¿Qué es la seguridad de los endpoints?

La seguridad de los endpoints también protege la red contra los adversarios que intentan utilizar los dispositivos endpoint para lanzar ciberataques contra datos confidenciales y otros activos de la red.

Los endpoints siguen siendo el principal punto de entrada de la red empresarial para los ciberataques. Diversos estudios estiman que hasta el 90 % de los ciberataques que tienen éxito y hasta el 70 % de las vulneraciones de datos que prosperan se originan en los dispositivos endpoint. Según el informe "Cost of a Data Breach" de IBM, la vulneración de datos cuesta de media a las empresas 4,44 millones de dólares.

Hoy en día, las empresas deben proteger más endpoints y de más tipos que nunca. Las políticas de bring your own device (BYOD), el aumento del trabajo remoto y el creciente número de dispositivos IoT, dispositivos orientados al cliente y productos conectados a la red han multiplicado los endpoints que los hackers pueden explotar y las vulnerabilidades que los equipos de seguridad deben proteger.

El software antivirus original de seguridad de endpoints protege los endpoints contra formas conocidas de malware, como troyanos, gusanos, adware y otros.

El software antivirus tradicional analizaba los archivos de un dispositivo endpoint en busca de firmas de malware, es decir, cadenas de bytes características de virus o malware conocidos. El software alertaba al usuario o al administrador cuando se encontraba un virus y proporcionaba herramientas para aislar y eliminar el virus y reparar cualquier archivo infectado.

El software antivirus actual, a menudo denominado antivirus de próxima generación (NGAV), puede identificar y combatir los nuevos tipos de malware, incluido el malware que no deja firma. Por ejemplo, el NGAV puede detectar malware sin archivos, es decir, malware que reside en la memoria e inyecta scripts maliciosos en el código de aplicaciones legítimas. El NGAV también puede identificar actividades sospechosas mediante la heurística, que compara los patrones de comportamiento sospechosos con los de virus conocidos, y el escaneado de integridad, que analiza los archivos en busca de signos de infección por virus o malware.

El software antivirus por sí solo puede ser suficiente para proteger unos cuantos endpoints. Cualquier cosa más allá de eso generalmente requiere una plataforma de protección empresarial o EPP. Un EPP combina NGAV con otras soluciones de seguridad de endpoints, entre las que se incluyen:

• Control web: a veces llamado filtro web, este software protege a los usuarios y a su organización del código malicioso oculto en sitios web o dentro de los archivos que descargan los usuarios. El software de control web también incluye capacidades de listas blancas y negras que permiten al equipo de seguridad controlar qué sitios pueden visitar los usuarios.
  
  
• Clasificación de datos y prevención de pérdida de datos: estas tecnologías documentan dónde se almacenan los datos confidenciales, ya sea en la nube u on premises, y evitan el acceso no autorizado o la divulgación de esos datos.
  
  
• Firewalls integrados: estos firewalls son hardware o software que refuerzan la seguridad de la red al evitar el tráfico no autorizado dentro y fuera de la red.
  
  
• Puertas de enlace de correo electrónico: se trata de software que filtra el correo entrante para bloquear los ataques de suplantación de identidad e ingeniería social.
  
  
• Control de aplicaciones: esta tecnología permite a los equipos de seguridad monitorizar y controlar la instalación y el uso de las aplicaciones en los dispositivos y puede bloquear el uso y la ejecución de aplicaciones no seguras o no autorizadas.

Un EPP integra estas soluciones de endpoints en una consola de gestión central, donde los equipos de seguridad o los administradores del sistema pueden monitorizar y gestionar la seguridad de todos los endpoints. Por ejemplo, un EPP puede asignar las herramientas de seguridad adecuadas a cada endpoint, actualizar o parchear esas herramientas según sea necesario y administrar las políticas de seguridad corporativas.

Las EPP pueden encontrarse on-premises o en la nube. Sin embargo, la consultora del sector Gartner, que fue la primera en definir la categoría EPP, señala que "las soluciones EPP deseables se gestionan principalmente en la nube, lo que permite la monitorización y recopilación continuas de datos de actividad, junto con la capacidad de tomar medidas de corrección remotas, tanto si el endpoint se encuentra en la red corporativa como fuera de la oficina".

Las EPP se centran en prevenir amenazas conocidas o amenazas que se comportan de maneras conocidas. Otra clase de solución de seguridad de endpoints, denominada detección y respuesta de endpoints (EDR), permite a los equipos de seguridad responder a las amenazas que eluden las herramientas preventivas de seguridad de endpoints.

Las soluciones de EDR monitorizan continuamente los archivos y aplicaciones que entran en cada dispositivo, buscando actividades sospechosas o maliciosas que indiquen la presencia de malware, ransomware o amenazas avanzadas. La EDR también recopila continuamente datos de seguridad detallados y telemetría, almacenándolos en un data lake donde se pueden utilizar para análisis en tiempo real, investigación de causas raíz, búsqueda de amenazas y mucho más.

La EDR suele incluir análisis avanzados, análisis de comportamiento, inteligencia artificial (IA) y machine learning, capacidades de automatización, alertas inteligentes y funciones de investigación y corrección que permiten a los equipos de seguridad:

• Correlacione los indicadores de compromiso (IOC) y otros datos de seguridad de endpoints con fuentes de inteligencia de amenazas para detectar amenazas avanzadas en tiempo real.
  
  
• Reciba notificaciones de actividades sospechosas o amenazas reales en tiempo real, junto con datos contextuales que pueden ayudar a aislar las causas raíz y acelerar la investigación de amenazas.
  
  
• Realice análisis estáticos (análisis de código sospechoso de ser malicioso o estar infectado) o dinámicos (ejecución de código sospechoso de forma aislada).
  
  
• Establezca umbrales para los comportamientos de los endpoints y alertas para cuando se superen esos umbrales.
  
  
• Automatice las respuestas, como la desconexión y puesta en cuarentena de dispositivos individuales, o el bloqueo de procesos, para mitigar los daños hasta que pueda resolverse la amenaza.
  
  
• Determine si otros dispositivos de punto final se ven afectados por el mismo ciberataque.

Muchos EPP más nuevos o avanzados incluyen algunas capacidades de EDR, pero para una protección completa de los endpoints que abarque la prevención y la respuesta, la mayoría de las empresas deben emplear ambas tecnologías.

La detección y respuesta extendidas, o XDR, amplía el modelo de detección y respuesta de amenazas EDR a todas las áreas o capas de la infraestructura, protegiendo no solo los dispositivos de endpoint, sino también las aplicaciones, las bases de datos y el almacenamiento, las redes y las cargas de trabajo en la nube. Una oferta de software como servicio (SaaS), XDR protege los recursos locales y en la nube. Algunas plataformas XDR integran productos de seguridad de un único proveedor o proveedor de servicios en la nube, pero las mejores también permiten a las organizaciones añadir e integrar las soluciones de seguridad que prefieran.