EPP y EDR: El futuro de la ciberseguridad endpoint

16 May 2018

Ataques complejos. Ataques sin malware. Ataques que no requieren archivo y ataques que se realizan de manera física. Vulnerabilidades de día cero que aprovechan nuevas herramientas y utilizan técnicas cada vez más ágiles. El panorama de amenazas actual es muy volátil y las tecnologías preventivas no pueden proteger por sí mismas a los negocios contra las amenazas avanzadas. Cabe añadir que los ciberdelincuentes pueden organizar un ataque dirigido a un coste mínimo, por lo que no sorprende que el número de ataques exitosos siga creciendo en todo el mundo.

Según los resultados de la agencia de análisis B2B International, publicados en el informe de Kaspersky Lab New Threats, New Mindset: Being Risk Ready in a World of Complex Attack, los ataques dirigidos se convirtieron en una de las amenazas de mayor crecimiento en 2017, aumentando respecto al año anterior un 6 % en las PYMES y un 11 % en las empresas.

El 27 % de las empresas ha admitido haber sufrido ataques dirigidos en su infraestructura, frente al 21 % del año pasado, y el 33 % de las empresas se han sentido vigiladas por los ciberdelincuentes. De las compañías encuestadas, el 57 % afirmó que esperaba sufrir una brecha de seguridad tarde o temprano y el 42 % no estaba seguro de cuál era la estrategia más efectiva para responder a estas amenazas.

Abordar el problema de forma tradicional ya no es suficiente

Las plataformas de Protección Endpoint (EPP, por sus siglas en inglés), que suelen formar parte de la infraestructura de una organización, controlan las amenazas conocidas como el malware tradicional. Estos sistemas protegen a la perfección contra las amenazas conocidas e incluso contra algunas desconocidas. Sin embargo, las técnicas del cibercrimen han evolucionado mucho en los últimos años y los ciberdelincuentes son más agresivos en el proceso de sus ataques. La combinación de las amenazas comunes, los patrones maliciosos únicos y las actividades basadas en las técnicas de infiltración complejas de los ciberdelincuentes convierten a las amenazas avanzadas y los ataques dirigidos en un peligro para las organizaciones que dependan únicamente de un enfoque convencional de seguridad.

Las empresas pueden sufrir un robo o ataque desde cualquier ángulo: datos y contabilidad, propiedad intelectual, información comercial sensible y datos personales específicos o sensibles sobre procesos de negocios, ventajas competitivas, y demás.

Los incidentes relacionados con las amenazas avanzadas tienen un impacto significativo en el negocio: el coste de respuesta y proceso de recuperación, la inversión en nuevos sistemas o procesos, la disponibilidad, daño a la reputación y la marca, pérdidas financieras y demás. Las organizaciones tienen que considerar no solo el incremento de los programas maliciosos, sino también el crecimiento de las amenazas complejas avanzadas y de los ataques dirigidos.

Es decir, necesitan extender su protección más allá de la red, el correo electrónico y el tráfico web a los endpoints, incluidos los portátiles, las estaciones de trabajo, los servidores y los smartphones. Estos endpoints son puntos de entrada comúnmente utilizados en la infraestructura de una organización durante los ataques dirigidos, lo que hace que la visibilidad de los endpoint sea crítica en el panorama actual de amenazas.

Según la encuesta de SANS sobre el panorama de amenazas en el 2017, el 74% de los encuestados afirmaron que hacer clic en un enlace o abrir el archivo adjunto de un correo electrónico suponía la vía de entrada número uno para que la amenaza entrase en la empresa y el 18 % mencionó las web o descargas involuntarias. El 81 % de las compañías sondeadas consideraban que las herramientas de seguridad de endpoints eran los medios más útiles de detección de amenazas.

La necesidad de herramientas especializadas para la detección y respuesta en endpoints

Evidentemente, no basta con bloquear las amenazas sencillas en los endpoints. Hoy en día, las empresas necesitan herramientas que les ayuden a detectar y responder a las últimas y complejas amenazas.

Así que, para protegerse de las amenazas modernas dirigidas a los endpoints, se necesitan herramientas especializadas.

¿Por qué?

En primer lugar, por las características de los ataques dirigidos que utilizan los ciberdelincuentes:

  • Estrategias para burlar los sistemas de seguridad: los atacantes realizan una investigación exhaustiva de la infraestructura existente, incluido el sistema de seguridad de endpoint que se utiliza.
  • Vulnerabilidades de día cero, cuentas comprometidas.
  • Software malicioso o especialmente diseñado, software único.
  • Objetos comprometidos con una apariencia normal y que, por tanto, parecen de confianza.
  • Un enfoque de varios vectores que busca penetrar a una gran cantidad de equipos: ordenadores de sobremesa, portátiles, servidores, etc.
  • Ingeniería social e información obtenida por los infiltrados.

En segundo lugar, debido a las limitaciones tecnológicas de los productos de equipos tradicionales, que:

  • Intentan detectar y bloquear amenazas comunes (no complicadas), vulnerabilidades ya conocidas o amenazas desconocidas generalmente basadas en métodos previamente conocidos.
  • Se centran en la visibilidad de cada endpoint y no están diseñados para visualizar y supervisar en tiempo real todos los equipos de forma simultánea desde una única interfaz centralizada.
  • No proporcionan a los administradores informáticos la información de amenazas necesaria para conocer el contexto de amenazas y carecen de visibilidad completa de la actividad de los equipos individuales, de los procesos, los cronogramas y las posibles relaciones con cada endpoint de la empresa.
  • No ofrecen un mapeo integrado ni la correlación de varios veredictos de diferentes mecanismos de detección en un solo incidente unificado.
  • No admiten la función para detectar actividad anormal, trastornos en las actividades comunes y demás, o analizar el trabajo de los programas legítimos.
  • No pueden analizar retrospectivamente el movimiento lateral del malware.
  • Tienen recursos limitados para la detección de ataques sin archivo, inyecciones de memoria o amenazas sin malware.

Por tanto, como ya hemos visto, las tecnologías de protección de equipos funcionan bien con las amenazas simples, que suponen más del 90 % de las amenazas. El coste de los incidentes asociados a esas amenazas (unos 10.000 dólares) resulta insignificante si lo comparamos con el coste (926.000 dólares) de los incidentes de los ataques de amenazas persistentes avanzadas (APT). Cuanto antes se detecte un ataque deliberado, menos costes se generarán. Ante las amenazas complejas, la calidad y eficacia de la detección y la respuesta son de suma importancia. Las empresas deben considerar el uso de soluciones especializadas para contrarrestar los ataques dirigidos y las amenazas persistentes avanzadas en sus endpoints.

La media de los costes de los incidentes y deficiencias funcionales en las soluciones EPP tradicionales que no están diseñadas para defenderse de amenazas complejas, muestran que necesitan invertir más en productos especializados para la detección y respuesta de amenazas avanzadas. Los productos EPP requieren una mayor flexibilidad y deben incluir funciones de detección y respuesta en endpoints (EDR, por sus siglas en inglés) o tener la capacidad de integrarse con soluciones EDR totalmente independientes, dependiendo de la dimensión de la compañía y de los requisitos.

Una visibilidad completa de extremo a extremo y una detección proactiva

EDR es una tecnología de ciberseguridad que aborda la necesidad de una supervisión en tiempo real, de centrarse en los análisis de seguridad y en la respuesta al incidente de los endpoints corporativos. Ofrece una visibilidad completa de extremo a extremo sobre la actividad de cada equipo de la infraestructura corporativa, administrada desde una única consola, junto con una valiosa inteligencia de seguridad que podría usar un experto de seguridad informático para una investigación y respuesta mayores.

La mayoría de las plataformas de protección endpoint dependen de patrones y archivos de firmas almacenados para detener a las amenazas conocidas. Las plataformas de protección de endpoints de última generación más actuales, que utilizan aprendizaje automático y mecanismo de detección para la búsqueda y descubrimiento de amenazas, también se centran en la protección antimalware.

El objetivo principal de EDR es la detección proactiva de amenazas nuevas o desconocidas, infecciones previamente no identificadas que penetran en la organización directamente a través de endpoints y servidores. Esto se consigue mediante el análisis de eventos que suceden en la zona gris, hogar de aquellos objetos o procesos que no están incluidos ni en la zona de “confianza” ni en la “definitivamente maliciosa”.

Sin la funcionalidad EDR, la EPP tradicional no admite técnicamente la visibilidad total de endpoint, el análisis de ataque retrospectivo y de diferentes endpoints y la correlación de eventos, o la capacidad de seleccionar de múltiples eventos las detecciones relevantes para ataques complejos con el objetivo de determinar la respuesta adecuada. No todas las soluciones EPP del mercado admiten el acceso a la inteligencia de amenazas que se requiere para comprender las tácticas, procesos y técnicas principales de las amenazas.

Todas estas funciones son necesarias para defenderse contra las amenazas modernas y los ataques dirigidos. Las empresas tienen que entender que la seguridad endpoint ya no puede depender de una única solución EPP. EDR tiene muchas más posibilidades de detectar cepas desconocidas de malware en ataques de día cero y APT porque usa tecnologías de detección avanzadas como las reglas de YARA, sandboxing, escaneo de IoCs (indicadores de compromiso), descubrimiento de actividad sospechosa y validación, análisis retrospectivo con correlación de eventos basados en el aprendizaje automático dinámico, investigación y contención del incidente, automatización de respuesta, medios para remediarlo y mucho más.

Para una protección efectiva y de confianza contra las amenazas avanzadas, EPP y EDR deben colaborar, ya que las EPP controlan las amenazas conocidas y EDR trata con más amenazas complejas desconocidas. Las plataformas EDR potentes pueden ayudar a los analistas a investigar y mejorar su defensa, en vez de reaccionar simplemente al daño que ya haya causado una amenaza avanzada que podría perderse una protección endpoint tradicional.

Además, una EPP no solo aporta protección, sino también controles de aplicación, dispositivo y web, evaluación de vulnerabilidades y gestión de parches, filtro de URL, cifrado de datos, cortafuegos y mucho más.

Un enfoque integrado para contrarrestar las amenazas avanzadas

Todos los sistemas descritos anteriormente complementan algo que falta (o está parcialmente presente) en otro sistema, lo que significa que las soluciones deben integrarse e interactuar entre sí. EPP y EDR tienen el objetivo común de encontrar amenazas, pero también tienen muchas diferencias. Cada una se protege de una forma y utilizan sus herramientas frente a los distintos tipos de amenazas.

Según el informe de Gartner Strategic Planning Assumption 2017 for Endpoint Detection and Response Solutions, en 2021, el 81 % de las grandes empresas, el 25 % de las organizaciones medianas y el 10 % de las pequeñas habrán invertido en tecnología EDR.

La presencia de tecnologías preventivas como la EPP para la detección y el bloqueo automático de la expansión de amenazas y de objetos obviamente maliciosos ayuda a eliminar la necesidad de analizar el amplio número de amenazas menores irrelevantes a los ataques complejos, lo que aumenta la eficiencia de las plataformas EDR especializadas que pretenden detectar amenazas de un nivel de APT. A su vez, EDR, después de recibir amenazas complejas, puede enviar veredictos a la plataforma de protección endpoint. De esta forma, los dos cooperan y proporciona un enfoque totalmente integrado para contrarrestar las amenazas avanzadas.

Obteniendo el máximo de la tecnología EDR

Hay algo más que hay que tener en cuenta. La mayoría de las organizaciones ya necesitan funciones EDR, pero también tenemos que afrontar que un amplio porcentaje de estas organizaciones no cuentan con las habilidades ni los recursos para realizar un despliegue EDR avanzado y hacer un uso correcto de él.

Esto tiene que ver con la transición de un simple rastreo EPP por parte de un departamento informático a la necesidad de involucrar los recursos de un equipo de seguridad informático cuando se utiliza EDR. Como ya hemos visto, la tecnología EDR ofrece mucho más que una protección estándar. Para aumentar los beneficios del EDR, las empresas necesitan ingenieros de seguridad y analistas de amenazas con conocimientos y experiencia. Estos profesionales deben entender cómo extraer el valor de la plataforma EDR y organizar un proceso eficiente de respuesta del incidente.

Según la madurez y la experiencia en el campo de seguridad de cada organización y la disponibilidad de recursos necesarios, algunas empresas pueden encontrar más eficaz utilizar su propia experiencia para la seguridad de sus endpoints, y recurrir a empresa externa especializada para aspectos más complejos. Mientras, pueden desarrollar una experiencia interna con formación, mediante el acceso a un portal de inteligencia de amenazas e informes de APTs y usar feeds de datos de amenazas. O puede adoptar servicios profesionales de terceros desde el principio (una opción muy atractiva para los departamentos de seguridad con mucho trabajo o cortos de personal), incluyendo:

  • Servicios de evaluación de seguridad
  • Búsqueda de amenazas
  • Respuesta al incidente
  • Análisis forense digital
  • Análisis de malware e ingeniería inversa
  • Soporte premium las 24 horas

La solución que propone Kaspersky Lab

El enfoque de Kaspersky Lab para la protección endpoint incluye los siguientes componentes: Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response y Kaspersky Cybersecurity Services. En cuanto a las organizaciones que no pueden, por razones de cumplimiento normativo, liberar o transferir datos corporativos fuera de su entorno o que requieren aislamiento completo de la infraestructura, Kaspersky Private Security Network proporciona la mayoría de los beneficios de la inteligencia de amenazas basada en la nube global proporcionada por Kaspersky Security Network (KSN) sin filtrar información de su perímetro controlado.

Estos componentes se adaptan a la naturaleza específica de cada organización y a sus procesos actuales:

  • Una única combinación de tecnologías preventivas reconocidas que bloqueen la mayoría de los ataques comunes.
  • Una serie de mecanismos y técnicas avanzadas para detectar y responder rápidamente a amenazas únicas y avanzadas.
  • La capacidad de predecir futuras amenazas y desarrollar una protección proactiva contra ellas mediante servicios profesionales.
  • La capacidad de beneficiarse de la inteligencia de amenazas basada en la nube sin filtrar información de su perímetro controlado.

Kaspersky Endpoint Security es una plataforma de protección endpoint multicapa basada en tecnologías de ciberseguridad que funcionan mediante inteligencia HuMachine y que emite una defensa automatizada y flexible contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas.

Kaspersky Endpoint Detection and Response usa el mismo agente que Kaspersky Endpoint Security, el cual proporciona un enfoque multicapa para revelar y reconocer amenazas complejas mediante tecnologías avanzadas (como el aprendizaje automático, aislamiento de procesos, escaneo de IoC e inteligencia de amenazas). Responde para prevenir futuras acciones maliciosas mediante el descubrimiento oportuno de amenazas avanzadas y envía veredictos a Kaspersky Endpoint Security para el bloqueo del seguimiento.

Kaspersky Cybersecurity Services ofrece asistencia rápida y profesional durante (y después) del incidente, ayuda a reducir el riesgo de datos comprometidos y minimiza el daño de reputación y económico. La cartera de Cybersecurity Services incluye nuestro amplio programa de estudios en seguridad, inteligencia de amenazas actualizada, respuesta rápida al incidente, evaluación de seguridad proactiva, servicios de búsqueda de amenazas subcontratado y soporte premium las 24 horas.

Las amenazas avanzadas requieren herramientas avanzadas

Para resistir a las amenazas avanzadas y a los ataques dirigidos, las empresas necesitan herramientas automatizadas y servicios diseñados para complementarse entre ellos y ayudar a los sistemas de seguridad y a los centros de operaciones de seguridad (SOC, por sus siglas en inglés) a prevenir la mayoría de los ataques, detectar rápido nuevas amenazas, manejar ataques en directo, responder a los ataques a tiempo y predecir futuras amenazas.

Con la combinación adecuada de tecnologías y servicios, las empresas pueden establecer y seguir una estrategia de seguridad adaptativa y comprensiva y prepararse para afrontar el panorama de ciberamenazas en constante cambio, con la mejora de su protección y la mitigación del riesgo en los ataques futuros.