La seguridad de los endpoints, la primera línea crucial de defensa de la ciberseguridad de una red, protege a los usuarios finales y a los dispositivos de endpoints, ordenadores de sobremesa, portátiles, dispositivos móviles, servidores y otros, frente a los ciberataques.
La seguridad de los endpoints también protege la red contra los adversarios que intentan utilizar los dispositivos de endpoints para lanzar ciberataques contra datos confidenciales y otros activos de la red.
Los endpoints siguen siendo el principal punto de entrada de la red empresarial para los ciberataques. Diversos estudios estiman que hasta el 90 % de los ciberataques exitosos y hasta el 70 % de las vulneraciones de datos exitosas se originan en los dispositivos de endpoints. Según el Informe "Cost of a Data Breach" de IBM, la vulneración de datos cuesta de media a las empresas 4,88 millones de dólares.
Hoy en día, las empresas deben proteger más endpoints y más tipos de endpoints que nunca. Las políticas de bring your own device (BYOD), el aumento del trabajo remoto y el creciente número de dispositivos IoT, dispositivos orientados al cliente y productos conectados a la red han multiplicado los endpoints que los hackers pueden explotar y las vulnerabilidades que los equipos de seguridad deben proteger.
Los analistas sénior de ESG comparten cómo las organizaciones pueden asegurarse de que están haciendo las inversiones adecuadas para una solución de seguridad y gestión unificada de endpoints (UEM) que funcione para todos los equipos y todas las ubicaciones.
El software antivirus, el software de seguridad para endpoints original, protege los endpoints contra las formas conocidas de malware: troyanos, gusanos, adware y mucho más.
El software antivirus tradicional analizaba los archivos de un dispositivo endpoint en busca de firmas de malware, es decir, cadenas de bytes características de virus o malware conocidos. El software alertaba al usuario o al administrador cuando se encontraba un virus y proporcionaba herramientas para aislar y eliminar el virus y reparar cualquier archivo infectado.
El software antivirus actual, a menudo denominado antivirus de nueva generación (NGAV), puede identificar y combatir los nuevos tipos de malware, incluido el malware que no deja firma. Por ejemplo, el NGAV puede detectar malware sin archivos, es decir, malware que reside en la memoria e inyecta scripts maliciosos en el código de aplicaciones legítimas. El NGAV también puede identificar actividades sospechosas mediante la heurística, que compara los patrones de comportamiento sospechosos con los de virus conocidos, y el escaneado de integridad, que analiza los archivos en busca de signos de infección por virus o malware.
El software antivirus por sí solo puede ser suficiente para proteger unos cuantos endpoints. Cualquier cosa más allá de eso generalmente requiere una plataforma de protección empresarial o EPP. Un EPP combina NGAV con otras soluciones de seguridad de endpoints, entre las que se incluyen:
- Control web: a veces llamado filtro web, este software protege a los usuarios y a su organización del código malicioso oculto en sitios web o dentro de los archivos que descargan los usuarios. El software de control web también incluye funciones de listas blancas y negras que permiten al equipo de seguridad controlar qué sitios pueden visitar los usuarios.
- Clasificación de datos y prevención de pérdida de datos: estas tecnologías documentan dónde se almacenan los datos confidenciales, ya sea en la nube o en local, y evitan el acceso no autorizado a esos datos o su divulgación.
- Firewalls integrados: estos firewalls son hardware o software que refuerzan la seguridad de la red al evitar el tráfico no autorizado dentro y fuera de la red.
- Pasarelas de correo electrónico: estas pasarelas son software que filtra el correo entrante para bloquear los ataques de suplantación de identidad e ingeniería social.
- Control de aplicaciones: esta tecnología permite a los equipos de seguridad monitorizar y controlar la instalación y el uso de las aplicaciones en los dispositivos y puede bloquear el uso y la ejecución de aplicaciones no seguras o no autorizadas.
Un EPP integra estas soluciones de endpoints en una consola de gestión central, donde los equipos de seguridad o los administradores del sistema pueden monitorizar y gestionar la seguridad de todos los endpoints. Por ejemplo, un EPP puede asignar las herramientas de seguridad adecuadas a cada endpoint, actualizar o parchear esas herramientas según sea necesario y administrar las políticas de seguridad corporativas.
Los EPP pueden ser locales o basados en la nube. Pero el analista del sector Gartner (enlace externo a ibm.com), que definió por primera vez la categoría EPP, señala que "las soluciones de EPP deseables se gestionan principalmente en la nube, lo que permite la monitorización continua y la recopilación de datos de actividad, junto con la capacidad de tomar medidas de corrección remotas, tanto si el terminal está en la red corporativa como fuera de la oficina".
Los EPP se centran en prevenir amenazas conocidas o amenazas que se comportan de formas conocidas. Otra clase de solución de seguridad de puntos finales, denominada detección y respuesta de endpoints (EDR), permite a los equipos de seguridad responder a las amenazas que pasan inadvertidas a las herramientas de seguridad preventiva de endpoints.
Las soluciones EDR monitorizan continuamente los archivos y aplicaciones que entran en cada dispositivo, buscando actividad sospechosa o maliciosa que indique malware, ransomware o amenazas avanzadas. EDR también recopila continuamente datos de seguridad detallados y telemetría, almacenándolos en un data lake donde se pueden utilizar para análisis en tiempo real, investigación de causa raíz, búsqueda de amenazas y mucho más.
La EDR suele incluir análisis avanzados, análisis de comportamiento, inteligencia artificial (IA) y machine learning, capacidades de automatización, alertas inteligentes y funciones de investigación y corrección que permiten a los equipos de seguridad:
- Correlacione los indicadores de peligro (IOC) y otros datos de seguridad de endpoints con la información sobre amenazas para detectar amenazas avanzadas en tiempo real.
- Reciba notificaciones de actividades sospechosas o amenazas reales en tiempo real, junto con datos contextuales que pueden ayudar a aislar las causas raíz y acelerar la investigación de amenazas.
- Realice análisis estáticos (análisis de código sospechoso de ser malicioso o infectado) o dinámicos (ejecución de código sospechoso de forma aislada).
- Establezca umbrales para los comportamientos de los endpoints y alertas para cuando se superen esos umbrales.
- Automatice las respuestas, como la desconexión y puesta en cuarentena de dispositivos individuales, o el bloqueo de procesos, para mitigar los daños hasta que pueda resolverse la amenaza.
- Determine si otros dispositivos de punto final se ven afectados por el mismo ciberataque.
Muchos EPP más nuevos o avanzados incluyen algunas capacidades de EDR, pero para una protección completa de los endpoints que abarque la prevención y la respuesta, la mayoría de las empresas deben emplear ambas tecnologías.
La detección y respuesta extendidas, o XDR, amplía el modelo de detección y respuesta de amenazas EDR a todas las áreas o capas de la infraestructura, protegiendo no solo los dispositivos de endpoint, sino también las aplicaciones, las bases de datos y el almacenamiento, las redes y las cargas de trabajo en la nube. Una oferta de software como servicio (SaaS), XDR protege los recursos locales y en la nube. Algunas plataformas XDR integran productos de seguridad de un único proveedor o proveedor de servicios en la nube, pero las mejores también permiten a las organizaciones añadir e integrar las soluciones de seguridad que prefieran.
Gestión de puntos finales moderna para proteger a sus usuarios finales y sus dispositivos de las últimas amenazas de ciberseguridad.
Como sus asesores de confianza, los especialistas en seguridad de IBM le ayudan a abordar sus necesidades de seguridad, desde las más sencillas hasta las más complejas.
Una única solución de UEM ofrece un acceso más seguro, reduce el riesgo de vulnerabilidades y una experiencia de usuario satisfactoria.
Conozca las diferencias entre la gestión de dispositivos móviles (MDM) y la gestión de aplicaciones móviles (MAM), dos componentes principales de la gestión unificada de endpoint (UEM).
Comprenda su panorama de ciberseguridad y priorice iniciativas con la colaboración de expertos arquitectos y consultores de seguridad de IBM, sin coste, en una sesión de "design thinking" virtual o presencial de tres horas.
Comprender las tácticas de los atacantes es crucial para proteger a su personal, sus datos y su infraestructura.