23.8.16

La detección y respuesta en endpoints, una tendencia con futuro. Por Edgar Vásquez Cruz

 Es un día viernes y un hombre joven, con conocimientos de programación, empleado de una empresa, llega a casa, enciende su computadora, se conecta a Internet, después entra a la Deep Web con un programa y luego va más lejos, entra a un sitio en la Dark Web y busca un servicio que le permite crear un nuevo código malicioso, un ransomware con el cual, está decidido, va a ganar mucho dinero extorsionando personas, que no conoce, en varios países.

Las amenazas digitales no han dejado de aumentar en Internet, cada día surgen variantes más poderosas de antiguo malware a las que los cibercriminales agregan características nuevas para que no sean detectadas y evadir así la protección que exista en los puntos terminales de las redes locales o LAN (Local Area Network) de las empresas.   
Podemos llamarle Juan (o cualquier otro nombre), lo importante es que decidió cometer un delito: hace unas semanas compró una base de datos con millones de correos electrónicos y después de pagar con bitcoins por un servicio para lanzarlos, acompañados con un ransomware “nuevo” disfrazado de una invitación “gratis” (palabra que siempre funciona para las futuras víctimas hagan clic en un correo) a un sitio para adultos.
Por si el creciente número y la complejidad de los ataques fueran poco, las amenazas están siendo diseñadas para golpear varios puntos a la vez para intentar conseguir acceso a sistemas valiosos así como a datos por medio de diferentes accesos, lo cual los hace difíciles de ser contenidos con una sola aplicación o sistema.
Juan ya había creado previamente un sitio web con fotografías de mujeres (compradas en un precio muy bajo en la Dark web) que “quieren ser tus amigas”, como dice el cuerpo del correo que ya tiene listo desde hace algunos días.
Entonces ¿qué debe hacer una compañía no sólo para detener la avalancha de amenazas sino para detectarlas al mismo tiempo que se protege contra ellas? Se requiere, primero, que los responsables de la seguridad digital obtengan tanto conocimientos para entender las amenazas, como la capacidad necesaria para automatizar la protección.
La inversión de tiempo y dinero que hizo “Juan” no es poca, pero está seguro, no sólo de recuperarla, sino de obtener unas ganancias considerables porque su ransomware es indetectable (al menos eso le aseguraron en la “tienda” dentro de la dark web).
La seguridad de las empresas requiere que contar con detección y respuesta a amenazas para puntos terminales, conocida  como EDR por sus siglas en inglés (endpoint detection and response), la cual puede reforzar la seguridad centralizada ya existente con protección extra en el acceso a su red local para detener las amenazas, además de parar aquellos intentos para tener acceso a la entrada.
Además Juan confía en que muchos usuarios y empresas no están preparados para un ataque como el que ha iniciado.
Con todo el checklist de su “arsenal” revisado y verificado, Juan inicia el ataque y oprime el botón que dará inicio a uno más de los miles de ataques que ocurren a diario en la web. 
¿Qué características debe tener una solución EDR? De acuerdo con Gartner[i] debe ser capaz de:
  • Descubrir incidentes de seguridad.
  • Parar cualquier posible amenaza en el punto terminal para que la información que circula por la red o los procesos que estén ejecutándose sean controlados a distancia.
  • Tener capacidad de examinar incidentes de seguridad.
  • Reparar los endpoints a fondo para que puedan recuperar el estatus anterior a ser infectados.

En otras palabras, una solución que permita la detección y respuesta a amenazas en puntos terminales no sólo debe detener ataques sino identificarlos con detalle, informar cuáles están siendo atacados, cuál es la vulnerabilidad de los datos y ser capaz de reparar los daños rápidamente para así reducir la ventana de exposición.

Para conseguir que las soluciones protejan el punto terminal como antivirus, sistemas detectores de intrusos (IPS), gateways y firewalls, y estos a su vez puedan trabajar en conjunto, compartir información y responder rápidamente, es necesario, además, tener una arquitectura común integrada que permitirá a estas soluciones colaborar y responder rápidamente, disminuir la complejidad y evitar que se superpongan.

Hay tres factores esenciales de la detección y respuesta a amenazas para puntos terminales de Intel Security, que son la base para lograr una prevención efectiva: automatización, adaptabilidad y monitoreo continuo:

Automatización: la solución crea trampas y activadores, utilizando la lógica, que se basan en varios parámetros. Cuando un indicador de ataque es detectado la solución de seguridad para puntos terminales activa acciones especiales que son definidas por el usuario con el fin de gestionar adecuadamente cada evento.

Adaptabilidad: luego de informar a los administradores de un indicador de ataque, la solución para puntos terminales elige y enciende una respuesta adaptable de acuerdo con el tipo de ataque encontrado.

Monitoreo continuo: nuestra tecnología persistente determina activadores y alertas para cada ataque, con lo que mantiene a su empresa al día de cualquier evento.

La propuesta de Intel security para lograr la detección y respuesta a amenazas para puntos terminales es una solución EDR que incluye:

McAfee Endpoint Security 10, la cual utiliza tecnologías con capacidad no sólo para  comunicar, sino para aprender unas de las otras en tiempo real y así luchar contra las amenazas avanzadas, además de entregar conocimiento con análisis forenses de amenazas accionables. Además esta solución es extensible pues fue creada pensando en el futuro, lo cual permite administrar más sus soluciones de endpoint de manera centralizada conforme crece su empresa.

Por su lado, McAfee Active Response puede integrarse perfectamente con antivirus, gateway y sistemas de detección de intrusiones, lo cual además de fortalecer las inversiones hechas por las empresas, hace más fácil intercambiar inteligencia de seguridad con base en la actividad en diferentes ubicaciones de endpoint y conocimiento accionable proveniente del intercambio de inteligencia de amenazas de la compañía