La ciberseguridad para endpoints con EDR, evoluciona con ciberinteligencia

Ciudad de México, 5 de agosto de 2022

Por: Francisco René Mendoza, Business Development Manager.

El creciente número de ataques a usuarios y empresas en todo el mundo ha hecho que la ciberseguridad ponga especial atención en la seguridad especializada para enpoints. Ya que los dispositivos de los usuarios son uno de los objetivos principales que los cibercriminales aprovechan para explotar sus vulnerabilidades y atacar a las organizaciones.

La necesidad del trabajo remoto, la educación a distancia y el uso en general de dispositivos móviles ha resultado en un aumento de brechas existentes en las redes empresariales y por ende un crecimiento considerable de ataques como: Ransomware móvil, ataques de IoT, dispositivos iOS y Android, redes Wi-Fi, registros robados o filtrados debido a mala configuración, entre otros.

La importancia de que las organizaciones evolucionen e integren tecnología capaz de protegerlos, más allá del perímetro, con ciberinteligencia de datos y análisis de comportamiento es vital para la continuidad del negocio y la seguridad de su información.

Muchas empresas actualmente continúan confiando en los antivirus que implementaron hace años, sin embargo, la mayoría de estas soluciones no evolucionaron y han quedado obsoletas ante los ataques que son cada día más sofisticados y tienen el objetivo de vulnerar fácilmente a quienes no invierten en herramientas adecuadas para hacer frente a la ciberdelincuencia.  

Si bien, las soluciones locales siguen siendo los principales mecanismos de defensa para los centros de datos de muchas organizaciones, la desaparición del perímetro de seguridad en la red tradicional ha impulsado la necesidad de pasar a la seguridad en la nube. Entre sus múltiples beneficios, llama la atención la generación de ahorros significativos en talento ya que no se requiere múltiples especialistas para su gestión y esto gracias a la capacidad que caracteriza a las soluciones con tecnología  EDR (Endpoint Detection and Response), que facilitan que un gestor implemente y administre todos los dispositivos de la organización a través de una única consola con visibilidad de amenazas en tiempo real tanto en equipos portátiles, de escritorio, dispositivos móviles y servidores como en cargas de trabajo en la nube.

La tecnología EDR tiene capacidad de detección y respuesta inmediata, analiza toda la información que generan cientos o miles de endpoints de una empresa, correlacionándolos para identificar todos los indicadores de compromiso de los dispositivos y el comportamiento de los usuarios que los utilizan. De esta forma es posible analizar la huella digital de un gran número de datos para detectar irregularidades, incluso al ser archivos de diversa procedencia pero que intentan hacer el mismo daño a distintos usuarios de la misma organización.

Soluciones como Symantec Endpoint Security con EDR se complementan con una red de inteligencia donde se colocan sensores para las organizaciones que protegen, con el objetivo de recolectar datos de forma segura para crear un banco de información de los indicadores de compromiso y comportamiento que ayudan a identificar riesgos de modo más preciso y ágil para el analista de la organización. Aprovechando así, en conjunto la administración guiada por Inteligencia Artificial (IA) para establecer políticas de seguridad sólidas con menos errores de configuración, mejorando la higiene y la postura de seguridad general.

Algo interesante de estas herramientas son sus características para mantenerse siempre actualizadas con base en las necesidades y el crecimiento de cada organización, gracias a una serie de componentes que se pueden ir sumando como parte de su escalabilidad. Un excelente ejemplo sería la tecnología DLP (Data Loss Prevention), que da a los usuarios visibilidad precisa de la ubicación y movimientos de los datos confidenciales, evitando totalmente la exposición accidental por parte de usuarios de la nube sin experiencia o errores de configuración.

Por último, su característico control de navegación a nivel de red es un jugador muy importante para hacer frente a casos donde los usuarios desconocen riesgos comunes, que en muchos casos han llegado a costar a las empresas millones de pesos al verse en la penosa necesidad de pagar para recuperar la información. 

Aunado a esto, su integración con herramientas especializadas para la gestión del activo, ayudan a unificar las políticas de seguridad cuando las organizaciones tienen mal configurados los dispositivos o hacen un mal uso de sus equipos. De esta forma, el administrador central puede implementar configuraciones adecuadas en todos los equipos, para evitar que los usuarios sean vulnerados, ya que en muchas ocasiones desconocen la información o el contexto de qué tipo de políticas o configuración de su dispositivo.  

Hoy la ciberseguridad de un endpoint permite cada vez menos el acceso libre a información crítica para la operación de una empresa, hemos pasado del perímetro a la categorización del dato y el nivel de protocolos que exige para su acceso, debido a su nivel de relevancia para la continuidad del negocio.

Angie Díaz Coránguez, maria.diaz@umi.com.mx