Un EndPoint es un dispositivo informático remoto que se comunica con una red a la que está conectado. Los ejemplos de EndPoint incluyen: ordenadores de escritorio, portátiles, tablets, servidores, estaciones de trabajo; Los EndPoint representan puntos clave de entrada vulnerables para los ciberdelincuentes. Los EndPoint son donde los atacantes ejecutan códigos para explotar vulnerabilidades, y donde hay activos para ser encriptados, exfiltrados o apalancados.

Las soluciones de seguridad de los EndPoint son deficientes en la actualidad, a pesar de las importantes lagunas, las vulnerabilidades en la seguridad y el elevado temor a una violación de la seguridad. El hecho de que los EndPoint son el punto más vulnerable para los ataques debería aumentar la preocupación.

El origen de las vulnerabilidades

Algunas de las lagunas y vulnerabilidades en la seguridad de los EndPoint son la falta de despliegue completo y regular de parches de software, las lagunas en el bloqueo de aplicaciones y la continua aparición “Shadow TI” (software no autorizado por TI).

Las empresas no se acercan a una cobertura completa en la aplicación de parches a algunos de los sistemas más arriesgados, entre los que se encuentran los sistemas de EndPoint. Hay retos que ponen de manifiesto cómo puede ocurrir esto, como cuando los dispositivos son BYOD (Bring your own device – llevar equipo personal). Estos activos no están en la red corporativa el suficiente tiempo como para garantizar una ventana en la que la empresa esté segura de que la está llevando a un cierto estándar de perfección en la seguridad.

Durante esas ventanas de oportunidad, la empresa puede utilizar herramientas como NAC (Network Acces Control – Control de acceso a redes) para impedir el acceso a la red corporativa por parte de los EndPoint hasta que las aplicaciones de seguridad basadas en el dispositivo, como el antivirus y el antimalware, se actualicen, realicen un análisis exhaustivo del dispositivo y lo limpien. El software de seguridad es sólo una capa de la protección necesaria y no es suficiente para garantizar una cobertura adecuada de los EndPoint.

Los dispositivos parte del IoT (Internet of things) que son dispositivos capaces de adquirir información y comunicarse a la red con varios dispositivos, no son lo suficientemente potentes como para soportar las soluciones de seguridad tradicionales para los EndPoint. Es más difícil implementar capacidades de detección y prevención de intrusiones basadas en el host debido a la limitada potencia de procesamiento, almacenamiento y memoria. Por ejemplo, una impresora inteligente conectada a la red es un dispositivo IoT, sin embargo, su capacidad de procesamiento impide ejecutar software de seguridad como antivirus, antimalware, etc.

El uso del bloqueo de aplicaciones es cada vez mayor, pero todavía hay lagunas en el despliegue de este tipo de soluciones. El “Shadow TI” es una vulnerabilidad creciente con el aumento de los tipos de BYOx (Bring Your Own Everything, incluyendo BYOA – usar aplicaciones propias, BYOC – usar servicios cloud personales) no autorizados que la gente trae o utiliza para el trabajo porque la TI no lo soporta y puede que ni siquiera sea consciente de que está ahí.

Las lagunas y vulnerabilidades en la protección de los EndPoint existen mucho más allá de los dispositivos de los empleados. El IoT tiene la protección de puntos finales más débil porque tiene los recursos de dispositivos más débiles. Los dispositivos IoT no son lo suficientemente potentes como para soportar las soluciones tradicionales de seguridad de EndPoint. Es más difícil implementar capacidades de detección y prevención de intrusiones basadas en el host debido a la limitada potencia de procesamiento, almacenamiento y memoria.

Proteger los EndPoint, aliviar los temores

Las empresas deben aplicar las mejores prácticas para la aplicación de parches, que requieren entornos de prueba para cualquier sistema que se incluya en los esfuerzos de gestión de parches. Además, utilizar políticas para automatizar el envío de los parches probados a los dispositivos, lo que debería ocurrir en el plazo de una semana tras la finalización satisfactoria de las pruebas.

Realizar pruebas de parches y promoción a producción para tantos sistemas como pueda, incluyendo al menos los navegadores, aplicaciones y sistemas operativos más populares. De igual manera establecer un mejor control de las aplicaciones. Como ocurre con cualquier herramienta de seguridad, es poco probable que los productos de control de aplicaciones se adapten a su entorno de EndPoint nada más sacarlos de la caja. Los administradores tendrán que aprender y configurar el software y sus ajustes según se apliquen a cada EndPoint. No basta con comprar el producto y lanzarlo a la red.

Para ajustar el control de las aplicaciones a sus flotas de dispositivos, despliegue las herramientas de listas negras/blancas de forma gradual con el fin de abordar las necesidades únicas de cada punto final y denegar adecuadamente las aplicaciones por defecto. La empresa debe aumentar los controles de las aplicaciones validando de forma proactiva cualquier cambio en el entorno (archivo, registro, controlador); la empresa debe hacerlo identificando el tipo de cambio utilizando los últimos servicios de inteligencia sobre amenazas.

Al mantener una imagen de copia de seguridad original que incluya el sistema operativo del dispositivo, las aplicaciones, la política del dispositivo y los controles necesarios para ese punto final, la empresa tendrá un punto de referencia para detectar cambios. Los controles y el bloqueo de aplicaciones pueden defenderse contra cualquier cambio detectado y no autorizado, basándose en las diferencias entre la imagen y el contenido del terminal activo.

La empresa debería actualizar activamente esta línea de base de la imagen original a medida que salgan nuevos parches para un control óptimo y la reducción de ataques.

Si los dispositivos IoT tienen la capacidad energética y otros recursos para servir de base a las tecnologías de seguridad basadas en los EndPoint, los que se deben buscar son los IDS/IPS (Sistemas de Detección de Intrusos/Sistemas de Protección de Intrusos), que en este caso se instalarán en cada dispositivo. Los IDS/IPS de red, junto con los datos de reputación de una solución de inteligencia de amenazas madura, se centrarán en los atacantes que intentan controlar los dispositivos IoT en la actualidad. Por ejemplo, una solución de inteligencia de amenazas avanzada examina el tráfico de la red utilizando motores de sandboxing y detección para localizar virus, malware, servidores de comando y control y transmisiones, y cualquier signo de amenazas.

Extender la esperanza

Aunque los EndPoint son una superficie de ataque cada vez más amplia, los beneficios y las ventajas simplemente de la IoT y la movilidad, por ejemplo, siguen siendo mayores que los riesgos. Las empresas tendrán que extenderse para asegurarse de que están aprovechando al máximo el uso adecuado de las medidas de seguridad existentes que sí ayudan. Las empresas deben seguir instando a los proveedores a producir opciones de seguridad específicas para EndPoint cada vez más avanzadas.

Fuente: CSO Magazine