Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

Cada segundo cuenta en la protección de endpoints: ¿por qué es importante el tiempo real?

Actualizado: 28 de oct de 2020


Cuando se trata de incendios forestales, como los incendios devastadores que han devastado gran parte de Australia o los incendios crónicos que han asolado el sur y el norte de California durante los últimos años, cada segundo cuenta. 


Los bomberos experimentados deben hacer mucho más que simplemente apagar un fuego con agua. Los recursos esenciales de extinción de incendios deben almacenarse en las áreas de mayor riesgo y distribuirse adecuadamente. Los equipos de extinción de incendios deben coordinar la información entre los expertos en clima y los bomberos en tierra y en el aire para predecir la dirección en la que se dirigirá un incendio y luego cortarlo con cortafuegos y retardadores.


Se deben realizar esfuerzos adicionales para proteger estructuras valiosas e infraestructura crítica, y eso solo puede suceder si los puntos de referencia se identifican antes de que comience un incendio. Y los planes de evacuación y las rutas de escape deben estar pre-designados y protegidos, con rutas alternativas en su lugar, para que las víctimas puedan escapar del peligro.


Por supuesto, la mejor estrategia de extinción de incendios siempre comienza con la prevención. La maleza se quita, las líneas divisorias ya están en su lugar, las casas están mapeadas y separadas de las áreas vulnerables mediante la tala de bosques desde los límites de la propiedad. Pero a pesar de los mejores preparativos, los fuertes vientos y la yesca seca simplemente siempre harán que algunas regiones del mundo sean más propensas a los incendios forestales.


De los incendios forestales a los puntos finales: los principios siguen siendo los mismos


Los mismos principios se aplican exactamente a la seguridad de los terminales. Cuando un dispositivo es atacado con malware, especialmente ransomware, si no reaccionas de inmediato, la pelea termina y habrás perdido. Tenga en cuenta que WannaCry solo tarda 3 segundos en cifrar un archivo. Y NotPetya, el arma cibernética diseñada para propagarse automática y rápidamente, fue el ataque más rápido hasta la fecha. Cuando sus víctimas vieron la advertencia en su pantalla, su centro de datos ya no estaba. 


Y lo que es peor, un ataque de este tipo puede extenderse rápidamente a otros dispositivos y, sin un plan de intervención, perderá la oportunidad de evitar que esas amenazas se propaguen como la pólvora en su organización. 


Debido a estos y, literalmente, miles de otros ataques de endpoints de alto perfil, todos deberían saber que los endpoints son solo uno de esos lugares en la red cargados de yesca seca y fuertes vientos que esperan una chispa que los active.


De hecho, según un informe de  IDC , el 70% de todas las brechas de red exitosas comienzan en dispositivos terminales. La cantidad de vulnerabilidades explotables del sistema operativo y de las aplicaciones, la mayoría de ellas sin parches, simplemente hace que los terminales sean un objetivo irresistible para los ciberdelincuentes. 


Y aunque la mayoría de los CISO estarían de acuerdo en que la prevención es importante, el 100% de efectividad simplemente no es realista. Los parches no solo son intermitentes, sino que todas las actualizaciones de seguridad se encuentran detrás de los brotes de amenazas, los ataques de día cero pueden pasar por alto los sistemas de seguridad, y siempre habrá algunas personas en su organización que no podrán resistirse a hacer clic en ese archivo adjunto de correo electrónico malicioso.


Como resultado, los equipos de seguridad deben operar bajo el supuesto de que sus puntos finales eventualmente se verán comprometidos. Y es por eso que, además de la prevención, la detección y la contención en tiempo real es fundamental. 


Los retrasos en la detección y respuesta mantienen a las organizaciones en riesgo


El primer paso es comprender los tipos de amenazas en juego. Desde el punto de vista del tiempo, existen incendios forestales, como el ransomware, que pueden arruinar un sistema en segundos. Y luego están las amenazas de combustión lenta diseñadas para robar datos lentamente y con el tiempo.


A pesar de toda la prensa que reciben los ataques de ransomware, la mayoría de las violaciones de datos confirmadas tienen un tiempo de permanencia prolongado. De hecho, el  tiempo medio promedio  para identificar una amenaza es de 197 días y otros 69 días para contener una infracción.


Desafortunadamente, este es el punto de referencia para el que se diseñaron las herramientas de detección y respuesta de endpoints (EDR) de primera generación. Se suponía que había tiempo suficiente para responder manualmente a una amenaza de combustión lenta.


Y, de hecho, la industria de la seguridad de terminales ha logrado un progreso importante en la velocidad de detección (tiempo medio para detectar o MTTD), reduciendo los tiempos de detección de semanas a días o incluso horas. Pero eso no es nada reconfortante para las organizaciones que se enfrentan a un ataque de ransomware de alta velocidad.


E incluso si una herramienta EDR es capaz de detectar un ataque en tiempo real, ¿de qué sirve si luego se tarda una hora o más en contener manualmente la amenaza? Si se trata de un ataque de ransomware, sus datos ya se han ido y no necesita la ayuda del EDR con la detección.


El poder de la solución de respuesta y detección de endpoints de Fortinet


FortiEDR fue diseñado con un único objetivo claro en mente: evitar que los atacantes logren sus objetivos, ya sea la