Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Isabela Garcia Salazar

Cada segundo cuenta en la protección de endpoints: por qué es importante el tiempo real

Realizado por: Fortinet


Cuando se trata de incendios forestales, como los incendios devastadores que han devastado gran parte de Australia o los incendios crónicos que han asolado tanto el sur como el norte de California durante los últimos años, cada segundo cuenta.

Los bomberos experimentados deben hacer mucho más que simplemente apagar un fuego con agua. Los recursos esenciales de extinción de incendios deben almacenarse en las áreas de mayor riesgo y distribuirse adecuadamente. Los equipos de extinción de incendios deben coordinar la información entre los expertos en clima y los bomberos en tierra y en el aire para predecir la dirección en que se dirigirá un incendio y luego cortarlo con cortafuegos y retardadores. Se deben realizar esfuerzos adicionales para proteger estructuras valiosas e infraestructura crítica, y eso solo puede suceder si los puntos de referencia se identifican antes de que comience un incendio. Y los planes de evacuación y las rutas de escape deben estar pre-designados y protegidos, con rutas alternativas en su lugar, para que las víctimas puedan escapar del peligro.

Por supuesto, la mejor estrategia de extinción de incendios siempre comienza con la prevención. La maleza se quita, las líneas divisorias ya están en su lugar, las casas están mapeadas y separadas de las áreas vulnerables mediante la tala de bosques desde los límites de la propiedad. Pero a pesar de los mejores preparativos, los fuertes vientos y la yesca seca simplemente siempre harán que algunas regiones del mundo sean más propensas a los incendios forestales.


De los incendios forestales a los puntos finales: los principios siguen siendo los mismos

Los mismos principios se aplican exactamente a la seguridad de los terminales . Cuando un dispositivo es atacado con malware, especialmente ransomware, si no reaccionas de inmediato, la pelea termina y habrás perdido. Tenga en cuenta que WannaCry solo tarda 3 segundos en cifrar un archivo. Y NotPetya, el arma cibernética diseñada para propagarse automática y rápidamente, fue el ataque más rápido hasta la fecha. Para cuando las víctimas vieron la advertencia en su pantalla, su centro de datos ya no estaba.

Y lo que es peor, un ataque de este tipo puede extenderse rápidamente a otros dispositivos y, sin un plan de intervención, perderá la oportunidad de evitar que esas amenazas se propaguen como la pólvora en su organización.


Debido a estos y literalmente miles de otros ataques de endpoints de alto perfil, todos deberían saber que los endpoints son solo uno de esos lugares en la red cargados de yesca seca y fuertes vientos que esperan una chispa que los active. De hecho, según un informe de IDC , el 70% de todas las brechas de red exitosas comienzan en dispositivos terminales. La cantidad de vulnerabilidades explotables del sistema operativo y las aplicaciones, la mayoría de ellas sin parches, simplemente convierte a los endpoints en un objetivo irresistible para los ciberdelincuentes.


Y aunque la mayoría de los CISO estarían de acuerdo en que la prevención es importante, el 100% de efectividad simplemente no es realista. Los parches no solo son intermitentes, sino que todas las actualizaciones de seguridad se encuentran detrás de los brotes de amenazas, los ataques de día cero pueden pasar por alto los sistemas de seguridad, y siempre habrá algunas personas en su organización que no podrán resistirse a hacer clic en ese adjunto de correo electrónico malicioso. . Como resultado, los equipos de seguridad deben operar bajo el supuesto de que sus puntos finales eventualmente se verán comprometidos. Y es por eso que, además de la prevención, la detección y la contención en tiempo real es fundamental.


Los retrasos en la detección y respuesta mantienen a las organizaciones en riesgo

El primer paso es comprender los tipos de amenazas en juego. Desde el punto de vista del tiempo, existen incendios forestales, como el ransomware, que pueden arruinar un sistema en segundos. Y luego están las amenazas de combustión lenta diseñadas para robar datos lentamente y con el tiempo. A pesar de toda la prensa que reciben los ataques de ransomware, la mayoría de las violaciones de datos confirmadas tienen un tiempo de permanencia prolongado. De hecho, el tiempo medio promedio para identificar una amenaza es de 197 días y otros 69 días para contener una infracción.

Desafortunadamente, este es el punto de referencia para el que se diseñaron las herramientas de detección y respuesta de endpoints (EDR) de primera generación. Se suponía que había tiempo suficiente para responder manualmente a una amenaza de combustión lenta. Y, de hecho, la industria de la seguridad de endpoints ha logrado importantes avances en la velocidad de detección (tiempo medio para detectar o MTTD), reduciendo los tiempos de detección de semanas a días o incluso horas. Pero eso no es reconfortante para las organizaciones que se enfrentan a un ataque de ransomware de alta velocidad. E incluso si una herramienta EDR es capaz de detectar un ataque en tiempo real, ¿de qué sirve si luego se tarda una hora o más en contener manualmente la amenaza? Si se trata de un ataque de ransomware, sus datos ya se han ido y no necesita la ayuda del EDR con la detección.


El poder de la solución de respuesta y detección de endpoints de Fortinet

FortiEDR fue diseñado con un único objetivo claro en mente: evitar que los atacantes logren sus objetivos, ya sea la exfiltración de datos o el sabotaje, deteniendo su ataque. Al comprender la naturaleza del comportamiento del ransomware y ataques similares de alta velocidad, FortiEDR tiene la capacidad única de desactivar y desarmar una amenaza en tiempo real, incluso después de que un endpoint ya esté infectado.

FortiEDR hace esto con su tecnología de seguimiento de código centrada en el sistema operativo, lo que le permite detectar de inmediato procesos y comportamientos sospechosos, incluidos los ataques en memoria. Tan pronto como FortiEDR detecta algo sospechoso, no espera. Se mueve inmediatamente para desactivar una amenaza potencial al bloquear las comunicaciones externas al servidor de comando y control (C&C) y negar el acceso al sistema de archivos. Estos pasos evitan inmediatamente la exfiltración de datos, el movimiento lateral y el cifrado de ransomware, lo que lo protege de la pérdida de datos.


Abordar los falsos positivos

Por supuesto, si está prestando atención, probablemente se esté preguntando acerca de los falsos positivos. Si FortiEDR tiene que reaccionar en tiempo real, ¿qué sucede con las actividades de aplicaciones legítimas que levantan una bandera que resulta en una suspensión? Es por eso que FortiEDR implementa un bloque sin terminar el proceso o poner en cuarentena el punto final. Al menos no todavía.

El bloqueo de una amenaza potencial permite una evaluación exhaustiva en una fracción de segundo del evento en cuestión. El servicio de back-end en la nube FortiEDR recopila rápidamente información adicional para clasificar el evento como una amenaza o un proceso benigno. Si es benigno, el bloqueo se libera sin impacto detectable para el usuario final. Sin embargo, si se confirma que el evento es malicioso, FortiEDR puede responder con una acción automatizada, como finalizar procesos, eliminar archivos maliciosos o infectados, aislar el punto final, notificar a los usuarios y abrir un ticket de la mesa de ayuda. La respuesta que usa FortiEDR se basa en los libros de jugadas proporcionados por Fortinet que su equipo de seguridad puede personalizar. Esto les permite adaptar respuestas automatizadas a los requisitos únicos de sus entornos, así como especificar acciones basadas en cosas como grupos de terminales y categorías de amenazas.


Cinco etapas de protección FortiEDR

Para profundizar un poco más en el proceso, FortiEDR protege los puntos finales en las siguientes CINCO etapas:

Descubrir y predecir: FortiEDR descubre y mitiga de forma proactiva la superficie de ataque del endpoint. Para ello, proporciona visibilidad de dispositivos y aplicaciones no autorizados, identifica vulnerabilidades en sistemas o aplicaciones y mitiga de forma proactiva los riesgos con parches virtuales.

Prevención : el antivirus de próxima generación basado en kernel proporciona una prevención automatizada del malware basado en archivos. Cuando se combinan fuentes de inteligencia de amenazas basadas en la nube y aprendizaje automático continuamente actualizadas, FortiEDR también se volverá más inteligente con el tiempo para identificar amenazas de manera más efectiva.

Detectar y desactivar : mediante la detección basada en el comportamiento, FortiEDR es la única solución que brinda protección posterior a la infección para detener la violación y el daño del ransomware en tiempo real.

Responder y remediar : con sus manuales, los equipos de seguridad pueden orquestar las operaciones de respuesta a incidentes, optimizar y automatizar los procesos de respuesta y corrección de incidentes, y mantener las máquinas afectadas en línea para evitar interrumpir a los usuarios e interrumpir el negocio sin exponer la red a riesgos.

Investigar y buscar: FortiEDR proporciona información detallada sobre amenazas para respaldar la investigación forense. Su interfaz guiada única proporciona una guía útil, mejores prácticas y sugiere los próximos pasos lógicos para los analistas de seguridad.


Protección elegante y eficaz de dispositivos y productividad

FortiEDR proporciona una solución mucho más elegante y eficaz que las soluciones tradicionales de protección de terminales, especialmente en comparación con la respuesta draconiana del aislamiento de terminales. Cualquier equipo de seguridad dudaría en imponer una herramienta contundente para automatizar un proceso de respuesta como el aislamiento de endpoints debido al impacto que puede tener en un usuario o departamento, especialmente dada la preocupación por los falsos positivos. Perderían rápidamente el apoyo de la organización si solo convirtieran las computadoras en ladrillos cada vez que detectaran un evento sospechoso.

Pero con la capacidad de simplemente desactivar un evento cortando las comunicaciones y el acceso a los archivos, FortiEDR puede desarmar efectivamente la amenaza para que ya no pueda causar ningún daño, no puede tocar sus archivos y no puede llamar a casa. para que sus sistemas de producción en la planta de fabricación permanezcan en línea y sus usuarios puedan seguir siendo productivos. Y al asegurar de manera integral los puntos finales en tiempo real, tanto antes como después de la infección, FortiEDR también elimina la fatiga de las alertas y la ansiedad por brechas, estandariza sus procedimientos de respuesta a incidentes y optimiza sus recursos de operaciones de seguridad con automatización avanzada.


Bibliografia: https://www.fortinet.com/blog/business-and-technology/every-second-counts-in-endpoint-protection-why-real-time-matters

4 vistas0 comentarios

Entradas Recientes

Ver todo
D&S colores.png

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png

 © Data&Service, todos los derechos reservados.