EDR: El futuro de la ciberseguridad de endpoints

391 views

‎Un enfoque tradicional de la ciberseguridad ya no es suficiente. Hacer frente a las amenazas avanzadas requiere herramientas avanzadas como la detección y respuesta de puntos de conexión.‎

Yana Shevchenko

‎Ataques complejos. Ataques nomalware. ‎‎Ataques sin archivo‎‎ y plantas de malware por acceso físico. Exploits de día cero aprovechando nuevas herramientas y técnicas de ciberdelincuencia cada vez más ágiles. En el volátil panorama actual de amenazas, las tecnologías preventivas por sí solas no pueden proteger a las empresas contra las amenazas avanzadas. Si a esto le sumamos el hecho de que los ciberdelincuentes pueden montar un ataque dirigido efectivo a un costo mínimo, no es de extrañar que el número de ataques exitosos siga aumentando a nivel mundial.‎

‎Según las conclusiones de la agencia analítica B2B International, encargada por Kaspersky Lab y publicada en Kaspersky Lab's ‎‎Nuevas amenazas, nueva mentalidad: estar preparado para el riesgo en un mundo de ataques complejos‎‎ informe, los ataques dirigidos se convirtieron en una de las amenazas de más rápido crecimiento en 2017, aumentando en prevalencia general durante 2016 en un 6% para las PYMES y en un 11% para las empresas.‎

‎Más de una cuarta parte de las empresas (27%) admitieron que habían experimentado ataques dirigidos a su infraestructura, frente al 21% del mismo período del año anterior, y el 33% de las empresas sentían que estaban siendo atacadas específicamente por los ciberdelincuentes. De las empresas encuestadas, el 57% dijo que esperaba que les sucediera una brecha de seguridad en algún momento, y el 42% aún no estaba seguro de la estrategia más efectiva para responder a estas amenazas.‎

‎Un enfoque tradicional ya no es lo suficientemente bueno‎

‎Las plataformas de protección de endpoints (EPPs), que normalmente existen en la infraestructura de una organización, controlan amenazas conocidas como el malware tradicional. También pueden manejar virus desconocidos, que podrían usar, por ejemplo, una nueva forma de malware conocido dirigido a los puntos finales. Estos sistemas son excelentes para proteger contra amenazas conocidas y algunas desconocidas. Sin embargo, las técnicas de ciberdelincuencia han evolucionado significativamente en los últimos años, y los ciberdelincuentes se han vuelto más agresivos en sus procesos de ataque. La combinación de amenazas comunes, patrones maliciosos únicos y actividades basadas en técnicas de infiltración complejas de ciberdelincuentes hace que las amenazas avanzadas y los ataques dirigidos sean extremadamente peligrosos para cualquier organización que dependa únicamente de un enfoque convencional de la ciberseguridad.‎

‎Las empresas corren el riesgo de ser robos o ataques desde todos los ángulos: datos y finanzas, propiedad intelectual, datos comerciales confidenciales y datos personales específicos u otros datos confidenciales, en contra de los procesos empresariales y la ventaja competitiva, etc. ‎

‎Los incidentes relacionados con amenazas avanzadas tienen un impacto significativo en el negocio: el costo de responder y recuperar procesos, tener que invertir en nuevos sistemas o procesos, el efecto en la disponibilidad, el daño a la reputación y la marca, la pérdida financiera, etc. Las organizaciones deben tener en cuenta no solo el creciente número de programas maliciosos generalizados, sino también el aumento de amenazas avanzadas complejas y ataques dirigidos.‎

‎Eso significa que necesitan ampliar su protección más allá de la red, el correo y el tráfico web a los puntos finales, incluidas las estaciones de trabajo, los equipos portátiles, los servidores y los teléfonos inteligentes. Estos puntos de conexión son puntos de entrada de uso común en la infraestructura de una organización durante ataques dirigidos, lo que hace que la visibilidad de los puntos de conexión sea crítica en el panorama actual de amenazas.‎

‎De acuerdo con el ‎‎Encuesta sobre el panorama de amenazas de SANS 2017‎‎, el 74% de los encuestados dijo que hacer clic en un enlace o abrir un archivo adjunto de correo electrónico era la forma principal de que las amenazas entraran en la organización, y el 48% nombró a Web drive-by o download. Un 81% de las empresas encuestadas consideraron que las herramientas de seguridad de endpoints son el medio más útil para la detección de amenazas.‎

‎La necesidad de herramientas especializadas para la detección y respuesta de puntos de conexión‎

‎Claramente, simplemente bloquear las amenazas fáciles en los puntos finales no es suficiente; hoy en día, las empresas necesitan herramientas que les ayuden a detectar y responder a las amenazas más recientes y complejas.‎

‎¿por qué?‎

‎En primer lugar, debido a los detalles de los ataques dirigidos que utilizan los ciberdelincuentes:‎

  • ‎Derivación de los sistemas de seguridad: los atacantes llevan a cabo una investigación exhaustiva de la infraestructura existente, incluido el sistema de seguridad de punto final que se está utilizando;‎
  • ‎Vulnerabilidades de día cero, cuentas comprometidas;‎
  • ‎Software malicioso o software único creado especialmente;‎
  • ‎Objetos comprometidos que parecen normales y, por lo tanto, siguen siendo de confianza;‎
  • ‎Un enfoque multisectorial centrado en penetrar tantos puntos finales como sea posible: computadoras de escritorio, computadoras portátiles, servidores, etc.;‎
  • ‎Ingeniería social y datos obtenidos de personas con información privilegiada.‎

‎En segundo lugar, debido a las limitaciones tecnológicas de los productos tradicionales de protección de endpoints, que:‎

  • ‎Tratar de detectar y bloquear amenazas comunes (sin complicaciones), vulnerabilidades ya conocidas o amenazas desconocidas típicamente construidas sobre métodos previamente conocidos;‎
  • ‎Concéntrese en la visibilidad de cada extremo individual y no están diseñados para visualizar y monitorear en tiempo real todos los puntos finales simultáneamente desde una única interfaz centralizada;‎
  • ‎No proporcione a los administradores de TI la información de amenazas necesaria para proporcionar información sobre el contexto de amenazas y carezca de visibilidad completa de la actividad de los endpoints individuales, de los procesos, los plazos y las posibles relaciones con cada endpoint de la empresa;‎
  • ‎No ofrecer ningún mapeo incorporado o correlación de varios veredictos de diferentes mecanismos de detección en un solo incidente unificado;‎
  • ‎No admite la funcionalidad para detectar actividad anormal, desviaciones en actividades normales, etc., ni analiza el trabajo de programas legítimos;‎
  • ‎No se puede analizar retrospectivamente el movimiento lateral de malware;‎
‎Tener capacidades limitadas para la detección de ataques sin archivo, inyecciones de memoria o amenazas sin malware

Fuente: Kaspersky blog
Traducido

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.