Informe | Plataforma de Confianza Cero de Miercom, 2024

Informe | Plataforma de Confianza Cero de Miercom, 2024

Este informe evalúa las capacidades clave de una plataforma de Confianza Cero para proteger de manera efectiva los activos digitales y destaca los tres componentes esenciales necesarios para implementar con éxito una estrategia de Confianza Cero.

Informe | Plataforma de Confianza Cero de Miercom, 2024

Evaluación de plataformas Zero Trust Miercom Zero Trust Security Benchmark TM 2024

DR240228G

Marzo de 2024

Con licencia para su distribución por:

Check Point Software

Evaluación de plataformas Zero Trust 2 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Índice

1.0 Resumen ejecutivo .................................................................................................. 3

2.0 Resumen de la prueba ............................................................................................ 5

3.0 Introducción ............................................................................................................ 7

4.0 Productos probados ................................................................................................ 8

5.0 Casos de uso de evaluación de plataformas Zero Trust ......................................... 9

5.1 Restricción de acceso a las categorías de URL ................................................ 9

5.2 Administradores simultáneos .......................................................................... 11

5.3 Integración de proveedores de servicios en la nube ....................................... 13

5.4 Administración delegada ................................................................................. 15

5.5 Protección contra sitios web maliciosos .......................................................... 17

5.6 Protección contra phishing .............................................................................. 19

5.7 Excepción de IPS ............................................................................................ 21

5.8 Protección de correo electrónico ..................................................................... 23

5.9 ZTNA sin clientes ............................................................................................ 25

5.10 Experiencia de navegación de usuarios remotos .......................................... 27

6.0 Acerca de Miercom ............................................................................................... 29

7.0 Uso de este informe .............................................................................................. 29

Evaluación de plataformas Zero Trust 3 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

1.0 Resumen ejecutivo

En el panorama de la ciberseguridad de rápida evolución, la adopción de una arquitectura de

Zero Trust es imprescindible para las organizaciones que buscan mejorar su postura de

seguridad. La facilidad de uso y la calidad de la experiencia del usuario y del administrador

(UX) son primordiales para mitigar el riesgo de brechas de seguridad graves, muchas de las

cuales provienen de errores humanos que se pueden evitar mediante la configuración

adecuada, la configuración de políticas u otros componentes de la arquitectura de seguridad.

La eficacia de la interfaz de administración para facilitar actualizaciones rápidas y eficientes

de estas configuraciones es fundamental, ya que no solo agiliza las tareas de administración,

sino que también permite a los usuarios interactuar con la solución en sus operaciones

diarias. Es indispensable contar con una interfaz de usuario que permita a los participantes

estar bien informados y tomar decisiones inteligentes con respecto a sus actividades en las

redes. Dicha interfaz anima a los usuarios a demandar la corrección de restricciones

injustificadas, lo que mejora la postura de seguridad general al reducir la frustración y

garantizar que los usuarios tengan el acceso necesario para llevar a cabo sus funciones.

En este informe detallado, se evalúan las capacidades críticas necesarias para que una

plataforma Zero Trust proteja de manera eficaz los activos digitales; además, se hace

hincapié en los tres pilares fundamentales necesarios para la implementación exitosa de una

estrategia de Zero Trust.

 Administración centralizada y usabilidad para múltiples componentes de

seguridad:

Una plataforma Zero Trust debe ofrecer una administración centralizada, lo que

permite una integración y un control perfectos de los componentes de seguridad.

Este marco de administración unificado simplifica la orquestación de políticas de

seguridad complejas en diversos entornos, reduciendo el riesgo de configuraciones

incorrectas. Una plataforma de este tipo garantiza que los administradores de

seguridad puedan administrar de manera eficaz la seguridad de la red, la seguridad

de la nube, la seguridad de SaaS y la protección de terminales y correos electrónicos

desde un único panel.

 Arquitectura híbrida y diversos puntos de aplicación de la implementación:

La flexibilidad para admitir una arquitectura híbrida con diversos modelos de

implementación es fundamental. Una plataforma Zero Trust debe alojar firewalls

locales, firewalls virtuales, firewalls en la nube y firewalls como servicio (FWaaS) para

garantizar la aplicación coherente de políticas en todos los activos,

independientemente de su ubicación.

 Posibilidad de realizar y ejecutar capacidades de Zero Trust:

Para Zero Trust, es fundamental la verificación continua de usuarios, activos,

aplicaciones y dispositivos, incluidas las tecnologías emergentes, como los servicios

en la nube y los dispositivos de IoT. La plataforma debe aplicar controles de acceso

que se adhieran al principio de privilegio mínimo a fin de garantizar que las entidades

tengan acceso solo a los recursos necesarios para sus roles y funciones.

Evaluación de plataformas Zero Trust 4 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Check Point Software Technologies contrató a Miercom para llevar a cabo una evaluación

privada de su plataforma Infinity, impulsada por IA y entregada en la nube, y compararla

con ofertas similares de los principales proveedores de la plataforma Zero Trust. Este

estudio se basó en la demostración de Check Point de casos de uso de clientes y en la

investigación de código abierto de Miercom de estos productos. Miercom no adquirió estos

productos, ni se invitó a los competidores a completar esta evaluación. Se invita a los

proveedores a que reevalúen sus productos si hay algún desacuerdo en los resultados

presentados en este informe.

Hallazgos clave

 Eficacia de la seguridad: Check Point Infinity es una arquitectura reconocida por su

eficacia en un sistema de seguridad superior; supera a sus competidores en la

prevención integral de amenazas y capacidades de respuesta basadas en

10 implementaciones de casos de uso comunes para Zero Trust.

 Experiencia del usuario y administrador: La plataforma de Check Point es

extremadamente efectiva en términos administrativos y de experiencia del usuario,

lo que se atribuye a su interfaz intuitiva y procesos de gestión simplificados que

mejoran la facilidad de uso en general.

 Implementación de Zero Trust: Check Point Infinity se destacó en la evaluación de

10 tareas comunes de implementación de Zero Trust para grandes empresas. Check

Point Infinity Platform es muy adecuada para proteger entornos de TI modernos

contra amenazas persistentes y en evolución.

Se reconoce a Check Point como un proveedor líder

en la evaluación de plataformas Zero Trust de

Miercom, y supera ampliamente los productos de la

competencia en una evaluación integral que se centra

en las 10 implementaciones de Zero Trust más

comunes que las empresas realizan a diario. Check

Point obtuvo el puntaje más alto en las categorías de

Experiencia del usuario y administrador, y Eficacia de

la seguridad. El compromiso de Check Point de proporcionar una plataforma Zero Trust

superior y su liderazgo en el panorama de seguridad de Zero Trust quedó en evidencia en

este análisis. Check Point Security Technologies obtuvo el premio Miercom Certified Secure.

Robert Smithers

Director ejecutivo de Miercom

Evaluación de plataformas Zero Trust 5 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

2.0 Resumen de la prueba

La evaluación de plataformas Zero Trust marca el rendimiento de varios proveedores de

ciberseguridad en cuanto a la “Eficacia de la seguridad” y la “Experiencia del usuario y

administrador”. Check Point lidera la lista, demostrando la mayor eficacia de la seguridad y

la mejor experiencia del usuario y administrador.

El gráfico también muestra la integridad relacionada con la plataforma Zero Trust de la solución

en lo que respecta al cumplimiento de los requisitos de una plataforma Zero Trust.

Evaluamos tres requisitos básicos para una plataforma Zero Trust:

 Administración centralizada y usabilidad para múltiples componentes de seguridad

 Arquitectura híbrida y diversos puntos de aplicación de la implementación

 Posibilidad de realizar y ejecutar capacidades de Zero Trust

En la evaluación de plataformas Zero Trust de Miercom se examinaron los 10 casos de uso comerciales

más importantes de aprovisionamiento Zero Trust (ZTP) en cuanto a la eficacia general de la seguridad, la

administración y la experiencia del usuario en la implementación y configuración de la protección. El

tamaño de los marcadores individuales representa la integridad de la plataforma del proveedor. Esta

evaluación es fundamental para las organizaciones que priorizan una seguridad sólida en las ofertas de

plataformas Zero Trust.

Evaluación de plataformas Zero Trust 6 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

En el informe Clasificación de la implementación de la plataforma de seguridad de Zero Trust

se evalúa a los proveedores de ciberseguridad en una variedad de casos de uso relevantes

para la seguridad de Zero Trust.

Check Point lidera con el puntaje general más alto de 3,5; esto refleja que cumple con los

criterios clave de manera efectiva. Le siguen los competidores, con distintos grados de

cumplimiento en todos los criterios.

Los puntajes generales que se muestran en la parte inferior destacan el liderazgo de Check

Point en esta evaluación, mientras que otros proveedores muestran puntajes de

cumplimiento más bajos.

Evaluación de plataformas Zero Trust

Resumen de la prueba

Criteri

o Caso de uso

Check

Point Cisco Fortinet

Palo Alto

Networks Zscaler

1 Restricción de acceso a las

categorías de URL ⬤ ◕ ◕ ◕ ◕ 2 Administradores simultáneos ◕ ◑ ◕ ◕ ◔ 3

Integración de proveedores

de servicios en la nube ⬤ ◕ ◕ ◕ ◑ 4 Administración delegada ⬤ ◑ ◕ ◕ ◔ 5

Protección contra sitios web

maliciosos ⬤ ◑ ◔ ◑ ◕ 6 Protección contra phishing ⬤ ◑ ◕ ◕ ◕

7 Excepción de IPS ⬤ ◑ ⬤ ◕ ◕ 8

Protección de correo

electrónico ⬤ ◕ ◕ ◕ ◑ 9 ZTNA sin clientes ⬤ ◕ ○ ◑ ◑

10 Interfaz de navegador de

usuario remoto ⬤ ⬤ ◑ ◕ ◑ PUNTAJE GENERAL 3,5 2,4 2,3 2,8 2,2

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔

De

0,49 a

0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 7 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

3.0 Introducción

En una era en la que las ciberamenazas son cada vez más sofisticadas y generalizadas, no se

puede subestimar la necesidad de contar con soluciones de ciberseguridad estables e

integrales. Las grandes empresas buscan plataformas que no solo protejan sus activos

digitales, sino que también ofrezcan adaptabilidad, escalabilidad y facilidad de integración

dentro de su infraestructura de TI existente. En el panorama actual de la ciberseguridad, que

evoluciona rápidamente y en el que las defensas tradicionales flaquean frente a las

ciberamenazas sofisticadas, Zero Trust emerge como una arquitectura vital. Su principio

fundamental, “nunca confiar, siempre verificar”, garantiza la autenticación continua y la

autorización de acceso, lo que reduce considerablemente los riesgos de seguridad y

promueve una postura de defensa proactiva. La adopción de Zero Trust es crucial en medio

del aumento de las filtraciones de datos y la expansión de la superficie de ataque de los

nuevos dispositivos y servicios en la nube. El marco dinámico y adaptable de Zero Trust

ofrece importantes beneficios:

 Superficie de ataque minimizada: aplica el privilegio mínimo y la verificación

continua para limitar los impactos de las filtraciones.

 Detección de amenazas mejorada: permite detectar y contener amenazas con

mayor rapidez a través de controles de acceso granulares.

 Cumplimiento reforzado: se alinea con la evolución de las leyes de privacidad de

datos y los estándares de la industria.

La implementación de Zero Trust puede ser desalentadora debido a su complejidad y a la

necesidad de integración con los sistemas existentes, los recursos limitados y los riesgos de

dependencia de un proveedor. En este informe, se examinan las capacidades de Zero Trust

en los principales proveedores de plataformas Zero Trust:

 Capacidades de la plataforma: evaluación de características, flexibilidad de

implementación, integraciones y facilidad de uso.

 Eficacia de la seguridad: medición de la eficacia en el mundo real frente a ataques

simulados.

 Experiencia del usuario y administrador: evaluación de la intuición de la interfaz

de administración y su impacto en la productividad y satisfacción del usuario.

Check Point Infinity Platform emerge como líder, prometiendo un enfoque consolidado para

la prevención de amenazas en entornos de red, en la nube y móviles. Check Point se destaca

por su arquitectura de seguridad unificada, diseñada para proporcionar una protección

perfecta contra amenazas y actividades maliciosas, al mismo tiempo que garantiza

operaciones comerciales ininterrumpidas. Su fortaleza radica en su capacidad para ofrecer

una estrategia de seguridad de múltiples capas, combinando seguridad de red, seguridad

en la nube, protección de terminales y seguridad móvil bajo un único panel ejecutivo para

simplificar la administración y facilitar la visibilidad general.

Evaluación de plataformas Zero Trust 8 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

4.0 Productos probados

Productos probados

Proveedor/Software Versión

Check Point

Infinity Portal/Quantum Gateway

Infinity Portal/Harmony SASE

Infinity Portal/Smart-1 Cloud

Infinity Portal/Harmony Email & Collaboration

R81.20/R82

SaaS

SaaS (R81.20/R82)

SaaS

Cisco

FirePower FTD

Secure Connect

FirePower Management Center

Microsoft E3

7.4.0

SaaS

7.4.0

SaaS

Fortinet

FortiGate

FortiSASE

FortiManager

FortiMail

7.4.2

SaaS (23.4.49)

7.4.2

7.4.0

Palo Alto Networks

PAN-OS Gateway

Prisma Access

Panorama

Microsoft E3

11.1.1

SaaS (preferiblemente 4.0.0)

11.1.1

SaaS

Zscaler

Zscaler Internet Access

Zscaler Private Access

Microsoft E3

SaaS

SaaS

SaaS

Evaluación de plataformas Zero Trust 9 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.0 Casos de uso de evaluación de plataformas Zero Trust

5.1 Restricción de acceso a las categorías de URL

Descripción: Evaluamos los procedimientos para otorgar y restringir el acceso a las

plataformas de redes sociales dentro de una organización. Esta sección aborda

específicamente los procedimientos que debe seguir un administrador para permitir el

acceso a las redes sociales; por ejemplo, el Departamento de Recursos Humanos (RR. HH.),

al mismo tiempo que impone restricciones a otros departamentos. Además, cubre el

proceso para permitir y supervisar excepciones en circunstancias especiales.

Los usuarios que no tienen permitido ingresar a redes sociales pueden presentar una

justificación con los motivos por los que necesitan el acceso, que, si se considera válida, da

lugar a la concesión automática de acceso. Este mecanismo de “derivación”, que requiere

justificación, está diseñado principalmente para superar los bloqueos relacionados con la

operación comercial, como mitigar el tiempo perdido en las redes sociales, en lugar de eludir

las medidas de seguridad contra el contenido malicioso. Este proceso está personalizado

para el acceso a contenido no relacionado con la seguridad, lo que garantiza un enfoque

equilibrado de la productividad y la seguridad.

Impacto: Equilibrar la productividad y la seguridad dentro de la red de una empresa requiere

un enfoque matizado para el acceso y la exposición a las redes sociales. Las empresas deben

sortear el doble desafío de permitir un uso razonable de las redes sociales y, al mismo

tiempo, protegerse contra riesgos potenciales, como ataques maliciosos e infracciones de

cumplimiento. Sin embargo, las políticas demasiado restrictivas o mal comunicadas pueden

hacer que los empleados se sientan desmotivados o se resistan a cumplirlas. Además, existe

el riesgo de que los usuarios malinterpreten las denegaciones de acceso como problemas

técnicos en lugar de medidas de seguridad legítimas. Lograr un equilibrio óptimo que proteja

los intereses de la empresa sin perjudicar la confianza de los empleados es esencial para

administrar de manera eficaz las redes sociales en el lugar de trabajo.

Procedimiento de evaluación: Explorar y evaluar las interfaces de usuario para administrar

el inicio de sesión y el acceso con los principales proveedores de la plataforma Zero Trust.

Llevar a cabo una evaluación exhaustiva de la eficiencia y la facilidad de uso en el

establecimiento de reglas para cronometrar el uso de las redes sociales dentro del escenario

de negocio simulado, al mismo tiempo que se admiten excepciones especiales. Esta

evaluación abarca tanto los inicios de sesión a nivel de usuario como los de nivel

administrativo, con el objetivo de comprender la facilidad y flexibilidad de la implementación

de políticas en diferentes niveles de acceso.

Evaluación de plataformas Zero Trust 10 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso sobre la restricción de acceso de categorías de URL

Caso de uso 1

Restricción del acceso a las categorías de URL: el Departamento de Recursos Humanos (RR. HH.) depende en

gran medida de las plataformas de redes sociales para diversas funciones importantes, como la contratación, el

desarrollo de la marca del empleador y las iniciativas de compromiso de los empleados. Sin embargo, el acceso no

restringido a las redes sociales en todos los departamentos implica una pérdida de productividad y un riesgo

potencial a la seguridad y la reputación.

3,5 Check Point: la interfaz de Check Point es muy fácil de usar, dado que ofrece una navegación fluida que

facilita las acciones rápidas e intuitivas de arrastrar y soltar; esto reduce considerablemente los tiempos

de configuración. La simplicidad en la administración y la incorporación de la automatización minimiza

la probabilidad de errores. El sistema garantiza que los usuarios sean dirigidos correctamente, lo que

mejora el control de acceso a las redes sociales y reduce al mínimo los errores de configuración. Su

rendimiento general está marcado tanto por la seguridad como por la facilidad de uso. ⬤

3,0 Cisco: la interfaz de Cisco es sencilla, aunque requiere navegar a través de múltiples menús para

establecer reglas individuales y tiene pasos adicionales para configurar registros. Los usuarios

reciben alertas sobre las restricciones, pero pueden eludirlas. El complejo sistema de menús

genera inquietudes sobre posibles errores de configuración. A pesar de esto, la interfaz sigue

siendo fácil de usar, aunque con una sugerencia de que se realicen simplificaciones. ◕

2,8 Fortinet: la interfaz de Fortinet requiere el uso de perfiles para implementar páginas de bloqueo

o alerta, lo que complica las reglas directas basadas en URL. La interfaz gráfica de usuario (GUI)

puede ser desconcertante y requerir configuraciones de perfil adicionales que pueden confundir a

los usuarios. A pesar de estas desventajas, la integración de usuarios sigue siendo efectiva. La

posibilidad de que ocurran errores de configuración debido a la complejidad de la interfaz sugiere

la necesidad de hacer mejoras para optimizar la usabilidad general. ◕

3,1 Palo Alto Networks: el proceso implica navegar a través de varios menús para la creación de

reglas y la administración de perfiles para páginas de bloqueo/alerta, que no se pueden aplicar

directamente dentro de las reglas. Esto, junto con el requisito de configuraciones de registro

adicionales y perfiles para nuevas reglas, complica la experiencia de administración. Sin embargo,

la configuración del usuario es sencilla, lo que hace que el sistema sea simple y eficaz para los

usuarios, aunque los aspectos administrativos requieren una mejora para aumentar la eficiencia. ◕

3,0

Zscaler: la interfaz de Zscaler muestra una capacidad de respuesta lenta y los usuarios deben

desactivar ciertas funciones para ver correctamente las páginas de alerta, lo que aumenta el

tiempo necesario para la configuración. La alerta notifica claramente a los usuarios y se

proporcionan opciones para omitir la página de bloqueo o volver a la página anterior. Si bien la

probabilidad de una configuración incorrecta es baja, los pasos adicionales necesarios en la

interfaz podrían representar un riesgo. Aunque es fácil de usar, la eficacia general de la interfaz

gráfica de usuario de Zscaler podría beneficiarse de mejoras para incrementar la velocidad y

agilizar la experiencia del usuario.

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 11 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.2 Administradores simultáneos

Descripción: Este caso de uso explora un entorno colaborativo en el que un equipo de

seguridad, compuesto por varios administradores, tiene la tarea de administrar solicitudes

simultáneas. El equipo opera dentro de un sistema de administración centralizado,

implementando y modificando reglas de seguridad para múltiples sucursales. Pueden

producirse problemas de acceso cuando las políticas conflictivas o superpuestas de los

administradores permiten inadvertidamente a los usuarios acceder a los recursos.

Impacto: La capacidad de varios administradores para acceder a la configuración de

seguridad y modificarla al mismo tiempo puede provocar la creación de políticas conflictivas.

Esto no solo genera confusión, sino que también aumenta el riesgo de configuraciones

incorrectas dentro del marco de seguridad; esto puede comprometer la postura de

seguridad general de la organización.

Procedimiento de evaluación: Esta evaluación implica acceder y navegar por las interfaces

de usuario. La atención se centra en evaluar la facilidad de uso y la eficiencia de las

plataformas en la creación de políticas de filtrado de URL por parte de un administrador en

varios escenarios. Una parte fundamental de la evaluación es observar cómo el sistema

maneja los conflictos de políticas cuando un usuario intenta acceder a un recurso. El entorno

de pruebas debe garantizar que los diferentes administradores puedan gestionar y aplicar

políticas simultáneamente sin crear intervalos de seguridad. Un criterio clave es evitar la

creación de “puntos ciegos”; los administradores no deberían tener que revisar

minuciosamente cada configuración para asegurarse de que no se realizaron cambios no

autorizados.

Evaluación de plataformas Zero Trust 12 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de administradores simultáneos

Caso de uso 2

Administradores simultáneos: el sistema debe permitir que varios administradores gestionen y

aborden de manera eficiente diferentes solicitudes al mismo tiempo.

3,4 Check Point: la GUI de SmartConsole de Check Point bloquea de manera única objetos

y reglas individuales durante las modificaciones, lo que agiliza el uso del administrador y

evita conflictos con otros usuarios. Este diseño facilita operaciones simultáneas fluidas

sin comprometer la seguridad, lo que reduce considerablemente la probabilidad de una

configuración incorrecta. En general, Check Point ofrece una eficacia excepcional y

respalda el trabajo colaborativo de manera eficiente. ◕

2,0 Cisco: el sistema de Cisco, cuando un administrador guarda su configuración, hace que

se pierdan inadvertidamente los cambios no guardados por otros administradores

registrados. Si bien esto garantiza el uso seguro del administrador, conduce a una posible

pérdida de trabajo y una configuración incorrecta debido a conflictos de administración.

La seguridad general es estable, pero la falta de soporte para la administración

simultánea resta valor a la experiencia del administrador. ◑

2,5 Fortinet: la “mejor práctica” recomendada por Fortinet consistió en restringir el inicio de

sesión del administrador durante los cambios en curso para evitar problemas de acceso

simultáneos. Este enfoque, aunque está pensado en torno a la seguridad, genera

inquietudes por posibles errores de configuración y bloqueos de administradores, lo que

sugiere la necesidad de mejorar en los entornos colaborativos. ◕

3,0 Palo Alto Networks: en las situaciones demostradas, los cambios guardados por un

administrador pueden anular los de otro, a menos que se empleen las funciones de

“bloqueo de confirmación” o “bloqueo de configuración” para restringir los cambios al

administrador actual. Aunque estas características impiden la edición simultánea,

requieren una supervisión cuidadosa de los registros de cambios para evitar errores de

configuración. Palo Alto Networks ofrece un buen nivel de efectividad con disposiciones

para el trabajo colaborativo, siempre que se aplique la debida diligencia en la

administración de cambios.

1,0 Zscaler: la falta de visibilidad entre los administradores con respecto a los cambios de

sus colegas puede generar posibles errores de configuración, lo que plantea riesgos de

seguridad y confusión operativa. Se requieren mejoras para respaldar el trabajo en

equipo eficiente en entornos simultáneos. ◔

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 13 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.3 Integración de proveedores de servicios en la nube

Descripción: Este caso de uso se centra en habilitar el control administrativo para otorgar

acceso a los servidores de bases de datos identificados por direcciones IP específicas, según

lo indicado por el equipo del sistema. Estos servidores, que son activos etiquetados dentro

de los entornos EC2, exigen actualizaciones dinámicas de políticas para garantizar un acceso

sin interrupciones en medio de cambios frecuentes. El equipo de MIS actualiza

continuamente la lista de servidores de bases de datos alojados en la nube, lo que facilita el

acceso ininterrumpido a estos recursos.

Impacto: Este caso de uso resalta la necesidad de una gestión ágil de políticas dentro de los

entornos de nube, como AWS, donde los servidores de bases de datos se someten a

actualizaciones y adiciones periódicas. Elimina la necesidad de ajustes manuales de políticas

cada vez que se introduce una nueva instancia de servidor de base de datos, lo que aboga

por la automatización en las actualizaciones de políticas, la coherencia en la aplicación y la

eficiencia en la administración.

Procedimiento de evaluación: El proceso implica iniciar sesión y navegar por las interfaces

de los proveedores de la plataforma Zero Trust. El desafío de la configuración radica en la

capacidad de integrar recursos etiquetados basados en la nube para emplearlos de forma

nativa en la política de seguridad.

Si no es posible realizar una importación directa desde la nube, primero cree el objeto de

etiqueta manualmente (“use=prod-dataserver”). De esta manera, se crea una nueva regla.

Nombre: “Permitir servidores de base de datos” Fuente: Servidores web de producción

(objeto local). Destino: objeto basado en la etiqueta de AWS “use=prod-dataserver”.

Servicio/aplicación: SQL. Acción: permitir.

Evaluación de plataformas Zero Trust 14 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de integración de proveedores de servicios en

la nube

Caso de uso 3

Integración de proveedores de servicios en la nube: el equipo de MIS tiene la tarea de

administrar una lista en constante evolución de servidores de bases de datos de la empresa en la

nube, lo que requiere licencias de acceso dinámico.

3,6 Check Point: la integración ofrece permisos mínimos. Este enfoque no solo mejora la

eficiencia, sino que también reduce considerablemente el riesgo de una configuración

incorrecta. Al requerir permisos mínimos, la integración evita la necesidad de otorgar

acceso al sistema bajo prueba (SUT) a todo el entorno de la nube, limitando el acceso

estrictamente a las áreas necesarias. Esta estrategia de acceso dirigido minimiza de

forma eficaz el impacto potencial, o el radio de explosión, en caso de una brecha de

seguridad.

3,0 Cisco: carece de integración de permisos mínimos, lo que requiere pasos adicionales

para que los administradores incorporen objetos de la nube en la base de la regla. Este

proceso implica la creación de un objeto interno con condiciones de coincidencia

específicas antes del establecimiento de la regla, lo que aumenta la complejidad y la

posibilidad de una configuración incorrecta. A pesar de estos desafíos, su eficacia

general sigue siendo loable. ◕

2,5 Fortinet: al igual que Cisco, Fortinet no ofrece una integración de permisos mínimos, lo

que requiere que los administradores realicen pasos adicionales para agregar objetos

de la nube a la base de la regla. Este proceso incluye la creación de objetos internos con

condiciones coincidentes, lo que complica la creación de reglas y aumenta los riesgos

de configuración incorrecta. Su efectividad es notable, pero el proceso podría

simplificarse. ◕

3,3 Palo Alto Networks: proporciona una integración de permisos mínimos, pero también

requiere pasos adicionales para agregar objetos de la nube a la base de la regla, incluida

la creación de objetos internos con condiciones de coincidencia. Esta complejidad

puede dar lugar a una configuración incorrecta. ◕

1,5 Zscaler: la función para importar etiquetas de AWS se limita a la creación de reglas de

acceso de los recursos de AWS a Internet. Este potencial de configuración incorrecta

contribuye a la eficacia general deficiente. ◑

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 15 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.4 Administración delegada

Descripción: Este caso de uso implica permitir que los administradores de sucursales

gestionen políticas de control de acceso y filtrado de URL localizadas dentro de un alcance

definido, como editar reglas específicas (por ejemplo, reglas 7-10) mientras tienen acceso de

solo lectura al resto. Su objetivo es capacitar a los administradores locales para que

administren la política de su puerta de enlace, accedan a los registros y solucionen

problemas, todo dentro de las barreras de protección de seguridad establecidas por la

administración central. El objetivo es descentralizar ciertas responsabilidades

administrativas, permitiendo a los administradores de sucursales adaptar las políticas de

filtrado de URL a sus necesidades específicas sin afectar los protocolos de seguridad

establecidos por el administrador de seguridad central.

Impacto: El objetivo principal de este caso de uso es aliviar la carga de trabajo de los

administradores de seguridad centrales al otorgar a los administradores de sucursales

autonomía sobre sus políticas de filtrado de URL locales. Este enfoque garantiza que las

necesidades específicas de las sucursales se puedan abordar de manera más eficiente, sin

comprometer la integridad del marco de seguridad general. Permite una postura de

seguridad más receptiva y flexible a nivel de sucursales, lo que mejora la capacidad de la

organización para adaptarse a los desafíos locales mientras se mantiene un entorno

coherente y seguro.

Procedimiento de evaluación: El proceso implica acceder a las interfaces para evaluar cómo

cada plataforma admite las capacidades de administración delegada. La evaluación se

centrará en la capacidad de los administradores de sucursales para administrar y modificar

de forma independiente sus políticas de filtrado de URL, incluida la visualización de la

configuración completa y la aplicación de cambios dentro de su alcance. Es crucial que los

administradores de las sucursales tengan restringida la posibilidad de modificar la

configuración en todo el sistema o anular las políticas de seguridad centrales, en particular

las relacionadas con el bloqueo de sitios peligrosos. Se examinará la eficacia de cada

plataforma para facilitar estas responsabilidades segregadas sin comprometer la seguridad

o la supervisión.

Evaluación de plataformas Zero Trust 16 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de administración delegada

Caso de uso 4

Administración delegada: para optimizar las operaciones y alivianar las responsabilidades del

administrador de seguridad central, es conveniente capacitar a los administradores de sucursales

con la capacidad de gestionar sus políticas de filtrado de URL. Esta capacitación debe producirse

sin el riesgo de que anule las políticas de seguridad generales establecidas por el administrador de

seguridad principal.

3,5 Check Point: ofrece un proceso de configuración sencillo, que permite la creación de

subdominios y subpolíticas para establecer límites claros, o “barreras de protección”, que

los administradores locales no pueden anular. Estos administradores pueden ver toda la

configuración, pero están restringidos a modificar solo sus áreas específicas de

responsabilidad. La eficacia general del sistema es elogiada por su simplicidad y facilidad

de uso. ⬤

1,5 Cisco: admite la creación de barreras de protección a través de subdominios y

subpolíticas, aunque el proceso de configuración es notablemente más complejo y

presenta un riesgo de problemas de conectividad. Este enfoque solo es factible cuando

existe una puerta de enlace local en la sucursal, lo que limita la capacidad del

administrador local de modificar las barreras de protección al mismo tiempo que le

otorga visibilidad y la capacidad de ajustar otras reglas más allá del filtrado de URL dentro

de su dominio. Requiere mejoras en la simplicidad de la configuración.

2,5 Fortinet: presenta un desafío de configuración complejo, ya que carece de la capacidad

de establecer barreras de protección para los administradores locales. Esta configuración

permite a los administradores locales modificar toda la política de URL, lo que introduce

un potencial de configuración incorrecta debido a la necesidad de inicios de sesión y

usuarios separados para acceder a diferentes partes de la puerta de enlace. Exige

mejoras en la capacidad de administración de la configuración. ◕

2,8 Palo Alto Networks: presenta un proceso de configuración criticado por ser tedioso,

principalmente debido a la ausencia de una configuración predeterminada de permisos

de solo lectura. La plataforma no admite la creación de barreras de protección efectivas

para los administradores locales, que pueden modificar cualquier configuración de

filtrado de URL. Si bien el riesgo de una configuración incorrecta es bajo, la naturaleza

repetitiva del proceso resta valor a su eficacia general. ◕

1,0 Zscaler: no proporciona la capacidad de limitar a los administradores de sucursales

exclusivamente a la administración de políticas de filtrado de URL. Los administradores

de sucursales tienen un amplio control de la configuración, incluidas las políticas sobre

la aplicación en la nube, el tipo de archivo y el control de acceso móvil, entre otros.

Aunque pueden evitar que el administrador de la sucursal anule la política de

administración principal, requiere la configuración de una nueva política. ◔

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 17 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.5 Protección contra sitios web maliciosos

Descripción: En este caso de uso, un usuario visita un sitio malicioso que tiene la capacidad

de secuestrar su estación de trabajo y, posteriormente, filtrarse en la organización.

El objetivo es protegerse contra este tipo de ataques.

Impacto: El objetivo de esta evaluación es evaluar la facilidad de uso de la configuración de

las prácticas recomendadas para prevenir ataques basados en sitios web y verificar la

efectividad del SUT para prevenirlos.

Procedimiento de evaluación: El procedimiento implica iniciar sesión y acceder a las

interfaces del producto bajo evaluación. La evaluación analizará la facilidad de uso y la

eficacia de la interfaz de cada proveedor mediante la creación de una política de protección

contra amenazas como administrador empleando las prácticas recomendadas por el

proveedor y simulando un usuario que intenta visitar un sitio web malicioso. Para ello, se

dirige al usuario a sitios web que contienen HTML con archivos JavaScript (JS) y PDF

maliciosos incrustados con contenido malicioso a fin de probar la redundancia y la eficacia

de la política.

Esta evaluación exhaustiva tiene como objetivo identificar qué proveedor ofrece la solución

más fácil de usar y eficiente para evitar la ejecución de archivos de ransomware de día cero,

a fin de mejorar la seguridad de la organización. Para estas pruebas se empleó una

combinación de tráfico: 66 % de HTML malicioso y 33 % de archivos PDF maliciosos.

Evaluación de plataformas Zero Trust 18 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de protección contra sitios web maliciosos

Caso de uso 5

Protección contra sitios web maliciosos: después de que un usuario desencadenara

inadvertidamente un ataque de ransomware de día cero que le costó millones a la organización, la

exigencia es clara: se debe evitar que ocurra un incidente de este tipo. Para estas pruebas se empleó

una combinación de tráfico: 66 % de HTML malicioso y 33 % de archivos PDF maliciosos.

3,6 Check Point: la interfaz es fácil de usar y requiere ajustes mínimos para establecer una

política estable. La probabilidad de una configuración incorrecta es baja, lo que

contribuye a su loable eficacia general.

Check Point demostró una tasa de bloqueo total del 100 % para HTML y PDF maliciosos. ⬤

1,5

Cisco: navegar por la interfaz resulta un desafío debido a su compleja estructura, con

numerosos menús y páginas de configuración. Esta complejidad aumenta el riesgo de

que ocurran errores accidentales, lo que repercute negativamente en su eficacia general.

Cisco demostró una tasa de bloqueo total del 36 % para HTML y PDF maliciosos.

No pudimos configurar el firewall de Cisco para bloquear archivos HTML maliciosos en el

marco de esta prueba, pero Cisco logró una tasa de bloqueo del 97 % para el componente

PDF de esta prueba. Estamos investigando este problema con Cisco.

1,3 Fortinet: la interfaz de administración es sencilla, aunque el proceso de creación de

políticas implica navegar a través de varios menús, lo que podría conducir a errores.

Fortinet demostró una tasa de bloqueo total del 30 % para HTML y PDF maliciosos. ◔

2,0 Palo Alto Networks: los usuarios podrían considerar que la interfaz es desconcertante,

ya que tiene una gran cantidad de menús y páginas que complican el proceso de

configuración de la política. Esta complejidad resta valor a la eficacia general del sistema.

Palo Alto Networks demostró una tasa de bloqueo total del 32,5 % para HTML y PDF

maliciosos.

2,5 Zscaler: si bien la interfaz es fácil de usar, requiere pasos adicionales para la

administración de políticas, lo que introduce la posibilidad de errores. No obstante, la

plataforma mantiene un nivel aceptable de efectividad general.

Zscaler demostró una tasa de bloqueo total del 80 % para HTML y PDF maliciosos. ◕

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimient

o nulo

Evaluación de plataformas Zero Trust 19 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.6 Protección contra phishing

Descripción: Los sitios web de phishing representan una amenaza significativa para la

seguridad de la organización. Este caso de uso explora un enfoque proactivo para proteger

a una organización de tales amenazas mediante el uso de reglas generadas por el

administrador para bloquear el acceso a sitios de phishing, junto con la implementación de

medidas educativas para los usuarios sobre cómo reconocer y evitar intentos de phishing.

Impacto: El objetivo principal de este caso de uso es evaluar la facilidad de uso y la eficiencia

de la navegación de las interfaces proporcionadas por varios proveedores. Además, tiene

como objetivo evaluar la eficacia de cada proveedor para bloquear sitios web de phishing en

función de las reglas promulgadas por el administrador.

Procedimiento de evaluación: Los administradores iniciarán sesión y navegarán por las

interfaces de los proveedores de la plataforma Zero Trust. Procederán a crear una regla

diseñada específicamente para bloquear sitios web de phishing. Tras la implementación de

la regla, se bloqueará cualquier intento de los usuarios de acceder a dichos sitios y se

educará a los usuarios sobre los peligros del phishing. Se evaluará a los proveedores en

función de la facilidad con la que se pueden implementar estas medidas de protección, así

como de su tasa de éxito a la hora de bloquear eficazmente el acceso a los sitios web de

phishing.

Evaluación de plataformas Zero Trust 20 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de protección contra phishing

Caso de uso 6

Protección contra phishing: en respuesta a un ataque de día cero facilitado a través de un sitio de

phishing, evaluamos la capacidad de proteger nuestra red empleando URL de phishing reales de

openfish.com y phishunt.io.

Los puntajes que se muestran a continuación son una calificación promedio de la experiencia del

usuario y administrador (UX) y la eficacia general de la seguridad.

3,6 Check Point: la interfaz es excepcionalmente fácil de usar y requiere ajustes mínimos

para configurar las políticas de manera efectiva. Aunque no logró un puntaje perfecto, la

probabilidad de una configuración incorrecta es baja, lo que garantiza una alta eficacia

general en el bloqueo de intentos de phishing.

Check Point demostró una tasa de bloqueo total del 100 % para las URL de phishing. ⬤

No

disp

oni

ble

Cisco: la GUI es sencilla, aunque los ajustes de una política requieren cierta

configuración. Este riesgo de configuración incorrecta parece relativamente bajo. Sin

embargo, experimentamos resultados de eficacia inconsistentes.

Observamos un 53 % en esta ronda de pruebas, en las que empleamos tanto

openphish.com como phishunt.io. Sin embargo, en septiembre de 2023 observamos de

forma independiente una eficacia del 99 % empleando openphish.com. El puntaje está

pendiente de una nueva evaluación. Eliminamos este puntaje de Cisco para esta

evaluación, ya que sería injusto penalizarlos. ◑

3,2 Fortinet : navegar por la GUI es muy fácil, con algunas configuraciones necesarias para

establecer políticas. La simplicidad de la interfaz reduce considerablemente el riesgo de

una mala configuración, lo que se traduce en una gran eficacia general.

Fortinet demostró una tasa de bloqueo total del 95,86 % para las URL de phishing. ◕

3 Palo Alto Networks: la GUI es fácil de usar, pero la creación de políticas requiere más

pasos. Un inconveniente notable es la ausencia de un mensaje de bloqueo, reemplazado

por un error genérico del navegador, que puede disminuir la experiencia del usuario. A

pesar de esto, el riesgo de una configuración incorrecta es bajo y la efectividad general

se considera aceptable.

Palo Alto Networks demostró una tasa de bloqueo total del 96,55 % para las URL de

phishing.

3,3 Zscaler: la GUI destaca por su facilidad de navegación y su configuración de políticas

optimizada. Con un riesgo mínimo, pero posible, de configuración incorrecta, la plataforma

logró una alta efectividad general en la protección contra ataques de phishing.

Zscaler demostró una tasa de bloqueo total del 97,24 % para las URL de phishing. ◕

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 21 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.7 Excepción de IPS

Descripción: En este caso de uso, un sistema de prevención de intrusiones (IPS), identificado

como un falso positivo, bloquea por error la actividad de un usuario legítimo. El desafío para

el administrador es localizar rápidamente el registro de bloqueo y configurar una excepción

para permitir el tráfico previamente bloqueado.

Impacto: Los administradores se involucran con frecuencia en la solución de problemas y en

responder a las consultas de los usuarios como parte de sus responsabilidades habituales.

Este escenario pone de manifiesto la importancia de un registro de seguridad fácil de usar y

de la creación sencilla de excepciones, lo que resalta la eficiencia de las herramientas

administrativas en la gestión de los protocolos de seguridad.

Procedimiento de evaluación: Esta evaluación implica iniciar sesión y navegar por las

interfaces de varios proveedores de seguridad. El proceso comienza cuando un usuario

recibe un mensaje de bloqueo y se pone en contacto con el servicio de asistencia.

Posteriormente, el administrador tiene la tarea de crear una excepción para la regla de

protección específica que desencadenó el falso positivo, lo que garantiza que las actividades

legítimas del usuario ya no se vean obstaculizadas.

Evaluación de plataformas Zero Trust 22 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de excepción de IPS

Caso de uso 7

Excepción de IPS: en esta situación en la que la actividad legítima de un usuario se bloquea

incorrectamente por un IPS como falso positivo, la facilidad de gestionar y corregir este problema

es esencial para mantener la eficiencia operativa.

3,5 Check Point: la GUI es excepcionalmente fácil de usar y requiere una configuración

mínima para establecer una política de protección. El diseño sencillo minimiza el riesgo

de una configuración incorrecta, lo que conduce a una alta eficacia general. ⬤

2,3 Cisco: la GUI es accesible, pero la configuración de una política de protección exige cierto

esfuerzo. Existe un riesgo notable de configuración incorrecta. ◑

3,5 Fortinet: en esta área, la GUI es intuitiva y la configuración de una política de protección

es sencilla, gracias al enfoque minimalista de la configuración. Esta simplicidad reduce

considerablemente la probabilidad de errores, lo que contribuye a su alta efectividad. ⬤

2,8 Palo Alto Networks: si bien la GUI es sencilla, el proceso para formular una política de

protección implica varios pasos. Su puntaje de efectividad general moderada se atribuye

a la posibilidad de una configuración incorrecta debido a esta complejidad. ◕

2,5 Zscaler: la interfaz es fácil de usar, aunque la elaboración de una política de protección

requiere un poco más de esfuerzo. Existe un riesgo moderado de configuración

incorrecta; sin embargo, a pesar de esto, su efectividad general sigue siendo

recomendable. ◕

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 23 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.8 Protección de correo electrónico

Descripción: Este caso de uso se centra en proteger a los usuarios contra los intentos de

phishing por correo electrónico, un vector frecuente para este tipo de ataques. El objetivo es

evaluar la eficacia y la facilidad de uso de las soluciones de seguridad del correo electrónico

para prevenir los ataques de phishing.

Esta prueba también analiza Quishing, un nuevo tipo de ataque en el que un enlace de

phishing se codifica en un código QR. El usuario se ve tentado de escanear este código con

su teléfono, donde estadísticamente está menos protegido, lo que podría ocasionar el robo

de credenciales y una posible filtración.

Impacto: El phishing basado en correo electrónico es un método de ataque generalizado y

malicioso. Evaluar la facilidad de configuración, la solidez de las medidas de seguridad y la

simplicidad con la que los usuarios pueden recuperar correos electrónicos marcados

erróneamente como phishing (falsos positivos) es fundamental.

Procedimiento de evaluación: Acceder a las interfaces de administración de varias

soluciones de seguridad de los principales proveedores. Los administradores tienen la tarea

de configurar estas soluciones para interceptar y bloquear los correos electrónicos de

phishing de manera efectiva.

Se envía un correo electrónico que contiene un enlace de phishing. La solución de seguridad,

siguiendo las reglas configuradas por el administrador, debe bloquear automáticamente

este correo electrónico para evitar que llegue a su destinatario.

A continuación, el enlace de phishing se convierte en un código QR, que se incrusta en un

nuevo correo electrónico y se vuelve a enviar. El sistema de seguridad también debería

bloquear este correo electrónico, demostrando su capacidad para frustrar los intentos de

phishing en diversas formas.

Esta prueba evalúa la facilidad de uso de la solución de seguridad, en particular su capacidad

para permitir a los usuarios recuperar correos electrónicos identificados erróneamente

como amenazas de phishing (falsos positivos) sin necesidad de la intervención de un

administrador. Esto examina el equilibrio entre las estrictas medidas de seguridad y la

flexibilidad que se requiere para contar con estrategias de administración de correos

electrónicos eficaces.

Evaluación de plataformas Zero Trust 24 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de protección de correo electrónico

Caso de uso 8

Protección de correo electrónico: para proteger a los usuarios de los ataques de phishing por

correo electrónico, una evaluación exhaustiva de varios proveedores revela distintos niveles de

protección y capacidades.

3,5 Check Point: se destaca por sus múltiples capas de defensa, incluidas NGFW, correos

electrónicos, dispositivos móviles, terminales y SSE, con la capacidad única de frustrar los

ataques de Quishing (phishing por código QR). Su avanzada función de prevención de

phishing impulsado por IA, “Zero-phishing”, minimiza la probabilidad de una

configuración incorrecta. La alta eficacia general pone de manifiesto la sólida protección

de Check Point en múltiples frentes. ⬤

3,0 Cisco: ofrece diversas capas de seguridad que abarcan firewall de última generación

(NGFW), correos electrónicos, dispositivos móviles, terminales y SSE. A pesar de su

protección integral, Cisco carece de prevención de phishing impulsado por IA y no logra

bloquear los ataques Quishing. Esto supone un riesgo para los usuarios que escanean

códigos QR con un dispositivo desprotegido, lo que puede provocar filtraciones de

credenciales. ◕

3,0 Fortinet: refleja las capas de seguridad de Cisco, pero también carece de prevención de

phishing impulsado por IA, compartiendo la misma vulnerabilidad a los ataques de

Quishing. Esta vulnerabilidad resalta la importancia de proteger los dispositivos móviles

contra el posible robo de credenciales. La baja probabilidad de una configuración

incorrecta apunta a la defensa confiable, pero no infalible, de Fortinet. ◕

2,5 Palo Alto Networks: proporciona un amplio espectro de protección, que incluye NGFW,

dispositivos móviles, terminales y SSE, mejorada por la prevención de phishing

impulsado por IA. Sin embargo, se queda corto en el bloqueo de ataques de quishing, lo

que deja a los usuarios en riesgo de filtraciones de credenciales a través de escaneos con

un dispositivo móvil. El bajo riesgo de configuración incorrecta, pero la incompleta

defensa contra el phishing, se refleja en su eficacia general.

2,0 Zscaler: se basa en una capa singular de defensa sin prevención contra el phishing

impulsado por IA, lo que muestra vulnerabilidades. Los usuarios que escanean códigos

QR en dispositivos desprotegidos podrían enfrentar filtraciones de credenciales. Se

observa la probabilidad de configuración incorrecta, con una eficacia general decente, lo

que indica el potencial de Zscaler para reforzar sus mecanismos de defensa contra el

phishing.

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 25 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.9 ZTNA sin clientes

Descripción: Este caso de uso está diseñado para facilitar el acceso seguro de los usuarios

remotos a los recursos corporativos cuando usan sus propios dispositivos (BYOD).

Inicialmente, cuando un usuario accede a un servidor interno a través de un navegador web

desde la oficina, el administrador configura una política en la puerta de enlace local para

permitir el acceso web a este servidor, lo que permite al usuario navegar al servidor FTP de

producción. En el caso de escenarios de trabajo remoto, como un usuario que trabaja desde

su casa, el administrador debe habilitar el acceso del equipo personal del usuario sin

comprometer la seguridad. El acceso se concede solo cuando se cumplen criterios

específicos, como la identidad del usuario, la ubicación del usuario, el tipo de navegador y

más. Posteriormente, el usuario inicia sesión en el portal SASE desde su navegador y accede

al mismo servidor, como lo haría desde la oficina.

Impacto: El cambio hacia el trabajo remoto resaltó la necesidad de un acceso flexible y, a la

vez, seguro a los activos corporativos desde cualquier ubicación o dispositivo. Este caso de

uso aborda el equilibrio crítico entre facilitar la productividad de los empleados remotos y

los contratistas externos y, al mismo tiempo, mantener estrictas medidas de seguridad para

proteger la información corporativa confidencial.

Procedimiento de evaluación: Los administradores inician sesión y navegan por las

interfaces de los productos evaluados. El proceso comienza cuando el administrador crea

una política en la puerta de enlace local que permite el acceso a un servidor interno. Luego,

un usuario puede acceder a este servidor interno a través de un navegador. Para adaptarse

al acceso remoto desde dispositivos personales y no administrados, el administrador

establece una política en la plataforma SASE que permite la conexión con el servidor interno,

incorporando un estricto control de acceso basado en comprobaciones de postura. Estas

comprobaciones validan la ubicación del usuario, la hora y la fecha de acceso, el tipo y la

versión del sistema operativo y el tipo de navegador empleado. Por último, el usuario puede

conectarse al servidor interno empleando su dispositivo personal, lo que garantiza un acceso

seguro y fluido a los recursos corporativos, independientemente de su ubicación física.

Evaluación de plataformas Zero Trust 26 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de ZTNA sin clientes

Caso de uso 9

ZTNA sin clientes : habilitar el acceso remoto seguro a los recursos corporativos desde un

dispositivo no administrado.

3,5 Check Point: los administradores pueden crear eficazmente perfiles de estado para

usuarios sin clientes y configurar todos los criterios necesarios. El portal de usuario

presenta una visión clara de las aplicaciones accesibles, lo que minimiza el riesgo de

configuración incorrecta y resalta su alta calificación de efectividad general. ⬤

2,8 Cisco: la creación de perfiles de estado para usuarios sin clientes es posible, aunque con

cierta dificultad. Se pueden configurar todos los criterios necesarios, excepto la fecha y

la hora. La ausencia de un portal de usuario significa que los usuarios deben realizar un

seguimiento manual de los enlaces de acceso a la aplicación. A pesar de esto, es poco

probable que se produzca una configuración incorrecta. ◕

0,0 Fortinet: actualmente, Fortinet no admite el acceso seguro y privado a las aplicaciones

internas para usuarios sin clientes. ○

2,4 Palo Alto Networks: los administradores enfrentan desafíos para cumplir con los

requisitos de la tarea y configurar los criterios necesarios para los usuarios sin clientes.

Sin embargo, su portal de usuario proporciona una visión clara de las aplicaciones

permitidas. La probabilidad de una configuración incorrecta es alta. ◑

1,8 Zscaler: la plataforma experimenta limitaciones en la configuración de reglas de política

de acceso para usuarios sin clientes, específicamente con criterios de plataforma (SO) y

país. La incorporación de estos criterios puede hacer que las aplicaciones se vuelvan

visible en el portal del usuario. Los desafíos en el cumplimiento de tareas y la

configuración de criterios indican la probabilidad de una configuración incorrecta. ◑

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 27 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

5.10 Experiencia de navegación de usuarios remotos

Descripción: Este caso de uso describe el proceso en el que un administrador implementa la

inspección SSL junto con la prevención de amenazas para supervisar y proteger el tráfico

web. Posteriormente, un usuario se dedica a descargar varios tipos y tamaños de archivos

de SharePoint, seguido de la utilización de herramientas de prueba de la velocidad de

Internet para evaluar la integridad y la velocidad de su conexión. Este ejercicio es crucial para

evaluar el rendimiento y la fiabilidad de la conexión segura.

Impacto: En el contexto de la creciente importancia del trabajo remoto para las

organizaciones contemporáneas, la fiabilidad y la velocidad no son negociables para la

continuidad operativa. El objetivo central de este caso de uso es capacitar a los empleados

remotos para que ejecuten sus tareas de manera eficiente y segura desde cualquier

ubicación geográfica.

Procedimiento de evaluación: La evaluación implica interactuar con soluciones de seguridad

de proveedores líderes. El procedimiento comienza cuando el administrador configura la

inspección SSL y configura una directiva de prevención de amenazas para el tráfico web.

Luego, el usuario inicia una prueba práctica de las reglas configuradas descargando una

variedad de tipos y tamaños de archivos de SharePoint. Además, el usuario emplea

herramientas de prueba de la velocidad de Internet para verificar la estabilidad y la velocidad

de la conexión, confirmando así la eficacia de la medida de seguridad en un entorno de

trabajo remoto.

Evaluación de plataformas Zero Trust 28 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Observación y calificación: caso de uso de experiencia de navegación de usuarios remotos

Caso de uso 10

Experiencia de navegación de usuarios remotos: mejora de la velocidad y la seguridad del trabajo remoto

3,7 Check Point: agiliza la experiencia de trabajo remoto al habilitar la protección de Internet en el

dispositivo a través de la configuración de túnel dividido, con la inspección SSL y la prevención de

amenazas activadas de forma predeterminada. Este enfoque garantiza una experiencia superior

del usuario caracterizada por la conectividad directa a Internet, lo que produce una interacción en

línea más rápida y fluida con un riesgo mínimo de configuración incorrecta. La simplicidad y la

eficiencia de la solución de Check Point son notables, lo que la convierte en una opción sencilla y

fluida para garantizar un acceso remoto seguro y rápido. ⬤

3,5 Cisco: facilita una configuración de trabajo remoto fluida al permitir que los administradores

establezcan una política de acceso privado seguro que incorpore reglas y configuraciones predefinidas.

Esta interfaz fácil de usar reduce considerablemente la probabilidad de una configuración incorrecta y

promueve una experiencia intuitiva y sin complicaciones. Cisco se destaca por su diseño sencillo, que

garantiza que el trabajo remoto sea seguro y se gestione sin esfuerzo. Observamos que requirió más

esfuerzo del que debería ser necesario para configurar el SUT para la experiencia de navegación remota. ⬤

1,5 Fortinet: el enfoque de Fortinet requiere que los administradores implementen una política para el

acceso a Internet y configuren un perfil de terminal con configuraciones avanzadas de protección contra

amenazas. Además, debido al enrutamiento de puntos de presencia (PoP) en la nube, los usuarios

pueden experimentar un rendimiento deficiente. Los pasos de configuración adicionales introducen

una mayor probabilidad de configuración incorrecta, lo que genera una calificación de efectividad

general mediocre. ◑

2,8 Palo Alto Networks: los administradores que emplean Palo Alto Networks deben crear una

política de descifrado para inspeccionar todo el tráfico web, crear un nuevo grupo de perfiles y

excluir el perfil de bloqueo de archivos predeterminado para permitir que el usuario descargue

archivos legítimos. Además, se deben aplicar políticas de prevención de amenazas. Como sucede

con otros que utilizan rutas a través de PoP en la nube, la experiencia del usuario puede verse

afectada. La complejidad de las configuraciones necesarias aumentó el riesgo de una configuración

incorrecta, lo que puede comprometer la eficacia general de las plataformas. ◕

2,0 Zscaler: los administradores tienen la tarea de crear reglas para inspeccionar todo el tráfico web y

reglas de sandbox adicionales para escanear tipos de archivos específicos. Se deben deshabilitar

las configuraciones predeterminadas para habilitar un análisis completo del tráfico de Office 365.

El enrutamiento del tráfico a través de PoP en la nube puede disminuir la experiencia del usuario.

En consecuencia, la eficacia general de la plataforma de Zscaler podría no cumple con las

expectativas, especialmente en escenarios que exigen estándares de alto rendimiento. ◑

Referencia

De 4,0 a

3,5 ⬤ De 3,49 a 2,5 ◕ De 2,49 a 1,50 ◑ De 1,49 a

0,50 ◔ De 0,49

a 0 ○

Cumplimiento

pleno Cumplimiento alto Cumplimiento mínimo

Cumplimiento

deficiente

Cumplimiento

nulo

Evaluación de plataformas Zero Trust 29 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

6.0 Acerca de Miercom

Miercom publicó cientos de análisis de productos de red en las principales revistas

especializadas y otras publicaciones. La reputación de Miercom como el centro

independiente líder en pruebas de productos es indiscutible.

Los servicios de pruebas privadas disponibles en Miercom incluyen análisis de productos

competitivos, así como evaluaciones individuales de productos. Miercom cuenta con

programas integrales de certificación y prueba, que incluyen Certified Interoperable™,

Certified Reliable™, Certified Secure™ y Certified Green™. Los productos también pueden

evaluarse bajo el programa Performance Verified™, la evaluación más completa y confiable

de la industria para la usabilidad y el rendimiento del producto.

7.0 Uso de este informe

Se hizo todo lo posible para garantizar la exactitud de los datos expuestos en este informe,

pero puede haber errores o descuidos. La información documentada en este informe

también puede basarse en varias herramientas de prueba, cuya precisión está fuera de

nuestro control. Además, el documento se basa en ciertas declaraciones de los proveedores

que fueron verificadas razonablemente por Miercom, pero está fuera de nuestro control

verificarlas con un 100 % de certeza.

Miercom proporciona este documento tal como es y no ofrece ninguna garantía ni

representación, ya sea expresa o implícita, y no acepta ninguna responsabilidad legal, ya sea

directa o indirecta, por la exactitud, integridad, utilidad o idoneidad de la información

contenida en este reporte.

Todas las marcas comerciales empleadas en el documento son propiedad de sus respectivos

propietarios. Usted acepta no emplear ninguna marca comercial dentro de sus propias

marcas comerciales, o como la totalidad o parte de las mismas, en relación con cualquier

actividad, producto o servicio que no sea nuestro, o de una manera que pueda ser confusa

o engañosa o que nos menosprecie de alguna manera a nosotros o a nuestra información,

proyectos o desarrollos.

La Política de pruebas justas de Miercom permite que cualquier proveedor evaluado

cuestione estos resultados o vuelva a probarlos, según el Acuerdo de Términos de uso de

Miercom, en caso de que alguien no esté de acuerdo con los resultados presentados en

este informe.

Evaluación de plataformas Zero Trust 30 DR240228G

Copyright ©2024 Miercom 21 de marzo de 2024

Miercom no adquirió productos para esta revisión, ni aceptó el Acuerdo de licencia de

usuario final (EULA) de ningún proveedor ni ningún otro acuerdo excesivamente restrictivo

que limite la libertad de prensa, las evaluaciones de productos, los trabajos editoriales o la

publicación de reseñas de productos. Creemos en proporcionar información precisa y

objetiva para ayudar a los clientes a tomar decisiones de compra informadas.

Al descargar, distribuir o usar este informe de cualquier manera, usted acepta los Términos

de uso de Miercom. Para obtener información completa sobre los términos de Miercom,

visite https://miercom.com/tou.

© 2024 Miercom. Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse, fotocopiarse, almacenarse en un sistema de

recuperación o transmitirse sin el consentimiento expreso por escrito de los autores. Envíe un correo a reviews@miercom.com para obtener más

información.

https://protect.checkpoint.com/v2/___https:/miercom.com/tou___.YzJlOmNwYWxsOmM6bzo2YzEzZmYwYTlhODkzYjBjMzIxY2IzMThiMjBmMWEwMDo2OmY4ZjQ6NGVkZDhmNDQ3NjEwNjNjM2ZmY2FmNDIwYzNmZWY3MzZiYzVkNmMxYzRhZDdlOWM2NjE5ODZhMDllMTdmODkwYTpwOkY https://protect.checkpoint.com/v2/___https:/miercom.com/tou___.YzJlOmNwYWxsOmM6bzo2YzEzZmYwYTlhODkzYjBjMzIxY2IzMThiMjBmMWEwMDo2OmY4ZjQ6NGVkZDhmNDQ3NjEwNjNjM2ZmY2FmNDIwYzNmZWY3MzZiYzVkNmMxYzRhZDdlOWM2NjE5ODZhMDllMTdmODkwYTpwOkY


Item Type: pdf