Teletrabajo
Ciberseguridad
Ciso
Especial CSO Seguridad en el Endpoint 2022

"La mayoría de ciberataques a 'endpoint' se debe al robo de credenciales por error humano"

Cuando los CISO ya andaban de cabeza con las soluciones endpoint en casos de teletrabajo y por la abundancia de dispositivos personales que se conectaban a la red corporativa, llegó la pandemia, se encontraron con un campo de entrenamiento inesperado, y vieron como el dispositivo final resultaba necesario.

endpoint

Como todos los expertos en riesgos de las TI, Zulayka Vera, colaboradora de la junta directiva de ISACA, y profesora universitaria de Masters de Ciberseguridad, tiene muy claro el papel que la pandemia ha representado para los CISO del mundo entero; “provocó una revalorización del teletrabajo como alternativa, pero hemos visto que si no adoptamos las medidas necesarias de seguridad tecnológica, el teletrabajo puede suponer un grave riesgo para la empresa, haciendo vulnerable su red y su información”.

Vera, que cuenta con varios años como CISO de una entidad financiera y con más de 20 años de experiencia en el sector de la ciberseguridad, explica que durante la pandemia, cuando apareció una necesidad imperiosa y urgente de despliegue de endpoints con acceso remoto, “los trabajadores masivamente iniciaron su trabajo desde casa, y en un brevísimo plazo de tiempo ya estaban operativos” y en muchos casos no se evaluaron suficientemente los riesgos asociados, ni las soluciones, ni los procedimientos de actuación incorporando así numerosas carencias de seguridad, para “uso y disfrute” de los ciberatacantes.

Maite Avelino, CISO en entidades de la Administración Pública y asociada de ASTIC, coincide con Vera en que la experiencia en los últimos dos años ha cambiado conciencias  “ha impulsado su uso y se han dado cuenta de que el endpoint es importante; que no se podía estar conectado a la red local y confiar en que dentro de la red no pasa nada”. Tras la experiencia, Avelino apunta claramente a la responsabilidad de las organizaciones a la hora contar “con un parque de dispositivos homogéneos configurables. Sin esto, la solución endpoint puede no ser resolutiva. Con un parque hetereogéneo, al que no pudes aplicar políticas estables y que los usuarios  pueden usar a nivel  personal y empresarial, empezamos a tener problemas”.

 

Endpoint y el peligro

Esa dualidad entre dispositivos empresariales o personales implicados desde casa en la red laboral es, según Avelino, una de las principales amenazas que hay en el endpoint”.

Normalmente el término endpoint (dispositivo final) se refiere a los dispositivos que utilizamos a diario como ordenadores de escritorio, portátiles, teléfonos inteligentes, tabletas, relojes avanzados o dispositivos de Internet de las cosas (IoT) que están conectados a una red informática. Y según Vera, “en el mundo cíber muchos incluyen también a servidores dentro de este concepto. Para que no ofrezcan riesgos han de estar "debidamente securizados, ya que el entorno doméstico no cumple con las medidas de seguridad mínimas para que el acceso a la organización sea seguro”.

Ese es el reto pos pandémico, según Maite Avelino, “en los entornos híbridos de trabajo y personal. Todo lo que uno se ahorra de no proveer de dispositivos corporativos, lo acaba pagando. Si permites que el usuario utilice un dispositivo propio para el trabajo y para su vida personal, al final terminarás teniendo y multiplicando amenazas”.

En un ordenador personal, del que el usuario es administrador, conectado de cualquier manera a la empresa, “la solución endpoind va a detectar problemas más allá de un antivirus, — dice Avelino— pero a menos que tengas un XDR, con la solución de políticas, es muy difícil que como CISO puedas actuar sobre ese endpoint, ponerlo en cuarentena, mitigar, etc. Lo único que tienes en estos casos es un antivirus vitaminado”.

Debido a estas situaciones, Vera  explica que como el objeto de ataque se ha diversificado muchísimo en los últimos años, “en el caso de fabricantes de nueva generación ya se habla de nodos en vez de endpoints, refiriéndose a los sensores a usar en función de a qué área de protección se van a dedicar como, por ejemplo, cuando se habla de EDR (Endpoint Detection and Response) o NDR (Network Detection and Response)”.

Según su experiencia, los principales riesgos a los que están expuestos los endpoints de conexión remota son “los accesos no autorizados a dispositivos, la falta de confidencialidad de medios de comunicación tradicionales (teléfono, etc), la utilización de redes wifi no seguras, las infecciones por malware” y, cómo no, el posible robo o pérdida de los dispositivos.

 

Que los usuarios sepan usar endpoint

En opnión de Vera, por la psicología inherente al ser humano, los teletrabajadores suelen ser más propensos a bajar la guardia, cayendo en comportamientos indebidos, errores humanos e incumplimiento de la política corporativa. “Aunque las organizaciones insistimos en concienciarlos, no siempre es suficiente, o efectivo. El mayor número de ciberataques a endpoints se debe al robo de credenciales causados por una acción humana inadecuada” nos dice.

Para esta experta, los usuarios son el eslabón más débil de la cadena, pero no el único eslabón débil. Hay más factores que ponen en riesgo a los endpoints; los CISO saben que los vectores de ataque son muy diversos y según el nivel de experiencia del atacante, buscará ese eslabón más débil, “especialmente aquellos empleados que por falta de educación en ciberseguridad, o por dejadez, son capaces de acceder a links sospechosos, a  phishing, suplantación de webs, o a aplicaciones para conseguir credenciales y acceso a áreas más críticas en busca de información más sensible” enumera Zulayka Vera, para quien la seguridad de un endpoint reside también en la organización (redes, procesos, personas y sistemas).

Los usuarios deben conocen el uso correcto de la solución endpoint; “saber detectar anomalías, cuándo no se ha conectado correctamente un equipo, cuándo no está actualizado, llamar al cabo y abstenerse de realizar acciones de riesgo hasta que no sabes que tu endpoind funciona bien” dice Avelino. Y olvidarse de utilizarlo asuntos personales, “o de conectar dispositivos USB. Por muchas soluciones que hayas implementado, si conectamos un pincho infectado ya va a dar igual; tienes el malware o el ransomware dentro. Es un amenaza importante para los portables, porque puede acabar entrando de todo en tu red corporativa”.

 

Estrategias endpoint de los CISO

Para el control de endpoint doméstico, además de herramientas ya conocidas como VPN con inspección avanzada, gestión de red y de despliegue de software, etc., Vera apunta como estrategias  “la creación de un entorno Zero Trust y la tecnología NAC (Network Access Control),  que ya se suele usar en empresas donde hay muchos trabajadores externos o propios trabajando remotamente”.

Para ella, no obstante, cualquier solución que se implante se queda corta sin dos elementos clave de base: una formación y concienciación frecuente y actualizada en materia de ciberseguridad, y el cumplimiento a los usuarios de los endpoints, “además de una monitorización continua de la seguridad (CSOC, centro de operaciones de seguridad) con capacidades de CSIRT (Equipo de Respuesta a Incidentes de Seguridad), apoyados con IA y ML, con la debida solvencia otorgada por los foros de mayor reputación del sector (CSIRT.es, TF- CSIRT Trusted Introducer, FIRST.org)”, enumera.

Si nos centramos en la protección del endpoint, como experta recomienda un SIEM (Security Information and Event Management) de última generación con inteligencia avanzada de amenazas, análisis de flujos, cientos de reglas que disparan alertas cuando detectan un potencial ataque, etc, que haga uso de un SOAR (orquestador) para agilizar la respuesta automatizando procesos, además de un NGAV (Antivirus de nueva generación).

Vera también apunta a las soluciones EDR (Detección y Respuesta del Endpoint), “que escanean vulnerabilidades y puertos, monitorizan el comportamiento del usuario, gestionan los parches,… y demostraron ser eficaces”,  y a su evolución, las soluciones XDR (Detección y Respuesta eXtendidas) “aún más eficientes. Las últimas soluciones de detección y respuesta gestionada (MDR) añaden una gestión optimizada más rápida y efectiva de una respuesta ante incidentes, y herramientas forenses incorporadas nativamente”.

Ante las tecnologías propuestas, Maite Avelino apunta dos importantes cuestiones; el presupuesto y la especialización de los gestores: “a la hora de escoger una solución endpoint, es importante saber con qué presupuesto se puede contar”. Por su experiencia en administraciones públicas “a veces no hay presupuesto ni para ordenadores, con lo que ya es difícil que se invierta en un endpoint”.

Según ella, “las soluciones van desde las más sofisticada, tipo Palo A lto Networks, que está bastante bien, a la más accesible, que sería una suscripción al MicroCLAUIDIA del CCN. El problema es que cualquier solución requiere de algo que no se tiene en cuenta, y es la necesidad de personal experto que lo maneje. Es ahí donde se suele fallar. Todo el mundo, dependiendo del dinero que tenga, va a optar por la solución dentro del cuadrante de Gartner que más o menos le satisfaga, o encaje en el presupuesto, pero no se dan cuenta de que hay que contar con personal experimentado para administrarlo”.

En las organizaciones, según añade Avelino, “piensan que esto de la solución de endpoint es llegar, instalarlo como quien se instala un antivirus, ahí lo dejas y ya está. Piensan que solo hay que actualizarlo cuando toca. Y no es así. Hay que echarle bastantes horas para configurar, analizar eventos, determinar si la solución se está adaptando correctamente o no. En mi centro de trabajo de la Administración del Estado nos hemos gastado bastante dinero, recursos, personal y tiempo en tener un endpoint de calidad”.

Avelino aclara que una solución e endpoint no se instala de hoy a mañana; se instala a mínimo seis meses, y para que funcione bien y con ciertas garantías, hay que pulirla durante un año. Esos tiempos de gestión confirman la máxima de su compañera experta Vera: “hay que valorar de una manera constante las nuevas tendencias en automatización y protección proactiva de los activos de las organizaciones. El futuro es ahora. El crecimiento exponencial de dispositivos portátiles, la variedad creciente de los mismos, las nuevas tecnologías… siempre irán por delante de la seguridad".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper