bienvenido a t-cert
El objetivo principal de un atacante es apoderarse de datos personales, industriales o comerciales, sensibles, cifrarlos y pedir un rescate. Esto se consigue encontrando “puntos de entrada idóneos”, que suelen ser los puestos de trabajo de los usuarios, para, una vez comprometidos -incluso sin privilegios elevados- adentrarse más profundamente en el sistema. Para lograrlo, se suelen explotar tanto vulnerabilidades humanas, con un phishing cada vez más dirigido (“spear phishing”) como de los sistemas mal protegidos: servidores RDP expuestos en Internet o aplicaciones no actualizadas.
Para garantizar que los atacantes no puedan obtener un acceso más profundo, es importante identificar estos ataques tan pronto como se produzcan, deteniendo los procesos maliciosos e impidiendo inmediatamente su propagación en la máquina o aplicación.
Además de descubrir el origen de la infección cuanto antes, adaptar el nivel de protección al entorno, es clave. Por eso, y si antes garantizar la seguridad de los puestos de trabajo ya era una cuestión importante en las propias instalaciones de la empresa, ahora, con la proliferación de ordenadores portátiles y los desafíos de la movilidad, es aún más compleja.
Por tanto, la protección de las estaciones de trabajo ya no puede ser estática, sino que debe ser dinámica, en función del contexto y de los diferentes escenarios de movilidad de la organización. Esto significa controlar las redes WiFi autorizadas, deshabilitarlas cuando se dispone de una conexión LAN o, en los casos en los que está activa una VPN, impedir cualquier conexión que no sea la VPN (para evitar ataques smurf).
Frente a un antivirus tradicional basado en firmas, incapaz de contrarrestar el ransomware y de detectar inmediatamente ataques desconocidos de Día Cero, un sistema de protección de puestos de trabajo puede identificar un elemento malicioso en el punto de entrada y bloquear sus actividades para evitar su propagación. Un HIPS basado en el comportamiento centra sus análisis en la conducta “normal” de un host o de sus aplicaciones. De modo que, si se detecta una actividad sospechosa en las aplicaciones legítimas, el sistema emita una alerta o bloqueé las actividades para limitar los riesgos de propagación. Puede neutralizar los ataques de Día Cero.
Saber cómo interrumpir un ataque -ya sea conocido o desconocido- es esencial, pero también aprender de ellos, para poder prevenirlos en el futuro. Con una solución Endpoint Detection & Response (EDR), además de una respuesta inmediata, la inspección de los registros permite mejorar la eficacia de las soluciones en la búsqueda de ataques.
A este respecto, hay que destacar dos enfoques. Uno centrado en la solución en la nube, basado en la respuesta de un cliente ligero desplegado en cada estación de trabajo, y que requiere que los puestos estén conectados, y otro sustentado sobre una solución independiente basada en agentes que proporciona una protección proactiva en tiempo real para cada puesto, mientras ofrece información que permite un análisis más profundo del ataque. Los sistemas de terceros aprenderán de estos eventos, correlacionándolos en un contexto de inteligencia artificial.
Aunque el principal objetivo de un ciberatacante son los datos de la empresa, si consigue burlar los sistemas de seguridad de la organización, la puerta del sistema de información quedará abierta de par en par para ellos. Para limitar el riesgo de error o la aparición de una vulnerabilidad debe ofrecerse una configuración reforzada y eficaz, fomentándose un enfoque de “seguridad por diseño” en el desarrollo de estos sistemas de protección.
Incluso cuando está bien protegido, el puesto de trabajo es un eslabón muy vulnerable, ya que, por definición, está conectado al Directorio Activo de la empresa, objetivo, por otro lado, de numerosas vulnerabilidades para acceder a los datos de la empresa. Asegurar las estaciones de trabajo debe ser una tarea permanente.
.jpg){kind=small}