- Vea la diferencia
- Qué es la confianza cero La estrategia sobre la que se desarrolló Zscaler
- Cómo Zscaler ofrece confianza cero Una plataforma que aplica la política en función del contexto
- Recursos de confianza cero Conozca sus principios, beneficios y estrategias
![Zscaler transformation]( "Zscaler transformation")
Vea cómo Zero Trust Exchange puede ayudarle a aprovechar las tecnologías de la nube, movilidad, IA, IoT y OT para volverse más ágil y reducir el riesgo
- Testimonios de clientes Escuche historias de transformación de primera mano
- Casos prácticos Conozca a los clientes pioneros de Zscaler
- Reconocimiento de analistas Expertos del sector opinan sobre Zscaler
- Vea la nube de Zscaler en acción Tráfico procesado, malware bloqueado y más
- Experimente la diferencia Comience con confianza cero
![Zscaler transformation]( "Zscaler transformation")
Vea cómo Zero Trust Exchange puede ayudarle a aprovechar las tecnologías de la nube, movilidad, IA, IoT y OT para volverse más ágil y reducir el riesgo
- Plataforma
- Resumen de la plataforma Plataforma unificada para la transformación
- Productos Servicios integrados, infinitamente escalables
![Zscaler transformation]( "Zscaler transformation")
Acelere su transformaciónMás informaciónProteja y potencie su negocio aprovechando la plataforma, los procesos y las habilidades del personal para acelerar sus iniciativas de confianza cero
- Tecnologías Arquitectura de nube global basada en proxy
- Capacidades Servicios integrados, infinitamente escalables
![Gartner Report]( "Gartner Report")
Líder del Cuadrante Mágico de GartnerLea el informeZscaler: Líder en Gartner® Magic Quadrant™ para Security Service Edge (SSE) Novedad en la posición más alta en capacidad de ejecución
- Soluciones
- Habilitación del lugar de trabajo moderno
- Transformación de seguridad
- Modernización de la infraestructura
- Sectores y socios
- Descripción general de la habilitación del puesto de trabajo moderno Cree experiencias de usuario rápidas y seguras en todas partes
- Asegure el trabajo desde cualquier lugar Acceso sin problemas para la fuerza laboral híbrida
- Garantice unas magníficas experiencias digitales Acceso sin problemas mediante una conectividad rápida, segura y confiable
![Zscaler workplace enablement]( "Zscaler workplace enablement")
Haga posible el trabajo híbridoPara empezarProteja el trabajo desde cualquier lugar y los datos y brinde la mejor experiencia posible a los usuarios
- Descripción general de la transformación de la seguridad Un enfoque moderno de la nube
- Prevenga las ciberamenazas Prevenga el phishing, el ransomware y otros ataques
- Prevenga la pérdida de datos Proteja los datos en todas partes contra la exposición o el robo
![Zscaler capabilities]( "Zscaler capabilities")
La protección contra ransomware más eficaz del mundoPara empezarEl ransomware es la mayor amenaza para la actividad empresarial digital. Aprenda a adoptar un enfoque proactivo y de confianza cero para proteger su empresa
- Descripción general de la modernización de las infraestructuras Habilite el nuevo mundo de la nube y la movilidad
- Simplifique la conectividad de las sucursales Simplifique y asegure las conexiones directas a la nube
- Comunicaciones seguras de la carga de trabajo Comunicaciones seguras entre nubes y cargas de trabajo
- Posture Control Identifique los riesgos ocultos a lo largo del ciclo de vida de la nube
![Zscaler infrastructure modernization]( "Zscaler infrastructure modernization")
Haga posible la agilidad de la sucursalVer ahoraLa seguridad de su red cuesta más de lo que vale. Vea cómo cinco empresas optaron por la sencillez, el ahorro y la seguridad
- Sectores Nuestro ecosistema de socios de confianza cero
- Integraciones de partner Implantación y gestión simplificadas
![Zscaler industry partners]( "Zscaler industry partners")
Asegure su implementación de ServiceNowPara empezarHa llegado el momento de proteger mejor sus datos de ServiceNow y responder con mayor celeridad a los incidentes de seguridad
- Recursos
- Biblioteca de contenido Explore temas que le permitirán comprender su viaje
- Blog Perspectivas de los líderes en tecnología y transformación
- Conjunto de herramientas de evaluación de seguridad Analice su entorno y compruebe dónde podría ser vulnerable
- Seminarios web y demostraciones Un vistazo de los temas importantes
- Aplicación Executive Insights Información sobre seguridad al alcance de su mano
- Calculadora del retorno de la inversión del ransomware Evalúe el retorno de la inversión de la reducción de riesgos de ransomware
![Zscaler resources]( "Zscaler resources")
Biblioteca de contenidos de confianza ceroPara empezarConozca desde dentro las últimas investigaciones de seguridad y las mejores prácticas
- Análisis de seguridad y amenazas Paneles de amenazas, actividad en la nube, IoT y más
- Asesores de seguridad Noticias sobre eventos de seguridad y medidas de protección
- Programa de divulgación de vulnerabilidades Seminarios web, formación, demostraciones y mucho más
- Portal de confianza Estado e informes de la nube de Zscaler
![Zscaler resources]( "Zscaler resources")
Biblioteca de contenidos de confianza ceroPara empezarConozca desde dentro las últimas investigaciones de seguridad y las mejores prácticas
- El arquitecto específicamente para la nube Herramientas y mejores prácticas para la nube
- Comunidad Zenith Debate de ideas y problemas con colegas
- CXO REvolutionaries Eventos, información estratégica y recursos para directores de experiencia del cliente (CXO)
- Formación y certificación Programas continuos a través de Zero Trust Academy
- Cloud Security Alliance Proteger la nube mediante las mejores prácticas
- Eventos Próximas oportunidades para reunirse con Zscaler
![Zscaler resources]( "Zscaler resources")
Biblioteca de contenidos de confianza ceroPara empezarConozca desde dentro las últimas investigaciones de seguridad y las mejores prácticas
- Empresa
- Sobre Zscaler Cómo comenzó, hacia dónde va
- Liderazgo Conozca a nuestro equipo directivo
- Relaciones con los inversores Noticias, información bursátil e informes trimestrales
- Clientes Más información sobre sus recorridos de transformación
- Cumplimiento Nuestra adhesión a normas rigurosas
- ESG Nuestro enfoque ambiental, social y de gobernanza (ESG)
- Eventos Próximas oportunidades para reunirse con Zscaler
![Careet at Zscaler]( "Careet at Zscaler")
Zscaler EmpleosRegístrese ahoraÚnase a un líder reconocido en la confianza cero para ayudar a su organización a transformarse de forma segura
- Centro de medios Noticias, blogs, eventos, fotos, logotipos y otros activos de la marca
- Noticias y prensa Zscaler en las noticias
![Careet at Zscaler]( "Careet at Zscaler")
Zscaler EmpleosRegístrese ahoraÚnase a un líder reconocido en la confianza cero para ayudar a su organización a transformarse de forma segura
- Portal de socios Herramientas y recursos para los socios de Zscaler
- Programa de socios de Summit Colaborar para garantizar el éxito de los clientes
- Integradores de sistemas Ayudar a los clientes conjuntos a convertirse en empresas que dan prioridad a la nube
- Proveedores de servicios Proporcionar una plataforma integrada de servicios
- Technology Las integraciones profundas simplifican la migración a la nube
- Consulta de socio Conviértase en socio de Zscaler
![Careet at Zscaler]( "Careet at Zscaler")
Zscaler EmpleosRegístrese ahoraÚnase a un líder reconocido en la confianza cero para ayudar a su organización a transformarse de forma segura
-
Zscaler Cloud Platform
Evite la vulnerabilidad de la biblioteca Java de Apache Log4j con una arquitectura de confianza cero
Únase a nosotros en un seminario web el miércoles 15 de diciembre en el que los expertos de Zscaler ThreatLabz proporcionarán orientación sobre los últimos detalles de la vulnerabilidad Apache CVE-2021-44228, así como sobre las mejores prácticas para mitigar el impacto de futuras vulnerabilidades.
Recientemente, se ha descubierto una vulnerabilidad de día cero (CVE-2021-44228) en la popular biblioteca de registros Apache Log4j, lo que podría permitir que un atacante ejecutara el código remoto completo. Hay evidencia de que esta vulnerabilidad se está explotando de forma desenfrenada. Esta biblioteca de registros es comúnmente utilizada por las aplicaciones empresariales y los servicios en la nube, con numerosos despliegues empresariales que soportan aplicaciones privadas. Desde entonces, Apache ha lanzado una actualización de seguridad y ha proporcionado configuraciones recomendadas para versiones anteriores que mitigan el impacto de la vulnerabilidad. Recomendamos encarecidamente a todos los administradores de TI que actualicen su software de inmediato si aún no lo han hecho.
Zscaler ha confirmado que la vulnerabilidad CVE-2021-44228 no ha afectado a sus servicios. Lea la publicación de asesoramiento sobre amenazas de ThreatLabz si desea obtener más detalles técnicos sobre esta vulnerabilidad. Si le preocupa que le pueda haber afectado, ejecute un análisis complementario de la superficie de ataque de Internet para ver si tiene alguna superficie de ataque externa que utilice Apache.
Dada la amplia adopción empresarial de Apache Struts y otras ofertas relacionadas, esta vulnerabilidad tiene el potencial de replicarse durante meses y potencialmente años, ya que las bandas de ransomware y los cibercriminales la aprovechan para causar daños incalculables. Desafortunadamente, este tipo de descubrimiento no es nada nuevo y, al igual que Heartbleedy Shellshock anteriormente, sirve para poner de manifiesto el riesgo inherente a nuestro mundo digital interconectado.
Lo que también tengo claro es que si se depende de las VPN y los cortafuegos para proteger su empresa, se corre un riesgo mucho mayor de sufrir daños que si se utiliza una verdadera arquitectura de red de confianza cero. En primer lugar, consideremos por qué los cortafuegos y las VPN suponen un riesgo significativo cuando se utiliza una versión vulnerable de Apache en una aplicación interna:
- Las soluciones de seguridad de red heredadas publican aplicaciones en Internet para permitir el acceso, lo que facilita que los atacantes las identifiquen mediante herramientas disponibles gratuitamente, como Shodan, para convertirlas en objetivo de explotación.
- Los cortafuegos y las VPN colocan a todos los usuarios en la red para que accedan a las aplicaciones, lo que permite a un atacante o a un usuario comprometido desplazarse lateralmente por la empresa para distribuir ransomware o robar datos una vez que se ha establecido un punto de apoyo inicial a través de una vulnerabilidad. El acceso a una aplicación nunca debe requerir acceso a la red.
- Se ha hablado mucho sobre cómo la pandemia aceleró nuestro movimiento colectivo hacia las plantillas híbridas, y no lo voy a repetir, excepto para decir lo siguiente: los cortafuegos y las VPN no solo presentan un riesgo significativo, sino que son lentos, obsoletos y complejos para que una plantilla remota acceda a una aplicación privada. Nadie quiere una solución arriesgada que ofrezca una experiencia de usuario mala.
Teniendo en cuenta esto, yo preguntaría: ¿cuántos de ustedes siguen utilizando cortafuegos y VPN? Ahora es el momento de desarrollar un plan para los próximos tres, seis o nueve meses, ya que no se puede hacer de la noche a la mañana, pero es una de las decisiones más importantes que puede tomar para minimizar el riesgo de su negocio.
Cuatro sencillos pasos para reducir el riesgo con una arquitectura de confianza cero:
Se ha escrito mucho acerca de qué es la confianza cero y sus beneficios inherentes a la seguridad en comparación con los enfoques heredados, pero permítanme hacer un resumen usando la vulnerabilidad Apache como marco.
En este caso, los investigadores de seguridad de Alibaba Cloud descubrieron una vulnerabilidad de día cero, lo que significa que, sin una actualización de seguridad de emergencia, cada cliente que ejecuta una versión vulnerable está en peligro. No solo está en peligro, sino que la vulnerabilidad permite la ejecución completa de código remoto y se permite el acceso completo del administrador al servicio subyacente de Apache y a todos los datos que contiene. Para explotar esta vulnerabilidad, un atacante primero debe encontrar la aplicación en sí. Para impedir que los atacantes lo hagan debería hacer lo siguiente:
- Minimizar su superficie de ataque y hacer que las aplicaciones sean invisibles: adoptar una arquitectura de confianza cero, como Zscaler Zero Trust Exchange y, específicamente, Zscaler Private Access (ZPA), le permite hacer que todas sus aplicaciones internas sean completamente oscuras e invisibles para Internet. Cuando están ocultas detrás de la plataforma de confianza cero, los atacantes no pueden encontrarlas y explotarlas, y se protegen incluso versiones vulnerables de Apache de esta y futuras vulnerabilidades, algo imposible con las VPN y los cortafuegos heredados.
-
Asegurarse de que solo los usuarios autorizados puedan acceder a las aplicaciones: la ciberseguridad es más eficaz cuando se consigue una defensa en capas como parte de una plataforma integrada. Zscaler va más allá de hacer invisibles las aplicaciones vulnerables y solo permite a los usuarios autorizados acceder a las aplicaciones autorizadas en la política en función de una identidad inmutable de proveedores líderes como Azure AD, Okta, Duo o Ping. Si un atacante no está autorizado a acceder a una aplicación vulnerable, se le impediría hacerlo.
Si un atacante logra establecer un punto de apoyo dentro de la red de una empresa, ya sea a través de la explotación de la vulnerabilidad de Apache o de otros medios, inevitablemente continuará su ataque intentando moverse lateralmente para comprometer sistemas adicionales, instalar ransomware y exfiltrar datos. Por lo tanto, usted debería:
- Evitar el movimiento lateral con microsegmentación de usuario a aplicación y de aplicación a aplicación: ZPA desvincula el acceso a las aplicaciones del acceso a la red conectando directamente a los usuarios con los recursos a través de un túnel inverso que nunca pone a los usuarios en la red. Cuando el acceso a la aplicación no requiere acceso a la red, se evita cualquier posible propagación lateral de una infección, incluso si se ha establecido un punto de apoyo inicial. Además, Zero Trust Exchange extiende la misma política de confianza cero a las cargas de trabajo de la nube pública a través de Zscaler Workload Segmentation para detener el movimiento lateral dentro de un centro de datos o entorno de nube. En cualquier caso, la plataforma Zscaler evita que un solo servidor infectado sea utilizado para comprometer a toda la empresa.
- Inspeccionar el tráfico de entrada y de salida. La visibilidad y la supervisión son los pilares de la confianza cero. Al inspeccionar todo el tráfico (tanto cifrado como no cifrado) se puede bloquear el peligro inicial cuando los atacantes intentan acceder a su entorno desde Internet, y se pueden detener las actividades posteriores a la explotación, como la comunicación con servidores de comando y control o la exfiltración de datos. Zscaler Internet Access (ZIA) de confianza cero hace ambas cosas. ZIA Advanced Threat Protection inspecciona tanto el tráfico de Internet a servidor como el de servidor a Internet en busca de indicadores de peligro asociados a vulnerabilidades conocidas, lo que ayuda a bloquear, detectar y mitigar los ataques.
Si quiere proteger a su empresa de las vulnerabilidades de día cero, retire sus cortafuegos y VPN y adopte una verdadera arquitectura de confianza cero con Zscaler Zero Trust Exchange.
Solicite hoy mismo una demostración personalizada de Zero Trust Exchange para comenzar su viaje.
Ejecute un análisis gratuito de superficie de ataque de Internet para ver si tiene alguna superficie de ataque externa que utilice Apache.
Únase a nuestro seminario web el miércoles 15 de diciembre para obtener más detalles y orientación especializada sobre la vulnerabilidad de Apache.