuevos. Considera si dispones de un presupuesto de inversión (o necesitas presentar un caso de negocios) o si lo que necesitas es una solución que se ajuste a tu presupuesto operativo en modo de suscripción.

• Software open source in situ: En esta categoría, los precios deberían estar entre los más bajos, puesto que estás transfiriendo los feeds de inteligencia de amenazas a tu DNS Resolver y no tendrás que pagar costos de hardware.
• Dispositivo in situ: Los precios por usuario deberían ser menores de lo que costaría utilizar un servicio en la nube, dado que estás instalando algo en tu propia red. Sin embargo, debes determinar si tendrás que pagar cuotas adicionales por el uso de servicios complementarios en estos dispositivos.
• Servicio en la nube: Este servicio suele ser más caro por usuario debido a los costos de infraestructura del proveedor, además del costo de distribuir su inteligencia de amenazas en toda su red. La instalación es relativamente fácil (ver el #1); no obstante, este es un servicio que compartes con muchos usuarios, por lo que pierdes flexibilidad y control, y podrías terminar pagando por feeds de datos que no necesitas.

Recuerda que, para algunas soluciones in situ y feeds de datos DNS directos, la instalación es más compleja (ver el #1). Dicho esto, tu esfuerzo será premiado al tener mucho control, en términos de los distintos feeds de datos que uses y del acceso instantáneo a tu información de redireccionamiento o bloqueo.

3. ¿Puedo adaptar los feeds de datos de inteligencia de amenazas a mis necesidades?

Las organizaciones necesitan tener flexibilidad para evaluar cuánto riesgo están dispuestas a correr. Pregúntate si puedes elegir feeds de datos (es decir, la inteligencia de amenazas que se usa para bloquear o redirigir en tu red) que ofrezcan el nivel adecuado de seguridad para los requisitos de tu empresa.

Algunos sectores, como los servicios financieros y de salud, requieren niveles adicionales de seguridad, por lo que es probable que quieran prestar especial atención a los feeds de datos basados en políticas. Por otro lado, si necesitas ser menos reacio al riesgo, p. ej., gestionas redes de usuarios finales, no querrás tener que pagar por feeds que no utilizas.

Además, hay organizaciones que requieren varios niveles de seguridad en diversas áreas de su red; por ejemplo, las instituciones académicas necesitarán niveles de protección diferentes para alumnos y empleados.

4. ¿Qué calidad y amplitud tienen tus feeds de amenazas?

Los cibercriminales utilizan toda una gama de técnicas para extorsionar información y, en última instancia, dinero de sus víctimas. La eficacia de tu DNS Firewall dependerá de los datos de amenazas que recibas para bloquear conexiones. Estos feeds tienen que ser diversas, deben ser bien investigadas y también deben protegerte de tantos dominios maliciosos como sea posible. Además, tus datos de amenazas necesitan tener una tasa baja de falsos positivos, especialmente en los feeds que no estén centrados en políticas.

Ya sea que elijas un dispositivo o decidas configurar tu propio DNS, necesitarás conseguir un proveedor para los feeds de datos. Asegúrate de que sea alguien que esté consolidado como proveedor de inteligencia de amenazas y que obtenga la información de una extensa variedad de fuentes independientes.

5. ¿Cómo resuelvo los problemas de los falsos positivos?

Si un dominio crítico para el negocio está siendo redirigido o bloqueado, deberás tener la certeza de que puedes hacer una excepción a la decisión de política de tu DNS Firewall para que tu negocio siga operando sin interrupciones.

• Software open source y dispositivo in situ: ¿Existe la flexibilidad para agregar el dominio a una lista blanca privada y brindar acceso instantáneo al dominio bloqueado?
• Servicios en la nube: Verifica, en los acuerdos de nivel de servicio (SLA), cuáles son los tiempos de respuesta y de acción en relación con la autorización y/o eliminación de dominios bloqueados que son críticos para tu empresa. Cerciórate de que sean aceptables para las necesidades de tu empresa.

6. ¿Con qué frecuencia se actualizan tus datos?

La inteligencia de amenazas oportuna es fundamental para combatir actividades cibercriminales en toda tu red. Según una encuesta del Instituto Ponemon, el 37% de los atacantes desisten si no logran generar valor después de un periodo de 10 horas.

Teniendo esto en cuenta, asegúrate de que los datos que te protegen se reciban con la mayor continuidad posible: Una actualización que ocurra solo una vez por hora podría no dar protección contra el posible daño que el malware puede hacer en cuanto aparece.

7. ¿Pueden rastrearse fácilmente los dispositivos infectados en mi red?

Aunque sí puedes controlar la mayoría de lo que pasa en tu red, no puedes controlar lo que pasa en el/los ambientes de tus clientes, ni cuando los dispositivos de los empleados salen de las instalaciones, por ejemplo, para trabajar en las oficinas de los clientes o desde sus casas.

Los listados de comandos y controladores de botnets (botnet C&C) incrementaron considerablemente en 32% en 2017. Dado el aumento significativo de amenazas en esta área, es vital poder rastrear los dispositivos infectados en tu red para que puedas tomar medidas rápidas y eficaces.

Acuerda con tu proveedor de DNS Firewall cómo detectar los intentos de acceso a fuentes maliciosas utilizando DNS Firewall en tu red. Recuerda verificar si hay alguna necesidad de instalar software o agentes adicionales, lo que podría generar costos y complejidad adicionales.

8. ¿Cómo y cuándo me notificarán que hay problemas en mi red?

Para la mayoría de los equipos de seguridad de TI es fundamental tener el “control”. Cuanto más rápido se notifique la presencia de una amenaza, más rápido se podrá aplicar la reparación de daños correspondiente, ya sea para tu cliente, si eres un ISP o proveedor de alojamiento, o para tu empleado, si eres una empresa comercial.

• Software open source y dispositivo in situ: Determina si tienes la capacidad de instalar tus propias bitácoras para que te enteres inmediatamente cuando ocurra un bloqueo o redireccionamiento, o recibas una notificación en cuanto haya un cliente infectado en tu red. Esto te permitirá tomar medidas de inmediato.
• Servicio en la nube: Establece si los informes específicos de tu red se emitirán en tiempo real. Considera cuál sería el impacto en tu empresa si tuvieras que esperar para recibir información acerca de un redireccionamiento o una máquina infectada por botnet.

9. ¿Qué tan estable es tu servicio?

Software open source in situ: Cerciórate de que el proveedor de feeds de amenazas tenga varios puntos de acceso a su información. Esto garantiza que, incluso en caso de problemas con algunos de sus servidores, podrás seguir recibiendo el servicio desde alguno de sus sitios alternos.

• Dispositivo in situ: Si estás utilizando un dispositivo, necesitas asegurarte de que, en caso de que la solución falle, tu DNS seguirá funcionando, incluso sin el DNS Firewall.
• Servicio en la nube: Asegúrate de contar con planes de contingencia en caso de fallas del servicio, ya que podría hacerte perder todo el acceso a conexiones DNS, lo que paralizaría tu empresa. Estudia bien sus SLA y si se han cumplido a lo largo del tiempo.

10. ¿Puedo escribir mis propias páginas de redireccionamiento?

¿Por qué es importante esto? Porque es una oportunidad de transformar algo negativo, como un cibercrimen, en una oportunidad de aprendizaje para el usuario final.

Un mensaje genérico solo te informa que se produjo un bloqueo o redireccionamiento:

La página web solicitada ha sido bloqueada

Sin embargo, una página de aterrizaje bien diseñada que explique al usuario final “por qué” fue bloqueado y “cómo” se puede proteger en el futuro ayudará de manera positiva a incrementar la seguridad continua de tu red. Haz clic aquí  para obtener más información y ejemplos de páginas de aterrizaje que “ofrecen un aprendizaje”.

¡Buena suerte!

Con el crecimiento tan colosal del mercado de DNS Firewall en los últimos años, hay muchas opciones para elegir. Solo tómate el tiempo para entender las necesidades de tu empresa e investigar con detalle cuáles son las opciones que las satisfacen.