Estrategias de defensa para la lucha contra las amenazas avanzadas

Por Miguel Ángel de Castro Simón, senior cybersecurity analyst; José Luis Domínguez Álvarez, business development senior consultant; Nikolaos Tsouroulas, head of cybersecurity product management. Elevenpaths

grafico elevenpaths

Los avances tecnológicos, intereses económicos, sociales y políticos han generado un nuevo contexto de amenazas avanzadas que nunca antes se habían presentado. Estas nuevas amenazas son mucho más sofisticadas tecnológicamente, disponen de más recursos y no son detectadas por las soluciones y servicios tradicionales de seguridad.

En este sentido, una protección efectiva frente a este nuevo tipo de amenazas debe combinar medidas de seguridad de infraestructura y perímetro tradicionales, junto con sistemas específicos para la detección de amenazas avanzadas con el fin de dificultar la intrusión inicial, reducir la posibilidad de escalada de privilegios, limitar el daño y detectar cualquier tipo de actividad sospechosa de forma temprana. Adicionalmente tras la materialización de una amenaza, debe ser posible recopilar la información que precisan los investigadores forenses para determinar el daño provocado, cuándo se ha producido y quién es el causante.

Diversidad de enfoques en la industria

Como respuesta al escenario actual, la industria está evolucionando ante las nuevas amenazas desarrollando soluciones, tanto ubicadas en la red como en el endpoint, para tratar de cubrir el espectro más amplio posible y así hacer frente a las diferentes variantes y particularidades que las caracterizan.

Centrando nuestra atención en las soluciones basadas en endpoint, las cuales se denominan como Endpoint, Detection and Response (EDR, por sus siglas en inglés), pueden categorizarse en dos grandes grupos: aquellas que disponen de mayores capacidades de detección preventiva, es decir, aquellas que detienen la amenaza antes de que sea ejecutada, o en aquellas basadas en detección analítica, es decir, las que monitorizan el comportamiento de todos los eventos del sistema en busca de patrones anómalos que indiquen un posible compromiso.

Otra de las visiones que los fabricantes han implementado en las soluciones parten de la premisa de que no existe riesgo cero, por lo que aportan funcionalidades de respuesta que centran su atención en ofrecer características forenses a los analistas para actuar tras la materialización de una amenaza. Si bien por sí mismas, las capacidades de respuesta no ofrecen protección ante amenazas avanzadas, sí suponen un complemento que habitualmente incorporan las soluciones basadas en prevención o en detección.

Tras estudiar el problema, se considera que la protección en el endpoint es clave teniendo en cuenta los siguientes aspectos. En primer lugar, utilizar elementos de red resulta ineficaz, dada la movilidad, el uso de sistemas cloud y el crecimiento del uso de canales cifrados de los propios endpoints. En segundo lugar, los usuarios finales son los que interactúan con los sistemas de la información, incluso en algunas ocasiones con permisos de administración o con acceso a información muy sensible, por lo que no debe descartarse que de forma intencionada o no los usuarios sean uno de los principales riesgos a tener en cuenta.

Lea el artículo íntegro en el número de julio/agosto de CUADERNOS DE SEGURIDAD.