Entre estos vectores de amenaza encontramos, entre otros, los siguientes:

• La Red: el perímetro de la red, normalmente protegido por soluciones de firewall.
   
• El usuario: los atacantes utilizan a menudo técnicas de ingeniería social para recopilar información personal con la cual poder engañar a los usuarios para que abran una vía de ataque a la red.
   
• El correo electrónico: ataques de phishing y archivos adjuntos maliciosos en coordinación con el vector anterior.
   
• Las aplicación web: ataques de SQL injection y Cross-Site Scripting  son los más conocidos ataques que aprovechan un vector de amenazas de aplicaciones web inadecuadamente protegido. 
   
• Acceso remoto: un dispositivo corporativo que utiliza un hotspot inalámbrico no seguro puede verse comprometido y permitir el paso a la red corporativa.
   
• Dispositivos móviles y BYOD: los teléfonos inteligentes, las tabletas y otros dispositivos móviles se pueden utilizar como dispositivos para introducir malware y dar entrada a otros ataques hacia la red corporativa. Además, el malware móvil puede utilizarse para robar datos del dispositivo que serán utilizados para realizar otros ataques.

Por ejemplo, una campaña de spam/phishing podría incluir un archivo adjunto comprometido, una visita a un sitio web corporativo podría resultar en una descarga maliciosa si ese sitio web hubiera sido atacado y comprometido, o un software utilizado popularmente podría estar infectado y ser descargado por el usuario.

Vemos pues que la combinación de distintos vectores de ataque hace que sea necesario proporcionar una visión completa de las distintas superficies sobre las cuales estos actúan, así como disponer de una inteligencia que permita correlacionar todos los eventos producidos en las distintas fases del ataque, aunque no se produzca de manera secuencial en el tiempo. Solo de esta manera se puede establecer una estrategia de cyber-kill chain para tratar de detener el ataque en cualquier fase de su ejecución.

En todos los casos de incidentes graves analizados desde el punto de vista forense se observa que el objetivo fundamental del ataque es el usuario final, por lo que gran parte de la batalla se dirime en el endpoint. Desde el control del dispositivo del usuario final se dispone pues de, en términos de alpinismo, un “campo base avanzado” desde el cual atacar la cumbre, mediante movimientos laterales, exfiltración de credenciales, ejecución de scripts remotos, etc.

Y si hablamos de endpoint, seguramente estaremos pensando en soluciones de blaklisting basadas en archivos de firmas de software malicioso conocido. Sin embargo, el último informe Data Breach Investigation de Verizon de este año, indica que se utilizó malware en un 51% de los casos. Lo cual es lo mismo que decir que en casi la mitad de las brechas de seguridad, un 49%, no se utilizó ningún malware. Esto nos indica que los enfoques tradicionales (blacklisting o whitelisting) para la protección del endpoint son claramente insuficientes.

La solución al problema anterior pasa por un cambio de paradigma hacia un modelo activo de protección que a través de un servicio de telemetría en tiempo real permita idealmente almacenar y procesar grandes cantidades de eventos generados desde el endpoint, y a través de distintas herramientas (whitelisting, blacklisting, machine learning, threat hunters, inteligencia colectiva, etc.) facilite un análisis continuo que ofrezca una defensa proactiva y eficaz del endpoint, sin provocar falsos positivos, independientemente de la ubicación del usuario, de manera transparente y no intrusiva. Esto exige una combinación de producto y servicio especializado que sea capaz de adaptarse de manera ágil a las nuevas estrategias desconocidas de ataque que se producen cada día.

Para poder almacenar, procesar y analizar la vasta información recogida desde cientos de miles de endpoints, parece razonable afirmar que los servicios en cloud son casi imprescindibles para proporcionar la capacidad necesaria para aplicar las técnicas de análisis específicas para entregar una clasificación o veredicto sobre los procesos ejecutados de manera irrefutable en cuanto a su bondad (goodware) o malignidad (malware). Sin embargo la clasificación de un ejecutable como legítimo no debe excluirlo del proceso de análisis continuado dentro del contexto en el que se ejecuta. Muchos ataques avanzados se sirven de procesos legítimos del sistema operativo para realizar acciones maliciosas.

La información generada debiera también idealmente poder ser explotada desde plataformas de SIEM en donde se pueden establecer reglas de correlación entre los distintos elementos de protección de las distintas capas de defensa perimetral para así disponer de la máxima visibilidad y poder responder adecuadamente a los incidentes de seguridad.

En este sentido las soluciones de Endpoint Detection and Response (EDR), nacen como tecnologías emergentes que dan respuesta a la necesidad de monitorización continuada y respuesta ante amenazas avanzadas.