Endpoint

Cómo proteger los equipos según las necesidades de los empleados

Para reducir la superficie de ataque, puedes bloquear muchas funciones vulnerables del software. La pregunta es, ¿cómo puedes hacerlo sin interferir en los procesos empresariales?

Kaspersky Team
14 Mar 2019

¿Cómo atacan los cibercriminales a las estaciones de trabajo? Normalmente se aprovechan de vulnerabilidades en los programas que se utilicen frecuentemente o funciones potencialmente peligrosas en software legítimo. Evidentemente, hay otras formas, pero estas son las más comunes. Por tanto, puede parecer lógico restringir el uso de ese software. ¿Pero cómo puedes hacerlo sin perjudicar los procesos empresariales? Bloquear el software puede causar un gran daño a la empresa, tienes que tener en cuenta las diferencias entre las funciones de los empleados. Nuestra estrategia ha consistido en reducir la superficie de ataque mediante un control de anomalías adaptable con el uso de las técnicas de aprendizaje automático.

Durante muchos años, MS Office ha tenido la dudosa distinción de ser el número uno en vulnerabilidades explotadas. Pero eso no significa que el software sea malo. Las vulnerabilidades están en todas partes. El problema se debe a que los cibercriminales se han centrado más en Office que en la competencia, ya que es el más utilizado. Pero, aunque tu empresa esté dispuesta a gastar dinero en volver a formar a los empleados para que utilicen una alternativa, esta no sería una solución, ya que, en el momento en el que otro paquete de productividad gane popularidad, Office quedará fuera de la cima.

Algunos productos cuentan con funciones que son claramente peligrosas. Por ejemplo, las macros en el mismo Office se pueden utilizar para ejecutar código malicioso. Pero una prohibición general no sería práctica, ya que los analistas financieros y los contables necesitan esas herramientas en sus operaciones diarias.

La clave está en supervisar estos programas e intervenir únicamente cuando se detecte actividad anormal. Pero hay un problema.

¿Cómo definirías anormal?

La esencia de la actividad del ciberdelincuente es que los sistemas de seguridad lo identifiquen como legítimo. Pero ¿cómo puede un sistema de ciberseguridad determinar si un mensaje que ha recibido un empleado contiene un documento importante con una macro o un troyano? ¿Han enviado un archivo .js con fines laborales o un virus?

Se podría, al menos en teoría, analizar manualmente el trabajo de cada empleado, confirmar qué herramientas necesitan y cuáles no y, conforme a esa información, construir un modelo de amenazas y bloquear ciertas funciones de programas.

Y ahí es justo donde surgen las complicaciones. En primer lugar, cuanto más grande es la compañía, más complicado es elaborar un modelo adaptado a cada empleado. En segundo lugar, incluso en las pequeñas empresas, la configuración manual requiere una gran cantidad de tiempo y esfuerzo por parte de los administradores. Y, tercero, el proceso debería repetirse siempre que la infraestructura o las herramientas corporativas cambien.

Para conservar la cordura de los administradores y de los directivos de seguridad informática, la única opción está en automatizar el proceso de las restricciones de la configuración.

Control adaptable

Hemos implementado el proceso de automatización de la siguiente forma: primero, los sistemas elaborados con principios de aprendizaje de máquinas examinaron nuestras bases de datos de amenazas y generaron criterios estándar de actividad potencialmente maliciosa. Entonces, implementamos el bloqueo preciso de estos patrones en cada estación de trabajo específica.

En segundo lugar, creamos un modo de adaptación automática (llamado Smart) para analizar la actividad del usuario y determinar qué reglas se pueden aplicar y qué interferiría con la actividad normal. El procedimiento es el siguiente: el sistema recopila las estadísticas sobre la activación de las reglas de control durante un tiempo determinado en el modo de aprendizaje y, entonces, crea un modelo de la operativa normal del usuario o del grupo (escenario legítimo). Después, se desactiva el modo de aprendizaje y se activan las normas de control que bloquean las acciones anómalas.

En el caso de que se modifique el modelo de trabajo del usuario, el sistema puede volver al módulo de aprendizaje y adaptarse a la nueva situación. Además, existe una opción mucho más concreta en caso de que haya que añadir exclusiones.

No es la panacea, pero reduce considerablemente la superficie de posibles ataques.

El módulo de Control de anomalías adaptable forma parte de la solución actualizada Kaspersky Endpoint Security for Business Advanced, que se ha presentado recientemente al público. Haz clic en el banner para descargar la versión de prueba del producto de seguridad con esta tecnología.

Pirate Matryoshka: los riesgos de descargar software de Pirate Bay

Analizamos el malware Pirate Matryoshka y te contamos por qué incluso los piratas más experimentados no deberían descargar software crackeado proveniente de rastreadores de Torrent.

Privacidad y niños

Cómo proteger los equipos según las necesidades de los empleados

¿Cómo definirías anormal?

Control adaptable

Kaspersky Next: nueva línea de productos para empresas

Descubierto un código malicioso en las distribuciones de Linux

Pirate Matryoshka: los riesgos de descargar software de Pirate Bay

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia