GUÍA PARA LA ADQUISICIÓN DE ENDPOINT SECURITY PARTE II
Técnicas modernas (next-gen) frente a técnicas base (tradicionales)
Si bien se conocen por distintos nombres, las soluciones antivirus han existido durante mucho tiempo y han demostrado ser muy efectivas contra las amenazas conocidas. Existen diversas técnicas base de las que se han servido las soluciones de protección para endpoints tradicionales. No obstante, a medida que el panorama de las amenazas ha cambiado, las amenazas desconocidas, como el malware nunca antes visto, se han vuelto cada vez más habituales. Por este motivo, han entrado en el mercado nuevas tecnologías. Los compradores deben buscar una combinación de enfoques modernos (lo que a menudo se denomina seguridad «next-gen») y de enfoques base probados. Estas son algunas de las funciones clave:
Antimalware/antivirus: detección basada en firmas de malware conocido. Los motores de malware deben poder inspeccionar no solo los ejecutables, sino también otro código como el JavaScript malicioso que se encuentra en los sitios web.
Bloqueo de aplicaciones: evita comportamientos maliciosos de las aplicaciones, como un documento de Office armado con malware que instala otra aplicación y la ejecuta.
Control de comportamiento/Sistemas de prevención contra intrusiones en el host (HIPS): esta tecnología base protege los ordenadores contra virus no identificados y comportamientos sospechosos. Debe incluir el análisis de comportamiento tanto antes como durante la ejecución.
Protección web: búsqueda de direcciones URL y bloqueo de sitios web maliciosos. Los sitios bloqueados deben incluir los que puedan ejecutar JavaScript para la criptominería, además de aquellos que recopilen credenciales de autenticación de usuarios y otros datos confidenciales.
Control web: el filtrado web en endpoints permite a los administradores definir qué tipos de archivos puede descargar el usuario de Internet.
Prevención de pérdidas de datos (DLP): si un adversario consigue pasar desapercibido, las funciones de DLP pueden detectar y evitar la última fase de algunos ataques, es decir, cuando el atacante intenta exfiltrar los datos. Esto se logra mediante la monitorización de una serie de tipos de datos confidenciales.
Funciones modernas:
Machine Learning: existen diversos tipos de métodos de Machine Learning, como las redes neuronales de Deep Learning, bosques aleatorios, análisis bayesianos y agrupación en clústeres. Independientemente de la metodología, los motores de detección de malware con Machine Learning deben diseñarse para detectar malware tanto conocido como desconocido sin depender de firmas. La ventajas del Machine Learning es que puede detectar malware nunca antes visto, lo que incrementa de forma óptima la tasa general de detección de malware. Las organizaciones deben evaluar la tasa de detección, el índice de falsos positivos y el impacto sobre el rendimiento de las soluciones basadas en Machine Learning.
Antiexploits: la tecnología antiexploits está diseñada para repeler a los atacantes bloqueando las herramientas y las técnicas de las que dependen en la cadena de ataque. Por ejemplo, exploits como el EternalBlue y el DoublePulsar se utilizaron para ejecutar el ransomware NotPetya y WannaCry. La tecnología antiexploits detiene el conjunto relativamente pequeño de técnicas utilizadas para propagar el malware y perpetrar ataques, lo que rechaza muchos ataques de día cero sin haberlos visto previamente.
Específicas para ransomware: algunas soluciones incluyen técnicas diseñadas específicamente para impedir el cifrado malicioso de datos por parte del ransomware. Con frecuencia, las técnicas específicas para el ransomware también corrigen los archivos afectados. Las soluciones contra el ransomware no solo deben detener el ransomware de archivos, sino también el ransomware de discos utilizado en los destructivos ataques wiper que manipulan el registro de arranque maestro.
Protección contra robos de credenciales: tecnología diseñada para evitar el robo de contraseñas de autenticación e información de hash de la memoria, el registro y el disco duro.
Protección de procesos (aumento de privilegios): protección diseñada para determinar si se ha insertado un token de autenticación de privilegios en un proceso a fin de aumentar los privilegios como parte de un ataque de Active Adversary. Este debe ser efectivo independientemente de qué vulnerabilidad, conocida o desconocida, se haya utilizado para robar el token de autenticación para empezar.
Protección de procesos (cueva de código): impide el uso de técnicas como las cuevas de código y el AtomBombing, utilizadas a menudo por adversarios que tratan de aprovecharse de la presencia de aplicaciones legítimas. Los adversarios pueden aprovechar estas llamadas para hacer que otro proceso ejecute su código.
Detección y respuesta para endpoints (EDR): las soluciones de EDR deben tener la capacidad de proporcionar información detallada al detectar amenazas esquivas, mantener la higiene de las operaciones de seguridad TI en excelente estado y analizar los incidentes detectados. Es importante que el tamaño y las habilidades de su equipo se equiparen con la complejidad y la facilidad de uso de la herramienta que esté considerando. Por ejemplo, seleccionar una solución que ofrezca información detallada sobre las amenazas y orientación para poder responder a ellas de forma rápida y sencilla.
Detección y respuesta ampliadas (XDR): la XDR va más allá del endpoint y el servidor e incorpora otras fuentes de datos, como el firewall, el correo electrónico, la nube y los dispositivos móviles. Está diseñada para dar a las empresas una visión holística de la totalidad de su entorno, con la capacidad de profundizar en detalles granulares en caso necesario. Toda esta información debe correlacionarse en una ubicación centralizada, normalmente conocida como lago de datos, en que el usuario puede preguntar y responder preguntas críticas para el negocio.
Respuesta ante incidentes/Seguridad Sincronizada: las herramientas para endpoints deben proporcionar un mínimo de visibilidad sobre los hechos ocurridos a fin de evitar futuros incidentes. Lo ideal es que respondan de forma automática a los incidentes, sin necesidad de que intervengan los analistas, para evitar que las amenazas se propaguen o provoquen más daños. Es importante que las herramientas de respuesta ante incidentes se comuniquen con otras herramientas de seguridad de endpoints además de con las herramientas de seguridad de redes.
Managed Threat Response (MTR): MTR es un servicio totalmente administrado de búsqueda, detección y respuesta a amenazas las 24 horas prestado por un equipo de expertos. Los analistas pueden responder a posibles amenazas, buscar indicadores de peligro y proporcionar análisis detallados sobre los eventos que han ocurrido, dónde, cuándo, cómo y por qué.
El "poder del más": combinación de múltiples técnicas para una seguridad de endpoints completa
Al evaluar las soluciones para endpoints, las organizaciones no deben buscar únicamente una función principal. En lugar de ello, busque un conjunto de funciones excepcionales que engloben tanto técnicas modernas, como el Machine Learning, como enfoques base que se haya demostrado que siguen siendo efectivos, además de detección y respuesta para endpoints (EDR) para la investigación y respuesta a incidentes. Si depende de una única función dominante, aunque sea la mejor que existe, será vulnerable a puntos únicos de error. En cambio, un enfoque de defensa exhaustiva, en que haya un conjunto de múltiples capas de seguridad sólidas, logrará detener una gama de amenazas más amplia. Esto es lo que solemos denominar «el poder del más», una combinación de técnicas base con Machine Learning, antiexploits, antiransomware, EDR y mucho más.
Cuando esté evaluando productos seguridad para endpoints, pregunte a distintos proveedores qué técnicas se incluyen en su solución.
¿Qué efectividad ofrece cada uno de sus componentes?
¿Qué amenazas está diseñada para detener?
¿Depende de una única técnica principal? ¿Y si falla?
Comparar productos con distintas funciones ya es muy difícil, pero comparar su rendimiento en ataques simulados, en que las acciones de un atacante son potencialmente infinitas y desconocidas, es prácticamente imposible. Sin embargo, muchas organizaciones optan por confiar en evaluaciones de terceros para ayudarse en sus decisiones de compra.
Ampliación de su seguridad: Considere la protección completa
Una solución de seguridad para endpoints constituye solo una parte de una estrategia global de seguridad. Hoy en día es aconsejable que las empresas miren más allá de los endpoints y protejan todo el entorno. Lo ideal es que un solo proveedor proporcione soluciones que, de forma conjunta, le ofrezcan una protección uniforme y la imposición de políticas en toda su organización. Trabajar con un solo proveedor puede proporcionar una seguridad mejor y reducir la administración y los costes.
Algunas tecnologías específicas que tener en cuenta junto con la protección para endpoints incluyen el cifrado completo de discos, la gestión de dispositivos móviles, la seguridad móvil, una puerta segura de enlace de correo electrónico, protección especializada para equipos virtuales o servidores y Seguridad Sincronizada entre dispositivos endpoint y de red.
Ampliación de su seguridad: Detección y respuesta de endpoints
Busque amenazas para detectar adversarios activos o aplíquelo a sus operaciones de TI a fin de mantener la higiene de su seguridad TI. Cuando se encuentre un problema, responda de forma remota con precisión.
Haga preguntas detalladas sobre la búsqueda de amenazas y las operaciones de seguridad TI como:
¿Hay procesos intentando establecer una conexión de red en puertos no estándar?
¿Qué dispositivos tienen vulnerabilidades conocidas, servicios desconocidos o extensiones de navegador no autorizadas?
Comprenda el alcance y el impacto de los incidentes de seguridad
Detecte ataques que pueden haber pasado desapercibidos
Busque indicadores de peligro en toda la red
Priorice los eventos para una investigación más a fondo
Analice archivos para determinar si son una amenaza o no deseados
Informe con seguridad sobre la posición de seguridad de su empresa en cualquier momento
Visibilidad de nivel superior: Detección y respuesta ampliadas
Vaya más allá del endpoint y el servidor, y sírvase del firewall, el correo electrónico y otras fuentes de datos.
Formule y responda preguntas como:
- ¿Por qué va lenta la conexión de red de la oficina?
- ¿Hay dispositivos no administrados o no protegidos en mi infraestructura?
- Amplíe las investigaciones hasta 30 días sin tener que volver a conectar el dispositivo
- Utilice detecciones ATP e IPS desde el firewall para investigar hosts y dispositivos sospechosos
- Compare la información de encabezado del correo electrónico con otros indicadores de peligro
- Revise los últimos 30 días para identificar actividad inusual en un dispositivo extraviado o destruido
CONCLUSIÓN
A medida que crecen las ciberamenazas tanto en complejidad como en cantidad, es más importante que nunca tener implementada una protección efectiva en el endpoint. Entender las amenazas que necesita bloquear y las distintas tecnologías de seguridad disponibles le permitirá tomar una decisión informada en cuanto a los productos de seguridad para endpoints, y brindará a su organización una protección óptima contra los ataques de hoy día.