GUÍA PARA LA ADQUISICIÓN DE SEGURIDAD PARA ENDPOINTS

GUÍA PARA LA ADQUISICIÓN DE SEGURIDAD PARA ENDPOINTS

A medida que las ciberamenazas se vuelven más complejas, también crece la presión para implementar la solución para endpoints más adecuada. Sin embargo, el mercado de la seguridad para endpoints se ha visto saturado con numerosas soluciones distintas y está tan repleto de reclamos de marketing indefendibles que tomar una decisión informada para su organización es cada vez más difícil.
Esta guía le ofrece claridad a través de un repaso de las principales tecnologías de seguridad para endpoints para asegurarse de que cuenta con la protección adecuada. También le permite descubrir las diferencias entre los proveedores detectadas en pruebas independientes, lo que le ayudará a tomar una decisión informada.

LA INCÓMODA VERDAD SOBRE LA SEGURIDAD PARA ENDPOINTS
El mercado de la seguridad para endpoints está plagado de afirmaciones exageradas. Pero la realidad es que el 68 % de las empresas han sido víctimas de un ciberataque durante el último año¹. Por esta razón, contar con una protección de primera categoría es la base de una estrategia de seguridad efectiva.
Sin embargo, la protección no es suficiente por sí sola. Cuatro de cada cinco empresas admiten tener escasez de conocimientos de seguridad a nivel interno¹. Teniendo esto en cuenta, la usabilidad también es esencial si los equipos de TI sobrecargados han de utilizar de forma óptima las funciones de la protección. También debe dar por sentado que las amenazas penetrarán en sus defensas y preparar su empresa en consecuencia. Esto incluye tener una visibilidad completa de cómo han entrado las amenazas
en la empresa, dónde han estado, qué han tocado para poder neutralizar el ataque y cerrar cualquier brecha de seguridad.

El cuadrante mágico de Gartner de plataformas de protección de endpoints es una herramienta de investigación que evalúa la integridad de la visión y la capacidad de ejecución de los proveedores. Sophos ha sido nombrado líder en el Cuadrante mágico de Gartner de plataformas de protección de endpoints en doce informes consecutivos.

Gartner elogió a Sophos por su sólida protección para endpoints, citando la confianza de los clientes en sus defensas antiransomware probadas, como la funcionalidad de reversión, las completas funciones de detección y respuesta para endpoints (EDR), búsqueda de amenazas y operaciones de TI.

AMENAZAS PARA ENDPOINTS
Si bien el panorama de las amenazas está en constante evolución, a continuación encontrará algunas amenazas para endpoints clave que debe tener en cuenta a la hora de evaluar distintas soluciones:
1.- Portables ejecutables (malware): cuando se considera una protección para endpoints, los programas de software maliciosos (malware) suelen ser la principal preocupación. El malware incluye aplicaciones maliciosas tanto conocidas como desconocidas. Con frecuencia, las soluciones tienen dificultades para detectar el malware desconocido. Las soluciones deberían detectar sin ninguna dificultad los archivos empaquetados y polimórficos que se han modificado para dificultar su identificación.
2.- Aplicaciones no deseadas (PUA): las PUA son aplicaciones que técnicamente no se consideran malware, pero que muy probablemente no queremos tener en nuestros ordenadores, como el adware. La detección de PUA se ha vuelto cada vez más importante debido al auge de los programas de criptominería que se utilizan en los ataques de criptojacking.
3.- Ransomware: más de la mitad de las empresas se han visto afectadas por el ransomware en el último año, con un coste medio de 133 000 USD². Los dos principales tipos de ransomware son los programas de cifrado de archivos y los programas de cifrado de disco (wipers). Los programas de cifrado de archivos son los más comunes, que cifran los archivos de la víctima y los secuestran para conseguir un rescate. Los programas de cifrado de disco bloquean el disco duro entero de la víctima, no solo los archivos, o borran todos los datos que contiene.
4.- Ataques sin archivos y basados en exploits: no todos los ataques se sirven del malware. Los ataques basados en exploits utilizan técnicas que se aprovechan de los errores y las vulnerabilidades del software a fin de obtener acceso al ordenador y controlarlo. Los documentos armados con malware (normalmente un programa de Microsoft Office que se ha creado o modificado para provocar daños) y los scripts maliciosos (código malicioso que se esconde con frecuencia en programas y sitios web legítimos) son tipos habituales de técnicas usadas en estos ataques. Otros ejemplos incluyen ataques Man-in- the-Browser (el uso de malware para infectar un navegador para permitir a los atacantes ver y manipular el tráfico) y tráfico malicioso (el uso de tráfico web con fines malintencionados, como contactar con un servidor de comando y control).
5 Técnicas de Active Adversary: muchos ataques contra endpoints implican numerosas fases y múltiples técnicas. Entre las técnicas de Active Adversary se cuentan el aumento de privilegios (métodos utilizados por los atacantes para obtener acceso adicional a un sistema), el robo de credenciales (robar nombres y contraseñas de usuarios) y las cuevas de código (ocultar código malicioso en aplicaciones legítimas).

FUNCIONES MODERNAS:
1.- Machine Learning: existen diversos tipos de métodos de Machine Learning, como las redes neuronales de Deep Learning, bosques aleatorios, análisis bayesianos y agrupación en clústeres. Independientemente de la metodología, los motores de detección de malware con Machine Learning deben diseñarse para detectar malware tanto conocido como desconocido sin depender de firmas. La ventajas del Machine Learning es que puede detectar malware nunca antes visto, lo que incrementa de forma óptima la tasa general de detección de malware. Las organizaciones deben evaluar la tasa de detección, el índice de falsos positivos y el impacto sobre el rendimiento de las soluciones basadas en Machine Learning.
2.- Antiexploits: la tecnología antiexploits está diseñada para repeler a los atacantes bloqueando las herramientas y las técnicas de las que dependen en la cadena de ataque. Por ejemplo, exploits como el EternalBlue y el DoublePulsar se utilizaron para ejecutar el ransomware NotPetya y WannaCry. La tecnología antiexploits detiene el conjunto relativamente pequeño de técnicas utilizadas para propagar el malware y perpetrar ataques, lo que rechaza muchos ataques de día cero sin haberlos visto previamente.
3.- Específicas para ransomware: algunas soluciones incluyen técnicas diseñadas específicamente para impedir el cifrado malicioso de datos por parte del ransomware. Con frecuencia, las técnicas específicas para el ransomware también corrigen los archivos afectados. Las soluciones contra el ransomware no solo deben detener el ransomware de archivos, sino también el ransomware de discos utilizado en los destructivos ataques wiper que manipulan el registro de arranque maestro.
4.- Protección contra robos de credenciales: tecnología diseñada para evitar el robo de contraseñas de autenticación e información de hash de la memoria, el registro y el disco duro.

Protección de procesos (aumento de privilegios): protección diseñada para determinar si se ha insertado un token de autenticación de privilegios en un proceso a fin de aumentar los privilegios como parte de un ataque de Active Adversary. Este debe ser efectivo independientemente de qué vulnerabilidad, conocida o desconocida, se haya utilizado para robar el token de autenticación para empezar.
5.- Protección de procesos (cueva de código): impide el uso de técnicas como las cuevas de código y el AtomBombing, utilizadas a menudo por adversarios que tratan de aprovecharse de la presencia de aplicaciones legítimas. Los adversarios pueden aprovechar estas llamadas para hacer que otro proceso ejecute su código.
6.- Detección y respuesta para endpoints (EDR): las soluciones de EDR deben tener la capacidad de proporcionar información detallada al detectar amenazas esquivas, mantener la higiene de las operaciones de seguridad TI en excelente estado y analizar los incidentes detectados. Es importante
que el tamaño y las habilidades de su equipo se equiparen con la complejidad y la facilidad de uso de la herramienta que esté considerando. Por ejemplo, seleccionar una solución que ofrezca información detallada sobre las amenazas y orientación para poder responder a ellas de forma rápida y sencilla.
7 Detección y respuesta ampliadas (XDR): la XDR va más allá del endpoint y el servidor e incorpora otras fuentes de datos, como el firewall, el correo electrónico, la nube y los dispositivos móviles.
Está diseñada para dar a las empresas una visión holística de la totalidad de su entorno, con la capacidad de profundizar en detalles granulares en caso necesario. Toda esta información debe correlacionarse en una ubicación centralizada, normalmente conocida como lago de datos, en que el usuario puede preguntar y responder preguntas críticas para el negocio.
8.- Respuesta ante incidentes/Seguridad Sincronizada: las herramientas para endpoints deben proporcionar un mínimo de visibilidad sobre los hechos ocurridos a fin de evitar futuros incidentes.
Lo ideal es que respondan de forma automática a los incidentes, sin necesidad de que intervengan los analistas, para evitar que las amenazas se propaguen o provoquen más daños. Es importante que las herramientas de respuesta ante incidentes se comuniquen con otras herramientas de seguridad de endpoints además de con las herramientas de seguridad de redes.
9.- Managed Threat Response (MTR): MTR es un servicio totalmente administrado de búsqueda, detección y respuesta a amenazas las 24 horas prestado por un equipo de expertos. Los analistas pueden responder a posibles amenazas, buscar indicadores de peligro y proporcionar análisis detallados sobre los eventos que han ocurrido, dónde, cuándo, cómo y por qué.

GUÍA PARA LA ADQUISICIÓN DE SEGURIDAD PARA ENDPOINTS 6MARZO 2021
PRUEBA DE PROTECCIÓN CONTRA MALWARE DE MRG EFFITAS

MRG Effitas realizó una prueba por encargo para comparar la capacidad de distintos productos de protección para endpoints para detectar malware y aplicaciones no deseadas. En la prueba se revisaron seis proveedores distintos.

Prueba de protección antiexploits y posexploits de MRG Effitas
A modo de seguimiento a su prueba de protección contra malware, MRG Effitas también publicó un informe que comparaba cómo distintas soluciones para endpoints detenían técnicas de explotación específicas.

EVALUACIÓN DE LA SEGURIDAD PARA ENDPOINTS: LAS 10 PRINCIPALES PREGUNTAS QUE HACER
Para evaluar una solución de protección para endpoints, comience por hacer al proveedor las preguntas siguientes:
1. ¿El producto se sirve de técnicas base, técnicas modernas o una combinación de ambas? ¿Qué funciones específicas son fundamentales en la tecnología?
2. ¿Cómo detecta el producto las amenazas desconocidas? ¿Utiliza el Machine Learning?
3. Para los productos en que se dice que se utiliza el Machine Learning, ¿qué tipo de Machine Learning se emplea?
¿De dónde proceden los datos de formación? ¿Cuánto tiempo ha estado en producción el modelo?
4. ¿Qué tecnología existe para evitar los ataques sin archivos y basados en exploits? ¿Qué técnicas antiexploits se utilizan y qué tipos de ataques pueden detectar?
5. ¿Tiene el producto tecnología específicamente diseñada para detener el ransomware?
6. ¿Tiene el proveedor resultados de terceros que validen su enfoque?
7. ¿Puede el producto hacer preguntas detalladas sobre la búsqueda de amenazas y las operaciones de seguridad TI? ¿Cuál es el periodo de retención de datos para búsquedas?
8. ¿Qué visibilidad sobre los ataques ofrece el proveedor, como el análisis de causa raíz?
9. ¿Responde el producto automáticamente a las amenazas? ¿Puede limpiar una amenaza y responder a un incidente automáticamente?
10. ¿Tiene el producto la capacidad de permitirle acceder a los dispositivos de forma remota para realizar más investigaciones y tomar las medidas necesarias?
CONCLUSIÓN
A medida que crecen las ciberamenazas tanto en complejidad como en cantidad, es más importante que nunca tener implementada una protección efectiva en el endpoint. Entender las amenazas que necesita bloquear y las
distintas tecnologías de seguridad disponibles le permitirá tomar una decisión informada en cuanto a los productos de seguridad para endpoints, y brindará a su organización una protección óptima contra los ataques de hoy en día.

¿TIENE UN PROYECTO DE MIGRACIÓN DE ANTIVIRUS ACTUAL Y NO SABES QUE HERRAMIENTA ELEGIR? TE ASESORAMOS REGÍSTRATE Y UN CONSULTOR DE NEGOCIOS TE APOYARÁ AL INSTANTE.

FORMULARIO DE CONTACTO

Descargar guia completa. aquí

Leave a comment

Abrir chat