Endpoint security: qué es y cómo funciona para empresas

Ciberseguridad

Claves para lograr la seguridad de los endpoints en una organización



Dirección copiada

Combina la agilidad de la administración y la seguridad clave para garantizar la máxima flexibilidad operativa para los usuarios.

Publicado el 10 oct 2024



Endpoint security
Crédito: Archivo ShutterStock

En tiempos en que la estrategia Zero Trust se ha convertido en una forma cada vez más popular de proteger los datos empresariales, no debe pasarse por alto la endpoint security o la seguridad de las terminales.

Actualmente, en un mundo con altos niveles de movilidad, los datos se mueven con endpoints, lo que hace que estas terminales sean objetivos atractivos para los ciberataques.

Una adecuada seguridad de los endpoints protege los diversos dispositivos de los usuarios (laptops, smartphones, tabletas, entre otros) de las diversas amenazas.

Con la expansión del uso de terminales y el incremento tanto en la cantidad como en la complejidad de las amenazas a la seguridad de las redes, surge una demanda creciente por las innovadoras soluciones de seguridad para los endpoints.

¿Qué es la endpoint security?

La seguridad de los endpoints es la práctica de proteger las terminales o puntos de entrada de los dispositivos de los usuarios finales (computadoras de escritorio, portátiles y dispositivos móviles) para que no sean explotados por actores y campañas maliciosos.

La endpoint security implica organizar la multitud de dispositivos para respaldar la productividad empresarial e individual, combinando agilidad operativa y seguridad.

Resolver la ecuación diversificada de plataformas operativas, aplicaciones y servicios asociados al uso de dispositivos, servidores y todo aquello instalado que respalde la continuidad empresarial de las organizaciones de acuerdo con las políticas y regulaciones empresariales, requiere diferentes puntos de atención.

Lamentablemente, las soluciones de endpoint security, además de quedar obsoletas rápidamente, corren el riesgo de reducir la productividad de los usuarios. Garantizar la seguridad de los dispositivos activos dentro y fuera de la organización se traduce, en promedio, en la implementación de una docena de agentes independientes.

Estos agentes, que se convierten en una parte integral del equipo en el que la gobernanza impone la seguridad de los terminales, están conectados a una serie de operaciones de verificación de acceso. La consecuencia es que los usuarios suelen deshabilitar estos agentes y, con mayor frecuencia, se olvidan de realizar las actualizaciones.

Panorama actual sobre la endpoint security (estadísticas)

Según los investigadores, 70% de las infracciones empresariales tienen como principal causa la variada cantidad de dispositivos fijos y móviles utilizados por los usuarios.

Ante esta toma de conciencia —en comparación con un gasto mundial en seguridad de IT de $128,000 millones de dólares— en 2018 solo se destinó 24% de las inversiones a la protección de los endpoint.

Gartner, en particular, señala que 28% de los terminales corporativos están desprotegidos, mientras que 42% de los dispositivos no cuentan con la protección adecuada y 21% utilizan antivirus y antimalware obsoletos.

Sobre cómo protegen en la actualidad las organizaciones sus terminales, un estudio realizado por los investigadores de Ponemon determinó que:

  • Casi ocho de cada 10 (76%) utilizan antivirus
  • Casi seis de cada 10 (57%) confían en la gestión de parches
  • Tres de cada 10 utilizan una solución EDR
  • 23% utiliza antivirus de última generación que integra el aprendizaje automático y el análisis del comportamiento.

Con el aumento del teletrabajo y la frecuente conexión de empleados a redes Wi-Fi públicas durante sus desplazamientos, las redes empresariales han visto multiplicarse el número de dispositivos de punto final.

Cada uno de estos endpoints representa un posible punto de entrada para ciberataques, lo que subraya la necesidad de reforzar las estrategias de seguridad.

La continuidad operativa en los endpoints

La gestión de los terminales requiere entonces una expansión significativa en términos de visión. Especialmente si se tiene en cuenta la propensión de los trabajadores a utilizar varios dispositivos indistintamente para navegar, escribir, intercambiar correos electrónicos o chatear.

¿Qué es lo que piden los usuarios a las organizaciones? Poder tener acceso, no solo al correo electrónico desde sus dispositivos personales, sino también a los sistemas de gestión empresarial, las bases de datos y todas las aplicaciones que permitan compartir información y proyectos empresariales.

Técnicamente, trabajar en la computadora de la oficina o en cualquier otro lugar con una PC, tableta o teléfono inteligente, ya no supone ninguna diferencia para ellos.

El desafío para las organizaciones es garantizar los servicios y las aplicaciones en una única solución de continuidad, controlando el acceso a la red, los datos y las aplicaciones para respaldar la productividad de los trabajadores estén donde estén y cuando lo necesiten. Siempre dándoles la libertad de elegir el dispositivo que mejor se adapte a sus necesidades.

Endpoint security y los dispositivos en riesgo

Fomentar una cultura empresarial que sensibilice a los usuarios sobre el riesgo de robo corporativo y personal que se traduce en la pérdida de datos confidenciales se ha convertido en una acción estratégica.

Según datos estadísticos, cada año se pierden 70,000 computadoras portátiles en todo el mundo. Pero cuidado, los expertos advierten también que los terminales incluyen muchos otros dispositivos como los teléfonos IP, las cámaras IP para videovigilancia y todos los dispositivos que tienen acceso a las redes corporativas.

A estos se pueden incluir otros menos usuales como las memorias USB cada vez más pequeñas, pero ahora con memorias del orden de muchos GB. Incluso los discos duros —que los usuarios utilizan cada vez más como respaldo de seguridad —contienen información del orden de los terabytes. Además, en medio de un cúmulo de datos, a menudo hay contraseñas e identificaciones de usuario que permiten acceder a todo tipo de información, desde cuentas bancarias hasta proyectos empresariales.

Funciones del software para la seguridad de los endpoint

Las soluciones de seguridad típicas para terminales ofrecen un enfoque doble: incluyen el software de seguridad instalado en un servidor central con una consola de administración, junto con el software instalado en los dispositivos individuales.

De hecho, en comparación con el pasado, la seguridad de los terminales no solo incluye la adopción de un antivirus, sino que también integra diversas funciones de protección como:

  • Cifrado: Los datos inactivos y en movimiento se cifran para que nadie más pueda acceder a ellos o manipularlos. De esta manera se protege la información confidencial.
  • Acceso a información sobre amenazas basada en la nube: Las empresas pueden recibir actualizaciones en tiempo real de una red global de analistas de seguridad que ayudan a actualizar continuamente la literatura relacionada con cualquier tipo de amenaza. Esto ayuda a las organizaciones a identificar y bloquear los ataques y a frenar las vulnerabilidades.
  • Prevención de pérdida de datos: Funcionalidad de endpoint security que detecta, notifica y bloquea la transmisión de datos confidenciales que escapan al control de la organización.
  • Lista blanca de aplicaciones: Permite ejecutar solo aplicaciones y servicios específicos en cada sistema operativo utilizado por cada terminal insertado en el perímetro de protección corporativo.
  • Control de privilegios basado en roles: Esta función permite conceder o denegar el acceso a archivos o aplicaciones específicos en función del rol asignado a un usuario.
  • Control de acceso basado en el comportamiento: Facilita que los usuarios puedan acceder a un modo de bloqueo o acceso restringido desde un terminal cuando las actividades realizadas en el dispositivo superan el estado normal según las bases de referencia del aprendizaje automático.
  • Administración centralizada de la nube: Esto significa que los administradores de seguridad tienen la opción de añadir o modificar la política corporativa de protección de los endpoints y actualizar los dispositivos en la LAN corporativa o en Internet.
  • Integraciones con otras herramientas de seguridad: Esta importante función de seguridad para terminales permite que el software se comunique y comparta información con otros componentes de seguridad, como los firewalls, los sistemas de prevención de intrusiones y las plataformas de supervisión de la seguridad.

¿Cómo funciona la seguridad de los endpoints?

La endpoint security es esencial para proteger los dispositivos que se conectan a las redes empresariales, garantizando que cada punto de acceso esté debidamente resguardado.

Las tecnologías de seguridad de endpoints examinan archivos, procesos y sistemas en busca de comportamientos o actividades sospechosas o maliciosas. A medida que la infraestructura empresarial evoluciona hacia modelos híbridos que combinan administración local y control basado en la nube, estas tecnologías se han adaptado para ofrecer soluciones más efectivas.

A continuación, se detallan las capacidades fundamentales que estas soluciones deben poseer.

Identificación y gestión de puntos finales

Las tecnologías de seguridad de endpoints permiten la identificación automática de dispositivos conectados a la red. Una vez instalado el software de protección, los puntos finales son detectados de manera automática, permitiendo un inventario completo y actualizado de los activos. Esta capacidad es crucial para que las empresas mantengan un control sobre todos los dispositivos que acceden a sus sistemas.

La gestión de información de activos se realiza de manera centralizada, consolidando datos como la lista de hosts, procesos activos, puertos y componentes asociados a cada punto final. Esto no solo facilita la administración, sino que también permite monitorear de manera continua el estado de cada dispositivo.

Además, se implementan análisis de seguridad automatizados que evalúan la situación de cada punto final, generando informes y puntuaciones de riesgo. De esta manera se proporcionan a las organizaciones una visión clara de su postura de seguridad, ayudándoles a tomar decisiones informadas para proteger sus activos.

Detección y manejo de amenazas

La detección de intrusiones es una función clave en la seguridad de endpoints. A través de motores avanzados, se analizan los comportamientos de los puntos finales en tiempo real, identificando actividades sospechosas como ataques de fuerza bruta, inicios de sesión inusuales y escaladas de privilegios no autorizadas.

Además, los sistemas de endpoint security cuentan con la capacidad de agrupar eventos relacionados con ransomware en función de las actividades detectadas, simplificando el manejo de estas amenazas.

La automatización de estas tareas reduce el tiempo de respuesta y minimiza la exposición al riesgo.

Análisis y manejo de virus

El análisis de virus es un componente esencial de la endpoint security. Estas soluciones aprovechan motores antivirus que se actualizan diariamente, permitiendo la detección de malware a medida que aparecen nuevas amenazas. La actualización en tiempo real de las bases de datos de firmas garantiza que las empresas estén siempre protegidas contra los virus más críticos.

Las soluciones también realizan un análisis detallado de los archivos sospechosos, ofreciendo información específica sobre las amenazas detectadas, como identificadores, niveles de riesgo y niveles de confianza.

Esta información de malware detectado es clave para que los administradores de seguridad comprendan la naturaleza de la amenaza y determinen las acciones necesarias.

Defensa proactiva

La defensa proactiva es fundamental para prevenir ataques antes de que ocurran. Las soluciones de seguridad de endpoints utilizan técnicas avanzadas como la colocación de archivos de cebo, que sirven para detectar e informar comportamientos anormales en tiempo real, específicamente aquellos asociados con ransomware.

El control de permisos de acceso es otra estrategia utilizada, protegiendo archivos críticos mediante la detección en tiempo real de intentos de manipulación. Esta medida de anti-manipulación permite que las empresas reaccionen de inmediato cuando se detecta una actividad sospechosa que involucre archivos sensibles.

Finalmente, la protección en tiempo real garantiza que todos los directorios se escaneen constantemente, lo que ayuda a identificar archivos de malware y bloquear su transmisión antes de que puedan causar daños. Este enfoque preventivo refuerza la seguridad general de la red empresarial.

Análisis de rastreo de origen

El análisis de rastreo de origen proporciona a las empresas la capacidad de realizar investigaciones forenses sobre los incidentes de seguridad. A través de la recopilación y almacenamiento de información de los puntos finales, se analiza el comportamiento de las amenazas utilizando técnicas avanzadas de minería de datos y correlación.

Las tecnologías de endpoint security también permiten la visualización de ataques mediante algoritmos de inferencia y modelado digital EDR. Esto ayuda a reconstruir con precisión las rutas de ataque, permitiendo a las empresas comprender cómo ocurrió el incidente y qué medidas deben tomarse para evitar futuros ataques similares.

Ejemplos de inseguridad en los terminales

Existen varios exploits que permiten a un usuario malintencionado acceder a la computadora o móvil de un usuario y utilizarlo como recurso para lanzar un ataque contra otros recursos de la red.

Por lo tanto, los esfuerzos de planificación de la seguridad deben centrarse en gran medida en los controles de los terminales. Par eso, deberán estar atentos a estos ejemplos de inseguridad:

Movimiento lateral

El modelo de ataque requiere que el ciberdelincuente, una vez que llegue a un punto final de la red, pase al siguiente punto final, explotando todo el ecosistema basado en la web, en el que las empresas están cada vez más interconectadas, con cadenas de suministro ampliadas, diversificadas y ramificadas en todo el mundo.

Estos ataques suelen comenzar con técnicas de phishing, mediante las cuales el atacante obtiene acceso inicial a un dispositivo o red. Una vez que se ha llevado a cabo un estudio detallado, el atacante puede crear un itinerario que le permita llegar a donde quiere.

Este cambio añade contexto sobre cómo el phishing puede ser el punto de partida para un ataque de movimiento lateral.

Ataque de isla en isla

Inspirada en una táctica bélica de la Segunda Guerra Mundial, la técnica de los piratas informáticos de trasladarse de una isla a otra consiste en explotar a terceros que tienen cierto grado de acceso a las redes de las empresas que son el verdadero objetivo final del ataque.

Los ataques de isla en isla se producen mediante el acceso a una infraestructura de escritorio virtual (VDI, por sus siglas en inglés) o mediante conexiones a redes VPN privadas. En el caso del correo electrónico de compromiso empresarial (BEC) inverso, el ciberdelincuente requisa un servidor de correo y, a continuación, envía los correos electrónicos con software malicioso.

El resultado final de todos estos ataques es un asedio a largo plazo, en el que el atacante establece comandos en toda la red, lo que socava profundamente su seguridad.

Shadow IT

Proteger los puntos finales resulta difícil cuando los usuarios están acostumbrados a utilizar herramientas y aplicaciones ajenas al proceso de protección definido por la empresa.

De hecho, la shadow IT que prevalece en las organizaciones es otro factor extremadamente difícil para quienes se ocupan de la seguridad de los terminales.

Además de descargar diversas y posibles aplicaciones desatendidas, las actividades que los usuarios realizan en la sombra son las más variadas.

Estas pueden ir desde sincronizar y compartir datos —por ejemplo, correos electrónicos sincronizados entre los dispositivos móviles personales del usuario y el cliente de escritorio utilizado en la empresa— hasta el uso de plataformas de respaldo alternativas a las implementadas por la empresa —memorias flash o discos USB o servicios en la nube—. Todo ello sin la supervisión de un ordenador.

Endpoint Detection and Response (EDR): ventajas y limitaciones

Muchas organizaciones optan por implementar productos de detección y respuesta para terminales (EDR, por sus siglas en inglés) que permiten estrategias integrales de gestión de la seguridad de los puntos finales, en lugar de intentar gestionar una combinación de productos antivirus, de prevención del malware y de detección de intrusiones.

A nivel teórico, un EDR puede proporcionar al equipo de seguridad de la información un control de seguridad centralizado sobre los puntos más vulnerables de la red, especialmente cuando el perímetro corporativo se está volviendo cada vez más poroso en las redes modernas que conectan un conjunto en constante cambio de dispositivos BYOD, móviles e IoT utilizados por empleados, pasantes, contratistas y otros terceros.

Sin embargo, las organizaciones que utilizan un EDR afirman no disponer de una protección proactiva, sino también del tiempo necesario para su adopción.

La mayoría de las organizaciones que adoptan estas soluciones las utilizan para detectar los primeros signos de un ataque y detenerlos. En promedio, las funcionalidades utilizadas son menos de la mitad (46%), mientras que 47% de los encuestados afirma que la implementación tardó más de tres meses.

La seguridad de los terminales: las directrices

La endpoint security es mucho más que una tecnología, una herramienta, un conjunto de productos o una solución.

Los expertos reafirman a los CISO y CIO de diversas partes del mundo que, en primer lugar, es importante responder a algunas preguntas clave sobre todos los dispositivos internos y externos gestionados. Entre ellas se pueden encontrar:

  • ¿Funcionan las políticas y los controles de seguridad de los terminales que hemos implementado?
  • ¿Cómo lo demostramos o medimos a lo largo del tiempo?
  • ¿Hablamos con otros compañeros del sector de vez en cuando?
  • ¿Qué debemos hacer para mejorar?
  • Al no poder hacer todo lo que se debería hacer, ¿cuáles son las actividades prioritarias?

Responder a estas preguntas periódicamente debería ser una parte importante de la agenda ideal de la gerencia.

Artículos relacionados

Artículo 1 de 5