Informe | Plataforma de Confianza Cero de Miercom, 2024
Este informe evalúa las capacidades clave de una plataforma de Confianza Cero para proteger de manera efectiva los activos digitales y destaca los tres componentes esenciales necesarios para implementar con éxito una estrategia de Confianza Cero.

Evaluación de plataformas Zero Trust Miercom Zero Trust Security Benchmark TM 2024
DR240228G
Marzo de 2024
Con licencia para su distribución por:
Check Point Software
Evaluación de plataformas Zero Trust 2 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Índice
1.0 Resumen ejecutivo .................................................................................................. 3
2.0 Resumen de la prueba ............................................................................................ 5
3.0 Introducción ............................................................................................................ 7
4.0 Productos probados ................................................................................................ 8
5.0 Casos de uso de evaluación de plataformas Zero Trust ......................................... 9
5.1 Restricción de acceso a las categorías de URL ................................................ 9
5.2 Administradores simultáneos .......................................................................... 11
5.3 Integración de proveedores de servicios en la nube ....................................... 13
5.4 Administración delegada ................................................................................. 15
5.5 Protección contra sitios web maliciosos .......................................................... 17
5.6 Protección contra phishing .............................................................................. 19
5.7 Excepción de IPS ............................................................................................ 21
5.8 Protección de correo electrónico ..................................................................... 23
5.9 ZTNA sin clientes ............................................................................................ 25
5.10 Experiencia de navegación de usuarios remotos .......................................... 27
6.0 Acerca de Miercom ............................................................................................... 29
7.0 Uso de este informe .............................................................................................. 29
Evaluación de plataformas Zero Trust 3 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
1.0 Resumen ejecutivo
En el panorama de la ciberseguridad de rápida evolución, la adopción de una arquitectura de
Zero Trust es imprescindible para las organizaciones que buscan mejorar su postura de
seguridad. La facilidad de uso y la calidad de la experiencia del usuario y del administrador
(UX) son primordiales para mitigar el riesgo de brechas de seguridad graves, muchas de las
cuales provienen de errores humanos que se pueden evitar mediante la configuración
adecuada, la configuración de políticas u otros componentes de la arquitectura de seguridad.
La eficacia de la interfaz de administración para facilitar actualizaciones rápidas y eficientes
de estas configuraciones es fundamental, ya que no solo agiliza las tareas de administración,
sino que también permite a los usuarios interactuar con la solución en sus operaciones
diarias. Es indispensable contar con una interfaz de usuario que permita a los participantes
estar bien informados y tomar decisiones inteligentes con respecto a sus actividades en las
redes. Dicha interfaz anima a los usuarios a demandar la corrección de restricciones
injustificadas, lo que mejora la postura de seguridad general al reducir la frustración y
garantizar que los usuarios tengan el acceso necesario para llevar a cabo sus funciones.
En este informe detallado, se evalúan las capacidades críticas necesarias para que una
plataforma Zero Trust proteja de manera eficaz los activos digitales; además, se hace
hincapié en los tres pilares fundamentales necesarios para la implementación exitosa de una
estrategia de Zero Trust.
Administración centralizada y usabilidad para múltiples componentes de
seguridad:
Una plataforma Zero Trust debe ofrecer una administración centralizada, lo que
permite una integración y un control perfectos de los componentes de seguridad.
Este marco de administración unificado simplifica la orquestación de políticas de
seguridad complejas en diversos entornos, reduciendo el riesgo de configuraciones
incorrectas. Una plataforma de este tipo garantiza que los administradores de
seguridad puedan administrar de manera eficaz la seguridad de la red, la seguridad
de la nube, la seguridad de SaaS y la protección de terminales y correos electrónicos
desde un único panel.
Arquitectura híbrida y diversos puntos de aplicación de la implementación:
La flexibilidad para admitir una arquitectura híbrida con diversos modelos de
implementación es fundamental. Una plataforma Zero Trust debe alojar firewalls
locales, firewalls virtuales, firewalls en la nube y firewalls como servicio (FWaaS) para
garantizar la aplicación coherente de políticas en todos los activos,
independientemente de su ubicación.
Posibilidad de realizar y ejecutar capacidades de Zero Trust:
Para Zero Trust, es fundamental la verificación continua de usuarios, activos,
aplicaciones y dispositivos, incluidas las tecnologías emergentes, como los servicios
en la nube y los dispositivos de IoT. La plataforma debe aplicar controles de acceso
que se adhieran al principio de privilegio mínimo a fin de garantizar que las entidades
tengan acceso solo a los recursos necesarios para sus roles y funciones.
Evaluación de plataformas Zero Trust 4 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Check Point Software Technologies contrató a Miercom para llevar a cabo una evaluación
privada de su plataforma Infinity, impulsada por IA y entregada en la nube, y compararla
con ofertas similares de los principales proveedores de la plataforma Zero Trust. Este
estudio se basó en la demostración de Check Point de casos de uso de clientes y en la
investigación de código abierto de Miercom de estos productos. Miercom no adquirió estos
productos, ni se invitó a los competidores a completar esta evaluación. Se invita a los
proveedores a que reevalúen sus productos si hay algún desacuerdo en los resultados
presentados en este informe.
Hallazgos clave
Eficacia de la seguridad: Check Point Infinity es una arquitectura reconocida por su
eficacia en un sistema de seguridad superior; supera a sus competidores en la
prevención integral de amenazas y capacidades de respuesta basadas en
10 implementaciones de casos de uso comunes para Zero Trust.
Experiencia del usuario y administrador: La plataforma de Check Point es
extremadamente efectiva en términos administrativos y de experiencia del usuario,
lo que se atribuye a su interfaz intuitiva y procesos de gestión simplificados que
mejoran la facilidad de uso en general.
Implementación de Zero Trust: Check Point Infinity se destacó en la evaluación de
10 tareas comunes de implementación de Zero Trust para grandes empresas. Check
Point Infinity Platform es muy adecuada para proteger entornos de TI modernos
contra amenazas persistentes y en evolución.
Se reconoce a Check Point como un proveedor líder
en la evaluación de plataformas Zero Trust de
Miercom, y supera ampliamente los productos de la
competencia en una evaluación integral que se centra
en las 10 implementaciones de Zero Trust más
comunes que las empresas realizan a diario. Check
Point obtuvo el puntaje más alto en las categorías de
Experiencia del usuario y administrador, y Eficacia de
la seguridad. El compromiso de Check Point de proporcionar una plataforma Zero Trust
superior y su liderazgo en el panorama de seguridad de Zero Trust quedó en evidencia en
este análisis. Check Point Security Technologies obtuvo el premio Miercom Certified Secure.
Robert Smithers
Director ejecutivo de Miercom
Evaluación de plataformas Zero Trust 5 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
2.0 Resumen de la prueba
La evaluación de plataformas Zero Trust marca el rendimiento de varios proveedores de
ciberseguridad en cuanto a la “Eficacia de la seguridad” y la “Experiencia del usuario y
administrador”. Check Point lidera la lista, demostrando la mayor eficacia de la seguridad y
la mejor experiencia del usuario y administrador.
El gráfico también muestra la integridad relacionada con la plataforma Zero Trust de la solución
en lo que respecta al cumplimiento de los requisitos de una plataforma Zero Trust.
Evaluamos tres requisitos básicos para una plataforma Zero Trust:
Administración centralizada y usabilidad para múltiples componentes de seguridad
Arquitectura híbrida y diversos puntos de aplicación de la implementación
Posibilidad de realizar y ejecutar capacidades de Zero Trust
En la evaluación de plataformas Zero Trust de Miercom se examinaron los 10 casos de uso comerciales
más importantes de aprovisionamiento Zero Trust (ZTP) en cuanto a la eficacia general de la seguridad, la
administración y la experiencia del usuario en la implementación y configuración de la protección. El
tamaño de los marcadores individuales representa la integridad de la plataforma del proveedor. Esta
evaluación es fundamental para las organizaciones que priorizan una seguridad sólida en las ofertas de
plataformas Zero Trust.
Evaluación de plataformas Zero Trust 6 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
En el informe Clasificación de la implementación de la plataforma de seguridad de Zero Trust
se evalúa a los proveedores de ciberseguridad en una variedad de casos de uso relevantes
para la seguridad de Zero Trust.
Check Point lidera con el puntaje general más alto de 3,5; esto refleja que cumple con los
criterios clave de manera efectiva. Le siguen los competidores, con distintos grados de
cumplimiento en todos los criterios.
Los puntajes generales que se muestran en la parte inferior destacan el liderazgo de Check
Point en esta evaluación, mientras que otros proveedores muestran puntajes de
cumplimiento más bajos.
Evaluación de plataformas Zero Trust
Resumen de la prueba
Criteri
o Caso de uso
Check
Point Cisco Fortinet
Palo Alto
Networks Zscaler
1 Restricción de acceso a las
categorías de URL ⬤ ◕ ◕ ◕ ◕ 2 Administradores simultáneos ◕ ◑ ◕ ◕ ◔ 3
Integración de proveedores
de servicios en la nube ⬤ ◕ ◕ ◕ ◑ 4 Administración delegada ⬤ ◑ ◕ ◕ ◔ 5
Protección contra sitios web
maliciosos ⬤ ◑ ◔ ◑ ◕ 6 Protección contra phishing ⬤ ◑ ◕ ◕ ◕
7 Excepción de IPS ⬤ ◑ ⬤ ◕ ◕ 8
Protección de correo
electrónico ⬤ ◕ ◕ ◕ ◑ 9 ZTNA sin clientes ⬤ ◕ ○ ◑ ◑
10 Interfaz de navegador de
usuario remoto ⬤ ⬤ ◑ ◕ ◑ PUNTAJE GENERAL 3,5 2,4 2,3 2,8 2,2
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔
De
0,49 a
0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 7 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
3.0 Introducción
En una era en la que las ciberamenazas son cada vez más sofisticadas y generalizadas, no se
puede subestimar la necesidad de contar con soluciones de ciberseguridad estables e
integrales. Las grandes empresas buscan plataformas que no solo protejan sus activos
digitales, sino que también ofrezcan adaptabilidad, escalabilidad y facilidad de integración
dentro de su infraestructura de TI existente. En el panorama actual de la ciberseguridad, que
evoluciona rápidamente y en el que las defensas tradicionales flaquean frente a las
ciberamenazas sofisticadas, Zero Trust emerge como una arquitectura vital. Su principio
fundamental, “nunca confiar, siempre verificar”, garantiza la autenticación continua y la
autorización de acceso, lo que reduce considerablemente los riesgos de seguridad y
promueve una postura de defensa proactiva. La adopción de Zero Trust es crucial en medio
del aumento de las filtraciones de datos y la expansión de la superficie de ataque de los
nuevos dispositivos y servicios en la nube. El marco dinámico y adaptable de Zero Trust
ofrece importantes beneficios:
Superficie de ataque minimizada: aplica el privilegio mínimo y la verificación
continua para limitar los impactos de las filtraciones.
Detección de amenazas mejorada: permite detectar y contener amenazas con
mayor rapidez a través de controles de acceso granulares.
Cumplimiento reforzado: se alinea con la evolución de las leyes de privacidad de
datos y los estándares de la industria.
La implementación de Zero Trust puede ser desalentadora debido a su complejidad y a la
necesidad de integración con los sistemas existentes, los recursos limitados y los riesgos de
dependencia de un proveedor. En este informe, se examinan las capacidades de Zero Trust
en los principales proveedores de plataformas Zero Trust:
Capacidades de la plataforma: evaluación de características, flexibilidad de
implementación, integraciones y facilidad de uso.
Eficacia de la seguridad: medición de la eficacia en el mundo real frente a ataques
simulados.
Experiencia del usuario y administrador: evaluación de la intuición de la interfaz
de administración y su impacto en la productividad y satisfacción del usuario.
Check Point Infinity Platform emerge como líder, prometiendo un enfoque consolidado para
la prevención de amenazas en entornos de red, en la nube y móviles. Check Point se destaca
por su arquitectura de seguridad unificada, diseñada para proporcionar una protección
perfecta contra amenazas y actividades maliciosas, al mismo tiempo que garantiza
operaciones comerciales ininterrumpidas. Su fortaleza radica en su capacidad para ofrecer
una estrategia de seguridad de múltiples capas, combinando seguridad de red, seguridad
en la nube, protección de terminales y seguridad móvil bajo un único panel ejecutivo para
simplificar la administración y facilitar la visibilidad general.
Evaluación de plataformas Zero Trust 8 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
4.0 Productos probados
Productos probados
Proveedor/Software Versión
Check Point
Infinity Portal/Quantum Gateway
Infinity Portal/Harmony SASE
Infinity Portal/Smart-1 Cloud
Infinity Portal/Harmony Email & Collaboration
R81.20/R82
SaaS
SaaS (R81.20/R82)
SaaS
Cisco
FirePower FTD
Secure Connect
FirePower Management Center
Microsoft E3
7.4.0
SaaS
7.4.0
SaaS
Fortinet
FortiGate
FortiSASE
FortiManager
FortiMail
7.4.2
SaaS (23.4.49)
7.4.2
7.4.0
Palo Alto Networks
PAN-OS Gateway
Prisma Access
Panorama
Microsoft E3
11.1.1
SaaS (preferiblemente 4.0.0)
11.1.1
SaaS
Zscaler
Zscaler Internet Access
Zscaler Private Access
Microsoft E3
SaaS
SaaS
SaaS
Evaluación de plataformas Zero Trust 9 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.0 Casos de uso de evaluación de plataformas Zero Trust
5.1 Restricción de acceso a las categorías de URL
Descripción: Evaluamos los procedimientos para otorgar y restringir el acceso a las
plataformas de redes sociales dentro de una organización. Esta sección aborda
específicamente los procedimientos que debe seguir un administrador para permitir el
acceso a las redes sociales; por ejemplo, el Departamento de Recursos Humanos (RR. HH.),
al mismo tiempo que impone restricciones a otros departamentos. Además, cubre el
proceso para permitir y supervisar excepciones en circunstancias especiales.
Los usuarios que no tienen permitido ingresar a redes sociales pueden presentar una
justificación con los motivos por los que necesitan el acceso, que, si se considera válida, da
lugar a la concesión automática de acceso. Este mecanismo de “derivación”, que requiere
justificación, está diseñado principalmente para superar los bloqueos relacionados con la
operación comercial, como mitigar el tiempo perdido en las redes sociales, en lugar de eludir
las medidas de seguridad contra el contenido malicioso. Este proceso está personalizado
para el acceso a contenido no relacionado con la seguridad, lo que garantiza un enfoque
equilibrado de la productividad y la seguridad.
Impacto: Equilibrar la productividad y la seguridad dentro de la red de una empresa requiere
un enfoque matizado para el acceso y la exposición a las redes sociales. Las empresas deben
sortear el doble desafío de permitir un uso razonable de las redes sociales y, al mismo
tiempo, protegerse contra riesgos potenciales, como ataques maliciosos e infracciones de
cumplimiento. Sin embargo, las políticas demasiado restrictivas o mal comunicadas pueden
hacer que los empleados se sientan desmotivados o se resistan a cumplirlas. Además, existe
el riesgo de que los usuarios malinterpreten las denegaciones de acceso como problemas
técnicos en lugar de medidas de seguridad legítimas. Lograr un equilibrio óptimo que proteja
los intereses de la empresa sin perjudicar la confianza de los empleados es esencial para
administrar de manera eficaz las redes sociales en el lugar de trabajo.
Procedimiento de evaluación: Explorar y evaluar las interfaces de usuario para administrar
el inicio de sesión y el acceso con los principales proveedores de la plataforma Zero Trust.
Llevar a cabo una evaluación exhaustiva de la eficiencia y la facilidad de uso en el
establecimiento de reglas para cronometrar el uso de las redes sociales dentro del escenario
de negocio simulado, al mismo tiempo que se admiten excepciones especiales. Esta
evaluación abarca tanto los inicios de sesión a nivel de usuario como los de nivel
administrativo, con el objetivo de comprender la facilidad y flexibilidad de la implementación
de políticas en diferentes niveles de acceso.
Evaluación de plataformas Zero Trust 10 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso sobre la restricción de acceso de categorías de URL
Caso de uso 1
Restricción del acceso a las categorías de URL: el Departamento de Recursos Humanos (RR. HH.) depende en
gran medida de las plataformas de redes sociales para diversas funciones importantes, como la contratación, el
desarrollo de la marca del empleador y las iniciativas de compromiso de los empleados. Sin embargo, el acceso no
restringido a las redes sociales en todos los departamentos implica una pérdida de productividad y un riesgo
potencial a la seguridad y la reputación.
3,5 Check Point: la interfaz de Check Point es muy fácil de usar, dado que ofrece una navegación fluida que
facilita las acciones rápidas e intuitivas de arrastrar y soltar; esto reduce considerablemente los tiempos
de configuración. La simplicidad en la administración y la incorporación de la automatización minimiza
la probabilidad de errores. El sistema garantiza que los usuarios sean dirigidos correctamente, lo que
mejora el control de acceso a las redes sociales y reduce al mínimo los errores de configuración. Su
rendimiento general está marcado tanto por la seguridad como por la facilidad de uso. ⬤
3,0 Cisco: la interfaz de Cisco es sencilla, aunque requiere navegar a través de múltiples menús para
establecer reglas individuales y tiene pasos adicionales para configurar registros. Los usuarios
reciben alertas sobre las restricciones, pero pueden eludirlas. El complejo sistema de menús
genera inquietudes sobre posibles errores de configuración. A pesar de esto, la interfaz sigue
siendo fácil de usar, aunque con una sugerencia de que se realicen simplificaciones. ◕
2,8 Fortinet: la interfaz de Fortinet requiere el uso de perfiles para implementar páginas de bloqueo
o alerta, lo que complica las reglas directas basadas en URL. La interfaz gráfica de usuario (GUI)
puede ser desconcertante y requerir configuraciones de perfil adicionales que pueden confundir a
los usuarios. A pesar de estas desventajas, la integración de usuarios sigue siendo efectiva. La
posibilidad de que ocurran errores de configuración debido a la complejidad de la interfaz sugiere
la necesidad de hacer mejoras para optimizar la usabilidad general. ◕
3,1 Palo Alto Networks: el proceso implica navegar a través de varios menús para la creación de
reglas y la administración de perfiles para páginas de bloqueo/alerta, que no se pueden aplicar
directamente dentro de las reglas. Esto, junto con el requisito de configuraciones de registro
adicionales y perfiles para nuevas reglas, complica la experiencia de administración. Sin embargo,
la configuración del usuario es sencilla, lo que hace que el sistema sea simple y eficaz para los
usuarios, aunque los aspectos administrativos requieren una mejora para aumentar la eficiencia. ◕
3,0
Zscaler: la interfaz de Zscaler muestra una capacidad de respuesta lenta y los usuarios deben
desactivar ciertas funciones para ver correctamente las páginas de alerta, lo que aumenta el
tiempo necesario para la configuración. La alerta notifica claramente a los usuarios y se
proporcionan opciones para omitir la página de bloqueo o volver a la página anterior. Si bien la
probabilidad de una configuración incorrecta es baja, los pasos adicionales necesarios en la
interfaz podrían representar un riesgo. Aunque es fácil de usar, la eficacia general de la interfaz
gráfica de usuario de Zscaler podría beneficiarse de mejoras para incrementar la velocidad y
agilizar la experiencia del usuario.
◕
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 11 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.2 Administradores simultáneos
Descripción: Este caso de uso explora un entorno colaborativo en el que un equipo de
seguridad, compuesto por varios administradores, tiene la tarea de administrar solicitudes
simultáneas. El equipo opera dentro de un sistema de administración centralizado,
implementando y modificando reglas de seguridad para múltiples sucursales. Pueden
producirse problemas de acceso cuando las políticas conflictivas o superpuestas de los
administradores permiten inadvertidamente a los usuarios acceder a los recursos.
Impacto: La capacidad de varios administradores para acceder a la configuración de
seguridad y modificarla al mismo tiempo puede provocar la creación de políticas conflictivas.
Esto no solo genera confusión, sino que también aumenta el riesgo de configuraciones
incorrectas dentro del marco de seguridad; esto puede comprometer la postura de
seguridad general de la organización.
Procedimiento de evaluación: Esta evaluación implica acceder y navegar por las interfaces
de usuario. La atención se centra en evaluar la facilidad de uso y la eficiencia de las
plataformas en la creación de políticas de filtrado de URL por parte de un administrador en
varios escenarios. Una parte fundamental de la evaluación es observar cómo el sistema
maneja los conflictos de políticas cuando un usuario intenta acceder a un recurso. El entorno
de pruebas debe garantizar que los diferentes administradores puedan gestionar y aplicar
políticas simultáneamente sin crear intervalos de seguridad. Un criterio clave es evitar la
creación de “puntos ciegos”; los administradores no deberían tener que revisar
minuciosamente cada configuración para asegurarse de que no se realizaron cambios no
autorizados.
Evaluación de plataformas Zero Trust 12 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de administradores simultáneos
Caso de uso 2
Administradores simultáneos: el sistema debe permitir que varios administradores gestionen y
aborden de manera eficiente diferentes solicitudes al mismo tiempo.
3,4 Check Point: la GUI de SmartConsole de Check Point bloquea de manera única objetos
y reglas individuales durante las modificaciones, lo que agiliza el uso del administrador y
evita conflictos con otros usuarios. Este diseño facilita operaciones simultáneas fluidas
sin comprometer la seguridad, lo que reduce considerablemente la probabilidad de una
configuración incorrecta. En general, Check Point ofrece una eficacia excepcional y
respalda el trabajo colaborativo de manera eficiente. ◕
2,0 Cisco: el sistema de Cisco, cuando un administrador guarda su configuración, hace que
se pierdan inadvertidamente los cambios no guardados por otros administradores
registrados. Si bien esto garantiza el uso seguro del administrador, conduce a una posible
pérdida de trabajo y una configuración incorrecta debido a conflictos de administración.
La seguridad general es estable, pero la falta de soporte para la administración
simultánea resta valor a la experiencia del administrador. ◑
2,5 Fortinet: la “mejor práctica” recomendada por Fortinet consistió en restringir el inicio de
sesión del administrador durante los cambios en curso para evitar problemas de acceso
simultáneos. Este enfoque, aunque está pensado en torno a la seguridad, genera
inquietudes por posibles errores de configuración y bloqueos de administradores, lo que
sugiere la necesidad de mejorar en los entornos colaborativos. ◕
3,0 Palo Alto Networks: en las situaciones demostradas, los cambios guardados por un
administrador pueden anular los de otro, a menos que se empleen las funciones de
“bloqueo de confirmación” o “bloqueo de configuración” para restringir los cambios al
administrador actual. Aunque estas características impiden la edición simultánea,
requieren una supervisión cuidadosa de los registros de cambios para evitar errores de
configuración. Palo Alto Networks ofrece un buen nivel de efectividad con disposiciones
para el trabajo colaborativo, siempre que se aplique la debida diligencia en la
administración de cambios.
◕
1,0 Zscaler: la falta de visibilidad entre los administradores con respecto a los cambios de
sus colegas puede generar posibles errores de configuración, lo que plantea riesgos de
seguridad y confusión operativa. Se requieren mejoras para respaldar el trabajo en
equipo eficiente en entornos simultáneos. ◔
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 13 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.3 Integración de proveedores de servicios en la nube
Descripción: Este caso de uso se centra en habilitar el control administrativo para otorgar
acceso a los servidores de bases de datos identificados por direcciones IP específicas, según
lo indicado por el equipo del sistema. Estos servidores, que son activos etiquetados dentro
de los entornos EC2, exigen actualizaciones dinámicas de políticas para garantizar un acceso
sin interrupciones en medio de cambios frecuentes. El equipo de MIS actualiza
continuamente la lista de servidores de bases de datos alojados en la nube, lo que facilita el
acceso ininterrumpido a estos recursos.
Impacto: Este caso de uso resalta la necesidad de una gestión ágil de políticas dentro de los
entornos de nube, como AWS, donde los servidores de bases de datos se someten a
actualizaciones y adiciones periódicas. Elimina la necesidad de ajustes manuales de políticas
cada vez que se introduce una nueva instancia de servidor de base de datos, lo que aboga
por la automatización en las actualizaciones de políticas, la coherencia en la aplicación y la
eficiencia en la administración.
Procedimiento de evaluación: El proceso implica iniciar sesión y navegar por las interfaces
de los proveedores de la plataforma Zero Trust. El desafío de la configuración radica en la
capacidad de integrar recursos etiquetados basados en la nube para emplearlos de forma
nativa en la política de seguridad.
Si no es posible realizar una importación directa desde la nube, primero cree el objeto de
etiqueta manualmente (“use=prod-dataserver”). De esta manera, se crea una nueva regla.
Nombre: “Permitir servidores de base de datos” Fuente: Servidores web de producción
(objeto local). Destino: objeto basado en la etiqueta de AWS “use=prod-dataserver”.
Servicio/aplicación: SQL. Acción: permitir.
Evaluación de plataformas Zero Trust 14 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de integración de proveedores de servicios en
la nube
Caso de uso 3
Integración de proveedores de servicios en la nube: el equipo de MIS tiene la tarea de
administrar una lista en constante evolución de servidores de bases de datos de la empresa en la
nube, lo que requiere licencias de acceso dinámico.
3,6 Check Point: la integración ofrece permisos mínimos. Este enfoque no solo mejora la
eficiencia, sino que también reduce considerablemente el riesgo de una configuración
incorrecta. Al requerir permisos mínimos, la integración evita la necesidad de otorgar
acceso al sistema bajo prueba (SUT) a todo el entorno de la nube, limitando el acceso
estrictamente a las áreas necesarias. Esta estrategia de acceso dirigido minimiza de
forma eficaz el impacto potencial, o el radio de explosión, en caso de una brecha de
seguridad.
⬤
3,0 Cisco: carece de integración de permisos mínimos, lo que requiere pasos adicionales
para que los administradores incorporen objetos de la nube en la base de la regla. Este
proceso implica la creación de un objeto interno con condiciones de coincidencia
específicas antes del establecimiento de la regla, lo que aumenta la complejidad y la
posibilidad de una configuración incorrecta. A pesar de estos desafíos, su eficacia
general sigue siendo loable. ◕
2,5 Fortinet: al igual que Cisco, Fortinet no ofrece una integración de permisos mínimos, lo
que requiere que los administradores realicen pasos adicionales para agregar objetos
de la nube a la base de la regla. Este proceso incluye la creación de objetos internos con
condiciones coincidentes, lo que complica la creación de reglas y aumenta los riesgos
de configuración incorrecta. Su efectividad es notable, pero el proceso podría
simplificarse. ◕
3,3 Palo Alto Networks: proporciona una integración de permisos mínimos, pero también
requiere pasos adicionales para agregar objetos de la nube a la base de la regla, incluida
la creación de objetos internos con condiciones de coincidencia. Esta complejidad
puede dar lugar a una configuración incorrecta. ◕
1,5 Zscaler: la función para importar etiquetas de AWS se limita a la creación de reglas de
acceso de los recursos de AWS a Internet. Este potencial de configuración incorrecta
contribuye a la eficacia general deficiente. ◑
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 15 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.4 Administración delegada
Descripción: Este caso de uso implica permitir que los administradores de sucursales
gestionen políticas de control de acceso y filtrado de URL localizadas dentro de un alcance
definido, como editar reglas específicas (por ejemplo, reglas 7-10) mientras tienen acceso de
solo lectura al resto. Su objetivo es capacitar a los administradores locales para que
administren la política de su puerta de enlace, accedan a los registros y solucionen
problemas, todo dentro de las barreras de protección de seguridad establecidas por la
administración central. El objetivo es descentralizar ciertas responsabilidades
administrativas, permitiendo a los administradores de sucursales adaptar las políticas de
filtrado de URL a sus necesidades específicas sin afectar los protocolos de seguridad
establecidos por el administrador de seguridad central.
Impacto: El objetivo principal de este caso de uso es aliviar la carga de trabajo de los
administradores de seguridad centrales al otorgar a los administradores de sucursales
autonomía sobre sus políticas de filtrado de URL locales. Este enfoque garantiza que las
necesidades específicas de las sucursales se puedan abordar de manera más eficiente, sin
comprometer la integridad del marco de seguridad general. Permite una postura de
seguridad más receptiva y flexible a nivel de sucursales, lo que mejora la capacidad de la
organización para adaptarse a los desafíos locales mientras se mantiene un entorno
coherente y seguro.
Procedimiento de evaluación: El proceso implica acceder a las interfaces para evaluar cómo
cada plataforma admite las capacidades de administración delegada. La evaluación se
centrará en la capacidad de los administradores de sucursales para administrar y modificar
de forma independiente sus políticas de filtrado de URL, incluida la visualización de la
configuración completa y la aplicación de cambios dentro de su alcance. Es crucial que los
administradores de las sucursales tengan restringida la posibilidad de modificar la
configuración en todo el sistema o anular las políticas de seguridad centrales, en particular
las relacionadas con el bloqueo de sitios peligrosos. Se examinará la eficacia de cada
plataforma para facilitar estas responsabilidades segregadas sin comprometer la seguridad
o la supervisión.
Evaluación de plataformas Zero Trust 16 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de administración delegada
Caso de uso 4
Administración delegada: para optimizar las operaciones y alivianar las responsabilidades del
administrador de seguridad central, es conveniente capacitar a los administradores de sucursales
con la capacidad de gestionar sus políticas de filtrado de URL. Esta capacitación debe producirse
sin el riesgo de que anule las políticas de seguridad generales establecidas por el administrador de
seguridad principal.
3,5 Check Point: ofrece un proceso de configuración sencillo, que permite la creación de
subdominios y subpolíticas para establecer límites claros, o “barreras de protección”, que
los administradores locales no pueden anular. Estos administradores pueden ver toda la
configuración, pero están restringidos a modificar solo sus áreas específicas de
responsabilidad. La eficacia general del sistema es elogiada por su simplicidad y facilidad
de uso. ⬤
1,5 Cisco: admite la creación de barreras de protección a través de subdominios y
subpolíticas, aunque el proceso de configuración es notablemente más complejo y
presenta un riesgo de problemas de conectividad. Este enfoque solo es factible cuando
existe una puerta de enlace local en la sucursal, lo que limita la capacidad del
administrador local de modificar las barreras de protección al mismo tiempo que le
otorga visibilidad y la capacidad de ajustar otras reglas más allá del filtrado de URL dentro
de su dominio. Requiere mejoras en la simplicidad de la configuración.
◑
2,5 Fortinet: presenta un desafío de configuración complejo, ya que carece de la capacidad
de establecer barreras de protección para los administradores locales. Esta configuración
permite a los administradores locales modificar toda la política de URL, lo que introduce
un potencial de configuración incorrecta debido a la necesidad de inicios de sesión y
usuarios separados para acceder a diferentes partes de la puerta de enlace. Exige
mejoras en la capacidad de administración de la configuración. ◕
2,8 Palo Alto Networks: presenta un proceso de configuración criticado por ser tedioso,
principalmente debido a la ausencia de una configuración predeterminada de permisos
de solo lectura. La plataforma no admite la creación de barreras de protección efectivas
para los administradores locales, que pueden modificar cualquier configuración de
filtrado de URL. Si bien el riesgo de una configuración incorrecta es bajo, la naturaleza
repetitiva del proceso resta valor a su eficacia general. ◕
1,0 Zscaler: no proporciona la capacidad de limitar a los administradores de sucursales
exclusivamente a la administración de políticas de filtrado de URL. Los administradores
de sucursales tienen un amplio control de la configuración, incluidas las políticas sobre
la aplicación en la nube, el tipo de archivo y el control de acceso móvil, entre otros.
Aunque pueden evitar que el administrador de la sucursal anule la política de
administración principal, requiere la configuración de una nueva política. ◔
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 17 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.5 Protección contra sitios web maliciosos
Descripción: En este caso de uso, un usuario visita un sitio malicioso que tiene la capacidad
de secuestrar su estación de trabajo y, posteriormente, filtrarse en la organización.
El objetivo es protegerse contra este tipo de ataques.
Impacto: El objetivo de esta evaluación es evaluar la facilidad de uso de la configuración de
las prácticas recomendadas para prevenir ataques basados en sitios web y verificar la
efectividad del SUT para prevenirlos.
Procedimiento de evaluación: El procedimiento implica iniciar sesión y acceder a las
interfaces del producto bajo evaluación. La evaluación analizará la facilidad de uso y la
eficacia de la interfaz de cada proveedor mediante la creación de una política de protección
contra amenazas como administrador empleando las prácticas recomendadas por el
proveedor y simulando un usuario que intenta visitar un sitio web malicioso. Para ello, se
dirige al usuario a sitios web que contienen HTML con archivos JavaScript (JS) y PDF
maliciosos incrustados con contenido malicioso a fin de probar la redundancia y la eficacia
de la política.
Esta evaluación exhaustiva tiene como objetivo identificar qué proveedor ofrece la solución
más fácil de usar y eficiente para evitar la ejecución de archivos de ransomware de día cero,
a fin de mejorar la seguridad de la organización. Para estas pruebas se empleó una
combinación de tráfico: 66 % de HTML malicioso y 33 % de archivos PDF maliciosos.
Evaluación de plataformas Zero Trust 18 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de protección contra sitios web maliciosos
Caso de uso 5
Protección contra sitios web maliciosos: después de que un usuario desencadenara
inadvertidamente un ataque de ransomware de día cero que le costó millones a la organización, la
exigencia es clara: se debe evitar que ocurra un incidente de este tipo. Para estas pruebas se empleó
una combinación de tráfico: 66 % de HTML malicioso y 33 % de archivos PDF maliciosos.
3,6 Check Point: la interfaz es fácil de usar y requiere ajustes mínimos para establecer una
política estable. La probabilidad de una configuración incorrecta es baja, lo que
contribuye a su loable eficacia general.
Check Point demostró una tasa de bloqueo total del 100 % para HTML y PDF maliciosos. ⬤
1,5
Cisco: navegar por la interfaz resulta un desafío debido a su compleja estructura, con
numerosos menús y páginas de configuración. Esta complejidad aumenta el riesgo de
que ocurran errores accidentales, lo que repercute negativamente en su eficacia general.
Cisco demostró una tasa de bloqueo total del 36 % para HTML y PDF maliciosos.
No pudimos configurar el firewall de Cisco para bloquear archivos HTML maliciosos en el
marco de esta prueba, pero Cisco logró una tasa de bloqueo del 97 % para el componente
PDF de esta prueba. Estamos investigando este problema con Cisco.
◑
1,3 Fortinet: la interfaz de administración es sencilla, aunque el proceso de creación de
políticas implica navegar a través de varios menús, lo que podría conducir a errores.
Fortinet demostró una tasa de bloqueo total del 30 % para HTML y PDF maliciosos. ◔
2,0 Palo Alto Networks: los usuarios podrían considerar que la interfaz es desconcertante,
ya que tiene una gran cantidad de menús y páginas que complican el proceso de
configuración de la política. Esta complejidad resta valor a la eficacia general del sistema.
Palo Alto Networks demostró una tasa de bloqueo total del 32,5 % para HTML y PDF
maliciosos.
◑
2,5 Zscaler: si bien la interfaz es fácil de usar, requiere pasos adicionales para la
administración de políticas, lo que introduce la posibilidad de errores. No obstante, la
plataforma mantiene un nivel aceptable de efectividad general.
Zscaler demostró una tasa de bloqueo total del 80 % para HTML y PDF maliciosos. ◕
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimient
o nulo
Evaluación de plataformas Zero Trust 19 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.6 Protección contra phishing
Descripción: Los sitios web de phishing representan una amenaza significativa para la
seguridad de la organización. Este caso de uso explora un enfoque proactivo para proteger
a una organización de tales amenazas mediante el uso de reglas generadas por el
administrador para bloquear el acceso a sitios de phishing, junto con la implementación de
medidas educativas para los usuarios sobre cómo reconocer y evitar intentos de phishing.
Impacto: El objetivo principal de este caso de uso es evaluar la facilidad de uso y la eficiencia
de la navegación de las interfaces proporcionadas por varios proveedores. Además, tiene
como objetivo evaluar la eficacia de cada proveedor para bloquear sitios web de phishing en
función de las reglas promulgadas por el administrador.
Procedimiento de evaluación: Los administradores iniciarán sesión y navegarán por las
interfaces de los proveedores de la plataforma Zero Trust. Procederán a crear una regla
diseñada específicamente para bloquear sitios web de phishing. Tras la implementación de
la regla, se bloqueará cualquier intento de los usuarios de acceder a dichos sitios y se
educará a los usuarios sobre los peligros del phishing. Se evaluará a los proveedores en
función de la facilidad con la que se pueden implementar estas medidas de protección, así
como de su tasa de éxito a la hora de bloquear eficazmente el acceso a los sitios web de
phishing.
Evaluación de plataformas Zero Trust 20 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de protección contra phishing
Caso de uso 6
Protección contra phishing: en respuesta a un ataque de día cero facilitado a través de un sitio de
phishing, evaluamos la capacidad de proteger nuestra red empleando URL de phishing reales de
openfish.com y phishunt.io.
Los puntajes que se muestran a continuación son una calificación promedio de la experiencia del
usuario y administrador (UX) y la eficacia general de la seguridad.
3,6 Check Point: la interfaz es excepcionalmente fácil de usar y requiere ajustes mínimos
para configurar las políticas de manera efectiva. Aunque no logró un puntaje perfecto, la
probabilidad de una configuración incorrecta es baja, lo que garantiza una alta eficacia
general en el bloqueo de intentos de phishing.
Check Point demostró una tasa de bloqueo total del 100 % para las URL de phishing. ⬤
No
disp
oni
ble
Cisco: la GUI es sencilla, aunque los ajustes de una política requieren cierta
configuración. Este riesgo de configuración incorrecta parece relativamente bajo. Sin
embargo, experimentamos resultados de eficacia inconsistentes.
Observamos un 53 % en esta ronda de pruebas, en las que empleamos tanto
openphish.com como phishunt.io. Sin embargo, en septiembre de 2023 observamos de
forma independiente una eficacia del 99 % empleando openphish.com. El puntaje está
pendiente de una nueva evaluación. Eliminamos este puntaje de Cisco para esta
evaluación, ya que sería injusto penalizarlos. ◑
3,2 Fortinet : navegar por la GUI es muy fácil, con algunas configuraciones necesarias para
establecer políticas. La simplicidad de la interfaz reduce considerablemente el riesgo de
una mala configuración, lo que se traduce en una gran eficacia general.
Fortinet demostró una tasa de bloqueo total del 95,86 % para las URL de phishing. ◕
3 Palo Alto Networks: la GUI es fácil de usar, pero la creación de políticas requiere más
pasos. Un inconveniente notable es la ausencia de un mensaje de bloqueo, reemplazado
por un error genérico del navegador, que puede disminuir la experiencia del usuario. A
pesar de esto, el riesgo de una configuración incorrecta es bajo y la efectividad general
se considera aceptable.
Palo Alto Networks demostró una tasa de bloqueo total del 96,55 % para las URL de
phishing.
◕
3,3 Zscaler: la GUI destaca por su facilidad de navegación y su configuración de políticas
optimizada. Con un riesgo mínimo, pero posible, de configuración incorrecta, la plataforma
logró una alta efectividad general en la protección contra ataques de phishing.
Zscaler demostró una tasa de bloqueo total del 97,24 % para las URL de phishing. ◕
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 21 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.7 Excepción de IPS
Descripción: En este caso de uso, un sistema de prevención de intrusiones (IPS), identificado
como un falso positivo, bloquea por error la actividad de un usuario legítimo. El desafío para
el administrador es localizar rápidamente el registro de bloqueo y configurar una excepción
para permitir el tráfico previamente bloqueado.
Impacto: Los administradores se involucran con frecuencia en la solución de problemas y en
responder a las consultas de los usuarios como parte de sus responsabilidades habituales.
Este escenario pone de manifiesto la importancia de un registro de seguridad fácil de usar y
de la creación sencilla de excepciones, lo que resalta la eficiencia de las herramientas
administrativas en la gestión de los protocolos de seguridad.
Procedimiento de evaluación: Esta evaluación implica iniciar sesión y navegar por las
interfaces de varios proveedores de seguridad. El proceso comienza cuando un usuario
recibe un mensaje de bloqueo y se pone en contacto con el servicio de asistencia.
Posteriormente, el administrador tiene la tarea de crear una excepción para la regla de
protección específica que desencadenó el falso positivo, lo que garantiza que las actividades
legítimas del usuario ya no se vean obstaculizadas.
Evaluación de plataformas Zero Trust 22 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de excepción de IPS
Caso de uso 7
Excepción de IPS: en esta situación en la que la actividad legítima de un usuario se bloquea
incorrectamente por un IPS como falso positivo, la facilidad de gestionar y corregir este problema
es esencial para mantener la eficiencia operativa.
3,5 Check Point: la GUI es excepcionalmente fácil de usar y requiere una configuración
mínima para establecer una política de protección. El diseño sencillo minimiza el riesgo
de una configuración incorrecta, lo que conduce a una alta eficacia general. ⬤
2,3 Cisco: la GUI es accesible, pero la configuración de una política de protección exige cierto
esfuerzo. Existe un riesgo notable de configuración incorrecta. ◑
3,5 Fortinet: en esta área, la GUI es intuitiva y la configuración de una política de protección
es sencilla, gracias al enfoque minimalista de la configuración. Esta simplicidad reduce
considerablemente la probabilidad de errores, lo que contribuye a su alta efectividad. ⬤
2,8 Palo Alto Networks: si bien la GUI es sencilla, el proceso para formular una política de
protección implica varios pasos. Su puntaje de efectividad general moderada se atribuye
a la posibilidad de una configuración incorrecta debido a esta complejidad. ◕
2,5 Zscaler: la interfaz es fácil de usar, aunque la elaboración de una política de protección
requiere un poco más de esfuerzo. Existe un riesgo moderado de configuración
incorrecta; sin embargo, a pesar de esto, su efectividad general sigue siendo
recomendable. ◕
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 23 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.8 Protección de correo electrónico
Descripción: Este caso de uso se centra en proteger a los usuarios contra los intentos de
phishing por correo electrónico, un vector frecuente para este tipo de ataques. El objetivo es
evaluar la eficacia y la facilidad de uso de las soluciones de seguridad del correo electrónico
para prevenir los ataques de phishing.
Esta prueba también analiza Quishing, un nuevo tipo de ataque en el que un enlace de
phishing se codifica en un código QR. El usuario se ve tentado de escanear este código con
su teléfono, donde estadísticamente está menos protegido, lo que podría ocasionar el robo
de credenciales y una posible filtración.
Impacto: El phishing basado en correo electrónico es un método de ataque generalizado y
malicioso. Evaluar la facilidad de configuración, la solidez de las medidas de seguridad y la
simplicidad con la que los usuarios pueden recuperar correos electrónicos marcados
erróneamente como phishing (falsos positivos) es fundamental.
Procedimiento de evaluación: Acceder a las interfaces de administración de varias
soluciones de seguridad de los principales proveedores. Los administradores tienen la tarea
de configurar estas soluciones para interceptar y bloquear los correos electrónicos de
phishing de manera efectiva.
Se envía un correo electrónico que contiene un enlace de phishing. La solución de seguridad,
siguiendo las reglas configuradas por el administrador, debe bloquear automáticamente
este correo electrónico para evitar que llegue a su destinatario.
A continuación, el enlace de phishing se convierte en un código QR, que se incrusta en un
nuevo correo electrónico y se vuelve a enviar. El sistema de seguridad también debería
bloquear este correo electrónico, demostrando su capacidad para frustrar los intentos de
phishing en diversas formas.
Esta prueba evalúa la facilidad de uso de la solución de seguridad, en particular su capacidad
para permitir a los usuarios recuperar correos electrónicos identificados erróneamente
como amenazas de phishing (falsos positivos) sin necesidad de la intervención de un
administrador. Esto examina el equilibrio entre las estrictas medidas de seguridad y la
flexibilidad que se requiere para contar con estrategias de administración de correos
electrónicos eficaces.
Evaluación de plataformas Zero Trust 24 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de protección de correo electrónico
Caso de uso 8
Protección de correo electrónico: para proteger a los usuarios de los ataques de phishing por
correo electrónico, una evaluación exhaustiva de varios proveedores revela distintos niveles de
protección y capacidades.
3,5 Check Point: se destaca por sus múltiples capas de defensa, incluidas NGFW, correos
electrónicos, dispositivos móviles, terminales y SSE, con la capacidad única de frustrar los
ataques de Quishing (phishing por código QR). Su avanzada función de prevención de
phishing impulsado por IA, “Zero-phishing”, minimiza la probabilidad de una
configuración incorrecta. La alta eficacia general pone de manifiesto la sólida protección
de Check Point en múltiples frentes. ⬤
3,0 Cisco: ofrece diversas capas de seguridad que abarcan firewall de última generación
(NGFW), correos electrónicos, dispositivos móviles, terminales y SSE. A pesar de su
protección integral, Cisco carece de prevención de phishing impulsado por IA y no logra
bloquear los ataques Quishing. Esto supone un riesgo para los usuarios que escanean
códigos QR con un dispositivo desprotegido, lo que puede provocar filtraciones de
credenciales. ◕
3,0 Fortinet: refleja las capas de seguridad de Cisco, pero también carece de prevención de
phishing impulsado por IA, compartiendo la misma vulnerabilidad a los ataques de
Quishing. Esta vulnerabilidad resalta la importancia de proteger los dispositivos móviles
contra el posible robo de credenciales. La baja probabilidad de una configuración
incorrecta apunta a la defensa confiable, pero no infalible, de Fortinet. ◕
2,5 Palo Alto Networks: proporciona un amplio espectro de protección, que incluye NGFW,
dispositivos móviles, terminales y SSE, mejorada por la prevención de phishing
impulsado por IA. Sin embargo, se queda corto en el bloqueo de ataques de quishing, lo
que deja a los usuarios en riesgo de filtraciones de credenciales a través de escaneos con
un dispositivo móvil. El bajo riesgo de configuración incorrecta, pero la incompleta
defensa contra el phishing, se refleja en su eficacia general.
◕
2,0 Zscaler: se basa en una capa singular de defensa sin prevención contra el phishing
impulsado por IA, lo que muestra vulnerabilidades. Los usuarios que escanean códigos
QR en dispositivos desprotegidos podrían enfrentar filtraciones de credenciales. Se
observa la probabilidad de configuración incorrecta, con una eficacia general decente, lo
que indica el potencial de Zscaler para reforzar sus mecanismos de defensa contra el
phishing.
◑
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 25 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.9 ZTNA sin clientes
Descripción: Este caso de uso está diseñado para facilitar el acceso seguro de los usuarios
remotos a los recursos corporativos cuando usan sus propios dispositivos (BYOD).
Inicialmente, cuando un usuario accede a un servidor interno a través de un navegador web
desde la oficina, el administrador configura una política en la puerta de enlace local para
permitir el acceso web a este servidor, lo que permite al usuario navegar al servidor FTP de
producción. En el caso de escenarios de trabajo remoto, como un usuario que trabaja desde
su casa, el administrador debe habilitar el acceso del equipo personal del usuario sin
comprometer la seguridad. El acceso se concede solo cuando se cumplen criterios
específicos, como la identidad del usuario, la ubicación del usuario, el tipo de navegador y
más. Posteriormente, el usuario inicia sesión en el portal SASE desde su navegador y accede
al mismo servidor, como lo haría desde la oficina.
Impacto: El cambio hacia el trabajo remoto resaltó la necesidad de un acceso flexible y, a la
vez, seguro a los activos corporativos desde cualquier ubicación o dispositivo. Este caso de
uso aborda el equilibrio crítico entre facilitar la productividad de los empleados remotos y
los contratistas externos y, al mismo tiempo, mantener estrictas medidas de seguridad para
proteger la información corporativa confidencial.
Procedimiento de evaluación: Los administradores inician sesión y navegan por las
interfaces de los productos evaluados. El proceso comienza cuando el administrador crea
una política en la puerta de enlace local que permite el acceso a un servidor interno. Luego,
un usuario puede acceder a este servidor interno a través de un navegador. Para adaptarse
al acceso remoto desde dispositivos personales y no administrados, el administrador
establece una política en la plataforma SASE que permite la conexión con el servidor interno,
incorporando un estricto control de acceso basado en comprobaciones de postura. Estas
comprobaciones validan la ubicación del usuario, la hora y la fecha de acceso, el tipo y la
versión del sistema operativo y el tipo de navegador empleado. Por último, el usuario puede
conectarse al servidor interno empleando su dispositivo personal, lo que garantiza un acceso
seguro y fluido a los recursos corporativos, independientemente de su ubicación física.
Evaluación de plataformas Zero Trust 26 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de ZTNA sin clientes
Caso de uso 9
ZTNA sin clientes : habilitar el acceso remoto seguro a los recursos corporativos desde un
dispositivo no administrado.
3,5 Check Point: los administradores pueden crear eficazmente perfiles de estado para
usuarios sin clientes y configurar todos los criterios necesarios. El portal de usuario
presenta una visión clara de las aplicaciones accesibles, lo que minimiza el riesgo de
configuración incorrecta y resalta su alta calificación de efectividad general. ⬤
2,8 Cisco: la creación de perfiles de estado para usuarios sin clientes es posible, aunque con
cierta dificultad. Se pueden configurar todos los criterios necesarios, excepto la fecha y
la hora. La ausencia de un portal de usuario significa que los usuarios deben realizar un
seguimiento manual de los enlaces de acceso a la aplicación. A pesar de esto, es poco
probable que se produzca una configuración incorrecta. ◕
0,0 Fortinet: actualmente, Fortinet no admite el acceso seguro y privado a las aplicaciones
internas para usuarios sin clientes. ○
2,4 Palo Alto Networks: los administradores enfrentan desafíos para cumplir con los
requisitos de la tarea y configurar los criterios necesarios para los usuarios sin clientes.
Sin embargo, su portal de usuario proporciona una visión clara de las aplicaciones
permitidas. La probabilidad de una configuración incorrecta es alta. ◑
1,8 Zscaler: la plataforma experimenta limitaciones en la configuración de reglas de política
de acceso para usuarios sin clientes, específicamente con criterios de plataforma (SO) y
país. La incorporación de estos criterios puede hacer que las aplicaciones se vuelvan
visible en el portal del usuario. Los desafíos en el cumplimiento de tareas y la
configuración de criterios indican la probabilidad de una configuración incorrecta. ◑
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 27 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
5.10 Experiencia de navegación de usuarios remotos
Descripción: Este caso de uso describe el proceso en el que un administrador implementa la
inspección SSL junto con la prevención de amenazas para supervisar y proteger el tráfico
web. Posteriormente, un usuario se dedica a descargar varios tipos y tamaños de archivos
de SharePoint, seguido de la utilización de herramientas de prueba de la velocidad de
Internet para evaluar la integridad y la velocidad de su conexión. Este ejercicio es crucial para
evaluar el rendimiento y la fiabilidad de la conexión segura.
Impacto: En el contexto de la creciente importancia del trabajo remoto para las
organizaciones contemporáneas, la fiabilidad y la velocidad no son negociables para la
continuidad operativa. El objetivo central de este caso de uso es capacitar a los empleados
remotos para que ejecuten sus tareas de manera eficiente y segura desde cualquier
ubicación geográfica.
Procedimiento de evaluación: La evaluación implica interactuar con soluciones de seguridad
de proveedores líderes. El procedimiento comienza cuando el administrador configura la
inspección SSL y configura una directiva de prevención de amenazas para el tráfico web.
Luego, el usuario inicia una prueba práctica de las reglas configuradas descargando una
variedad de tipos y tamaños de archivos de SharePoint. Además, el usuario emplea
herramientas de prueba de la velocidad de Internet para verificar la estabilidad y la velocidad
de la conexión, confirmando así la eficacia de la medida de seguridad en un entorno de
trabajo remoto.
Evaluación de plataformas Zero Trust 28 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Observación y calificación: caso de uso de experiencia de navegación de usuarios remotos
Caso de uso 10
Experiencia de navegación de usuarios remotos: mejora de la velocidad y la seguridad del trabajo remoto
3,7 Check Point: agiliza la experiencia de trabajo remoto al habilitar la protección de Internet en el
dispositivo a través de la configuración de túnel dividido, con la inspección SSL y la prevención de
amenazas activadas de forma predeterminada. Este enfoque garantiza una experiencia superior
del usuario caracterizada por la conectividad directa a Internet, lo que produce una interacción en
línea más rápida y fluida con un riesgo mínimo de configuración incorrecta. La simplicidad y la
eficiencia de la solución de Check Point son notables, lo que la convierte en una opción sencilla y
fluida para garantizar un acceso remoto seguro y rápido. ⬤
3,5 Cisco: facilita una configuración de trabajo remoto fluida al permitir que los administradores
establezcan una política de acceso privado seguro que incorpore reglas y configuraciones predefinidas.
Esta interfaz fácil de usar reduce considerablemente la probabilidad de una configuración incorrecta y
promueve una experiencia intuitiva y sin complicaciones. Cisco se destaca por su diseño sencillo, que
garantiza que el trabajo remoto sea seguro y se gestione sin esfuerzo. Observamos que requirió más
esfuerzo del que debería ser necesario para configurar el SUT para la experiencia de navegación remota. ⬤
1,5 Fortinet: el enfoque de Fortinet requiere que los administradores implementen una política para el
acceso a Internet y configuren un perfil de terminal con configuraciones avanzadas de protección contra
amenazas. Además, debido al enrutamiento de puntos de presencia (PoP) en la nube, los usuarios
pueden experimentar un rendimiento deficiente. Los pasos de configuración adicionales introducen
una mayor probabilidad de configuración incorrecta, lo que genera una calificación de efectividad
general mediocre. ◑
2,8 Palo Alto Networks: los administradores que emplean Palo Alto Networks deben crear una
política de descifrado para inspeccionar todo el tráfico web, crear un nuevo grupo de perfiles y
excluir el perfil de bloqueo de archivos predeterminado para permitir que el usuario descargue
archivos legítimos. Además, se deben aplicar políticas de prevención de amenazas. Como sucede
con otros que utilizan rutas a través de PoP en la nube, la experiencia del usuario puede verse
afectada. La complejidad de las configuraciones necesarias aumentó el riesgo de una configuración
incorrecta, lo que puede comprometer la eficacia general de las plataformas. ◕
2,0 Zscaler: los administradores tienen la tarea de crear reglas para inspeccionar todo el tráfico web y
reglas de sandbox adicionales para escanear tipos de archivos específicos. Se deben deshabilitar
las configuraciones predeterminadas para habilitar un análisis completo del tráfico de Office 365.
El enrutamiento del tráfico a través de PoP en la nube puede disminuir la experiencia del usuario.
En consecuencia, la eficacia general de la plataforma de Zscaler podría no cumple con las
expectativas, especialmente en escenarios que exigen estándares de alto rendimiento. ◑
Referencia
De 4,0 a
3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a
0,50 ◔ De 0,49
a 0 ○
Cumplimiento
pleno Cumplimiento alto Cumplimiento mínimo
Cumplimiento
deficiente
Cumplimiento
nulo
Evaluación de plataformas Zero Trust 29 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
6.0 Acerca de Miercom
Miercom publicó cientos de análisis de productos de red en las principales revistas
especializadas y otras publicaciones. La reputación de Miercom como el centro
independiente líder en pruebas de productos es indiscutible.
Los servicios de pruebas privadas disponibles en Miercom incluyen análisis de productos
competitivos, así como evaluaciones individuales de productos. Miercom cuenta con
programas integrales de certificación y prueba, que incluyen Certified Interoperable™,
Certified Reliable™, Certified Secure™ y Certified Green™. Los productos también pueden
evaluarse bajo el programa Performance Verified™, la evaluación más completa y confiable
de la industria para la usabilidad y el rendimiento del producto.
7.0 Uso de este informe
Se hizo todo lo posible para garantizar la exactitud de los datos expuestos en este informe,
pero puede haber errores o descuidos. La información documentada en este informe
también puede basarse en varias herramientas de prueba, cuya precisión está fuera de
nuestro control. Además, el documento se basa en ciertas declaraciones de los proveedores
que fueron verificadas razonablemente por Miercom, pero está fuera de nuestro control
verificarlas con un 100 % de certeza.
Miercom proporciona este documento tal como es y no ofrece ninguna garantía ni
representación, ya sea expresa o implícita, y no acepta ninguna responsabilidad legal, ya sea
directa o indirecta, por la exactitud, integridad, utilidad o idoneidad de la información
contenida en este reporte.
Todas las marcas comerciales empleadas en el documento son propiedad de sus respectivos
propietarios. Usted acepta no emplear ninguna marca comercial dentro de sus propias
marcas comerciales, o como la totalidad o parte de las mismas, en relación con cualquier
actividad, producto o servicio que no sea nuestro, o de una manera que pueda ser confusa
o engañosa o que nos menosprecie de alguna manera a nosotros o a nuestra información,
proyectos o desarrollos.
La Política de pruebas justas de Miercom permite que cualquier proveedor evaluado
cuestione estos resultados o vuelva a probarlos, según el Acuerdo de Términos de uso de
Miercom, en caso de que alguien no esté de acuerdo con los resultados presentados en
este informe.
Evaluación de plataformas Zero Trust 30 DR240228G
Copyright ©2024 Miercom 21 de marzo de 2024
Miercom no adquirió productos para esta revisión, ni aceptó el Acuerdo de licencia de
usuario final (EULA) de ningún proveedor ni ningún otro acuerdo excesivamente restrictivo
que limite la libertad de prensa, las evaluaciones de productos, los trabajos editoriales o la
publicación de reseñas de productos. Creemos en proporcionar información precisa y
objetiva para ayudar a los clientes a tomar decisiones de compra informadas.
Al descargar, distribuir o usar este informe de cualquier manera, usted acepta los Términos
de uso de Miercom. Para obtener información completa sobre los términos de Miercom,
visite https://miercom.com/tou.
© 2024 Miercom. Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse, fotocopiarse, almacenarse en un sistema de
recuperación o transmitirse sin el consentimiento expreso por escrito de los autores. Envíe un correo a reviews@miercom.com para obtener más
información.
https://protect.checkpoint.com/v2/___https:/miercom.com/tou___.YzJlOmNwYWxsOmM6bzo2YzEzZmYwYTlhODkzYjBjMzIxY2IzMThiMjBmMWEwMDo2OmY4ZjQ6NGVkZDhmNDQ3NjEwNjNjM2ZmY2FmNDIwYzNmZWY3MzZiYzVkNmMxYzRhZDdlOWM2NjE5ODZhMDllMTdmODkwYTpwOkY https://protect.checkpoint.com/v2/___https:/miercom.com/tou___.YzJlOmNwYWxsOmM6bzo2YzEzZmYwYTlhODkzYjBjMzIxY2IzMThiMjBmMWEwMDo2OmY4ZjQ6NGVkZDhmNDQ3NjEwNjNjM2ZmY2FmNDIwYzNmZWY3MzZiYzVkNmMxYzRhZDdlOWM2NjE5ODZhMDllMTdmODkwYTpwOkY