¿Qué es la seguridad endpoint?

¿Qué es la seguridad endpoint?

La seguridad endpoint, la primera línea crítica de defensa de ciberseguridad de una red, protege a los usuarios finales y los dispositivos endpoint (computadoras de escritorio, computadoras portátiles, dispositivos móviles, servidores y otros) contra ataques cibernéticos.

La seguridad endpoint también protege la red contra los adversarios que intentan emplear los dispositivos endpoint para lanzar ciberataques contra datos confidenciales y otros activos de la red.

Los endpoints siguen siendo el principal punto de entrada a la red empresarial para los ciberataques. Diversos estudios estiman que hasta el 90 % de los ciberataques exitosos y hasta el 70 % de las filtraciones de datos exitosas se originan en dispositivos endpoint. Según el Informe del costo de una filtración de datos de IBM, la filtración de datos promedio le cuesta a las compañías USD 4.88 millones.

Hoy en día, las compañías deben proteger más endpoints y más tipos de endpoints que nunca. Las políticas de bring your own device (BYOD), el aumento del trabajo remoto y el creciente número de dispositivos IoT, dispositivos orientados al cliente y productos conectados a la red multiplicaron los endpoints que los hackers pueden explotar y las vulnerabilidades que los equipos de seguridad deben proteger.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Software antivirus

El software antivirus original de seguridad endpoint protege los endpoints contra formas conocidas de malware—troyanos, gusanos, adware y más.

El software antivirus tradicional escaneaba los archivos de un dispositivo endpoint en busca de firmas de malware (cadenas de bytes características de virus o malware conocidos). El software alertó al usuario o administrador cuando se encontró un virus y proporcionó herramientas para aislar y eliminar el virus y reparar cualquier archivo infectado.

El software antivirus actual, a menudo llamado antivirus de próxima generación (NGAV), puede identificar y combatir los tipos de malware más nuevos, incluido el malware que no deja firma. Por ejemplo, NGAV puede detectar malware sin archivos, es decir, malware que reside en la memoria e inyecta scripts maliciosos en el código de aplicaciones legítimas. NGAV también puede identificar actividades sospechosas mediante heurística, que compara patrones de comportamiento sospechosos con los de virus conocidos, y escaneo de integridad, que escanea archivos en busca de signos de infección por virus o malware.

Plataformas de protección endpoint (EPP)

El software antivirus por sí solo puede ser suficiente para proteger un puñado de endpoints. Todo lo que vaya más allá suele requerir una plataforma de protección empresarial o EPP. Una EPP combina NGAV con otras soluciones de seguridad endpoint, entre las que se incluyen:

  • Control sitio web: a veces llamado filtro sitio web, este software protege a los usuarios y a su organización del código malicioso oculto en sitios web o dentro de los archivos que descargan los usuarios. El software de control sitio web también incluye capacidades de listas blancas y negras que permiten a un equipo de seguridad controlar qué sitios pueden visitar los usuarios.

  • Clasificación de datos y prevención de pérdida de datos: estas tecnologías documentan dónde se almacena los datos confidenciales, ya sea en la nube u on premises, y evitan el acceso no autorizado o la divulgación de esos datos.

  • Cortafuegos integrados: estos cortafuegos son hardware o software que aplican la seguridad de la red al evitar el tráfico no autorizado dentro y fuera de la red.

  • Puertas de enlace de correo electrónico: estas puertas de enlace son programas informáticos que filtran el correo electrónico entrante para bloquear los ataques de phishing y de ingeniería social.

  • Control de aplicaciones: esta tecnología permite a los equipos de seguridad monitorear y controlar la instalación y el uso de aplicaciones en dispositivos y puede bloquear el uso y la ejecución de aplicaciones no seguras o no autorizadas.

Un EPP integra estas soluciones de endpoint en una consola de administración central, donde los equipos de seguridad o los administradores del sistema pueden monitorear y gestionar la seguridad de todos los endpoints. Por ejemplo, un EPP puede asignar las herramientas de seguridad adecuadas a cada endpoint, actualizar o aplicar parches a esas herramientas según sea necesario y gestionar las políticas de seguridad corporativas.

Las EPP pueden ser on-premises o basados en la nube. Pero el analista de la industria Gartner, que definió por primera vez la categoría de EPP, señala que “las soluciones de EPP deseables se gestionan principalmente en la nube, lo que permite el monitoreo y la recopilación continuos de datos de actividad, junto con la capacidad de tomar medidas de corrección remotas, ya sea que el endpoint esté en la red corporativa o fuera de la oficina”.

Detección y respuesta de endpoint (EDR)

Las EPP se centran en prevenir amenazas conocidas o amenazas que se comportan de maneras conocidas. Otra clase de solución de seguridad endpoint, llamada Ejecución de la detección y respuesta de endpoints (EDR), permite a los equipos de seguridad responder a las amenazas que se escabullen de las herramientas preventivas de seguridad endpoint.

Las soluciones de ejecución de la detección y respuesta deendpoints (EDR) monitorean continuamente los archivos y aplicaciones que entran en cada dispositivo, buscando actividad sospechosa o maliciosa que indique malware, ransomware o amenazas avanzadas. La ejecución de la detección y respuesta de endpoints (EDR ) también recopila continuamente datos detallados de seguridad y telemetría, almacenándolos en un lago de datos donde se pueden utilizar para análisis en tiempo real, investigación de causas principales, caza de amenazas y más.

La ejecución de la detección y respuesta de endpoints (EDR) suele incluir analytics avanzados, análisis de comportamiento, inteligencia artificial (IA) y machine learning, capacidades de automatización, alertas inteligentes y funcionalidad de investigación y corrección que permiten a los equipos de seguridad:

  • Correlacionar los indicadores de compromiso (IOC) y otros datos de seguridad endpoint con fuentes de inteligencia de amenazas para detectar amenazas avanzadas en tiempo real.

  • Recibir notificaciones de actividades sospechosas o amenazas reales en tiempo real, junto con datos contextuales que pueden ayudar a aislar las causas principales y acelerar la investigación de amenazas.

  • Realice análisis estáticos (análisis de código sospechoso malicioso o infectado) o análisis dinámico (ejecución de código sospechoso de forma aislada).

  • Establezca umbrales para los comportamientos de los endpoints y alertas para cuando se superen esos umbrales.

  • Automatice las respuestas, como desconectar y poner en cuarentena dispositivos individuales, o bloquear procesos, para mitigar el daño hasta que se pueda resolver la amenaza.

  • Determine si otros dispositivos endpoint se ven afectados por el mismo ciberataque.

Muchas EPP más nuevas o más avanzadas incluyen algunas capacidades de Ejecución de la detección y respuesta de endpoints (EDR), pero para una protección completa de endpoints que abarque la prevención y la respuesta, la mayoría de las compañías deben emplear ambas tecnologías.

Detección y respuesta extendidas (XDR)

La detección y respuesta extendidas, o XDR, amplía el modelo de detección y respuesta de amenazas de la ejecución de la detección y respuesta de endpoints (EDR) a todas las áreas o capas de la infraestructura, protegiendo no solo los dispositivos endpoint sino también las aplicaciones, las bases de datos y el almacenamiento, las redes y las cargas de trabajo en la nube. Una solución de software como servicio (SaaS), XDR protege los recursos on-premises y en la nube. Algunas plataformas XDR integran productos de seguridad de un solo proveedor o proveedor de servicios en la nube, pero las mejores también permiten a las organizaciones agregar e integrar las soluciones de seguridad que prefieran.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

         Explore las soluciones de ciberseguridad Descubrir los servicios de ciberseguridad