Desde los datos sin formato a la inteligencia aplicable – El arte y la ciencia de la seguridad de endpoints

Opinión: El endpoint es vulnerable. Ahí es donde comienzan muchas de las intrusiones cibernéticas: Un empleado hace clic en un enlace de phishing e instala malware -por ejemplo ransomware- o es inducido a proporcionar credenciales de inicio de sesión.

El endpoint es vulnerable. Ahí es donde comienzan muchas de las intrusiones cibernéticas: Un empleado hace clic en un enlace de phishing e instala malware -por ejemplo ransomware- o es inducido a proporcionar credenciales de inicio de sesión.

Un navegador puede abrir una página web que instala malware. Una unidad flash USB infectada es otra fuente de ataques. Los servidores pueden ser subvertidos mediante inyecciones SQL u otros ataques; ni siquiera los servidores basados ​​en la nube son inmunes a ser sondeados y saboteados por los hackers. A medida que el número de endpoints prolifera – principalmente debido a Internet de las cosas – las probabilidades de que un endpoint se vea en peligro y luego sea utilizado para obtener acceso a la red empresarial y sus activos sólo aumentan.

¿Cuáles son los endpoints más vulnerables? ¿Cuáles necesitan protección adicional?

La respuesta es todos ellos, especialmente los dispositivos que ejecutan alguna versión de Windows, comenta Mike Spanbauer, vicepresidente de seguridad en la empresa de análisis y evaluación NSS Labs. “Todos ellos. Así que la realidad es que Windows es el principal objetivo de los ataques, concentrando la mayoría del malware y utilización de vulnerabilidades. Por lo tanto, la característica principal, o componente clave, será proteger su entorno Windows y a los usuarios de Windows, tanto dentro del perímetro de la empresa como en las conexiones remotas de los empleados a los sistemas de ésta”.

Roi Abutbul, cofundador y CEO de la empresa de seguridad Javelin Networks, estuvo de acuerdo con lo anterior. “Los principales endpoints que necesitan protección adicional son aquellos conectados al dominio [Windows], ya que literalmente son la puerta de acceso para que los atacantes obtengan la información más sensible sobre toda la organización”.

“Desde una máquina intervenida”, continuó, “los atacantes pueden obtener una visibilidad del 100% de toda la empresa, solo desde un único endpoint. Por lo tanto, toda máquina que esté conectada al dominio debe obtener protección adicional”.

IoT y Cloud vulnerables

Scott Scheferman, director de consultoría en la empresa de seguridad de endpoints Cylance, manifiesta preocupación por los dispositivos no-PC y computadoras tradicionales. Esto puede incluir dispositivos IoT, routers sin protección, interruptores e incluso controladores de aire acondicionado. “En cualquier organización, cada endpoint es realmente importante, ahora más que nunca con Internet de las Cosas. En la red hay un gran número de dispositivos que, en realidad, son agujeros abiertos donde un atacante puede obtener un asidero. El problema es que, una vez obtenido el asidero es muy fácil moverse lateralmente y también elevar privilegios para realizar nuevos ataques en la red”.

En el otro extremo del espectro está la computación en la nube, especialmente los servidores virtuales controlados por la empresa, los contenedores y otros recursos configurados como Infraestructura como Servicio (IaaS) y Plataforma como Servicio (PaaS). Todo recurso conectado a la red corporativa es un vector de ataque, explicó Roark Pollock, vicepresidente de la empresa de seguridad Ziften.

“Tenemos una visión muy holística respecto del punto final”, dijo Pollock. “Lo abordaremos desde la perspectiva cliente-nube, aunque la conceptualización corresponde más bien al paradigma cliente-servidor”. Por lo tanto, queremos estar en ambos extremos de ese cable y por eso desplegamos nuestra solución en los dispositivos del cliente como laptops, PC de sobremesa e incluso escritorios virtualizados. Luego también la instalamos en el centro de datos, ya sea en servidores físicos, máquinas virtualizadas, máquinas virtuales en ese centro de datos, incluso contenedores, e incluso podemos implementar en esas máquinas virtuales, esos endpoint virtuales, incluso en una aplicación de nube empresarial”.

Microsoft también tiene una visión amplia de la seguridad de endpoints: “Creo que cada endpoint puede convertirse en objetivo de un ataque. Por lo general, las empresas empiezan primero con un esquema de privilegios elevados, como consolas de administrador para el servicio, pero todo el mundo puede convertirse en víctima”, dijo Heike Ritter, Product Manager for Security and Networking en Microsoft.

La nube es definitivamente una preocupación central, dijo Scheferman de Cylance. “Los endpoints en la nube son extremadamente importantes. Todo el mundo se ha trasladado a la nube, por lo que muchos de sus activos críticos incluso viven en la nube, incluso datos críticos, información de identificación personal (PII) e información personal de salud (PHI), no hay límites. Tienes que proteger tus endpoints de todos los factores en la nube “.

El contexto es todo

Muchos productos de seguridad para endpoints los monitorean y pueden hacer sonar la alarma si detectan una brecha. Algunas herramientas se centran en lo que está sucediendo en este instante; otras ubican los incidentes en un contexto histórico, de modo que los administradores y los equipos de respuesta de seguridad pueden ver lo que está pasando y también el origen del problema.

“El contexto es verdaderamente todo”, dijo Scheferman. “En pleno 2017, finalmente nos estamos convenciendo de eso. Un evento en sí no significa nada, pero el mismo evento sumado a otros te proporciona un contexto. Cuando estamos haciendo evaluaciones de daño, a menudo procuramos establecer el contexto en que ocurrió, con el fin de derivar elementos como análisis de la causa raíz y por donde desapareció el atacante. Es importante saber qué fueron capaces de hacer y también qué no fueron capaces de hacer. Pero no puedes determinar estas cosas a menos que tengas un contexto completo.

Spanbauer de NSS Labs estuvo de acuerdo. “En última instancia, no es posible actuar sobre los datos o procesarlos, a menos que entiendas el contexto. Es preciso determinar qué estaba ocurriendo, lo que se intentó, o lo que el usuario estaba haciendo en ese momento específico en el tiempo. Sin contexto, no se puede actuar inteligentemente y resolver el problema de fondo”.

El contexto es “realmente muy importante, así que si piensas en cuanto a números, a estadísticas, dicen que toma 200 días para descubrir una brecha. Es entonces que quieres retroceder en el tiempo”, dijo Ritter de Microsoft. “Así que a veces sólo se aprende que se trata de un ataque o que estamos frente a un determinado patrón de un ataque. Así que ahora tienes nuevos IOAs [Indicadores de Ataque], IOCs [Indicadores de Daño] reportados por Windows Defender ATP. Los aplicaremos como un nuevo patrón con hasta seis meses de datos históricos, donde ahora nuestro cliente puede investigar un ataque que ocurrió un poco antes”.

Pollock de Ziften utilizó una analogía médica para el contexto proporcionando una base de referencia: “En nuestro caso, tienes datos en tiempo real y datos contextuales, datos históricos. Preferirías no ir al médico hoy, y que descubra que tienes cáncer. Esa situación se debe a que no te has hecho un chequeo en los últimos cuatro años. Por ello, vas al médico cada año para hacerte un chequeo. Lo mismo desde el punto de vista de la seguridad; se trata de establecer una tendencia y ser capaz de ver lo que está pasando en el tiempo”.

Con todo, no hay que descuidar la importancia de la inteligencia en tiempo real para ayudar a reducir el riesgo, advirtió John Wienschenk, Gerente General de Enterprise Network y Application Security en Spirent Communications, argumentando que nunca se puede eliminar totalmente ese riesgo. “Usted obtiene los datos con una instantánea en el tiempo, luego prioriza las vulnerabilidades detectadas, ya sea estén en sus dispositivos móviles, en la seguridad de endpoint o en su infraestructura. Y luego los derribas, uno a la vez. Pero debemos constatar que nunca llegarás a una situación de cero riesgo.

Online, Offline: Todos los endpoints necesitan protección

En un entorno empresarial anticuado, casi todos los endpoints estaban conectados directamente a la red interna y, a menos que estuvieran apagados (como el PC de escritorio de un empleado durante el fin de semana), se convertían en monitores 24/7. ¿Qué pasa en el mundo de hoy, donde los endpoints son móviles, conectados a través de datos celulares, WiFi públicas o simplemente offline – pero de todas formas activos? Esos endpoints son aún más vulnerables cuando se viaja. Deben ser protegidos y supervisados ​​por el equipo del CISO para que las brechas puedan ser detectadas y resueltas rápidamente. Lo mismo ocurre con las máquinas virtuales que pueden ser activadas o desactivadas en cualquier momento. ¿Cómo están protegidas?

Pollock, de Ziften, dijo: “Nuestro agente es parte de la imagen de esa máquina virtual. Así que cada vez que se activa una máquina virtual o un contenedor, somos instantáneamente parte de ese dispositivo virtual, de esa máquina virtual en la infraestructura. Inmediatamente cuando se activa, comenzamos a proporcionar datos de esa imagen o esa máquina virtual. Así damos visibilidad instantánea de esos dispositivos virtuales. Ya sea se activen, permanezcan encendidos durante mucho tiempo, se pierdan en tu infraestructura, seguimos monitoreando y sabemos que esos dispositivos están ahí”.

Spanbauer de NSS Labs añadió: “Aquí es donde entran en juego las capacidades avanzadas sobre endpoints. Se automonitorean y ciertamente se asocian con la nube para la telemetría y otra información. Pero al final del día, usted necesita tener una autonomía local, un mecánico inteligente en el endpoint que pueda actuar offline, o que tenga la capacidad de reconexión inmediata. De otra forma, si el endpoint está desconectado, vuelve a estar online, no tendrá la oportunidad de descargar nuevas capacidades y estar actualizado. Tiene que ser capaz de protegerse en el momento mismo de reconectarse”.

Encontrando al Paciente Cero

Se detecta una brecha. Un endpoint está infectado, y se le aísla. Sin embargo, ese endpoint podría no ser la fuente de la brecha original; puede ser simplemente el lugar donde la actividad del hacker cruzó el umbral de la alarma. Para detener la brecha y evitar que vuelva a ocurrir, es vital encontrar la causa raíz de la vulnerabilidad, también conocida como Paciente Cero. Ese usuario, dispositivo o aplicación puede ser difícil de identificar.

“Para nosotros, comienza incluso antes de llegar al Paciente Cero”, dijo Pollock, de Ziften. “Se trata de una buena higiene de seguridad y de poder prevenir el mayor número posible de daño manteniendo su higiene. Pero una vez que se identifica una amenaza en ese entorno, se trata de poder colocarlas inmediatamente en su contexto para que los equipos de operaciones de seguridad sepan inmediatamente lo que están viendo, qué dispositivo, quien es el usuario”.

Kowsik Guruswamy, CTO de la firma de seguridad Menlo Security, dijo que los datos permiten identificar las brechas, incluso al tratarse de tecnologías como la plataforma de aislamiento de su compañía, que frenan cualquier amenaza, antes que cause daño o que se extraiga información de la empresa. “La mejor analogía que te diría es que le digo a los clientes que les estamos dando un chaleco antibalas. Así que absolutamente ninguna bala va a tocarlos. Sin embargo, muchos clientes quieren saber de dónde vienen las balas y qué tipos de balas les están disparando. Así que mientras estamos aislando y haciendo que el problema desaparezca, seguimos usando la inteligencia de amenazas y otras técnicas, desde una perspectiva informativa y forense, para decirles a los usuarios qué tipo de balas iban en su dirección”.

“Ese es el reto. Así que, al margen del tipo de amenaza, siempre hay una persona que se convierte en la primera víctima”, dijo Weinschenk de Spirent. “Entonces, una vez que produce el ataque se crean las vacunas y todo el mundo llega a saber si son susceptibles o no. Si te enteras que eres susceptible necesitas ser proactivo, ya sea bloqueando las vulnerabilidades o corrigiendo la base de código”, si fuese un defecto de software que causó la vulnerabilidad.

Rittrer de Microsoft añadió: “Habrá una alerta, por supuesto, en el SIEM [administrador de eventos de incidentes de seguridad] o acudirán a nuestro portal. Así que después de recibir una alerta, van a investigar en nuestro portal. Creamos alertas basadas en eventos conductuales y nuestra herramienta les da todas las capacidades de investigación. Mostramos el árbol del proceso, el tiempo, el usuario, la máquina, de dónde salió el archivo, de dónde vino. Así que te da toda la visibilidad de lo que sucedió en el endpoint, aportando también el contexto conductual.

SecureLink es el mayor distribuidor de seguridad y proveedor de servicios de seguridad gestionada (MSSP) de Europa. Stefan Lager, Vicepresidente de Servicios de SecureLink, agregó que “Lo importante que muchos clientes carecen actualmente de visibilidad, lo que queda demostrado por las estadísticas. Así, pueden estar infectados durante meses antes de detectarlo, porque no tienen visibilidad en tiempo real. Necesitamos tener visibilidad constante en el endpoint, en la red y en los diferentes registros que recopilamos. Si careces de visibilidad, es muy difícil determinar exactamente lo que pasó y cuál fue la causa raíz”.

Ideas sólidas para la protección de endpoints

Muchas compañías ofrecen soluciones de protección de endpoints, al margen de que estos sean físicos, virtuales, móviles, o que estén en un centro de datos o en la nube. Cada empresa tiene una visión diferente. Por ejemplo, Javelin Networks se centra en la protección de Active Directory, un componente esencial de una red Windows. Active Directory puede ser utilizado por los hackers para conocer los recursos de la red y concertar futuros ataques.

“Reconociendo que lo primero que harán los atacantes después de conseguir un asidero en una máquina conectada al dominio [Windows], será orientarse en el entorno usando ataques de Active Directory para apropiarse de credenciales de dominio”, dijo Abutbul, de Javelin Networks. “Nuestra solución entiende esa metodología, por lo que distorsiona la información del entorno y controla la percepción del atacante en el mismo endpoint”.

Agregó: “En resumen, los atacantes nunca podrán llegar a la información real que contiene Active Directory. Así que en el momento que actúen sobre una máquina que ni siquiera existe y que además habíamos presentado en un entorno irreal, ahí se les acaba el juego. Y podremos atraparlos justo en el endpoint, justo en el punto de la brecha, antes que puedan adentrarse en la organización”.

Ziften tiene una visión mucho más holística del endpoint, dijo Pollock. “Ya sea se trate de un dispositivo de usuario conectado a la red, un dispositivo de usuario conectado a la WiFi de una cafetería o de un empleado que trabaja desde su hogar, podemos proporcionar inteligencia sobre esos dispositivos. Incluso seguimos monitoreando dispositivos que están completamente fuera de línea. Dejamos esa información en caché y luego la subimos cuando los dispositivos vuelven a conectarse. También trabajamos en el centro de datos y en el entorno cloud. De hecho, te damos la posibilidad de dar un vistazo restrospectivo durante un período de tiempo y entender tendencias y conductas, ya sea a nivel de aplicaciones, dispositivo o usuario”.

La idea es responder rápidamente a las vulnerabilidades de día cero, dijo Scheferman de Cylance. “Cylance responde a muchos incidentes por año. De hecho, detectamos la brecha de OPM [Oficina de Gestión Personal de EE.UU.], sobre la que muchos han leído recientemente. Pudimos detener ese malware. La razón de que hayamos podido hacerlo radica en nuestra tecnología de predicción combinada con nuestra cuantiosa experiencia en automatización”.

Agregó, “nuestra tecnología predictiva nos permite identificar malware que quizás será compilado un año después. Y lo estamos bloqueando un año antes de que haya alguna identificación de ese malware en la industria. En el contexto de la respuesta instantánea, nos permite usar nuestra tecnología para identificar y contener inmediatamente una amenaza. Es por eso que nos referimos a nuestro procedimiento como contención de incidentes en lugar de respuesta a incidentes”.

Proteja los endpoints. O aténgase a las consecuencias.

Cada endpoint representa una posible vulnerabilidad empresarial. Cada teléfono móvil, computadora portátil, servidor de centro de datos, contenedor virtual en la nube, IoT, e incluso equipos industriales. No se trata de “si” los endpoints serán atacados, sino “cuándo”. El desafío para las empresas es poder prevenir, detectar y responder a esas brechas. Las tecnologías y los proveedores de servicios participantes en este diálogo tienen respuestas. Es hora de que más organizaciones hablen con ellos.

Por Alan Zeichick

Sobre el autor

Alan Zeichick es ingeniero de software y analista de sistemas. Ha trabajado como escritor, editor y analista tecnológico desde 1980. Fue fundador de SD Times y cofundador de Network Magazine, junto con desempeñarse como redactor jefe de LAN Magazine y redactor de Computer Security Journal. Sus trabajos han sido además publicados por Computer Security Institute.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022