Las arquitecturas en la nube y las plantillas remotas han disuelto de hecho el perímetro de la red, la tradicional línea de defensa de la seguridad informática. Al carecer de ese límite decisivo, el trabajo de los equipos de seguridad ha cambiado. Ahora, para protegerse contra las filtraciones de datos, el ransomware y otros tipos de ciberamenazas, proteger los puntos finales de la red es más importante que nunca.
Pero proteger los puntos finales es una prioridad con un alcance enorme. Los puntos finales lo abarcan todo, desde los portátiles, los ordenadores de sobremesa y las tabletas de los empleados hasta los servidores locales, los contenedores y las aplicaciones que se ejecutan en la nube. La seguridad de los puntos finales requiere una estrategia integral y flexible que va mucho más allá de lo que los equipos de seguridad confiaban hace una década o más. Entonces, los activos de TI estaban casi todos en las instalaciones y protegidos por un cortafuegos. Esos días han pasado a la historia.
El ransomware sigue evolucionando
El ransomware sigue siendo una gran amenaza para organizaciones de todos los tamaños. Después de disminuir durante un par de años, los ataques de ransomware están aumentando de nuevo. Aumentaron un 23% de 2021 a 2022.
No solo los ataques son más frecuentes, también son más perturbadores. En 2021, el 26 % de los ataques provocaron interrupciones que duraron una semana o más. En 2022, esa cifra aumentó al 43%.
De media, cada uno de estos ataques costó a su víctima 4,54 millones de dólares, incluidos los pagos de rescates realizados, así como los costes de reparación. Por muy malas que sean estas cifras, están a punto de empeorar. Esto se debe a que en el último año, los atacantes han adoptado nuevos modelos para extorsionar a las víctimas.
Ataques por correo electrónico comercial
Otra forma frecuente de ataque es el correo electrónico comercial comprometido (BEC), en el que los delincuentes envían un correo electrónico haciéndose pasar por un contacto comercial de confianza, como el director general de una empresa, un director de recursos humanos o un responsable de compras. El correo electrónico, a menudo escrito para transmitir una sensación de urgencia, da instrucciones al destinatario para que pague una factura, transfiera dinero, envíe información W-2, envíe números de serie de tarjetas regalo o realice alguna otra acción que parezca legítima, aunque sea inusual. Si el destinatario sigue estas instrucciones, el dinero o los datos solicitados se envían realmente a los delincuentes, no al supuesto destinatario.
Entre junio de 2016 y diciembre de 2021, el FBI registró más de 240.000 denuncias nacionales e internacionales sobre ataques BEC, que acumulativamente provocaron pérdidas por valor de 43.000 millones de dólares. Puede que el ransomware ocupe más titulares, pero los ataques BEC son 64 veces más costosos. Y son cada vez más frecuentes, aumentando un 65% entre 2019 y 2021.
La monitorización de endpoints no detendrá un ataque BEC. Pero podría decirte un poco más sobre la persona que abrió el correo electrónico y lo que hizo con él. El contexto puede darte las pistas que necesitas para determinar si el ataque forma parte de una campaña más amplia, llegando a otros destinatarios con mensajes engañosos.
Consejos prácticos para la gestión de endpoints
¿Cómo deben responder los CIO y otros responsables de TI a estas amenazas en constante evolución? He aquí cinco consejos.
1. Considere los endpoints como el nuevo borde de la red.
Con tanta gente trabajando a distancia y el 48% de las aplicaciones ejecutándose en la nube, es hora de reconocer que la nueva línea de defensa está alrededor de cada endpoint, independientemente de dónde se encuentre y del tipo de conexión de red -PN o no- con la que funcione.
2. Identifique todos los dispositivos que se conectan a la red, incluso los personales no autorizados oficialmente.
No se puede asegurar lo que no se puede gestionar. Y no puedes gestionar lo que no conoces. Los Centros de Operaciones de Seguridad (SOC) necesitan conocer todos los endpoints de los que son responsables. Las auditorías de las redes empresariales suelen revelar que los sistemas de gestión de puntos finales no detectan alrededor del 20% de ellos. Los equipos de los SOC deben implantar herramientas y procesos que garanticen que disponen de un inventario completo de los puntos finales y que pueden supervisar su estado en tiempo real.
3. Parchear continuamente.
Los parches siempre han sido importantes para garantizar que los terminales tengan acceso a las últimas funciones y correcciones de errores. Pero ahora que las vulnerabilidades del software se han convertido en una importante vía de entrada para los atacantes, es de vital importancia asegurarse de que los parches se aplican con prontitud. Las organizaciones no pueden esperar responder a ataques a la cadena de suministro como el de Log4j sin poner en marcha soluciones automatizadas para las listas de materiales de software y la aplicación de parches.
4. Simulacros.
Una vez que se dispone de un plan de ciberseguridad, un conjunto de herramientas de ciberseguridad y personal formado, es importante practicar la búsqueda de amenazas y la respuesta a ataques de todo tipo. Resulta útil adoptar un enfoque de equipo rojo/equipo azul, asignando a un equipo de analistas de seguridad la tarea de irrumpir en una red mientras otro equipo intenta defenderla. Estos simulacros casi siempre descubren lagunas en la cobertura de seguridad. Los simulacros también ayudan a los equipos a generar confianza y a trabajar juntos de forma más eficaz.
5. Obtenga el contexto del punto final.
Cuando se producen ataques, es importante responder lo antes posible. Para responder con eficacia, los equipos de seguridad deben saber qué está ocurriendo en los puntos finales afectados, independientemente de dónde se encuentren. ¿Qué procesos se están ejecutando? ¿Qué tráfico de red se está produciendo? ¿Qué archivos se han descargado recientemente? ¿Cuál es el estado de los parches?
A menudo, los analistas necesitan respuestas en cuestión de minutos desde puntos finales situados a miles de kilómetros de distancia. Y no tienen tiempo para instalar nuevo software o esperar que el usuario remoto pueda ayudarles a establecer una conexión. Los equipos de seguridad necesitan disponer de un sistema para analizar los endpoints y recopilar estos datos, de modo que cuando se produzca cualquier tipo de ataque -incluso ataques como los BEC- puedan recopilar la información contextual necesaria para comprender qué ha ocurrido y qué amenazas siguen activas.
Las ciberamenazas son cada vez más frecuentes, más sofisticadas y más difíciles de identificar y rastrear. Para obtener más consejos -cinco más, de hecho- sobre cómo reducir el riesgo de ciberataques y garantizar que, cuando se produzcan, puedan contenerse de forma rápida y eficaz.
Fuente: CIO
Comments