Cinco recomendaciones para proteger el puesto de trabajo

Según los expertos de Stormshield, el objetivo principal de un atacante es apoderarse de datos personales, industriales o comerciales sensibles, cifrarlos y pedir un rescate. Esto se consigue encontrando "puntos de entrada idóneos", que suelen ser los puestos de trabajo de los usuarios, para poder una vez adentrarse más profundamente en el sistema. Para lograrlo, se suelen explotar tanto vulnerabilidades humanas con un phishing cada vez más dirigido ("spear phishing") como de los sistemas mal protegidos: servidores RDP expuestos en Internet o aplicaciones no actualizadas.

Para garantizar que los atacantes no puedan obtener un acceso más profundo, es importante identificar estos ataques tan pronto como se produzcan, deteniendo los procesos maliciosos e impidiendo inmediatamente su propagación en la máquina o aplicación.

También es esencial adaptar el nivel de protección al entorno, y eso implica que hay que garantizar la seguridad de equipos en las instalaciones de la empresa como de los que se encuentran en otras ubicaciones. Es decir, la protección de los puestos de trabajo ya no puede ser estática, sino que debe ser dinámica, en función del contexto y de los diferentes escenarios de movilidad de la organización. Esto significa controlar las redes WiFi autorizadas, deshabilitarlas cuando se dispone de una conexión LAN o, en los casos en los que está activa una VPN, impedir cualquier conexión que no sea la VPN (para evitar ataques smurf).

Prevenir las intrusiones
Frente a un antivirus tradicional basado en firmas, incapaz de contrarrestar el ransomware y de detectar inmediatamente ataques desconocidos de Día Cero, un sistema de protección de puestos de trabajo puede identificar un elemento malicioso en el punto de entrada y bloquear sus actividades para evitar su propagación. Un sistema de prevención de intrusiones basado en el host  (HIPS, en sus siglas inglesas) basado en el comportamiento centra sus análisis en la conducta "normal" de un host o de sus aplicaciones. Así, se detecta una actividad sospechosa en las aplicaciones legítimas, el sistema emite una alerta o bloquea las actividades para limitar los riesgos de propagación.

Saber cómo interrumpir un ataque, ya sea conocido o desconocido, es esencial, pero también aprender de ellos, para poder prevenirlos en el futuro. Con una solución EDR, de detección y respuesta para el endpoint, la inspección de registros mejora la eficacia de la búsqueda de ataques, además de impulsar una respuesta inmediata.

A este respecto, Stormshield destaca dos enfoques: uno centrado en la solución en la nube, basado en la respuesta de un cliente ligero desplegado en cada estación de trabajo, y que requiere que los puestos estén conectados, y otro sustentado sobre una solución independiente basada en agentes que proporciona una protección proactiva en tiempo real para cada puesto, mientras ofrece información que permite un análisis más profundo del ataque. Los sistemas de terceros aprenderán de estos eventos, correlacionándolos en un contexto de inteligencia artificial.

Seguridad por diseño
Aunque el principal objetivo de un ciberatacante son los datos de la empresa, si consigue burlar los sistemas de seguridad de la organización, la puerta del sistema de información quedará abierta de par en par para ellos. Para limitar el riesgo de error o la aparición de una vulnerabilidad debe ofrecerse una configuración reforzada y eficaz, fomentando un enfoque de "seguridad por diseño" en el desarrollo de estos sistemas de protección.

El responsable técnico de la compañía en Iberia, Antonio Martínez Algora, recuerda que “incluso cuando está bien protegido, el puesto de trabajo es un eslabón muy vulnerable ya que, por definición, está conectado al Directorio Activo de la empresa, objetivo, por otro lado, de numerosas vulnerabilidades para acceder a los datos de la empresa. Asegurar las estaciones de trabajo debe ser una tarea permanente”.