7 VERDADES ENDPOINT-min

7 verdades incómodas de Endpoint Security: un informe de Sophos

Un informe publicado por Sophos revela que los gerentes de TI tienen más probabilidades de atrapar a los ciberdelincuentes en los servidores y redes de su organización que en cualquier otro lugar.

El estudio, 7 Verdades incómodas de Endpoint Security, encuestó a más de 3,100 gerentes de TI en 12 países diferentes en sectores verticales de la industria y tamaños de organización, y fue realizado por el especialista en investigación independiente Vanson Bourne.

El informe revela que los gerentes de TI descubrieron el 37% de sus ataques cibernéticos más significativos en los servidores de su organización y el 37% en sus redes. Solo el 17% se descubrió en puntos finales y el 10% en dispositivos móviles.

Probablemente haya escuchado el dicho: “No es una cuestión de si, sino cuándo se atacará”, y los datos de la encuesta ciertamente lo respaldan, con la mayoría de las organizaciones que respondieron a esta encuesta (68% de promedio global) Ya ha sido violado.

Es por eso que hay un impulso creciente no solo para enfocarse en las tácticas y herramientas que evitan los ataques, sino también para impulsar los programas de respuesta a amenazas para encontrar más rápidamente a los intrusos que ya están en la red y para responder de manera más efectiva a los ataques que ya están en marcha.

En otras palabras, para la seguridad de la organización, ya no es suficiente pensar en las amenazas detenidas en el ‘perímetro’. Las empresas también deben centrarse en el tiempo de permanencia, que es el tiempo que lleva detectar un ataque en curso.

De los equipos que pudieron medir definitivamente el tiempo promedio de permanencia del atacante, respondieron que podían detectar a un atacante en tan solo 13 horas, con Australia, Brasil y Canadá informando 10 horas de tiempo de permanencia en un extremo del promedio, y Japón informa 17 horas por el otro.

Si no está familiarizado con la charla de la industria sobre el tiempo de permanencia, 13 horas pueden parecer una eternidad para que un atacante esté enraizando los activos de su organización, pero en comparación con otros puntos de referencia de la industria, como el Informe de investigaciones de violación de datos de Verizon (DBIR), cuyos encuestados en promedio el tiempo de permanencia del reloj en semanas o meses – 13 horas parece casi imposiblemente rápido.

Como el conjunto de encuestados y los tipos de amenazas que se evalúan en esta encuesta y los estudios DBIR de Verizon no son exactamente lo mismo, no podemos ni debemos hacer una comparación uno a uno entre los dos. En cambio, este informe profundiza en por qué hay una disparidad en los resultados, y por qué la brecha en los tiempos de detección de aquellos con equipos de seguridad dedicados frente a los que no tienen puede mantener tal variabilidad.

La falta de visibilidad sobre el comportamiento del atacante y la información sobre las rutas del atacante sigue siendo una barrera importante para detectar ataques y reducir el tiempo de permanencia. Según la encuesta, el 20% de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado no pueden determinar cómo los atacantes lograron ingresar, y el 17% no sabe cuánto tiempo estuvo la amenaza en el medio ambiente antes de ser detectada.

Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de punto final (EDR) que exponga dónde se originan las amenazas, así como las huellas digitales de los atacantes que se mueven lateralmente a través de una red. El 57% de los encuestados informaron que no tenían una solución EDR en este momento, pero que planeaban implementarla en los próximos 12 meses.

Chester Wisniewski, científico investigador principal de Sophos dijo:

Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de ataque para evitar una mayor infiltración.

EDR ayuda a los gerentes de TI a identificar el riesgo y a implementar un proceso para las organizaciones en ambos extremos del modelo de madurez de seguridad. Si TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente; Si TI todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona inteligencia de amenazas muy necesaria.

En promedio, las organizaciones que investigan uno o más posibles incidentes de seguridad cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaran la identificación de eventos sospechosos (27%), la gestión de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres características principales que necesitan de las soluciones EDR para reducir el tiempo necesario para identificar y responder a alertas de seguridad.

Si los gerentes de TI tienen una defensa en profundidad con EDR, pueden investigar un incidente más rápidamente y utilizar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los cibercriminales saben que ciertos tipos de ataques funcionan, generalmente los replican dentro de las organizaciones. Descubrir y bloquear patrones de ataque ayudaría a reducir la cantidad de días que los gerentes de TI pasan investigando posibles incidentes.

Este informe profundiza en los detalles de las amenazas detectadas (de qué tipo y dónde), así como los recursos gastados en la investigación de incidentes. Al echar un vistazo más amplio a las industrias en todas las geografías y el tamaño de la organización, este informe arroja luz sobre los desafíos inesperados que enfrenta la seguridad empresarial en todo el mundo.

La seguridad en el Endpoint se refiere al enfoque de proteger una red empresarial cuando se accede a ella mediante dispositivos remotos como smartphones etc

¿Qué es la seguridad en el Endpoint? y ¿por qué es crucial hoy?

Endpoint Security, Endpoint Protection se refiere al enfoque de proteger una red empresarial cuando se accede a ella mediante dispositivos remotos como smartphones, computadoras portátiles, tabletas u otros dispositivos inalámbricos. Incluye monitoreo del estado del dispositivo, software y actividades. El software de Endpoint Protection se instala en todos los servidores de red y en todos los dispositivos.

Con la proliferación de dispositivos móviles como computadoras portátiles, smartphones, tabletas, computadoras portátiles, etc., también ha habido un fuerte aumento en la cantidad de dispositivos perdidos o robados. Estos incidentes se traducen potencialmente como una gran pérdida de datos confidenciales para las empresas, lo que permite que sus empleados traigan estos dispositivos móviles (proporcionados por la empresa o no) a su empresa.

Para resolver este problema, las empresas deben proteger los datos empresariales disponibles en estos dispositivos móviles de sus empleados de tal manera que incluso si el dispositivo cae en las manos equivocadas, los datos deben permanecer protegidos. Este proceso de asegurar los Endpoints empresariales se conoce como Endpoint protection.

Además de esto, también ayuda a las empresas a prevenir con éxito cualquier mal uso de sus datos que hayan puesto a disposición en los dispositivos móviles de los empleados. (Ejemplo: un empleado descontento que intenta causar molestias a la empresa o alguien que puede ser un amigo del empleado que intenta hacer un mal uso de los datos de la empresa disponibles en el dispositivo).

Definición de Endpoint Security

Endpoint Security a menudo se confunde con una serie de otras herramientas de seguridad de red como antivirus, firewall e incluso seguridad de red. Más adelante hablaremos de las diferencias entre la seguridad de Endpoint o Endpoint protection y la red contra varias amenazas de seguridad en evolución de hoy.

¿Por qué se llama Endpoint Security?

Como puedes darte cuenta, cada dispositivo que puede conectarse a una red representa un peligro considerable. Y a medida que estos dispositivos se colocan fuera del firewall corporativo en el borde de la red que utilizan los individuos para conectarse a la red central, se los llama como Endpoints. Significando endpoints de esa red.

Como ya se dijo, el Endpoint puede ser cualquier dispositivo móvil que abarque desde computadoras portátiles hasta las portátiles de hoy en día, que se puede conectar a una red. Y la estrategia que emplea en seguridad de estos Endpoints se conoce como ‘Endpoint Security‘.

Endpoint Security no es lo mismo que antivirus

Aunque el objetivo de las soluciones de Endpoint security es el mismo: dispositivos seguros, existe una diferencia considerable entre Endpoint Security y el antivirus. Antivirus se trata de proteger PC (s), una o varias, dependiendo del tipo de antivirus que se esté implementando, mientras que Endpoint Security cubre toda la imagen. Se trata de asegurar todos los aspectos de la red.

Endpoint security generalmente incluye ‘disposiciones para la lista blanca de aplicaciones, control de acceso a la red, detección y respuesta de punto final’, cosas que generalmente no están disponibles en los paquetes antivirus. También se puede decir que los paquetes antivirus son formas más simples de seguridad en los dispositivos.

Endpoint Security es diferente para consumidores y empresas

Las soluciones de Endpoint security pueden clasificarse ampliamente en 2 tipos diferentes. Uno para los consumidores y el otro para las empresas. La principal diferencia entre los dos es que no existe una gestión y administración centralizadas para los consumidores, mientras que, para las empresas, es necesaria una gestión centralizada. Esta administración central (o servidor) optimiza la configuración o instalación del software de Endpoint security en dispositivos individuales y los registros de rendimiento y otras alertas se envían al servidor de administración central para su evaluación y análisis.

¿Qué suelen contener estas soluciones de Endpoint security?

Si bien ciertamente no hay límite para lo que puede contener la Endpoint security, y esta lista solo se ampliará en el futuro, hay algunas aplicaciones que son fundamentales para cualquier solución de Endpoint security. (Porque, bueno, asegurar una red es un juego de pelota completamente diferente de asegurar una computadora).

Algunas de estas aplicaciones son firewalls, herramientas de antivirus, herramientas de seguridad de Internet, herramientas de administración de dispositivos móviles, cifrado, herramientas de detección de intrusos, soluciones de seguridad móvil, etc., por nombrar algunas.

Tradicional Vs Moderno Endpoint Security

Esto es obvio. Sin embargo, algo que debe señalarse. Porque las empresas a menudo son reacias a los cambios. Incluso si es por su propio bien. Pero la seguridad en los Endpoints es un área donde las empresas no tienen más remedio que adoptar la seguridad moderna. Porque son mucho más que una simple herramienta anti-malware que puede ser muy útil para proteger su red contra las diversas amenazas de seguridad actuales.

Diferencia entre Endpoint Security y Antivirus

El antivirus es uno de los componentes de la Endpoint security. Mientras que Endpoint security es un concepto mucho más amplio que incluye no solo antivirus sino muchas herramientas de seguridad (como Firewall, sistema HIPS, herramientas de listado blanco, herramientas de parche y registro / monitoreo, etc.) para salvaguardar los diversos Endpoints de la empresa (y la propia empresa contra estos Endpoints) y de diferentes tipos de amenazas de seguridad.

Más precisamente, la seguridad de los Endpoints emplea un modelo de servidor / cliente para proteger los diversos Endpoints de la empresa. El servidor tendría un instante maestro del programa de seguridad y los clientes (Endpoints) tendrían agentes instalados dentro de ellos. Estos agentes comunicarían con el servidor las actividades de los dispositivos respectivos, como el estado de los dispositivos, la autenticación / autorización del usuario, etc., y así mantendrían seguros los Endpoints.

Mientras que el antivirus es generalmente un programa único responsable de escanear, detectar y eliminar virus, malware, adware, spyware, ransomware y otros tipos de malware. En pocas palabras, el antivirus es una ventanilla única para proteger sus redes domésticas, y la Endpoint Security es adecuada para proteger empresas, que son más grandes y mucho más complejas de manejar.

Diferencia entre Endpoint Security y Network Security

La seguridad de los Endpoints se trata de proteger los Endpoints de su empresa (dispositivos móviles como computadoras portátiles, teléfonos inteligentes y más), y, por supuesto, la empresa contra los peligros que representan estos Endpoints también, mientras que la seguridad de la red se trata de tomar medidas de seguridad para proteger toda su red (toda la infraestructura de TI) contra diversas amenazas de seguridad.

La principal diferencia entre la seguridad de los Endpoints y la seguridad de la red es que, en el caso de los primeros, el enfoque se centra en asegurar los Endpoints y, en el caso de los últimos, el enfoque está en asegurar la red. Ambos tipos de seguridad son importantes. Idealmente, es mejor comenzar por asegurar los Endpoints y construir algo más robusto. No dejarías las puertas de tu casa abiertas, solo porque hay un guardia de seguridad, ¿verdad? En el mismo sentido, ambos son importantes y se les debe dar igual importancia, comenzando desde los Endpoints y construyéndose lentamente.

En términos muy simples, su red estaría segura solo si sus Endpoints están protegidos primero. Debe tener esto en cuenta antes de comenzar a buscar productos de Endpoint security y seguridad de red.

Diferencia entre Endpoint Security y Firewall

Los firewalls son responsables de filtrar el tráfico que ingresa y sale de su red en base a “un conjunto de reglas de seguridad”. Como, por ejemplo, restringir el tráfico que fluye hacia la red desde un sitio web potencialmente peligroso en particular. Mientras que la seguridad de los Endpoints se ocupa no solo del filtrado de la red, sino que realiza muchas otras tareas como parchar, registrar y monitorear, etc., para proteger los Endpoints.

Tanto el antivirus como el firewall son elementos cruciales de la seguridad del punto final. Su objetivo sigue siendo el mismo, aunque el modelo adoptado (modelo cliente / servidor) y la cantidad de computadoras que protegen difieren. Y dentro del modelo de Endpoint security, operando con otras herramientas de seguridad, se vuelven aún más eficientes.

Comienza a proteger todos los Endpoints de tu empresa, solicita una demo gratis de Sophos Intercept X por 30 días.

5 RAZONES POR LAS QUE NECESITAS Sophos Intercept X Advanced con EDR

5 razones por las que necesitas Sophos Intercept X Advanced con EDR

 

Las herramientas de detección y respuesta de Endpoint (EDR) están diseñadas para complementar la seguridad del Endpoint con capacidades mejoradas de detección, investigación y respuesta. Sin embargo, la exageración que rodea a las herramientas EDR hace que sea difícil entender cómo se pueden usar y por qué se necesitan. Para empeorar las cosas, las soluciones EDR de hoy luchan por proporcionar valor a muchas organizaciones. Pueden ser difíciles de usar, carecen de capacidades de protección suficientes y requieren muchos recursos. Sophos Intercept X Advanced con EDR integra una protección inteligente la cual es la mejor valorada de la industria, ya que se integra en una única solución. En otras palabras, es la forma más fácil para que las organizaciones respondan preguntas difíciles sobre incidentes de seguridad. Pero hay más. Aquí hay algunas razones adicionales por las que debería considerar una solución EDR para la seguridad cibernética .

  1. USE INTERCEPT X PARA INFORMAR

Los equipos de TI y seguridad a menudo están motivados por las métricas de ataque y defensa, pero la pregunta más difícil para la mayoría de los equipos es “¿estamos seguros ahora?”. Esto se debe a que la mayoría de las redes tienen puntos ciegos considerables que hacen que ver lo que está sucediendo sea muy difícil. La falta de visibilidad significa que es difícil entender el alcance y el impacto de los ataques. Por lo tanto, cuando ocurre un incidente, el equipo asume que están a salvo porque se detectó el incidente.

Intercept X Advanced con EDR proporciona información adicional que determina si otras máquinas se vieron afectadas. Por ejemplo, si se encuentra algo sospechoso en la red, se solucionará. Sin embargo, el analista puede no saber si existen amenazas en cualquier otro lugar de la red. Con Intercept X Advanced con EDR, esta información está fácilmente disponible. La capacidad de ver otras ubicaciones donde existen amenazas permite al equipo de seguridad priorizar los incidentes para una investigación adicional.

Generar una visión clara del panorama de seguridad también nos permite informar sobre el estado de cumplimiento. Esta información ayuda a identificar áreas que pueden ser vulnerables a los ataques. También permite a los administradores determinar si el ataque ha afectado las áreas donde se alojan los datos confidenciales. Es mucho más simple con Intercept X Advanced con EDR. En el mismo sentido, es mucho más fácil demostrar que la información está siendo protegida gracias a una mayor visibilidad del Endpoint.

  1. DETECTAR ATAQUES QUE PASARON DESAPERCIBIDOS

Cuando se trata de seguridad cibernética, incluso las herramientas más avanzadas pueden ser derrotadas si se les da suficiente tiempo y recursos. Como resultado, es difícil entender realmente cuándo están ocurriendo los ataques. Las organizaciones a menudo dependen únicamente de la prevención para mantenerse protegidos.

Si bien la prevención es crítica, EDR ofrece otra capa de detección que puede encontrar incidentes que han pasado desapercibidos. Usando Intercept X, detecta ataques al buscar indicadores de compromiso (IOC). Afortunadamente, esta es una forma rápida y directa de buscar ataques que pueden haberse perdido.

Sophos Intercept X Advanced con EDR proporciona una lista de eventos sospechosos, para que los analistas sepan qué deberían investigar. Posteriormente, crea una lista de los principales eventos sospechosos, clasificada por su puntaje de amenaza, por lo que es más fácil para los analistas concentrarse en los eventos más importantes. Los eventos sospechosos también destacan los ataques maliciosos indeterminados, más útiles para actividades de las que no está seguro y ameritan una mirada más profunda. Piense en ello como si cayera en un “área gris” donde se necesita un análisis adicional para confirmar si es malicioso, benigno o no deseado.

  1. RESPONDA MÁS RÁPIDO A POSIBLES INCIDENTES

Una vez que se detectan los incidentes, los equipos de TI y de seguridad generalmente se apresuran a solucionarlos lo más rápido posible. Cuanto más rápida sea la respuesta, más reducirá el riesgo de propagación de ataques y limitará cualquier daño potencial. En promedio, los equipos de seguridad y TI pasan más de tres horas tratando de resolver cada incidente. En consecuencia, EDR puede acelerar esto sin dudarlo.

El primer paso durante el proceso de respuesta a incidentes es detener la propagación de un ataque. Por lo tanto, Intercept X aísla los puntos finales bajo demanda, que es clave para evitar que una amenaza se propague por la red.

En primer lugar, el proceso de investigación puede ser lento y doloroso. Esto supone que se produce una investigación. Sin embargo, la respuesta a incidentes depende en gran medida de analistas humanos altamente calificados. La mayoría de las herramientas EDR también dependen en gran medida de los analistas para saber qué preguntas hacer y cómo interpretar las respuestas. Sin embargo, con Intercept X, los equipos de seguridad de todos los niveles de habilidad pueden responder rápidamente a incidentes de seguridad. Todo gracias a investigaciones guiadas que ofrecen los siguientes pasos sugeridos, representaciones claras de ataque visual y experiencia incorporada. Además, hay opciones de respuesta rápida que incluyen la capacidad de aislar puntos finales para la reparación inmediata, limpiar y bloquear archivos, y crear instantáneas forenses. Y si un archivo se bloquea por error, puede revertirse fácilmente.

  1. AGREGAR EXPERIENCIA SIN PERSONAL

Encontrar profesionales calificados en seguridad cibernética es difícil. Especialmente si eres una organización más pequeña que no tiene el dinero o los recursos para contratar personal especializado. Para combatir esto, Intercept X replica las capacidades asociadas con analistas difíciles de encontrar. Utiliza el aprendizaje automático para obtener una visión profunda de la seguridad y se mejora con inteligencia de amenazas. Ahora puede agregar experiencia sin tener que agregar personal.

Las capacidades inteligentes de EDR ayudan a llenar los vacíos causados ​​por la falta de conocimiento del personal, reproduciendo las funciones de seguridad, malware y analistas de inteligencia de amenazas. ¡Así que olvídate de tratar de resolver posibles infracciones y deja que Sophos Intercept X haga el trabajo duro por ti!

  1. APRENDA CÓMO OCURRIÓ EL ATAQUE Y CÓMO PREVENIR

“¿Cómo sucedió este ataque?”. Una pregunta que hace temblar a los equipos de TI. La mayoría de las veces, todo lo que pueden hacer es encogerse de hombros. Identificar y eliminar archivos maliciosos resuelve el problema inmediato, pero no arroja luz sobre cómo llegó allí en primer lugar o qué hizo el atacante antes de que se cerrara el ataque. Afortunadamente, Intercept X detecta todos los eventos que conducen a la detección, lo que facilita la comprensión de qué archivos y procesos fueron tocados por el malware para determinar el impacto de un ataque.

Como resultado, proporciona una representación visual de toda la cadena de ataque, asegurando informes confiables sobre cómo comenzó el ataque y dónde fue el atacante. Más importante aún, al comprender la causa raíz de un ataque, es más probable que el equipo de TI evite que vuelva a ocurrir.

Solicita una Demo

Abrir chat
1
Hola, soy Mónica, ¿te puedo apoyar con algo?