viernes, 23 de febrero de 2024

Una guía fundamental para la seguridad de endpoints

 



Cualquiera que utilice la tecnología en su vida diaria comprende que está en constante cambio y el sentimiento es especialmente cierto dentro de la industria de la ciberseguridad. Los adversarios continúan evolucionando con nuevas tácticas para eludir las defensas, por lo que es necesario que los métodos para detectar y prevenir estas amenazas lo hagan a un ritmo aún más rápido.

Sin embargo, mantenerse al día con todos los cambios puede resultar bastante difícil, incluso para el profesional de ciberseguridad más experimentado. La forma en que trabajamos ha cambiado no sólo en dónde sino también en cómo. Hoy en día, los empleados realizan negocios desde múltiples dispositivos, algunos proporcionados por la empresa y otros de propiedad privada. Los datos confidenciales se almacenan en muchas ubicaciones, incluidos estos dispositivos, dentro de los centros de datos corporativos y en la nube. Esto significa que es probable que las organizaciones necesiten más de una tecnología para defender sus terminales contra violaciones de seguridad o pérdida de datos. Dado que los proveedores de ciberseguridad comercializan una amplia gama de nombres de productos de marca para sus ofertas, puede resultar complicado determinar cuáles son ideales para su entorno particular. Este artículo tiene como objetivo ayudar a desmitificar las diversas tecnologías de seguridad de terminales que puede encontrar durante su investigación, resaltar las diferencias principales y explicar cómo pueden complementarse entre sí. Esta no pretende ser una lista exhaustiva y debe tenerse en cuenta que existen algunas tecnologías que pueden pertenecer a más de una categoría, por ejemplo, seguridad de terminales y de nube.

Cuatro tecnologías clave de seguridad para terminales

Para empezar, definamos exactamente qué es un punto final. En el nivel más fundamental, un punto final es cualquier dispositivo que se conecta e intercambia datos en una red. Eso podría incluir computadoras de escritorio y portátiles, tabletas, teléfonos inteligentes, impresoras y servidores tradicionales. Los puntos finales también abarcan dispositivos de red como enrutadores, conmutadores o firewalls, y una amplia gama de dispositivos de IoT, como dispositivos portátiles, cámaras de seguridad, sensores y equipos médicos o de fabricación conectados. Pero también debemos pensar más allá de los dispositivos físicos y considerar las máquinas virtuales. que alojan aplicaciones y datos en nubes públicas o privadas.

​Aunque esto puede parecer trivial, es importante tenerlo en cuenta porque todos representan puntos de entrada a la red que pueden explotarse y oportunidades para la pérdida de datos confidenciales. Como tales, se deben tener en cuenta todos al crear una estrategia de seguridad para endpoints . Las siguientes son algunas de las tecnologías de seguridad de terminales más comunes que probablemente encontrará:

Gestión unificada de puntos finales (UEM) o gestión de dispositivos móviles (MDM) : existe un concepto ampliamente aceptado dentro de la industria de la ciberseguridad de que no se puede proteger eficazmente lo que no se puede ver. Por lo tanto, el primer paso para crear una política integral de seguridad de terminales es hacer un inventario de todos los dispositivos que acceden a su red, y esto se puede lograr con tecnologías UEM o MDM. La principal diferencia entre los dos es que MDM es para los sistemas operativos (OS) iOS y Android, mientras que UEM incluye esos sistemas operativos más los sistemas operativos Windows y Mac, incluso dispositivos de productividad y dispositivos portátiles en algunos casos. Una vez que se descubran y perfilen los dispositivos, los administradores podrán aplicar políticas de seguridad consistentes en todos ellos, independientemente de dónde se encuentre el punto final.

Una característica clave tanto de UEM como de MDM es que permiten a una organización establecer estándares con respecto a la postura de seguridad de los dispositivos que acceden a la red. Por ejemplo, se pueden crear reglas según las cuales no se puede hacer jailbreak a un dispositivo y debe ejecutarse con la última versión del sistema operativo. También pueden restringir qué aplicaciones pueden instalar los usuarios y qué pueden hacer en un dispositivo administrado. Los administradores pueden usar la consola de administración para enviar sistemas operativos o actualizaciones de aplicaciones a dispositivos que no cumplen con los requisitos, o incluso para borrar dispositivos perdidos o robados o que fueron utilizados por ex empleados. Sin embargo, MDM y UEM van más allá de reducir el riesgo para una organización y, de hecho, pueden aprovecharse para mejorar la experiencia del usuario. Estas soluciones permiten a las empresas entregar nuevos dispositivos a los usuarios finales que ya están configurados, completos con todas las aplicaciones aprobadas necesarias para completar sus tareas laborales.

Detección y respuesta de puntos finales (EDR) : como se mencionó anteriormente, las políticas de seguridad se pueden aplicar a los puntos finales mediante UEM y MDM; sin embargo, estas soluciones carecen de la capacidad de detectar y bloquear amenazas. El propósito de EDR es proteger en tiempo real sus computadoras de escritorio, portátiles y servidores contra amenazas como ransomware, malware conocido y desconocido, troyanos, herramientas de piratería, vulnerabilidades de memoria, uso indebido de scripts, macros maliciosas y otros.

Esta tecnología comenzó hace muchos años como software antivirus, que se basaba en firmas de amenazas conocidas o ya identificadas para crear listas de bloqueo. Evolucionó hasta convertirse en lo que se llama una plataforma de protección de endpoints, o EPP, que utiliza aprendizaje automático, inteligencia artificial y tecnología de espacio aislado para detectar malware sin archivos o nunca antes visto (también conocido como ataques de día cero). Más recientemente, los proveedores de seguridad de endpoints han comenzado a agregar capacidades forenses y de respuesta, transformando la tecnología EPP en lo que se conoce como detección y respuesta de endpoints, o EDR.

Defensa contra amenazas móviles (MTD) : los dispositivos móviles son sin duda puntos finales y tienen cosas en común con las computadoras portátiles y de escritorio en términos de su vulnerabilidad a ataques como phishing y malware, pero son únicos en cuanto a cómo se llevan a cabo los ataques. . Algunos ejemplos serían los mensajes SMS con enlaces de phishing, códigos QR maliciosos o aplicaciones sin escrúpulos. Es por esta razón que los dispositivos móviles requieren su propia solución de seguridad dedicada, comúnmente conocida como seguridad móvil o defensa contra amenazas móviles (MTD). MTD protege los dispositivos móviles administrados y no administrados contra cuatro categorías de amenazas :

  • Dispositivo: detección de dispositivos con jailbreak o rooteados, sistemas operativos obsoletos y configuraciones riesgosas
  • Aplicación: marcar aplicaciones que se sabe que son maliciosas pero también aquellas que filtran o comparten datos
  • Red: identificación de redes de riesgo para proteger contra ataques de intermediario, suplantación de certificados u otros ataques que aprovechan sesiones TLS/SSL vulnerables.
  • Contenido y web: bloqueo de enlaces maliciosos enviados por correo electrónico, SMS, navegadores y redes sociales o aplicaciones de productividad.

Desafortunadamente, MTD es una tecnología de seguridad que actualmente está infrautilizada; un estudio reciente de IDC indica que fue implementada por menos de la mitad de las PYMES o empresas empresariales encuestadas. Esto presenta una brecha de seguridad considerable considerando la cantidad de información confidencial que se transmite y almacena en los dispositivos móviles en la actualidad. Los teléfonos inteligentes y las tabletas son objetivos particularmente atractivos para los atacantes debido a la facilidad de ataque a través de SMS, correo electrónico y aplicaciones de mensajería, así como a la frecuente falta de controles de seguridad en el dispositivo. Además, los teléfonos inteligentes y las tabletas pueden aprovecharse como punto de acceso a la red, desde donde se pueden lanzar ataques más impactantes.

Plataforma de protección de cargas de trabajo en la nube (CWPP): las iniciativas de transformación digital han dado como resultado que las empresas trasladen más aplicaciones del centro de datos a la nube. Los beneficios aquí incluyen menores costos generales, mayor rendimiento y una mejor experiencia de usuario. Los proveedores de servicios en la nube (CSP) más utilizados son AWS, Azure y Google Cloud. El 87% de las organizaciones utilizan múltiples proveedores de nube y el 72% tiene una estructura de nube híbrida que combina nubes públicas y privadas.

Si bien esta migración a la nube es necesaria para el crecimiento futuro, también aumenta la superficie de ataque. Esto se debe a que cuando los recursos de la nube son accesibles públicamente, ya sea por diseño o por error, se convierten en un objetivo para los actores de amenazas . Los CWPP proporcionan detección de amenazas para servidores, máquinas virtuales, contenedores y clústeres de Kubernetes en todos los entornos de nube. Los CWPP protegen contra una amplia gama de ataques, incluidos ransomware, ataques sin archivos y de día cero. Pueden alertar a un administrador de seguridad no sólo sobre vulnerabilidades, sino también sobre violaciones de cumplimiento.

Determinar las tecnologías adecuadas para su negocio

Quizás se pregunte si su organización realmente necesita todas estas protecciones. La respuesta podría ser tan simple como evaluar dónde se almacenan sus datos confidenciales. Incluso las empresas más pequeñas tienen datos valiosos, incluidos detalles de clientes y de pago, y para las empresas vinculadas a la atención médica, el derecho, los seguros o las finanzas, es probable que exista aún más información privada que podría aprovecharse para el robo de identidad. Según un estudio reciente , en promedio, un empleado de una empresa con menos de 100 empleados estará sujeto a un 350% más de ataques de ingeniería social que un empleado de una empresa más grande. Los empleados de empresas de todos los tamaños pueden realizar contabilidad u otras tareas en computadoras portátiles, utilizar tabletas para procesar transacciones o recopilar información de los clientes y usar teléfonos móviles para responder mensajes de texto o correos electrónicos comerciales.

Para todas las organizaciones, la seguridad de los terminales debe verse no solo como una forma de reducir el riesgo, sino también como una inversión fundamental para garantizar la continuidad del negocio.

Fuente: cybersecurity.att.com


No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...