El endpoint no es el mejor lugar para detener las amenazas

Según un estudio, ya en 2015 el 73% de los participantes en la investigación consideró que los endpoints eran el punto más vulnerable a los ataques, tal y como se señalaba CSO Online. A pesar de ello, solamente el 32% de los encuestados contaba con seguridad avanzada en el endpoint y muchas soluciones disponibles para endpoints no pueden proteger contra todas las formas de ataque por el momento.

Los atacantes se mueven rápidamente y varían sus estrategias con frecuencia para cubrir sus huellas. En el momento en el que un endpoint se ve comprometido, el juego termina. Estas vulnerabilidades sirven como puerta de entrada para que los atacantes provoquen mayores daños. Los endpoints ya no son el mejor lugar para frenar las amenazas, y este es un aspecto a tener en cuenta a medida que las técnicas maliciosas continúan avanzando.

Un malware desconocido genera un problema

La creación de malware está siendo más activa que nunca y los hackers están aprendiendo de los errores y éxitos del pasado para mejorar sus técnicas de ataque. Más de 323.000 nuevas variantes de malware se crean cada día, de acuerdo con DarkReading. Por si no fuera suficiente, el informe de 2017, ‘‘Data Breach Investigations Report’’, de Verizon observó que el 99% del malware solo se ve una vez antes de ser modificado por los hackers, lo que asegura que estos seguirán esquivando las detecciones.

De hecho, hemos llegado a tal punto que los atacantes están ahora ofreciendo producción masiva de malware y servicios cibercriminales adaptados, lo que representa un gran salto en la distribución de malware. La mejora de las tecnologías de análisis del malware ha forzado también a que los atacantes cambien constantemente sus técnicas para poder proseguir con sus estafas. El ritmo de las amenazas emergentes y su creciente sofisticación plantea importantes problemas a la seguridad del endpoint. 

El aumento de los ataques de malware que aparecen en archivos o mensajes de correo electrónico legítimos no se detendrá a corto plazo. Esto provoca que sea prácticamente imposible parchear todos los endpoints para combatir las amenazas emergentes especialmente aquellas que se aprovechan de vulnerabilidades en el sistema operativo y aplicaciones. Ignorar o no ser capaces de desplegar las actualizaciones dejará a usuarios y empresas más vulnerables a las infecciones, aunque simple y llanamente no se tendría el tiempo suficiente ni los recursos disponibles para publicar todos los parches posibles. Confiar en las soluciones antivirus y para el endpoint por sí solas, tampoco es la respuesta, pues se pone a los equipos de TI en una situación difícil a la hora de tratar de proteger los activos importantes de la empresa.

La movilidad complica las cosas

La aparición de los dispositivos móviles, las políticas BYOD y el Internet de las cosas (IoT) han hecho la que la protección del endpoint sea aún más compleja. El gran número de dispositivos conectados, la falta de parches, las lagunas en el bloqueo de aplicaciones y la aparición del fenómeno shadow IT son cada vez más frecuentes en el ámbito empresarial. Sin una cobertura de parches y gestión de dispositivos completa, las empresas no pueden decir con confianza que están cumpliendo con los estándares de seguridad.

Los dispositivos IoT simplemente no son lo suficientemente potentes como para soportar la seguridad del endpoint tradicional; las protecciones más débiles los hace más vulnerables a los ataques.

Aunque todavía se están desarrollando las herramientas para ayudar a controlar íntegramente el uso del móvil, probar y experimentar es algo que debe hacerse para asegurar el cumplimiento y los resultados reales. Los dispositivos de IoT vulnerables ya se han utilizado para acceder a redes y dirigir ataques man-in-the-middle, DDoS, etc. Con los pocos recursos disponibles en este extremo, está claro que la seguridad del endpoint por sí sola no va a ser suficiente para bloquear completamente las amenazas y otros ataques emergentes. Las organizaciones deben crear políticas sólidas y utilizar protocolos de seguridad multicapa para aplicar las mejores prácticas y mitigar el shadow IT. Conocer qué aplicaciones y dispositivos no autorizados han accedido a material confidencial ayudará a controlar los datos de manera más efectiva y a establecer expectativas claras para los usuarios de los dispositivos y objetos conectados cada vez más frecuentes.

Más allá de los mitos a la protección

La era de la protección del endpoint de última generación ha despertado el interés generando mucha expectación, pero también ha desencadenado una serie de mitos. Según se comentado desde hace algún tiempo, los nuevos fabricantes han realizado comentarios atrevidos en relación a que su solución proporciona una protección increíble. El problema es que los fabricantes controlan todos los parámetros de prueba y pueden amañar los resultados. Cuando un tercero independiente realiza las mismas evaluaciones, los resultados simplemente no se añaden. Las soluciones de última generación podrían mejorar marginalmente, pero las empresas no deberían esperar una protección completa.

Los endpoints son un activo clave a proteger, pero no son el mejor lugar para detener las amenazas. Muchas amenazas tienen como fuente la web o el email y pueden bloquearse antes de que lleguen al endpoint. El mejor lugar para eliminar los ataques es en la capa de exposición. Aprovechando las soluciones de protección web y de mensajería, las organizaciones podrán mitigar los problemas en el origen y permitir que la seguridad de sus endpoints se centre en las amenazas más sofisticadas. Este esfuerzo minimizará el riesgo exponencial de exposición y resolverá las brechas dentro de las soluciones de protección del endpoint. 

Seguridad multicapa

Tal y como se ha expuesto anteriormente, los endpoints no son el lugar idóneo para bloquear las amenazas. La mayoría de los ataques pueden ser detenidos en la fuente antes de que otros sistemas o dispositivos se vean afectados. Un plan de seguridad eficaz requiere herramientas que no solo ayuden a las empresas a identificar las amenazas, sino también a prevenirlas y recuperarse de ellas. Un enfoque de seguridad en capas que utiliza la protección del endpoint junto con soluciones de red y de mensajería puede ayudar a proteger activos sensibles desde múltiples ángulos. Los equipos de TI deben asegurarse de que las capas trabajan perfectamente juntas y comparten inteligencia para detectar comportamientos inusuales de forma rápida y efectiva, deteniendo cualquier amenaza.  

Los directores de seguridad TI se encuentran con una gran responsabilidad, lo más importante no es aplicar el último concepto de moda, sino encontrar una solución que sea eficaz para proteger a su organización de un enemigo online, un enemigo cada vez más ágil y resuelto. Las múltiples técnicas de protección contra amenazas que trabajan creando sinergias son clave para esto.

En conclusión: la seguridad del endpoint no es la fórmula mágica que algunos fabricantes prometen. Lo recomendable es contar con un partner de seguridad para el endpoint que cuente con probada experiencia en la materia, que pueda demostrar que no solo evoluciona e innova en sus tecnologías, sino que también apuesta por cubrir otras funciones críticas para proteger ante el cambiante panorama de amenazas.

En definitiva, aplicar la seguridad multicapa es y será la mejor solución para proteger todas las plataformas, independientemente de que se trate de compañías que todavía no cuentan con soluciones para proteger el endpoint, o de si hablamos de organizaciones que buscan ampliar sus capacidades.

José de la Cruz, director Técnico de Trend Micro