"Un dispositivo mal protegido compromete la seguridad de la organización", Carlos Luaces, CyberArk

¿Qué importancia tiene la protección del endpoint en una estrategia global de ciberseguridad para una empresa? ¿Le dan las organizaciones el valor que tiene?

La protección del endpoint debe ser clave en la estrategia de ciberseguridad de cualquier empresa, sobre todo, porque el endpoint es el punto de entrada más habitual para los atacantes y puede ser un punto débil para usuarios internos malintencionados. De hecho, un dispositivo mal protegido puede abrir el camino para comprometer toda la red corporativa, por lo que securizarlos adecuadamente debe estar en el primer lugar de nuestra lista de prioridades. 

Las organizaciones lo entienden, pero, en muchas ocasiones, por desconocimiento, lo abordan de una manera incompleta convencidos de que están haciendo lo suficiente. El problema es que dejan fuera aspectos fundamentales como la aplicación real del principio del mínimo privilegio que ha demostrado, en múltiples ocasiones, ser el talón de Aquiles para soluciones tipo EDR. Con ello no quiero decir que las soluciones EDR no cumplan su cometido; al contrario, estas soluciones son muy necesarias para una adecuada protección de los endpoints. Pero sin los otros vectores de ataque cerrados, simplemente resultan insuficientes.

En este sentido, desde CyberArk trabajamos para concienciar a nuestros clientes sobre estas carencias y la importancia de proteger los endpoints y las identidades que acceden a ellos siguiendo la metodología Zero Trust, que nos va a permitir validar cada acceso y cada acción realizada en los endpoints, asegurar el principio de mínimos privilegios y poder atajar cualquier intento de robo de credenciales y movimiento lateral.

 

¿Cuál debe ser la estrategia en este sentido? ¿Cómo deben acometer las organizaciones esta capa de la seguridad? ¿Cómo se integra con el resto de elementos/capas en una estrategia de seguridad correcta?

Claramente, la estrategia debe basarse en un enfoque Zero Trust, centrado en la identidad. Consideramos que para la correcta protección del endpoint hay que introducir en la ecuación la identidad del usuario que interactúa con él, no sólo tener en cuenta un punto de vista de procesos, aplicaciones y su reputación o comportamiento.

Por ello, los controles que habría que tener en cuenta incluyen aspectos como la securización del acceso del usuario al endpoint mediante mecanismos de autenticación adaptativa, incluyendo opciones passwordless y soporte para escenarios sin conexión, o la eliminación de los permisos de administración de los usuarios y la aplicación del principio de mínimos privilegios. Otros puntos a tener en cuenta pasan por el control de aplicaciones y procesos, dependencias entre ellos, sus permisos, accesos y comportamiento, así como todo lo relacionado con la protección contra el robo de credenciales y el malware. Sin dejar de lado la importancia de disponer de un navegador seguro que proteja contra el robo de cookies, los tokens de sesión y el volcado de contraseñas.

Por último, habilitar SSO (inicio de sesión único) y MFA (autenticación multifactor), para acceder a las aplicaciones críticas a la vez que registrar, auditar y proteger la actividad de los usuarios, limitando qué acciones se pueden realizar, por quién y bajo qué circunstancias.

 

Uno de los mayores peligros para las organizaciones en lo que a su ciberprotección se refiere es el robo de identidades. ¿Qué papel debe jugar en este sentido la protección del endpoint y qué efecto tiene en la protección de las organizaciones?

Para CyberArk, la protección de la identidad es una pieza clave en la securización de los endpoints. Y esto se debe afrontar desde diferentes perspectivas como, por ejemplo, el bloqueo de intentos de extracción de credenciales de diferentes repositorios: desde la memoria interna de Windows hasta repositorios como los utilizados por los navegadores o herramientas de IT. Sobre todo, porque comprometer cualquiera de esas ubicaciones ofrece al atacante la oportunidad de comenzar un intento de movimiento lateral y escalado de privilegios dentro de nuestros recursos. Por otro lado, se deben aplicar mecanismos y sistemas passwordless que reduzcan las posibilidades de comprometer nuestras contraseñas.

Asimismo, es necesario aplicar mecanismos de MFA adaptativos que permitan, en caso de que nuestra contraseña haya sido comprometida, tener un segundo nivel de validación antes de otorgar el acceso. Una vez autenticados, se deben proteger nuestros tokens y cookies de sesión. En este punto es necesario recordar que alguien con acceso a nuestras cookies del navegador o a la memoria interna de Windows tiene una ventana temporal en la que puede suplantar nuestra identidad independientemente de que hayamos protegido los accesos mediante password+MFA. Por lo que urge la necesidad de forzar una revalidación del usuario o bien solicitarle un MFA adicional ante ciertos eventos o acciones que podamos considerar más críticos.

Por todo ello, en CyberArk entendemos que todas estas capacidades son fundamentales para proteger los puestos de los usuarios, de tal manera que las ofrecemos, por defecto, en todos nuestros servicios de protección de endpoints.

 

¿Cuáles son las tendencias que ve en el mercado en este segmento de la ciberseguridad? ¿Hacia dónde cree que pueden evolucionar?

El enfoque de CyberArk de centrarnos en la identidad como pieza clave en la protección de los endpoints está calando en el mercado y, cada vez más, un mayor número de organizaciones entienden las carencias de su estrategia actual y la necesidad de complementarla con controles adicionales. Considero que estamos generando un gran impacto y que, a corto plazo, veremos cómo nuestro planteamiento se establece como la estrategia estándar a seguir.

Por otro lado, la evolución irá, muy probablemente, de la mano de la implementación de nuevas capacidades basadas en IA. Su irrupción en este ámbito no es algo temporal, por lo que esperamos una evolución exponencial que nos ayude a automatizar tareas y mejorar las técnicas de detección y respuesta.

 

Un elemento básico en cualquier punto de acceso es el navegador del dispositivo del usuario. ¿Qué aspectos se deben tener en cuenta para una correcta protección? ¿Cómo debe plasmarse esta protección en los dispositivos?

Proteger el navegador es fundamental ya que nos proporciona acceso a todo tipo de sistemas e información crítica. En este sentido, esa protección debe afrontarse desde diferentes perspectivas. Algunas de ellas tienen que ver con bloquear cualquier intento de robo de credenciales o tokens de sesión que permitan a un atacante suplantar al usuario. Esta última parte puede pasar por restringir su acceso, pero también por la manera en la que las gestionamos o almacenamos para limitar su exposición en el tiempo.

De igual manera, debemos asegurarnos de que el navegador se ejecuta sin privilegios y que controlamos y limitamos sus subprocesos para, por ejemplo, bloquear scripts maliciosos. Otro proceso, aunque no está relacionado con el navegador y sí con las aplicaciones a las que accedemos desde allí, es implementar mecanismos de SSO basados en estándares que eviten, en la medida de lo posible, el uso de credenciales en cada acceso. Por otro lado, también es necesario proporcionar mecanismos de inyección de credenciales seguros para aquellas aplicaciones donde la federación no sea una opción, evitando depender de soluciones que no han sido desarrolladas con la seguridad como objetivo principal.

Asimismo, debemos ser capaces de proporcionar controles adicionales, tales como bloquear el clipboard, los menús contextuales, restringir la transferencia de ficheros o la edición de ciertos formularios… que nos permitan controlar qué pueden hacer los usuarios en aquellas aplicaciones más críticas. Además de monitorizar las sesiones, permitiendo capturar información sobre dónde ha navegado un usuario, qué ha hecho e incluso qué les hemos impedido hacer. Todo ello ha de ser posible proporcionando una experiencia de usuario sencilla y familiar, que no implique cambios sobre su operativa habitual.

 

Habida cuenta del desarrollo de la IA, ¿cuál es su rol en esta área de la ciberseguridad? ¿Nos enfrentamos a una doble realidad de la IA como origen de problemas y solución de estos?

Sin duda, la IA juega un doble papel. Los atacantes la utilizan para automatizar y generar ataques cada vez más sofisticados, pero también es una herramienta poderosa para la defensa. La clave está en utilizar la inteligencia artificial de forma proactiva para adelantarse a los ciberdelincuentes y mejorar nuestra capacidad de respuesta, y, paralelamente, ayudar a nuestros clientes a entender sus entornos, puntos débiles y acciones recomendadas para mejorar su postura de seguridad.

 

¿Qué diferencia su propuesta de seguridad en este segmento frente a otras opciones que pueda haber en el mercado?

Nuestro mayor diferencial en este ámbito reside, sin duda, en nuestro enfoque más completo basado en Zero Trust y centrado en la identidad. No solo debemos hacer una gestión de procesos, aplicaciones, permisos o dependencias para proteger adecuadamente los endpoints. Aunque CyberArk cuenta con una de las soluciones técnicas más punteras en esa área, creemos firmemente que esto no es suficiente. Por eso, si queremos mantener nuestros endpoints realmente seguros debemos ampliar el enfoque, reforzando los controles básicos, así como aquellos puntos que han demostrado ser más débiles históricamente.