Treo Blog

Cada segundo cuenta en la protección de endpoints: ¿por qué es importante el tiempo real?

Actualizado: hace 2 días


Cuando se trata de incendios forestales, como los incendios devastadores que han devastado gran parte de Australia o los incendios crónicos que han asolado el sur y el norte de California durante los últimos años, cada segundo cuenta. 


Los bomberos experimentados deben hacer mucho más que simplemente apagar un fuego con agua. Los recursos esenciales de extinción de incendios deben almacenarse en las áreas de mayor riesgo y distribuirse adecuadamente. Los equipos de extinción de incendios deben coordinar la información entre los expertos en clima y los bomberos en tierra y en el aire para predecir la dirección en la que se dirigirá un incendio y luego cortarlo con cortafuegos y retardadores.


Se deben realizar esfuerzos adicionales para proteger estructuras valiosas e infraestructura crítica, y eso solo puede suceder si los puntos de referencia se identifican antes de que comience un incendio. Y los planes de evacuación y las rutas de escape deben estar pre-designados y protegidos, con rutas alternativas en su lugar, para que las víctimas puedan escapar del peligro.


Por supuesto, la mejor estrategia de extinción de incendios siempre comienza con la prevención. La maleza se quita, las líneas divisorias ya están en su lugar, las casas están mapeadas y separadas de las áreas vulnerables mediante la tala de bosques desde los límites de la propiedad. Pero a pesar de los mejores preparativos, los fuertes vientos y la yesca seca simplemente siempre harán que algunas regiones del mundo sean más propensas a los incendios forestales.


De los incendios forestales a los puntos finales: los principios siguen siendo los mismos


Los mismos principios se aplican exactamente a la seguridad de los terminales. Cuando un dispositivo es atacado con malware, especialmente ransomware, si no reaccionas de inmediato, la pelea termina y habrás perdido. Tenga en cuenta que WannaCry solo tarda 3 segundos en cifrar un archivo. Y NotPetya, el arma cibernética diseñada para propagarse automática y rápidamente, fue el ataque más rápido hasta la fecha. Cuando sus víctimas vieron la advertencia en su pantalla, su centro de datos ya no estaba. 


Y lo que es peor, un ataque de este tipo puede extenderse rápidamente a otros dispositivos y, sin un plan de intervención, perderá la oportunidad de evitar que esas amenazas se propaguen como la pólvora en su organización. 


Debido a estos y, literalmente, miles de otros ataques de endpoints de alto perfil, todos deberían saber que los endpoints son solo uno de esos lugares en la red cargados de yesca seca y fuertes vientos que esperan una chispa que los active.


De hecho, según un informe de  IDC , el 70% de todas las brechas de red exitosas comienzan en dispositivos terminales. La cantidad de vulnerabilidades explotables del sistema operativo y de las aplicaciones, la mayoría de ellas sin parches, simplemente hace que los terminales sean un objetivo irresistible para los ciberdelincuentes. 


Y aunque la mayoría de los CISO estarían de acuerdo en que la prevención es importante, el 100% de efectividad simplemente no es realista. Los parches no solo son intermitentes, sino que todas las actualizaciones de seguridad se encuentran detrás de los brotes de amenazas, los ataques de día cero pueden pasar por alto los sistemas de seguridad, y siempre habrá algunas personas en su organización que no podrán resistirse a hacer clic en ese archivo adjunto de correo electrónico malicioso.


Como resultado, los equipos de seguridad deben operar bajo el supuesto de que sus puntos finales eventualmente se verán comprometidos. Y es por eso que, además de la prevención, la detección y la contención en tiempo real es fundamental. 


Los retrasos en la detección y respuesta mantienen a las organizaciones en riesgo


El primer paso es comprender los tipos de amenazas en juego. Desde el punto de vista del tiempo, existen incendios forestales, como el ransomware, que pueden arruinar un sistema en segundos. Y luego están las amenazas de combustión lenta diseñadas para robar datos lentamente y con el tiempo.


A pesar de toda la prensa que reciben los ataques de ransomware, la mayoría de las violaciones de datos confirmadas tienen un tiempo de permanencia prolongado. De hecho, el  tiempo medio promedio  para identificar una amenaza es de 197 días y otros 69 días para contener una infracción.


Desafortunadamente, este es el punto de referencia para el que se diseñaron las herramientas de detección y respuesta de endpoints (EDR) de primera generación. Se suponía que había tiempo suficiente para responder manualmente a una amenaza de combustión lenta.


Y, de hecho, la industria de la seguridad de terminales ha logrado un progreso importante en la velocidad de detección (tiempo medio para detectar o MTTD), reduciendo los tiempos de detección de semanas a días o incluso horas. Pero eso no es nada reconfortante para las organizaciones que se enfrentan a un ataque de ransomware de alta velocidad.


E incluso si una herramienta EDR es capaz de detectar un ataque en tiempo real, ¿de qué sirve si luego se tarda una hora o más en contener manualmente la amenaza? Si se trata de un ataque de ransomware, sus datos ya se han ido y no necesita la ayuda del EDR con la detección.


El poder de la solución de respuesta y detección de endpoints de Fortinet


FortiEDR fue diseñado con un único objetivo claro en mente: evitar que los atacantes logren sus objetivos, ya sea la exfiltración de datos o el sabotaje, deteniendo su ataque. Al comprender la naturaleza del comportamiento del ransomware y ataques similares de alta velocidad, FortiEDR tiene la capacidad única de desactivar y desarmar una amenaza en tiempo real, incluso después de que un endpoint ya esté infectado.


FortiEDR hace esto con su tecnología de seguimiento de código centrada en el sistema operativo, lo que le permite detectar de inmediato procesos y comportamientos sospechosos, incluidos los ataques en memoria.


Tan pronto como FortiEDR detecta algo sospechoso, no espera. Se mueve inmediatamente para desactivar una amenaza potencial al bloquear las comunicaciones externas al servidor de comando y control (C&C) y negar el acceso al sistema de archivos. Estos pasos evitan inmediatamente la exfiltración de datos, el movimiento lateral y el cifrado de ransomware, lo que lo protege de la pérdida de datos. 


5 etapas de protección FortiEDR


Para profundizar un poco más en el proceso, FortiEDR protege los puntos finales en las siguientes CINCO etapas:


  • Descubrir y  predecir: FortiEDR descubre y mitiga de forma proactiva la superficie de ataque del endpoint. Para ello, proporciona visibilidad de dispositivos y aplicaciones no autorizados, identifica vulnerabilidades en sistemas o aplicaciones y mitiga de forma proactiva los riesgos con parches virtuales. 

  • Prevenir: el antivirus de próxima generación basado en kernel proporciona una prevención automatizada del malware basado en archivos. Cuando se combinan fuentes de inteligencia de amenazas basadas en la nube que se actualizan continuamente y el aprendizaje automático, FortiEDR también se volverá más inteligente con el tiempo para identificar las amenazas de manera más efectiva. 

  • Detectar y desactivar: mediante la detección basada en el comportamiento, FortiEDR es la única solución que brinda protección posterior a la infección para detener la violación y el daño del ransomware en tiempo real. 

  • Responder y remediar: con sus guías, los equipos de seguridad pueden orquestar las operaciones de respuesta a incidentes, optimizar y automatizar los procesos de respuesta y corrección de incidentes, y mantener las máquinas afectadas en línea para evitar interrumpir a los usuarios y alterar el negocio sin exponer la red a riesgos.

  • Investigar y  buscar: FortiEDR proporciona información detallada sobre amenazas para respaldar la investigación forense. Su interfaz guiada única proporciona una guía útil, mejores prácticas y sugiere los próximos pasos lógicos para los analistas de seguridad. 


Autor:

https://www.fortinet.com/blog/business-and-technology/every-second-counts-in-endpoint-protection-why-real-time-matters



 

7 vistas
D&S colores.png

Un Servidor en Quien Confiar

Servicio al cliente:

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

Peticiones quejas y reclamos:

pqr.datayservice@datayservice.com

 

 © Data&Service, todos los derechos reservados.