José de la Cruz, director técnico de Trend Micro Iberia

Hay muchos factores que pueden complicar los esfuerzos efectuados por las empresas en materia de ciberseguridad: la creciente sofisticación de las estrategias y actividades cibercriminales, la amplia gama de componentes conectados a la red, la protección de datos o la seguridad de las infraestructuras se han convertido en una batalla cuesta arriba.

A esto hay que añadir los endpoints conectados en red. Tradicionalmente, los administradores solo tenían que ocuparse de los equipos de escritorio locales. Con el aumento de BYOD y la movilidad de la empresa, la protección de los endpoints y la seguridad de datos asociada se ha vuelto mucho más compleja. Además, los administradores de TI no solo deben preocuparse por los endpoints: cualquier dispositivo que se conecte y aproveche la red corporativa debe formar parte de las estrategias de detección y respuesta. Hoy en día se examina más de cerca la detección y respuesta, incluso desde la perspectiva del endpoint, así como la forma en que las organizaciones pueden utilizar las buenas prácticas para cubrir las carencias internas y garantizar mejor la protección de los activos clave y de la red general.

Detección y respuesta endpoint ¿qué es y cómo funciona?

Parece algo básico, pero es importante tenerlo en cuenta. Según Nate Lord, colaborador de Digital Guardian, el concepto de detección y respuesta endpoint (EDR) surgió por primera vez en 2013 gracias al investigador de Gartner, Anton Chuvakin, quien lo define como el conjunto de “herramientas centradas principalmente en la detección e investigación de actividades sospechosas (y rastreo de las mismas) y otros problemas relacionados con los hosts/endpoints”. En este sentido, la detección y respuesta se centra en la capacidad de identificar amenazas potenciales y actividades que pueden señalar posibles intrusiones o ataques y responder a estos problemas o peligros. Si bien las diferentes herramientas funcionan de manera única e incluyen distintas características y capacidades, la protección y respuesta endpoint incluye algunos procesos clave:

• Monitorización:

La piedra angular de este proceso es el análisis continuo de las actividades y eventos que tienen lugar dentro de la red. Esto incluye la integración y uso de diferentes endpoints, plataformas de software, elementos de hardware o entornos digitales.

• Registro de eventos:

Los eventos que tienen lugar dentro de la red, a través del conjunto de diferentes endpoints, se registran en una base de datos central.

• Análisis:

A continuación, los eventos registrados se analizan para detectar posibles amenazas e inteligencia que pueda aprovecharse para fundamentar las estrategias de protección. El análisis también puede incluir o informar de otros procesos como la investigación de las amenazas detectadas, la elaboración de informes y alertas asociadas.

Alineación con el Marco de Ciberseguridad NIST

Cabe destacar los puntos en común entre los elementos esenciales de una estrategia de detección y respuesta en el endpoint y el Marco de Ciberseguridad NIST. Los procesos clave involucrados en la detección y respuesta endpoint se alinean específicamente con ciertas funciones críticas dentro del Marco de Ciberseguridad NIST. Este incluye cinco funciones clave: identificar, proteger, detectar, responder y recuperar. De esta manera, puede resultar beneficioso crear una planificación de detección y respuesta en torno a las funciones y categorías particulares incluidas en este marco de ciberseguridad.

Además de alinear la protección y respuesta endpoint con las funciones y categorías del NIST Cybersecurity Framework, hay otras consideraciones y prácticas clave que las empresas y sus equipos de TI deben implementar, junto con su estrategia de detección y respuesta para el endpoint.

Centrarse en los endpoints y en los usuarios

Uno de los eslabones más débiles implicados en los procesos de protección y respuesta del endpoint no son los endpoints en sí mismos, sino los usuarios que interactúan con ellos. Las empresas pueden desplegar diversas estrategias de protección, detección y respuesta, pero estas deben ser implementadas sobre una base de educación y concienciación de los usuarios. Los usuarios son el objetivo de personas ajenas a la empresa mediante el uso de phishing, ingeniería social y otras técnicas que buscan persuadirles de que abran la puerta y les permitan entrar. Los usuarios deben ser conscientes de estas amenazas y por eso es clave combinar formación y concienciación de los usuarios con la postura de seguridad de la organización. Hay que educar sobre los riesgos potenciales en el entorno de amenazas actual y sobre el posible impacto de sus acciones en el negocio, su reputación y en los clientes.

Construir sobre EDR con análisis de causa raíz

Los expertos del sector corroboran el interés que existe en el mercado en la detección, protección y respuesta del endpoint, así como en la capacidad de construir sobre esta base con el análisis de las causas de fondo. Las empresas no solo quieren herramientas para protegerse e identificar amenazas potenciales, sino que cuando se produce un evento de seguridad quieren entender cómo ocurrió y cómo pueden evitarlo en el futuro.

EDR requiere los recursos adecuados y es parte de una estrategia de seguridad más amplia

También es importante que las empresas comprendan que la detección y respuesta de endpoints no se debe realizar como una estrategia ad hoc, sino que se debe incorporar a consideraciones de seguridad más amplias y globales. No incluir correctamente la seguridad endpoint en la estrategia de seguridad general de la empresa es un error frecuente. Un factor que contribuye a esto es que una estrategia robusta de detección y respuesta para el endpoint puede ser particularmente intensiva en recursos y operaciones, y requiere de la experiencia y las herramientas adecuadas.

Afortunadamente, ya existen tecnologías para abordar este problema que incluyen la monitorización constante, la detección de alertas y amenazas, así como el registro de eventos endpoint, el registro de metadatos de red y el análisis de causa raíz. Este servicio es ideal para organizaciones que pueden no tener los recursos y capacidades internas para asumir este proceso crítico por sí solas.