Las amenazas se complejizan: ¿cómo responder frente a los ataques?
En un contexto en que las superficies de ataque se expanden, el panorama de las amenazas de ciberseguridad se torna cada vez más preocupante. El modelo de detección que utiliza firmas y carga operativamente a las áreas de IT de las organizaciones, está cediendo paso a otro que involucra formas de protección más avanzadas.
Dentro de estos modelos más avanzados se analizan comportamientos y se utiliza machine learning (ML) e inteligencia artificial (IA) para identificar y alertar automáticamente sobre amenazas nuevas y emergentes. En este ámbito, las soluciones de EDR (endpoint detection and response) son críticas para responder a incidentes y “cazar” amenazas, ya que a partir de procesos de investigación y respuesta permiten recolectar información única asociada al modus operandi de los grupos de cibercriminales, que por cierto hoy están organizados, han sofisticado sus TTP (tácticas, técnicas y procedimientos) y utilizan recursos de cada vez mayor envergadura para generar ataques.
“En los últimos años el 49% de las brechas o ataques cibernéticos tuvieron que ver con malware y el 51% con otras metodologías de ataque. Por ello el enfoque de ciberseguridad que hoy debe tener cualquier compañía es cubrir la mayor superficie de ataque que puede llegar a tenerse dentro del endpoint”, explicó Rubén Avendaño, regional sales engineer de Crowdstrike, en el marco del evento virtual POCWeek2021 organizado por Neosecure. Y agregó: “Por eso el concepto de protección del endpoint y del EDR juegan un papel fundamental. Pero el EDR debe alinearse con lo que define Gartner como características esenciales de esta solución: detección basada en indicadores de ataques cibernéticos o de compromiso (es decir, en inteligencia); aislamiento del activo (debe tener capacidad de aislarlo sin importar donde se encuentre); y recolección y análisis de información forense (para desencadenar procesos de "cacería" e ir hacia el modelo de proactividad)”.
Quizás te interese seguir leyendo
Ransomware BlackMatter aprendizajes y herramientas para estar protegido
Procesos de investigación y respuesta
La detección y respuesta de endpoints (EDR) es un “sistema para recopilar y analizar información relacionada con amenazas de seguridad de estaciones de trabajo informáticas y otros endpoints, con el objetivo de encontrar brechas de ciberseguridad a medida que ocurren y facilitar una respuesta temprana a amenazas descubiertas o potenciales”.
Los detalles y las capacidades de un sistema EDR pueden variar mucho según la implementación concreta. No obstante, como concepto general la solución de EDR combina datos históricos y análisis de comportamiento, lo que la hace efectiva contra amenazas emergentes y ataques tipo fileless (sin código malicioso), los que son muy difíciles de detectar por las tecnologías tradicionales ya que dejan muy pocos rastros y evaden fácilmente los controles en base a firmas.
Una solución de respuesta y protección de endpoints bien ejecutado encuentra nuevas amenazas a medida que se ejecutan y detecta la actividad maliciosa de un ciber atacante durante un incidente activo. Esto permite detectar ataques fileless y atacantes que utilizan credenciales robadas, que los antivirus tradicionales por sí solos no detendrán.
Sigue leyendo Mes de la ciberseguridad: ¿por qué el usuario es el protagonista?
Si bien las plataformas antivirus brindan una alerta durante un ataque activo, las herramientas de EDR usan inteligencia de amenazas para monitorear de manera preventiva el comportamiento sospechoso que puede indicar que se avecina un ataque. Y pueden enriquecer esos datos con otra información contextual de eventos correlacionados. De tal manera facilitan un enfoque proactivo de los servicios de seguridad de TI, que es el modelo hacia el que se avanza en la actualidad.
Servicios de seguridad de TI
Para fines de 2023 más del 50% de las empresas habrán reemplazado los productos antivirus más antiguos con soluciones combinadas de endpoint protection platform (EPP) y EDR, que complementan la prevención con capacidades de detección y respuesta. Fuente: Gartner |
Las herramientas EDR ofrecen visibilidad de los puntos finales y detección automatizada de amenazas avanzadas basada en reglas a través de la supervisión del registro en tiempo real, la búsqueda de modificaciones en las estructuras de archivos y la validación de firmas.
Los puntos finales presentan uno de los vectores de ataque más grandes en la ciberseguridad actual. Por ese motivo las herramientas de EDR son esenciales para cerrar los puntos de entrada que pueden comprometer los sistemas críticos que hacen circular los datos a todos los puntos de una organización.
En síntesis, EDR garantiza que el centro de operaciones de seguridad (SOC) de una empresa tenga una visibilidad completa y en tiempo real de todo lo que sucede en sus endpoints, eliminando el riesgo de "fallas silenciosas" (que son las que habitualmente permiten que los intrusos permanezcan en su entorno sin ser detectados). Además, EDR ayuda a responder y remediar las amenazas de manera eficaz, para que se pueda volver a trabajar rápidamente.
¿Esta su organización lista para reaccionar frente a las amenazas cada vez más frecuentes y complejas? ¿Tiene dudas?