La protección de endpoints no es tan fácil como simplemente instalar un software antivirus. En el entorno de amenazas moderno actual, es un conjunto de estrategias de seguridad que integra una variedad de tecnologías para proteger integralmente los dispositivos finales de una organización, como computadoras portátiles, de escritorio y dispositivos móviles, contra malware, vulnerabilidades y amenazas persistentes avanzadas. Su objetivo principal es detectar, bloquear y responder a las amenazas en la terminal, la última línea de defensa, antes de que causen pérdidas reales.
¿Cuáles son las funciones principales de la protección de endpoints?
Los antivirus tradicionales se basan principalmente en la coincidencia de firmas, pero esto ya no es eficaz para hacer frente a ataques de día cero y ransomware de archivos. Las capacidades principales de las plataformas modernas de protección de endpoints incluyen protección contra malware, detección basada en comportamiento y control de aplicaciones. Tiene que monitorear todas las actividades del proceso en tiempo real y analizar si los patrones de comportamiento de esas actividades del proceso son anormales, como un montón de archivos cifrados o intentar conectarse a un servidor de comando y control sospechoso.
Además, además de la protección en tiempo real, la protección del terminal también debe tener capacidades de mitigación de explotación de vulnerabilidades. Esto significa que incluso si el software de la aplicación tiene vulnerabilidades sin parchear, el sistema puede confiar en medios técnicos para evitar que los atacantes utilicen esta vulnerabilidad para ejecutar código malicioso. Además, para evitar la fuga de datos a través de canales físicos, la función de control del dispositivo puede gestionar el uso de dispositivos externos como USB, lo que constituye una capa clave de defensa en profundidad.
Cómo elegir una solución de protección de endpoints adecuada para su empresa
Al elegir una solución, no debe fijarse únicamente en la tasa de mortalidad anunciada por el fabricante. Debe estar estrechamente vinculado al propio entorno TI de la empresa, a las necesidades del negocio y al nivel técnico de sus empleados. Primero, hay que estimar el tipo y número de dispositivos finales, si será un entorno puro o una mezcla de macOS y dispositivos móviles. Para departamentos especiales como I+D, también se debe considerar la compatibilidad con las herramientas de desarrollo para evitar obstaculizar el progreso normal del trabajo.
También hay un costo entre las consideraciones clave, que cubre las tarifas directas de licencia de software y la inversión indirecta en gestión de operación y mantenimiento. Hay algunas soluciones cuyo coste de compra inicial es bajo, pero la gestión posterior es complicada y requiere personal dedicado para su mantenimiento, por lo que el coste total de propiedad puede ser mayor. Se recomienda crear una matriz de evaluación para realizar una comparación integral desde las dimensiones de efectividad de la protección, impacto en el desempeño del sistema, complejidad de la gestión y costo total.
Por qué la protección de terminales necesita integrar capacidades EDR
La mera protección preventiva no es suficiente. ¿Por qué dices esto? Porque los ataques avanzados siempre encontrarán formas de atravesar la línea de defensa periférica. La tecnología de detección y respuesta de terminales es la respuesta a este problema. EDR continuará registrando información detallada, como los cambios en el registro de conexión de red del proceso en la terminal para formar un cronograma de actividad completo.
Si ocurre un incidente de seguridad, los analistas de seguridad pueden realizar investigaciones retrospectivas basadas en los datos recopilados por EDR para identificar el punto de entrada del ataque, la ruta del movimiento lateral y el alcance del impacto. Más importante aún, EDR brinda soporte de respuesta remota, como aislar hosts infectados, finalizar procesos maliciosos y eliminar puertas traseras persistentes, suprimiendo así rápidamente las amenazas y minimizando las pérdidas.
¿Cuáles son las ventajas de la protección de terminales en la nube?
Precisamente porque la infraestructura empresarial se está desarrollando hacia la nube y las oficinas móviles se están volviendo cada vez más populares, las ventajas de la arquitectura de protección de terminales basada en la nube se han vuelto prominentes. Su característica más importante es que simplifica la implementación y las actualizaciones. Cuando se conectan nuevos terminales a la red, pueden obtener automáticamente estrategias de protección, y las actualizaciones de las bases de datos de virus y los motores de detección también se envían de manera uniforme desde la nube para garantizar que todos los terminales puedan obtener inmediatamente las últimas capacidades de protección.
La arquitectura de la nube tiene una gran escalabilidad y funciones de control y gestión visual centralizadas. El equipo de seguridad puede utilizar una consola para administrar terminales distribuidos globalmente, formular políticas de seguridad de manera unificada e implementar políticas de seguridad de manera unificada. El intercambio de inteligencia sobre amenazas basado en big data en la nube funciona más rápidamente. Una vez que un terminal encuentra nuevas características de ataque, puede sincronizarse rápidamente con todos los demás terminales, logrando así un efecto de inmunidad colectiva.
Cómo responde la protección de endpoints a los ataques sin archivos
Los ataques sin archivos no escriben archivos maliciosos en el disco. Ellos no hacen esto. En cambio, simplemente residen directamente en la memoria y utilizan herramientas legítimas del sistema, como WMI, para realizar malas acciones. Los métodos de escaneo tradicionales son básicamente ineficaces en esta situación. Para hacer frente a este tipo de ataque, la protección del terminal debe tener potentes capacidades de escaneo de memoria y monitoreo del comportamiento, de modo que pueda detectar el uso anormal de herramientas legítimas.
Al mismo tiempo, se deben implementar políticas estrictas de control de scripts y listas blancas de aplicaciones para permitir que solo se ejecuten programas y scripts autorizados para bloquear la cadena de ataque desde la raíz. También es necesario fortalecer el análisis contextual del comportamiento de ejecución de las herramientas nativas del sistema. Por ejemplo, si un script que se utiliza habitualmente para la gestión del sistema intenta de repente descargar un archivo ejecutable desde el exterior a altas horas de la noche, se debería activar una alarma.
¿Cuáles son los errores comunes al implementar la protección de endpoints?
Un error común es encontrarse en una situación similar a la llamada "configúrelo y olvídese", es decir, después de completar la implementación, cree que se puede hacer de una vez por todas, y luego no realiza ajustes continuos relacionados con políticas ni trabajos de operación y mantenimiento. Sin embargo, eso no significa que cuanto más estricta sea la política de protección del terminal, mejor. Una política demasiado estricta probablemente impedirá que el software empresarial funcione correctamente y, eventualmente, obligará a los empleados o administradores de TI a desactivar la protección, lo que generará mayores riesgos.
Otro error es no prestar atención a la vinculación y cooperación con otros sistemas de seguridad. La protección de terminales no debería convertirse en una isla de información. Debe trabajar junto con firewalls de red, sistemas de gestión de eventos e información de seguridad, plataformas de gestión de vulnerabilidades, etc. Por ejemplo, una vez que el sistema de gestión de vulnerabilidades detecta que un terminal tiene una vulnerabilidad de alto riesgo, debería poder notificar automáticamente al sistema de protección del terminal e implementar un control de acceso o monitoreo de comportamiento más estricto en el terminal, creando así una situación conjunta de prevención y control.
En el proceso de construcción de seguridad de terminales llevado a cabo por su organización, ¿está más inclinado a elegir una plataforma de protección de terminales integrada con funciones integrales, o está más inclinado a combinar múltiples "mejores productos individuales" de diferentes fabricantes para construir un sistema de defensa? Le invitamos a compartir su propia experiencia práctica y opiniones personales en el área de comentarios. Si cree que este artículo le resulta útil, dale también un Me gusta y compártelo con más colegas que probablemente lo necesiten.
Deja una respuesta