Las estaciones de trabajo del usuario son el vector más «eficaz» de los ataques maliciosos contra los SI de las organizaciones. Stormshield, líder europeo en el mercado de la ciberseguridad, ofrece cinco consejos para protegerlas contra todo tipo de amenazas.
El objetivo principal de un atacante es apoderarse de datos personales, industriales o comerciales sensibles, cifrarlos y pedir un rescate. Esto se consigue encontrando «puntos de entrada idóneos», que suelen ser los puestos de trabajo de los usuarios, para, una vez comprometidos -incluso sin privilegios elevados- adentrarse más profundamente en el sistema. Para lograrlo, se suelen explotar tanto vulnerabilidades humanas, con un phishing cada vez más dirigido («spear phishing») como de los sistemas mal protegidos: servidores RDP expuestos en Internet o aplicaciones no actualizadas.
Para garantizar que los atacantes no puedan obtener un acceso más profundo, es importante identificar estos ataques tan pronto como se produzcan, deteniendo los procesos maliciosos e impidiendo inmediatamente su propagación en la máquina o aplicación.
Además de descubrir el origen de la infección cuanto antes, adaptar el nivel de protección al entorno, es clave. Por eso, y si antes garantizar la seguridad de los puestos de trabajo ya era una cuestión importante en las propias instalaciones de la empresa, ahora, con la proliferación de ordenadores portátiles y los desafíos de la movilidad, es aún más compleja.
Por tanto, la protección de las estaciones de trabajo ya no puede ser estática, sino que debe ser dinámica, en función del contexto y de los diferentes escenarios de movilidad de la organización. Esto significa controlar las redes WiFi autorizadas, deshabilitarlas cuando se dispone de una conexión LAN o, en los casos en los que está activa una VPN, impedir cualquier conexión que no sea la VPN (para evitar ataques smurf).
Proteger el agente y predecir ataques futuros
Frente a un antivirus tradicional basado en firmas, incapaz de contrarrestar el ransomware y de detectar inmediatamente ataques desconocidos de Día Cero, un sistema de protección de puestos de trabajo puede identificar un elemento malicioso en el punto de entrada y bloquear sus actividades para evitar su propagación. Un HIPS basado en el comportamiento centra sus análisis en la conducta «normal» de un host o de sus aplicaciones. De modo que, si se detecta una actividad sospechosa en las aplicaciones legítimas, el sistema emita una alerta o bloqueé las actividades para limitar los riesgos de propagación. Puede neutralizar los ataques de Día Cero.
La protección de las estaciones de trabajo ya no puede ser estática, sino que debe ser dinámica, en función del contexto y de los diferentes escenarios de movilidad de la organización
Saber cómo interrumpir un ataque -ya sea conocido o desconocido- es esencial, pero también aprender de ellos, para poder prevenirlos en el futuro. Con una solución Endpoint Detection & Response (EDR), además de una respuesta inmediata, la inspección de los registros permite mejorar la eficacia de las soluciones en la búsqueda de ataques.
A este respecto, hay que destacar dos enfoques. Uno centrado en la solución en la nube, basado en la respuesta de un cliente ligero desplegado en cada estación de trabajo, y que requiere que los puestos estén conectados, y otro sustentado sobre una solución independiente basada en agentes que proporciona una protección proactiva en tiempo real para cada puesto, mientras ofrece información que permite un análisis más profundo del ataque. Los sistemas de terceros aprenderán de estos eventos, correlacionándolos en un contexto de inteligencia artificial.
Garantizar la seguridad del sistema de protección
Aunque el principal objetivo de un ciberatacante son los datos de la empresa, si consigue burlar los sistemas de seguridad de la organización, la puerta del sistema de información quedará abierta de par en par para ellos. Para limitar el riesgo de error o la aparición de una vulnerabilidad debe ofrecerse una configuración reforzada y eficaz, fomentándose un enfoque de «seguridad por diseño» en el desarrollo de estos sistemas de protección.
“Incluso cuando está bien protegido, el puesto de trabajo es un eslabón muy vulnerable ya que, por definición, está conectado al Directorio Activo de la empresa, objetivo, por otro lado, de numerosas vulnerabilidades para acceder a los datos de la empresa. Asegurar las estaciones de trabajo debe ser una tarea permanente”, comenta Antonio Martínez Algora, Responsable Técnico Stormshield Iberia. “Para conseguirlo, además de seguir estos sencillos consejos y emprender una política de los puestos de trabajo actualizados, es importante hacer uso del sentido común, con empleados y estrategias de ciberseguridad cada vez más ciberresponsables”.
Una capa de protección completa
Para proteger estaciones de trabajo y servidores contra estos peligros, Stormshield cuenta con Stormshield Endpoint Security Evolution (SES Evol), una solución de protección de de nueva generación adaptada a los recientes patrones de uso y a los problemas actuales de ciberseguridad.
Con su arquitectura segura de grado militar, funciones HIPS avanzadas (detección de desbordamiento de búfer, vaciado de procesos…) control avanzado de dispositivos, protecciones personalizables y técnicas de seguridad contextual avanzada, sobre la base de un enfoque de Confianza Cero; SES Evol puede ser utilizado en los contextos más exigentes.
Al combinar tecnología de protección de comportamiento adaptativo y de control de dispositivos con capacidades para identificar e investigar los orígenes de los ataques, SES Evol es la solución idónea para combatir intrusiones voluntarias e involuntarias, vulnerabilidades, ataques conocidos y desconocidos, uso inadecuado de las aplicaciones personales, conectividad no autorizada, así como el acceso y la pérdida de datos críticos. SES Evol asegura también el control sobre periféricos y extraíbles y el control de aplicaciones y conexiones inalámbricas.