La importancia de ver más allá del simple endpoint

Una de las principales características del panorama de las ciberamenazas es su adaptabilidad. En los últimos tiempos hemos pasado de oír continuamente frases como: “ya no se trata sólo de antivirus”, “hoy en día, no es una cuestión de ‘si’ sino de ‘cuando’”, o “no es igual proteger el entorno local que la nube”. 

Todas estas frases reflejan el paso de la industria a una nueva situación, ya que los atacantes han encontrado formas de sobrepasar las defensas ante cualquier panorama previo. La situación actual se centra en los ecosistemas. Nuestras redes corporativas han evolucionado hasta el punto de que los dispositivos endpoint se han convertido en el perímetro. Por tanto, ésta será la nueva frase de moda.

Tanto nuestro trabajo como nuestra vida personal se desarrollan con un telón de fondo digital: usamos el teléfono como despertador, para leer el periódico, para consultar el correo, las citas, pedimos comida, consumimos contenidos, compramos, chateamos, etc. Y más, en la era de la COVID-19. Qué felices deben estar los ciberdelincuentes al ver cada vez más actividad en dispositivos como teléfonos, tabletas o portátiles que se conectan desde cualquier lugar a la red corporativa.

El incremento de los ataques multi-vector

La protección de los endpoints tendrá que evolucionar, ya que esta base ampliada de ataque permite a los delincuentes montar campañas multi-vector. Esto supone que tienen un menú de opciones –o caminos- que pueden escoger para atacar. Podrían aprovecharse de usuarios ingenuos a través de la ingeniería social. Podrían explotar una vulnerabilidad de software. O podrían optar por ataques de fuerza bruta. En el mundo multivectorial, adoptarán una mezcla de estas opciones para aumentar la probabilidad de una incursión exitosa. Y cada punto final es un riesgo para todo el entorno.

De ahí la importancia de detectar y dar respuesta también de forma multivectorial. No se trata sólo de proteger los endipoints, ya que éstos son sólo una parte del perfil de riesgo de una red. La actividad de vigilancia aislada de estos dispositivos, sin otros datos disponibles, dará lugar a falsos positivos o negativos y causará exceso de alertas, una mala priorización de las amenazas y un derroche de recursos.

Sin un enfoque multivectorial, será mucho más difícil automatizar las labores de detección y respuesta y liberar a los administradores de la red y a los profesionales de la seguridad para que lleven a cabo tareas más innovadoras. Y sin la habilidad de escalar hacia posturas de seguridad que cubran entornos más complejos, como la nube híbrida o el panorama de trabajo que se está dando con la pandemia actual, las empresas se enfrentarán a retos más espinosos de lo estrictamente necesario.

La importancia de la visibilidad

Por tanto, tenemos que vigilar una serie de puntos de datos para obtener visibilidad completa de la actividad relacionada con procesos sospechosos, de forma que podamos asignar un nivel de riesgo adecuado. Detectar malware está muy bien, pero un inventario exhaustivo de los puntos finales y su actividad en la red, junto con información sobre el estado de las actualizaciones de las aplicaciones, la autenticación y los procesos autorizados, puede ir más allá en la evaluación del nivel de riesgo que supone una actividad determinada y la asignación (o no) de recursos para abordarla.

Una visibilidad clara es crucial. Aquellos encargados de la protección de los patrimonios digitales deben poder ver las malas configuraciones de los procesos de seguridad, la validación de los antivirus, las vulnerabilidades explotables y las actualizaciones que faltan. Necesitan estar armados con la información y las herramientas que les permitan convertirse en cazadores de amenazas, cribando las simples plagas y concentrándose en los depredadores siniestros.

La defensa multivectorial ofrece una visión global de la red, aprovechando la nube para unificar vectores de contexto como el descubrimiento de activos, el inventario normalizado de software, la visibilidad del final de la vida útil, las vulnerabilidades, las explotaciones, las configuraciones erróneas, la telemetría en profundidad de los puntos finales y la accesibilidad de la red. Los agentes ligeros situados en el borde de la red se comunican con potentes motores basados en la nube para ofrecer poderosas capacidades de evaluación, detección y respuesta. El procesamiento de la información y la correlación se realizan en tiempo real, lo que significa que los equipos de defensa nunca están a la defensiva, sino que están adoptando medidas proactivas antes de las posibles infracciones, en lugar de realizar la lamentable tarea de limpieza después de que la filtración de datos ya se haya producido.

Conclusión

La visibilidad sin parangón que ofrecen las plataformas multivectoriales permite a los equipos perseguir los ataques más avanzados antes de que produzcan ningún daño, aprovechando la inteligencia de amenazas para señalar automáticamente las actividades sospechosas e investigarlas. Los profesionales de la seguridad pueden dedicarse a la “caza mayor” y dejar a un lado las pequeñas amenazas, ya que el mismo flujo de información que ha identificado la amenaza genuina ha eliminado con precisión las menores. La importancia de ver más allá del simple endpoint es evidente. 

Firmado: Raúl Benito, director general de Qualys para España y Portugal

La entrada La importancia de ver más allá del simple endpoint es original de MuySeguridad. Seguridad informática.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.