Cómo proteger los endpoints frente a las amenazas de seguridad

En la seguridad de los endpoints hay una verdad universal: cuantos más dispositivos tengas, más vulnerable serás. Los endpoints son los dispositivos que se emplean para conectar a los empleados, como ordenadores de sobremesa, portátiles o móviles, y son muy vulnerables a ataques de malware que quieren acceder a la red de la empresa.

Hoy en dí­a, hasta las organizaciones más pequeñas tienen lugares de trabajo muy conectados y, si tenemos en cuenta que los equipos informáticos cuentan cada vez con más dispositivos inteligentes, las posibilidades de un ataque no cesan de aumentar. Según un estudio de Ponemon Institute, el 68 % de las empresas sufrieron uno o más ataques a sus dispositivos endpoint en un perí­odo de dos años. 

Las mayores amenazas para los endpoints

Los estudios han descubierto que los ataques que reciben las empresas suelen centrarse en los endpoints, y el objetivo principal es introducir un ransomware; un malware que ha atacado al 37 % de los negocios en 2021. Y, aún peor, las empresas tuvieron que gastarse en 2021 una media de 1,85 millones de dólares para recuperarse de estos ataques.

¿Qué importancia tiene la seguridad de los endpoints?

Las soluciones de seguridad también evolucionan junto a los malware para adelantarse a estos ataques y proteger a las empresas. Es fundamental contar con la protección necesaria para los endpoints, ya sea enseñando a los empleados cómo actuar o contratando una solución de detección y respuesta de endpoints (EDR).

Cabe recordar que un ataque a un endpoint puede afectar a cualquier tipo de empresa, desde hospitales hasta ejércitos o instituciones educativas. Independientemente del tamaño o del tipo de empresa que tengas, es necesario que protejas tus endpoints de ataques que pueden parar tu negocio por completo durante un tiempo indefinido. De hecho, el impacto financiero puede ser enorme, ya que el coste promedio de un ataque con éxito a dispositivos endpoint aumentó de 7,1 millones a 8,9 millones de dólares en 2021.

¿Cuál es el objetivo de los ataques?

Conocer lo que pretenden los atacantes de tus endpoints te ayudará a comprender las enormes repercusiones y riesgos a los que se enfrentan todas las empresas: 

• Extorsión. El atacante controla tu negocio, por lo que puede hacer que tu sitio web deje de funcionar y parar todo el proceso de producción encriptando los sistemas. A continuación, te pedirá todo el dinero que pueda antes de devolverte el control de tu negocio.
• Filtración de datos. El atacante intentará acceder a tu información confidencial, ya que siempre habrá alguien dispuesto a pagar por ella. 
• Transferencia de fondos. Un atacante puede falsificar sus credenciales para conseguir que un usuario transfiera una gran cantidad de dinero.
• Minado de Bitcoin y otras criptomonedas. El mercado de las criptomonedas está en auge, y cada vez se valora más poder contar con mayor potencia de procesamiento. 

¿De dónde vienen las amenazas y cuáles son los errores que se están cometiendo?

En general, alrededor del 5 % de tus empleados trabajan en soporte técnico, por lo que el 95 % restante que está conectado a la red tiene mucha menos formación en seguridad informática. Existen muchos riesgos y pueden deberse a:

• Administradores locales con contraseñas caducadas.
• Errores de configuración de los usuarios con permisos innecesarios. 
• Credenciales almacenadas en caché que quedan al descubierto en los endpoints. 
• Los usuarios pueden iniciar sesión un número ilimitado de veces.

Los empleados que utilizan el ordenador de la empresa como ordenador personal y acceden a enlaces sospechosos o emails de phishing ponen a su endpoint en riesgo y, por lo tanto, a toda la red a la que está conectado. Además, estos riesgos aumentan si el software no se actualiza, por lo que configurar y gestionar los endpoints de manera adecuada es fundamental. 

Las mejores prácticas para la seguridad de los endpoints

Puedes adoptar hoy mismo 5 pasos para ayudar a proteger tu empresa:

1. Defiende un modelo de confianza cero en los privilegios para que cada empleado tenga los mí­nimos privilegios de administración posibles dependiendo de su posición.
2. Revisa y actualiza los sistemas con regularidad y solicita cambios en las contraseñas y la configuración de los usuarios.
3. Forma a los empleados en materia de seguridad a la hora de acceder a Internet.
4. Actúa con rapidez cuando haya algún tipo de vulnerabilidad como la pérdida o el robo de dispositivos.
5. Conoce todos los endpoints que se conectan al sistema. 

Caracterí­sticas principales de las soluciones de EDR

Cada ataque aprovecha de diferente manera las vulnerabilidades que puede haber en una red, pero siempre hay una manera de bloquear cada ataque y evitar que ocurra lo peor.

Las mejores prácticas que hemos descrito anteriormente serán fundamentales para prevenir los ataques. Sin embargo, si lo que estás buscando es la seguridad total para tu negocio, los sistemas de EDR como los que desarrolla e implementa Ackcent te ayudarán a dormir mucho mejor por la noche. 

¿Cómo se enfrenta Ackcent al problema?

El EDR es un software de seguridad preventivo y reactivo diseñado para identificar con proactividad las amenazas y nuevos tipos de malware que buscan evadir las medidas de seguridad tradicionales y actuar de inmediato. El software de EDR de Ackcent combina inteligencia artificial para ciberataques, capacidades de aprendizaje automático y análisis avanzado de archivos para formar una defensa que detecta las amenazas más sofisticadas y actúa frente a ellas siguiendo tres pasos: 

1. Prevención: Analiza archivos ejecutables antes de que se ejecuten mediante un proceso conocido como análisis estático.
2. Detección: Aprovecha el aprendizaje automático y el análisis del comportamiento en los procesos del sistema para detectar alguna actividad maliciosa.
3. Respuesta: Reacciona rápidamente a incidentes con nuestros expertos en seguridad que trabajan las 24 horas para ayudar a tu empresa.

El primer paso es la instalación de la solución de EDR en el sistema de tu empresa. Durante la configuración, añadimos las excepciones necesarias (conocidas como falsos positivos) para cualquier aplicación o software seguros que pudieran alertar a nuestros sistemas. 

A continuación, iniciamos la fase de ejecución en la que supervisamos las alertas generadas durante la configuración y las analizamos para decidir si también se tratan de falsos positivos. Si la alerta es real, investigamos la fuente del problema y configuramos las polí­ticas de protección para establecer si esta actividad maliciosa para de forma inmediata determinados procesos, enví­a notificaciones al centro de seguridad o utiliza sistemas más avanzados.

Cada paso que llevamos a cabo está acordado con el cliente, y esta parte del proceso nos ayuda a conocer su negocio y las amenazas a las que se puede enfrentar. La solución de EDR de Ackcent adapta la respuesta a la seguridad en función de las capacidades de la empresa.

¿Qué otras funcionalidades ofrece la solución de EDR de Ackcent?

• Detección de endpoints mal configurados: Un agente en un endpoint puede escanear el resto de la red para encontrar endpoints que estén desprotegidos. Un problema común de los clientes es conocer cuántos ordenadores hay en su infraestructura informática y cuántos de ellos son vulnerables a ataques. 
• Protección frente a “juice jacking”: ataques que intentan engañar a los empleados para que conecten dispositivos USB o se conecten por Bluetooth para acceder a su red. Este tipo de ataque cada vez es más frecuente porque las empresas tienen más trabajadores en remoto. 
• Servicio de restauración. Si tus documentos se han encriptado tras un ataque de un malware y nuestro programa SentinelOne estaba instalado, es posible restaurar todo el contenido para que tengas tus datos tal y como estaban antes del ataque.

¿Cómo mejora la solución de EDR con el paso del tiempo? 

El primer paso tras instalar un agente de EDR en tu endpoint es recopilar los datos de telemetrí­a con todos los procesos que tienen lugar en el dispositivo: conexiones a la red, creación y eliminación de archivos, etc. A continuación, la nube o consola de EDR absorbe toda esta información. Como hemos mencionado anteriormente, la EDR es una solución inteligente, por lo que seguirá registrando datos de telemetrí­a en la nube para futuros análisis. Cuantos más datos de telemetrí­a tengamos, mayor será la información de la que dispondremos para actuar.

Imaginemos que recibimos una alerta que requiere nuestra atención: un usuario ha abierto desde Outlook un Excel adjunto a un email externo a la empresa. Parece el tí­pico ataque de phishing en el que se intenta que el usuario ejecute un código a través de ingenierí­a social. El código se ejecuta y lanza una serie de conexiones con direcciones de redes remotas a un servidor que se conoce como C&C (Comando y Control). El atacante controla este servidor para que, una vez se ejecute el código malicioso, este se conecte al servidor C&C para recibir las instrucciones de ataque. Nuestro programa SentinelOne puede responder a este ataque de diversas maneras. Por ejemplo, puede integrar un software de un proveedor externo para aislar y “detonar” el código en un sandbox, lo que nos permite conocer el objetivo y funcionamiento del malware. De esta manera, gracias a la inteligencia y capacidad de respuestas del EDR, podemos evitar que estos ataques se conviertan en un serio problema para tu negocio.

El EDR también registra los movimientos laterales, una técnica de ataque en el que el malware se propaga por todos los dispositivos para atacar a toda la red, y la persistencia, un mecanismo que obliga al ordenador a volver a ejecutar el código cuando se reinicia. Por otro lado, el EDR nos permite identificar y bloquear la escalada de privilegios para evitar que el atacante consiga permisos de administrador en el sistema.

Todos estos procesos requieren una serie de métricas que pueden aprovechar nuestros programas para registrar y eliminar cualquier amenaza. SentinelOne identifica los indicadores del ataque que activaron la alerta y que están conectados con la infraestructura MITRE ATT&CK, un repositorio global que contiene las tácticas de adversario que se utilizan en los ataques de seguridad. 

¿Cuál es el futuro del EDR?

Dado que el trabajo en remoto cada vez está más extendido y que el Internet de las cosas no deja de crecer, nos vamos a enfrentar a un escenario en el que la tecnologí­a tendrá que estar a la altura para proteger a los negocios con infraestructuras de conexión cada vez más complejas. Para ello, los agentes de EDR pueden asumir cantidades enormes de datos de los dispositivos como firewalls, proxies y móviles. 

La agilidad y capacidad de aprendizaje de nuestro sistema inteligente será la base sobre la que construir un producto personalizado para proteger a tu empresa y sistema. Si instalas un EDR en tu red, podrás trabajar continuamente para proteger tu infraestructura informática y, en definitiva, a tus empleados y clientes que esperan poder disfrutar de tu servicio sin interrupciones.

Contacta con Ackcent hoy mismo si deseas obtener más información sobre cómo podemos proteger tus endpoints y tu negocio de los ataques de malware.