Lejos han quedado las décadas de los 80’s y 90´s en las que los problemas de ciberseguridad en las empresas se solucionaban suspendiendo los servicios de internet. En 2021 y con la llegada del COVID-19 la transformación digital ha dado un salto inesperado gracias al acelerado crecimiento del trabajo remoto y las compras en línea.
Con esto, el foco de riesgos en las empresas creció como un huracán, dejando a su paso endPoints desprotegidos y sitios web poco preparados para enfrentar el pico de la demanda convirtiendo a México en el segundo país con el mayor número ataques cibernéticos de América Latina.
El trabajo remoto se ha convertido en la regla y no en una excepción, pues según un estudio realizado por Randstad, el 75 por ciento de las empresas optará por el teletrabajo de forma permanente. Los directores de TI y Ciberseguridad en México son conscientes de lo que esto significa para sus empresas y prestan gran atención a la protección de datos, el control de identidad y acceso, el establecimiento de nuevas políticas de seguridad, así como, la revisión del portafolio de aplicaciones de acuerdo con entrevistas realizadas por la empresa editorial IT Masters MAG,
Bajo este escenario, la protección de EndPoints se vuelve absolutamente relevante ya que es el eslabón más débil de las organizaciones, la principal puerta de acceso a la información de tu institución o empresa y lo que puede convertirse en una situación de extorsión y fraude, espionaje o robo de datos y, en consecuencia, traer daños financieros, de prestigio y credibilidad para tu marca.
En Advance Networks te hablaremos de las herramientas de protección a endpoints comenzando desde las más básicas hasta las más avanzadas en el mundo de la ciberseguridad.
Un antivirus endpoint es un software diseñado para detectar, prevenir y eliminar el malware como virus, gusanos, bots, troyanos, entre otros. Se instala en computadoras de escritorio, portátiles, servidores de red, o incluso teléfonos móviles.
Cómo funciona un antivirus endpoint
También denominados como antivirus tradicionales, los endpoints antivirus cuentan con grandes bases de datos de firmas y definiciones de virus. Para encontrar malware, escanean archivos y directorios y buscan patrones que coincidan con las firmas y definiciones de virus en el archivo. Estos sistemas solo pueden reconocer amenazas conocidas. Por lo tanto, las marcas de antivirus para endpoints deben estar en la búsqueda constante de nuevos programas maliciosos para poder agregarlos a sus bases de datos. Ya que la ciberdelincuencia avanza rápidamente, si no actualizas constantemente el software, no podrás detectar el malware más reciente, exponiendo a las terminales a distintos ataques. Hoy en día, los antivirus heredados siguen siendo importantes, pero son solo una pequeña pieza del rompecabezas.
La red de protección y control de amenazas ha evolucionado hacia un nuevo tipo de protección de endpoints denominada plataforma de protección de terminales (EPP).
Gartner define las plataformas de protección de endpoints (EPP) como: «Una solución implementada en dispositivos de punto final para prevenir ataques de malware basados en archivos, detectar actividad maliciosa y proporcionar las capacidades de investigación y corrección necesarias para responder a incidentes y alertas de seguridad dinámica».
Esta herramienta de protección a endpoints incluye todas las capacidades que se encuentran en los antivirus para terminales, junto con capacidades adicionales, diseñadas para proteger la empresa bajo los escenarios actuales.
La herramienta EPP tiene como objetivo prevenir y bloquear una amplia gama de amenazas, proporcionando:
Tipos de ataques puede prevenir una herramienta EPP
— Malware con firmas de ataque conocidas (detectable por antivirus heredado o tradicional)
— Malware de día cero o malware sin una firma de ataque conocida
— Ataques sin archivos
— Secuestro de datos
— Explotaciones de vulnerabilidades de software conocidas
— Inyección de código
— Rootkits y puertas traseras
La segunda parte de la definición de Gartner respecto a lo que es una herramienta EPP, «proporcionar capacidades de investigación y reparación», se refiere a la tecnología de detección y respuesta de endpoints (EDR), que ayuda a los equipos de seguridad a reaccionar ante los incidentes que ocurren en los endpoints, recopilar información y tomar medidas inmediatas para contenerlos y mitigarlos».
Para muchos en la industria, EPP se trata solo de medidas preventivas que pueden bloquear las amenazas en los puntos finales. Pero en la definición holística de Gartner, EPP también incluye EDR.
Cabe destacar que a medida que las amenazas evolucionan y se vuelven cada vez más sofisticadas, la seguridad informática está obligada a estar un paso adelante, los antivirus tradicionales para endpoints basados en firmas no son capaces de detectar amenazas sin firma ni archivos (fileless), este tipo de malware constituye un porcentaje cada vez mayor de los ataques. Tampoco son capaces de proteger ataques internos y son difíciles de administrar en el mundo del trabajo remoto.
Gartner definió Endpoint Detection and Response (EDR) como:
“Un nuevo tipo de tecnología de seguridad que ayuda a detectar ataques en dispositivos terminales y proporciona un acceso rápido a la información sobre el ataque”.
Esto es sumamente útil porque el personal de ciberseguridad generalmente tiene poca visibilidad y poco o ningún control sobre los terminales remotos.
Más allá de proporcionar acceso a la información, una función clave del software EDR es ayudar al personal de ciberseguridad a responder a los ataques poniendo en cuarentena un punto final, bloqueando procesos o ejecutando manuales de respuesta automática a incidentes.
Una herramienta EDR proporciona:
Las herramientas EPP ayudan a prevenir las amenazas de seguridad, incluido el malware conocido y desconocido en los endpoint. Las herramientas de EDR ayudan a detectar y responder a los incidentes que lograron eludir el EPP u otras medidas de seguridad. ¿Cuál es más importante? ¿Se puede prescindir de uno u otro?
Si fueras gobernador(a) de una ciudad, ¿Qué valorarías más? ¿Coches de policía que pueden identificar problemas en el tráfico y prevenir accidentes, o ambulancias que pueden correr al lugar de un accidente, responder a una crisis y salvar vidas?
Muchas plataformas de EPP modernas combinan los dos enfoques y ofrecen prevención de amenazas y EDR. Aun así, puedes elegir qué componentes implementar en qué puntos finales y puede haber precios separados para diferentes partes del paquete EPP. Por tanto, la cuestión de la prevención frente a la respuesta sigue siendo relevante.
En Advance Networks te recomendamos utilizar una combinación de EPP y EDR para proteger los puntos finales. EPP es una primera línea de defensa que puede prevenir amenazas antes de que lleguen al punto final, mientras que EDR se basa en la «suposición de incumplimiento», el entendimiento de que nunca se puede asumir una protección completa y debes tener los medios para responder de manera efectiva a un ataque.
La detección y respuesta extendidas (XDR) es la siguiente fase en la evolución de EDR. XDR es una herramienta que proporciona detección y protección en todos los componentes del entorno, incluidas las redes, la infraestructura de la nube, las aplicaciones de software como servicio (SaaS) y otros componentes de red.
Gartner definió la Detección y respuestas extendidas XDR como:
«Las principales propuestas de valor de un producto XDR son mejorar la productividad de las operaciones de seguridad y mejorar las capacidades de detección y respuesta incluyendo más componentes de seguridad en un todo unificado que ofrezca múltiples flujos de telemetría, presentando opciones para múltiples formas de detección y posibilitando al mismo tiempo múltiples métodos de respuesta»
Una herramienta XDR . puede obtener datos activos directamente desde un endpoint o servidor, además de acceder a datos en la nube si un dispositivo está sin conexión.
Una herramienta XDR proporciona:
Estos son los beneficios clave de una herramienta XDR:
Esperamos que este artículo sea de utilidad para que identifiques las principales herramientas de protección a endpoints.
Si deseas conocer más sobre las herramientas de protección a endpoints, solicita una asesoría gratuita y uno de nuestros especialistas te brindará la información que necesitas o bien diseñar una estrategia de ciberseguridad adecuada a las necesidades específicas de tu empresa.
En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.