Teletrabajo
Ciberseguridad
Dispositivos
Especial CSO Seguridad en el Endpoint 2022

'Endpoint', la brecha final de la red que requiere seguridad integral

La expansión de los entornos de trabajo remotos e híbridos durante y tras la pandemia de COVID-19, y la proliferación de dispositivos domésticos en las redes empresariales, han convertido al entorno endpoint en uno de los mayores contribuidores al riesgo digital.

Teletrabajo tendencias España

Un endpoint es lo que la traducción literal de la expresión indica; cualquier dispositivo que sea físicamente la parte final de una red. En el caso de las empresas, endpoint puede referirse al dispositivo con el que un trabajador accede a la información y desempeña su trabajo. Los ordenadores, las tablets, los smartphones, los dispositivos de oficina de red como los routers, los servidores, las impresoras y las cámaras de seguridad también son considerados endpoints, porque también están conectados a la red.

Como cualquier dispositivo conectado a una red corporativa es un endpoint, Alberto Bellé, analista principal de IDG Research, es categórico a la hora de valorar su contribución al riesgo, “este no solo depende del dispositivo, sino sobre todo del uso que se hace del mismo, y su conexión. Por ejemplo, los dispositivos que comparten uso personal y corporativo son los que presentan un mayor riesgo, dado que pueden utilizar una red no segura y el uso personal puede generar riesgos. El hecho de que los móviles estén conectados de forma permanente a las redes de la empresa los somete a un riesgo más elevado”.

Coincide con Bellé Carlos Manchado, responsable de Seguridad, Compliance e Identidad de Microsoft España, al hablar de los riesgos de seguridad que plantean los endpoint, “cualquier dispositivo con la capacidad de conectarse a la red interna de la empresa puede emplearse para llevar a cabo un ciberataque, mediante la introducción de cualquier tipo de malware o la usurpación de identidad para conseguir credenciales y mantener privilegios de acceso”.

Cuando preguntamos a la Asociación española para la Digitalización (DigitalES), la patronal que agrupa a las empresas responsables de las digitalización de la economía y la sociedad española, cómo podemos frenar ese riesgo que se corre a través de los dispositivos que van y vienen del entorno de las redes empresariales, citan como la herramienta esencial para evitar correr riesgos una buena auditoría de ciberseguridad. “Toda empresa debería llevarla a cabo para determinar cuáles son los puntos más sensibles y se establezca cuál es su nivel de riesgo aceptable. Ese debe ser el punto de partida”.

Los expertos de la asociación empresarial recuerdan que, lamentablemente el riesgo cero no existe, pero sí es posible minimizar el impacto potencial sobre el negocio si el trabajo de diagnóstico previo está bien hecho, e insisten en que “por defecto, todos los dispositivos que se utilicen para acceder a datos de la organización deben estar considerados dentro de su perímetro de ciberseguridad. Los ciberdelincuentes saben que el eslabón más débil de la cadena, en muchas ocasiones, son los empleados y por eso nunca debe desprotegerse el extremo de la red”.

Ese eslabón más débil explica por qué Manchado cree que los endpoints más vulnerables suelen ser los dispositivos domésticos o BYOD, “que muchas empresas pueden llegar a permitir en su red corporativa, a veces sin realizar una correcta gestión de los mismos a través de una estrategia Zero Trust”. Según su visión, la simplicidad y la facilidad de administración son más importantes que nunca a medida que las organizaciones y departamentos informáticos se adaptan a los entornos de trabajo remotos e híbridos.

 

Lo que la pandemia cambió

Todos los expertos coinciden en el diagnóstico; acelerado por la pandemia, el crecimiento del trabajo remoto e híbrido ha cambiado las necesidades y prioridades empresariales en lo que a la tecnología del lugar de trabajo digital se refiere, y estos cambios han aumentado los riesgos digitales.

En este sentido, según Bellé, el coronavirus no ha sido la única pandemia que hemos sufrido. “El mercado ha experimentado dos pandemias en los últimos años. La primera la sanitaria, que ha impulsado el trabajo remoto y ha multiplicado el número de endpoints y accesos a la red. Se han realizado usos de dispositivos para los que no estaban preparados, y desde redes domésticas, cuya protección no está diseñada para datos corporativos. En consecuencia, la superficie de ataque se ha ampliado. La segunda pandemia ha sido la de ransomware, que se ha aprovechado de las vulnerabilidades tecnológicas derivadas de la proliferación de dispositivos y nuevos usos”.

La COVID ha traído dos riesgos añadidos, añade el analista de IDG Research. “Primero, han cambiado los patrones de comportamiento de los usuarios. Fuera del espacio de la oficina son más proclives a relajar los hábitos de seguridad. Y en segundo lugar, las empresas han primado la urgencia de habilitar el trabajo remoto frente a la seguridad, y han tomado decisiones de compromiso que no han resuelto”.

Según el último informe de Defensa Digital de Microsoft, basado en el análisis de billones de señales diarias, así como en las observaciones realizadas en 77 países, los ciberataques continúan aumentando en volumen, sofisticación e impacto. El cibercrimen –en especial el ransomware– es una plaga en constante crecimiento. Los ciberdelincuentes cada vez son más creativos, innovadores y oportunistas. Se mueven rápidamente para descubrir nuevos vectores de ataque y responder a nuevas defensas, mejorando sus técnicas para que sus actividades sean más difíciles de detectar.

“Además, — añade Manchado— el ‘cibercrimen como servicio’ se ha convertido en una industria criminal madura. Hoy en día, cualquier persona, independientemente de sus conocimientos técnicos, puede comprar online una amplia gama de servicios para realizar ataques con cualquier propósito”, desde kits de infección listos para usar, que cuestan poco más de 56 euros, a credenciales que se venden por importes de entre 1 y 43 euros, dependiendo del valor percibido del objetivo.

Manchado tiene claro que en este contexto, las organizaciones deben poner la seguridad, más que nunca, en el centro de sus estrategias y “si aplicaran autenticación multifactor, soluciones antimalware avanzadas y mantuvieran actualizados sus sistemas, estarían protegidas frente a más del 99% de los ataques que se ven hoy en día, y paliarían los riesgos de  la actual transición hacia modelos híbridos”.

Por ello, en su opinión, las soluciones orientadas a endpoint tomarán cada vez mayor relevancia para la prevención y detección de amenazas, debido a que son sistemas de seguridad con visibilidad centralizada y que tienen la finalidad de reducir el nivel de exposición, así como las vulnerabilidades que puedan ser explotadas por ciberdelincuentes.

Los expertos de DigitalEs apuntan otro cambio en la mentalidad corporativa. “La pandemia ha ayudado a concienciar también a los demás miembros del consejo de dirección y no solo para los departamentos de TI o Sistemas de la importancia de proteger los datos”. Para los profesionales de TI “la preocupación por proteger el endpoint de la red no es en absoluto nueva”, pero continúan enfrentándose a las carencias que aún existen en cuanto a concienciación, “porque ¿cuántos de nosotros hemos instalado un software antivirus en nuestros dispositivos móviles personales? (smartphone, tablet, smartband…)”.

 

Todas las amenazas posibles atacan el endpoint

Las amenazas en los entornos endpoint son muchas y variadas, según Bellé, pero él destaca tres: el ransomware, que ha prevalecido en los últimos años, el robo de datos, bien sea información corporativa o credenciales de acceso, y que al ser el endpoint un punto de entrada a la red corporativa, puede ser explotado por un atacante.

Manchado añade a estas alguna más: troyanos y phishing, y la suplantación de identidad y los ataques también a la red personal del usuario. Solo en 2021, Microsoft Defender for Endpoint bloqueó más de 9.600 millones de amenazas de malware dirigidas a dispositivos de clientes, tanto empresariales como de consumo.

En su opinión “del despliegue de soluciones de protección de endpoints debemos resaltar el requisito de disponer de una comunicación bidireccional con otras tecnologías de protección (antiphishing, CASB, protección de identidad…), para alcanzar una verdadera orquestación automática en tiempo real, y una visión y gestión unificada. Esto deriva en el deseado enfoque de XDR (eXtended Detection & Response), en el cual no hay lugar para los suculentos silos tecnológicos explotados por los cibercriminales”.

Además, existen otros desafíos en la gestión endpoint, como “no impactar al rendimiento de los dispositivos, así como facilitar su despliegue y actualización, ya que el control y gestión de éstos puede no estar optimizado. La mejor aproximación consiste en embeber o incluir el agente en el propio sistema operativo, de forma que su activación sea cuestión de aplicar una política”, explica Manchado.

 

El pertinaz factor humano

Los expertos consultados coinciden en que, como en el resto de aspectos de la seguridad de las TI, en la seguridad endpoind el factor humano supone un factor de riesgo importante frente a las ciberamenazas, por lo que es vital que las empresas inviertan de forma decidida en formación específica, y sobre todo en concienciación. “Sigue siendo el eslabón más débil de la cadena de seguridad — asegura Bellé—. No es suficiente con una actividad puntual de concienciación, se requiere un esfuerzo continuo”.

En DigitalES también ven tan indispensable como las aplicaciones de seguridad, y que la red se encuentre protegida de extremo a extremo, el hecho de que “las personas que componen una organización (empleados, proveedores, clientes…) cuenten con la formación y la sensibilidad adecuadas para procurar no bajar nunca la guardia”.

Los expertos de la asociación empresarial  saben que a diario se producen ciberataques sofisticados, basados en técnicas avanzadas de ingeniería social, y otros rudimentarios —los más comunes—, más sencillos de identificar. “Sin embargo, —añaden— incluso estos últimos pueden ocasionar daños económicos y reputacionales muy importantes, que no podemos subestimar. Por ello resulta de gran utilidad realizar simulacros de ataques de phishing o ransomware, por ejemplo”.

Aunque se busque proteger el endpoint, según explica Bellé, “la seguridad es muy compleja, porque el dispositivo se conecta a una red y accede a unos datos (o puede contener datos sensibles en su interior). Todos los aspectos de la seguridad están vinculados, y el problema no es tanto a proteger el dispositivo en sí, sino la fragmentación de la seguridad en su conjunto. De hecho, persiste una heterogeneidad de tecnologías, prácticas y políticas en las organizaciones, lo que crea diferentes estándares de seguridad”.

Desde Microsoft nos aportan las pautas para atajar esos diferentes estándares. “Si las organizaciones aplican autenticación multifactor, soluciones antimalware avanzadas y mantienen actualizados sus sistemas, estarán protegidas frente a más del 99% de los ataques que vemos hoy en día. Sin embargo, para ello es necesario contar con unos buenos hábitos y comportamientos por parte de los usuarios”, nos dicen.

Por esta razón, la compañía cuenta con una estrategia en ciberseguridad con un enfoque integrado y que pone en valor la Inteligencia Artificial y la automatización, para abordar la defensa desde todos los ángulos: seguridad, cumplimiento, identidad y administración. “ofrecemos una aproximación holística sobre la seguridad de la identidad y la administración de acceso; los puntos de acceso, el correo electrónico y la seguridad de las aplicaciones; la prevención de la pérdida de datos y la seguridad en la nube y nuestras soluciones de SIEM/SOAR hacen que nuestro enfoque sea extremo a extremo”. Y, además, muchas de sus soluciones incluyen ya capacidades de concienciación con el fin de “empoderar” en el ámbito de la ciberseguridad a los usuarios.

Alberto Bellé resume cómo atajar los fallos humanos de tres líneas de actitud:

  • Entender la seguridad como propia, es decir, no como el cumplimiento de unas reglas externas impuestas por otro departamento, sino como una responsabilidad personal. “Si se parte de esa actitud, va a ser mucho más difícil sufrir un ataque” afirma.
  • Aplicar las reglas de seguridad esenciales, que están en cualquier guía de seguridad corporativa o pública, desde utilizar claves robustas hasta tener las aplicaciones y sistema operativo actualizados.
  • Mantener un nivel de alerta ante cualquier evento o comunicación sospechosa o fuera de lo habitual, sea cual sea el canal. “Ante la duda, adoptar la opción de menor riesgo, verificar el origen y, sobra decirlo, apoyarse en el área de seguridad”, recomienda.

 

Conseguir un entorno endpoint seguro

Para ese área de seguridad respecto al endpoint, Bellé señala como adecuados los enfoques XDR (detección y respuesta extendidas) que recopilan y correlacionan automáticamente datos en múltiples capas de seguridad: email, endpoint, servidor, workload en la nube y la red, y se apoyan en el valor de soluciones integradas e inteligentes.

Estas soluciones apuntan a la autonomía, introduciendo una inteligencia artificial que aprende y se adapta a unas situaciones cambiantes. La automatización de las tareas libera tiempo de los profesionales de seguridad, acelera la respuesta y evita errores humanos, “aunque necesita una supervisión, porque la realidad es más compleja que las reglas, por adecuadas que sean” aclara.

Carlos Manchado se centra en la implementación de la seguridad Zero Trust como un imperativo a aplicar en todos los sectores, tanto públicos como privados. Como han comprobado en la compañía, “este enfoque ofrece a los empleados una mayor libertad en el manejo de todos los datos, aplicaciones e infraestructura. Al adherirnos a los valores de Zero Trust, el centro de operaciones de seguridad (SOC) de Microsoft asume que cualquier dispositivo o usuario puede ser usado como vector de ataque”.

En la multinacional examinan aproximadamente 600 mil millones de eventos de seguridad cada mes, y utilizando herramientas machine learning, la inteligencia de amenazas y la ciencia de datos, reducen el volumen de eventos a supervisar hasta las 10.000 alertas. “Para ello usamos las capacidades de Microsoft Defender for Endpoint Automated Investigation and Response (AIR) para encontrar y remediar instancias de malware de bajo nivel y otras alertas, para limpiar un dispositivo, eliminar el servicio, borrar el archivo e indicar cuándo se ha solucionado el problema de forma automática”. Según Manchado, esto minimiza el ruido en el SOC y ayuda a reducir esas 10.000 alertas mensuales hasta los 3.500 casos en los que centrar la investigación de los especialistas.

Así, la solución para fortalecer el sistema de defensa de la seguridad del entorno endpoint en el futuro requiere una implicación global por la ciberseguridad basada en tres ejes.

  • La colaboración pública y privada: la naturaleza sin fronteras del delito cibernético exige de una cooperación internacional y coordinada entre las organizaciones privadas y las administraciones públicas.
  • El intercambio de datos: compartir información entre los líderes de la industria y los gobiernos es un elemento clave para contrarrestar este tipo de delincuencia.
  • La protección integral: Para prevenir o minimizar el impacto de los ataques es posible tomar medidas como la autenticación multifactor (MFA), la aplicación de parches y actualizaciones en los sistemas, la configuración de límites en los privilegios de acceso al correo electrónico o la segmentación de la red.

Bellé insiste en que no hay que perder de vista la capacidad de los atacantes, “que saben que ante la proliferación de dispositivos y tecnologías, muchas soluciones tienen una visibilidad parcial y utilizan técnicas para evitar ser detectados por herramientas fragmentadas. La clave está en que las soluciones se hablen y compartan datos”. Por ello incide en la necesidad, sobre todo en las empresas de gran tamaño, de que la seguridad debe abordarse como una práctica transversal a toda la empresa, que no dependa de las diferentes unidades de negocio o geografías.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper