This post is also available in: Français (Francés) Deutsch (Alemán)
En lo que respecta a la seguridad de la red, ninguna solución brindará la protección necesaria contra la variedad de amenazas a las que se enfrentan las organizaciones. Para disfrutar de una protección más exhaustiva, la combinación de hardware y software proporciona varias capas de seguridad para defender la red de las distintas amenazas. El tiempo, el coste y la mano de obra necesarios para seleccionar cuidadosamente, implementar y mantener estas herramientas suponen una inversión considerable para cualquier organización. Sin embargo, no todos los que están dentro del entorno de la red se encuentran dentro del perímetro y las capacidades de protección de la red no siempre llegan a ellos. Si los endpoints no están protegidos con los productos de seguridad adecuados, estas personas podrían eludir la seguridad del perímetro e introducir amenazas externas en el entorno. La elección de un producto de seguridad del endpoint inadecuado puede anular todo el trabajo que se haya hecho para proteger la red.
A continuación, se proporcionan cinco requisitos que el endpoint debe cumplir para evitar un efecto negativo en la estrategia de seguridad de la red:
1. Integrar la inteligencia sobre amenazas de forma nativa.
Según un estudio del instituto Ponemon realizado en 2016, el 39 % de los encuestados coincidía en afirmar que todos los ataques se pueden bloquear si la organización se implica en compartir la inteligencia sobre amenazas. El uso de la inteligencia global sobre amenazas amplía las capacidades de protección al pasar del conocimiento que aporta una solución a la inteligencia compartida de una comunidad internacional. Cuando otros miembros de la comunidad detectan nuevos ataques, dicha información se comparte para que todos los miembros puedan detectar automáticamente las amenazas conocidas e identificar con rapidez las amenazas desconocidas.
La red y el endpoint deberían compartir la inteligencia sobre amenazas mediante la aplicación en los dispositivos de sus propios entornos de este tipo de inteligencia, que cada vez es mayor. También deberían intercambiar la inteligencia entre sí para que las amenazas que se han identificado y evitado en el endpoint también puedan identificarse y evitarse en la red.
Sin embargo, la inteligencia sobre amenazas por sí misma no es suficiente. La mayoría de las organizaciones que se suscriben a las actualizaciones de inteligencia se ven abrumadas por la cantidad de datos que no pueden correlacionar o convertir en inteligencia útil. Si no cuentan con la posibilidad de convertir automáticamente la inteligencia sobre amenazas en nuevas protecciones, las organizaciones únicamente están comprando más datos. El problema se agrava cuando no hay una integración nativa entre los componentes de un entorno para generar y compartir esa inteligencia sobre amenazas. La utilidad de la inteligencia que no se integra de forma nativa y que no se puede convertir en protecciones nuevas es mínima a menos que se asignen más recursos para ello. El resultado final sería simplemente un proceso de análisis de datos en el que intervienen más personas.
2. Proteger frente a amenazas conocidas y desconocidas.
La mayoría de los productos de seguridad tradicionales están pensados para detectar amenazas conocidas antes de que puedan introducirse en una organización. En muchos casos, en el momento en que se detecta una amenaza desconocida, ya se ha puesto en riesgo la seguridad de activos críticos y la detección es insuficiente y tardía. Además, aunque los atacantes suelan reutilizar técnicas de malware y exploits existentes, también modificarán ataques existentes o crearán otros totalmente nuevos para evitar la detección. Todo ello se traduce en una amplia gama de amenazas indetectables por la mayoría de los productos de seguridad.
La detección y reparación en la red y el endpoint siempre resultan costosas en términos de tiempo y de personal, además de ser poco eficaces. Este problema puede evitarse si tanto la red como el endpoint pueden impedir que las amenazas conocidas y desconocidas tengan éxito. Lo mejor sería que las capacidades de prevención de su solución de seguridad del endpoint no se basen en firmas ni en el conocimiento existente acerca de un ataque o vulnerabilidad, y que incorpore diversos análisis y métodos de prevención para aumentar al máximo la eficacia.
3. Estar automatizada.
Los atacantes tienen a su disposición la automatización, la capacidad de ampliación y herramientas especializadas. En la encuesta “Economics of a Breach” realizada por el instituto Ponemon en 2016 (disponible en inglés), el 68 % de los encuestados afirmó que las herramientas automatizadas a disposición de los atacantes facilitaron que sus ataques tuvieran éxito. Existen una economía y un mercado completos que impulsan la proliferación de estas herramientas a precios asequibles.
Para defenderse de ataques cada vez más sofisticados, las organizaciones emplean soluciones puntuales que suelen ser complejas y requieren mucho personal, aunque según parece insuficientes. Para superar a los atacantes, las organizaciones deben conseguir que cada vez sea más difícil y menos rentable que los ataques tengan éxito. Los participantes en la encuesta anterior afirman que el 60 % de los ataques pueden detenerse si para llevarlo a cabo es necesario invertir 40 horas más. El único modo de lograrlo de forma ampliable y sostenible es mediante la prevención automatizada.
La detección en la red o el endpoint no es ampliable si hay que enviar a un analista de seguridad a investigar las alertas. La automatización convierte a una organización en un objetivo más difícil al retrasar el éxito de un ataque y, por tanto, el pago, lo que provoca que el atacante pase a su próxima víctima potencial.
4. Ofrecer protección constante.
Los usuarios cada vez hacen mayor uso de la tecnología móvil conectándose a recursos internos desde ubicaciones de todo el mundo, fuera del perímetro de la red de la organización. Por tanto, todos los endpoints deberían contar con el mismo nivel de protección, con independencia de la conectividad: con conexión o sin ella, en las instalaciones o fuera de ellas. La consecuencia de la falta de continuidad de esas protecciones será la puesta en riesgo de la seguridad de un endpoint y, muy posiblemente, de la red, sean cuales sean las protecciones de red instaladas. La seguridad del endpoint no debe limitarse al perímetro de la red, donde muchos ciberataques se dirigen a usuarios finales y endpoints, y donde la red carece de visibilidad completa.
5. Proporcionar visibilidad completa de la actividad en la red, el endpoint y la nube.
Los ataques modernos pasan por diversas fases para lograr su objetivo. Para impedir con éxito un ataque, las organizaciones deben tener visibilidad completa de todos los usuarios, los dispositivos y los datos en la red, el endpoint y la nube. Esta visibilidad es necesaria para comprender el contexto de un ataque, hacer cumplir la política de seguridad en la red y los endpoints, y establecer relaciones de las incidencias de seguridad para mejorar la estrategia de seguridad de la organización. Cuando la inteligencia sobre amenazas integrada de forma nativa se combina con la prevención automatizada de amenazas conocidas y desconocidas para proporcionar una protección constante, con independencia de la conectividad o la ubicación, el efecto de sinergia puede mejorar radicalmente la estrategia de seguridad de una organización. De este modo, la organización será menos atractiva a los ojos de los atacantes oportunistas y también se reducirá al mínimo la probabilidad de que se produzca un ataque dirigido con éxito.
Si se elige la solución de seguridad del endpoint inadecuada, los endpoints pueden quedar expuestos a las amenazas; además, esta mala elección puede impedir, o anular, la importante labor realizada para proteger la red. La solución de seguridad del endpoint debería proteger todos los endpoints de forma constante, así como proporcionar capacidades adicionales a otras partes de la organización y reafirmar su estrategia general de seguridad de la red.
Traps, la protección avanzada del endpoint de Palo Alto Networks, utiliza la prevención de varios métodos (en lugar de la detección de brechas de seguridad y la respuesta ante incidentes), diseñados especialmente para bloquear exploits y malware con el fin de evitar amenazas conocidas y desconocidas. Como parte de la plataforma Security Operating Platform de Palo Alto Networks, Traps se integra con WildFire, el servicio de análisis de amenazas basado en la nube, para convertir la inteligencia sobre amenazas en prevención del malware al bloquear con antelación las amenazas antes de que pongan en riesgo la seguridad de un endpoint.