Español | English
rss facebook linkedin Twitter

ENDPOINT, EL ESLABÓN MÁS DÉBIL





UN POQUITO DE REPASO
Pues sí, mal que le pese a alguno, el Endpoint, hablando en el tándem que forma el usuario con el dispositivo, PC o portátil, siempre es el eslabón más débil.
Desde que el mundo es mundo, en todos los aspectos de la vida, ha habido que lidiar con buenos y malos y en el mundo de la informática, no iba a ser menos; movidos inicialmente por fines de reconocimiento y retos personales, y en los últimos años por fines más lucrativos (vicios caros que mantener, espionaje, mafias, Hacktivismo), las personas del lado oscuro han hecho que el concepto de seguridad informática (ciberseguridad que le da más glamour), sea conocido de una manera global siendo utilizado en nuestro día a día, y las empresas que hace años no lo valoraban, ni lo tenían en sus presupuestos, hayan tenido que tomar conciencia, muchas veces sufriendo en sus propias carnes la acción de ataques, y en otras ocasiones haciendo suyo el refrán de “cuando veas las barbas de tu vecino  veas cortar....
Movidos por esta sensación de inseguridad en la red, estas empresas, han invertido muchas veces, grandes sumas de dinero en la adquisición de dispositivos de seguridad perimetrales, los últimos Firewalls de capa 7, los últimos IPS, el mayor anti-ddos.... pero han olvidado la primera frase con la que abría este artículo, el Endpoint es el eslabón más débil.

ANTIVIRUS. ¿PARA QUE MÁS?
Lejos queda ya 1972 cuando apareció Creeper (Enredadera), el primer virus conocido que se auto ejecutaba y mostraba el mensaje “I'm the creeper, catch me if you can” y como unos meses más tarde, se creó su enemigo, el antivirus Reaper (Segadora) creado explícitamente para mitigar al “peligrosísimo” Creeper.
A priori no era más que un juego del desarrollador Bob Thomas Morris, pero fue el germen de los virus que más tarde se fueron desarrollando y que por supuesto se siguen desarrollando en nuestros días (por supuesto más dañinos y sofisticados), y por ende la sociedad tecnológica empezó a tomar consciencia de la necesidad de los antivirus para los puestos de trabajo.
Durante años, los antivirus fueron la única protección para Endpoint que fue desarrollada y aún en nuestros días, en muchas compañías siguen siendo; rara es la semana en la que algún cliente no nos pregunta “cómo es posible que hayan sido infectados por algún tipo de ransomware o apt si su antivirus está perfectamente actualizado y activo...¿es que el antivirus no vale?”. 
Pues sí, el antivirus si vale, pero al igual que un IPS tiene un propósito muy específico y un Firewall otro y son dispositivos distintos (lo siento, no soy muy amigo de UTMs que dicen hacer de todo).  Los antivirus nos defienden sobre virus conocidos, pero en el ciberespacio hay infinito malware distinto, de hecho, a día de hoy, sólo una pequeñísima porción de malware es considerada virus que necesita ser contrarrestado con otras soluciones.

NUEVAS SOLUCIONES
Los fabricantes de seguridad que saben de esto han desarrollado nuevas soluciones, muchas veces tomando la idea de dispositivos perimetrales y adaptándolas al puesto final, FW para host, IPS para host, DLP, no tanto centrado en el malware, sino en la fuga de información, MDM para el control del  famoso BYOD , etc...
En este último año, y debido en gran parte al crecimiento exponencial de APTs, y ransomware, muchas de estas empresas, se han puesto manos a la obra para desarrollar soluciones muy potentes (para Endpoint) que trabajando conjuntamente con el antivirus (o no), permiten identificar y bloquear amenazas avanzadas y Zero Days, además de proporcionar información detallada de lo que realmente hace el malware. Se trata de soluciones que realizan un triaje del incidente que aparece en  el puesto, bien haya entrado por mail o mediante la navegación fundamentalmente, realizan un escaneo del contenido, detonan el malware y entregan al administrador un análisis forense completito de todo lo que hace el bicho detectado, además de otras opciones como aislamiento del sistema, cuarentena, etc... Es decir, no se trata de antivirus y realmente no son antivirus, sino denominadas Next Generation Endpoint Security Solutions.

RECOMENDACIONES
¿Que deberían hacer las compañías para que el Endpoint fuera un eslabón un poco menos débil?
1.- Concienciación: La compañía debe establecer jornadas formativas y publicar políticas de seguridad para que todos los empleados se sientan responsables de los datos de sus sistemas.
2.- Implementación de soluciones: Ser conscientes de que los tiempos cambian y que determinadas amenazas requieren determinadas soluciones, desgraciadamente no existe una solución global que nos proteja de todo, por muchos cantos de sirena que oigamos a diario.
3.- Puestos de trabajo: Como comenté al principio, el Endpoint lo considero como el tándem entre el usuario y el puesto (dispositivo, etc...), y muchas veces las compañías cuentan con un parque tecnológico obsoleto (determinadas aplicaciones que solo corren en la versión Windows XXX...) y que poseen vulnerabilidades que, poco tienen que ver con un descuido o desconocimiento de un usuario que pinche en un enlace de una famosa compañía de reparto.
Como afortunadamente no vivimos en un mundo idílico (los profesionales de la seguridad, tenemos hipotecas que pagar), lo más recomendable para las compañías es que si todo esto falla, cuenten con los servicios una empresa de seguridad (ciberseguridad, que es más glamoroso).

Juan de Dios 
SOC Security Engineer



Se acabó la tregua, el malware bancario Gootkit muta y afecta a entidades españolas


Desde el departamento de Servicios Avanzados de Ciberseguridad de S21sec, el pasado mes de mayo os dábamos información técnica al respecto del malware bancario Gootkit, y comentábamos algunas de las entidades afectadas, principalmente de Italia y Francia.

Durante las últimas semanas, mediante el seguimiento que hacemos de las botnets de estas familias de malware bancario, hemos observado cómo ha ido evolucionando el número de entidades y países afectados. Si ya vimos en el pasado que múltiples entidades financieras de Reino Unido, Canadá y Estados Unidos se unían al grupo de entidades atacadas directamente, a finales de la semana pasada ya detectamos una muestra con afectación a algunas entidades españolas, entre las que no se encuentra ningún cliente de S21Sec, que habría sido alertado inmediatamente.

Las primeras observadas en esta variante:



Nuestra recomendación es que no se puede obviar ninguna familia de malware, ya que cualquiera de ellas puede mutar en cualquier momento en su comportamiento, características o en las entidades a las que afecta, y por ende a los usuarios de esas entidades, incluyendo inyecciones con muleros.

Estar siempre vigilante antes nuevas amenazas detectadas, aunque no nos afecten directamente y en la medida de lo posible, contar con algún servicio de alerta temprana de una empresa especializada en este tipo de amenazas

Realizar periódicamente acciones que mejoren el nivel de concienciación de nuestros clientes y usuarios en lo referente a Amenazas, Fraude y CiberSeguridad, con campañas de comunicación, Ciber-ejercicios, formación, etc

Debemos educar a nuestros usuarios para que interioricen el grado de alerta necesario, a la hora de navegar en ciertos sitios, identificar correos fraudulentos, no pichar en enlaces sospechosos y, sobre todo, desconfiar de aquellos que les solicitan claves o información adicional, bancaria en la mayoría de los casos.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login