Cómo adoptar un enfoque proactivo para la seguridad del endpoint

• Por Raúl Benito, director general de Qualys para España.

Según Gartner, las empresas actuales están ya realizando grandes cambios en sus estrategias de seguridad del endpoint. Los CISO y los líderes de seguridad desean reemplazar las soluciones de seguridad tradicionales por soluciones de detección y respuesta del endpoint (EDR) y, alrededor del 50% de las organizaciones esperan completar sus actualizaciones para 2023.

¿Cuáles son las razones? La realidad es que los enfoques de seguridad tradicionales no ofrecen la flexibilidad ni la velocidad de respuesta que se necesitan en la actualidad. En el informe de Gartner, los analistas afirman que «las soluciones antivirus más tradicionales ofrecen una protección insuficiente contra las amenazas avanzadas actuales y carecen tanto de velocidad de respuesta como de la capacidad para mostrar el daño causado o la causa del mismo».

Sin embargo, las soluciones EDR no son suficientes por sí solas; se necesitan algunos cambios para que este enfoque tenga éxito en el contexto actual de la seguridad. Porque este ha sido un año, debido a la crisis provocada por el Covid-19, en el que todas las empresas, independientemente de su tamaño, han dado un importante giro hacia el trabajo en remoto. Y esto es algo que, además, no se revertirá en un futuro próximo, ya que son muchas las compañías que ya han afirmado comprometerse con el teletrabajo, al menos, hasta el verano de 2021. Concretamente, Canalys ha señalado que el porcentaje de trabajadores remotos en Europa Occidental crecerá del 12 al 28%.

Hacer que una estrategia de EDR funcione a gran escala

Cuando se trata de manejar una crisis como la del Covid-19 y apostar más por el teletrabajo, las soluciones EDR pueden ser la respuesta que buscan los CISO actuales, si bien, tendrán que realizar algunos cambios de enfoque para acometerla.

Uno de los primeros problemas con los que se encuentran los equipos de seguridad actuales es la gran cantidad de endpoints instalados que requieren soporte. Disponer de un inventario completo de los activos puede hacer que el cambio a EDR sea más efectivo y que no se quede nada fuera. Por el contrario, realizar una implementación de EDR sin esta lista de activos puede hacer que algunos endpoints se pasen por alto, lo que puede significar que ciertos dispositivos no se administren correctamente con el tiempo.

Además, hay que tener en cuenta el hecho de que las soluciones EDR han sido implementadas y ejecutadas tradicionalmente en redes empresariales donde los trabajadores estaban presentes en la propia red de la empresa. Hoy en día, muchos trabajadores se encuentran desempeñando su labor a distancia y dependen por tanto del servicio de Internet de su hogar para conectarse. Para el enfoque EDR tradicional, esto significaría usar algún tipo de red privada virtual (VPN) con el fin de conectar y tratar cada endpoint como parte de la red.

Para las empresas que estaban completamente preparadas para el teletrabajo, con eso puede ser suficiente. Sin embargo, muchas compañías no contaban con soporte VPN completo para todos sus empleados, lo que puede dificultar la gestión de estas soluciones. En su lugar, serán necesarios servicios basados ​​en la nube que puedan conectarse a todos los endpoints por igual, independientemente de la ubicación, lo que simplificará el proceso de actualización y asegurará que las iniciativas de detección y respuesta puedan ser escaladas.

Aplicando inteligencia sobre amenazas y EDR

Uno de los elementos más importantes en una implementación de soluciones EDR es el uso concreto de la inteligencia sobre amenazas. Esta inteligencia representa la fuente de información de incidentes y ataques que se están descubriendo a lo largo del tiempo y estas amenazas pueden ser detectadas a través de los endpoints.

Cuando se detecta una amenaza o actividad sospechosa, se debe actuar rápidamente para interpretar dicha información y tomar las medidas necesarias para evitar daños mayores.  Disponer de una inteligencia de amenazas adecuada es esencial para lograrlo. Sin embargo, hay que tener en cuenta que no todas las fuentes de inteligencia de amenazas se crean de la misma manera: las fuentes de amenazas pueden ser diferentes según las empresas y la gestión de datos de múltiples fuentes siempre puede resultar un punto problemático.

Todo esto puede hacer que sea más difícil actuar con celeridad: bien porque se pierda la información oportuna, o porque se tenga que trabajar en la consolidación de dichos datos de forma independiente. Asimismo, incorporar fuentes de inteligencia de amenazas externas a una solución EDR también puede generar un coste adicional. Este no debería ser el caso; no se debería penalizar de ningún modo en términos de tiempo o coste por utilizar fuentes de datos adicionales que mejoren una solución EDR.

Ser proactivo con EDR

Normalmente, se utiliza una solución EDR cuando se descubre un problema. Una solución EDR descubre malware que se ha descargado y ha explotado una vulnerabilidad y luego lleva a cabo un seguimiento para descubrir cómo ese malware comprometió la seguridad. Este proceso muestra cualquier cadena de eventos que haya tenido lugar para ayudar a evitar que vuelva a suceder lo mismo.

No obstante, esta estrategia es muy reactiva. Si bien la solución EDR hace que el proceso de limpieza sea más fácil y automatizado, no ayuda a prevenir problemas antes de que estos sucedan. Por tanto, es importante centrarse en cómo ser más proactivo en el futuro.

Para lograrlo se deben completar dos tareas. La primera, buscar las vulnerabilidades que existen y luego asegurarse de que estos problemas se solucionen. La segunda, utilizar el inventario de activos cuando se descubre un problema de malware. El enfoque de EDR no solo debe ayudarlo a investigar cómo se explotó un problema, sino que también debería simplificar la visualización de otros dispositivos o activos que tienen el mismo problema en potencia.

Con estos procesos implementados, y disponiendo de los datos correctos, el equipo de seguridad puede inspeccionar otros endpoints en la infraestructura híbrida en busca de vulnerabilidades explotables, configuraciones erróneas basadas en MITRE, software no autorizado o al final de su vida útil, así como sistemas que carezcan de parches críticos. Una vez que se descubre un problema, el proceso de corrección debe automatizarse tanto como sea posible para ayudar a los empleados dondequiera que se encuentren. Esto debería funcionar del mismo modo, tanto si los empleados están dentro de la red corporativa o, como es más probable, si se hallan conectados de forma remota.

En conclusión, el cambio hacia el teletrabajo afectará a empresas de todos los tamaños y, dado que se espera que el número de trabajadores desde casa aumente a más del doble, el reto es de gran envergadura para los equipos de seguridad. Sin embargo, contando de antemano con una mayor carga de actividad y respuesta, la realidad es que nos encontramos ante una oportunidad única a la hora de implementar procesos más proactivos y que permitan que la administración de todo este importante número de teletrabajadores sea, incluso, una tarea más sencilla para los equipos de seguridad.