Claves para entender el panorama actual de amenazas

En nuestro informe anual de Threat Hunting 2023, nuestros Threat Hunters señalaron que el volumen de intrusiones interactivas (es decir, las intrusiones por las que un atacante usa un hands-on-keyboard en el entorno de la víctima) aumentó en un 40 % interanual. El informe también revela una caída del tiempo de propagación (es decir, el tiempo que tarde un intruso en empezar a desplazarse lateralmente dentro de la red) a solo 79 minutos, lo que supone un descenso respecto al mínimo de 84 minutos que se alcanzó en 2022.

El aumento de la velocidad y el volumen de los ataques puede atribuirse a factores como los siguientes:

• La pandemia de COVID-19 y la obligación de quedarse en casa, que aumentaron drásticamente la cantidad de tiempo que las personas dedicaban online.
• El cambio al trabajo en remoto (una tendencia que ya existía, pero que se aceleró mucho debido al COVID-19), lo cual aumentó la superficie de ataque de las organizaciones.
• La proliferación de dispositivos conectados y la tecnología del Internet de las cosas (IoT), que proporcionan una gran cantidad de puntos de entrada para los ciberdelincuentes.
• El cambio a la nube, que requiere una estrategia de seguridad con una base diferente en comparación con las redes locales tradicionales.
• La tecnología 5G, que fomenta aún más el uso de dispositivos conectados.
• La disponibilidad de hackers "como servicio", gracias a los que algunos atacantes pueden perpetrar ataques de ransomware y otros tipos de malware aunque carezcan de los conocimientos técnicos para hacerlo personalmente.

Estas tendencias, junto con una sofisticación de los adversarios cada vez mayor y un conjunto de tácticas, técnicas y procedimientos (TTP) en constante evolución, hacen necesario que las organizaciones desarrollen e implementen una estrategia y herramientas de ciberseguridad integrales. Además, las organizaciones deben asegurarse de aprender cuestiones clave cuando detecten ciberamenazas, así como de que los ataques puedan atribuirse a posibles adversarios y clasificaciones de tácticas.

En este artículo analizamos dos de los elementos más críticos de toda arquitectura de ciberseguridad: la detección y respuesta para endpoints (EDR) y los antivirus de nueva generación (NGAV). Además, detallamos las cuestiones que las organizaciones deben tener en cuenta al elegir estas herramientas e integrarlas en su estrategia de ciberseguridad general.

Descripción general: detección y respuesta para endpoints (EDR)

La detección y respuesta para endpoints (EDR) es una solución de ciberseguridad que detecta y mitiga las ciberamenazas monitorizando los endpoints y analizando sus datos de forma continua.

Las soluciones de EDR proporcionan una visibilidad continua e integral de lo que ocurre en todos los endpoints. A continuación, se aplica el análisis de basado en el comportamiento e inteligencia práctica a los datos de los endpoints para evitar que un incidente se convierta en una brecha.

Una verdadera herramienta de EDR debe lograr lo siguiente:

• Buscar e investigar datos de incidentes
• Clasificar alertas o validar actividades sospechosas
• Detectar actividades sospechosas
• Realizar Threat Hunting o exploración de datos
• Detener actividades maliciosas

Descripción general: antivirus de nueva generación (NGAV)

Un antivirus de nueva generación (NGAV, Next-Generation Antivirus) es una herramienta de ciberseguridad que combina inteligencia artificial (IA), detección basada en el comportamiento, algoritmos de aprendizaje automático (ML) y mitigación de exploits para prever y prevenir tanto las amenazas conocidas como las desconocidas.

A diferencia de las soluciones antivirus tradicionales, las de NGAV se basan en la nube, lo cual permite implementarlas más rápido y sin sobrecargar el endpoint. Además, elimina o reduce considerablemente la carga de mantenimiento de software, gestión de infraestructura y actualización de bases de datos de firmas.

Las soluciones de NGAV disponen de las siguientes capacidades:

• Detección de amenazas conocidas y desconocidas, y de ataques sin archivos
• Una arquitectura basada en la nube que no afecta al rendimiento del endpoint ni requiere hardware o software adicionales
• Implementación y actualización rápidas y sencillas

¿Cuál es la diferencia entre NGAV y EDR?

Los NGAV y el EDR comparten el propósito común de ayudar a las organizaciones a reducir los riesgos mediante la prevención de ciberataques. Sin embargo, difieren en términos de cuándo se utilizan y cómo funcionan.

Un NGAV es el componente de prevención de la seguridad de endpoints y su objetivo es impedir que las ciberamenazas accedan a una red. Si bien NGAV constituye una primera línea de defensa importante para una organización, no es infalible. Ninguna solución, por avanzada que sea, puede ofrecer una protección del 100 %.

Cuando una amenaza elude una solución antivirus o NGAV, el EDR detecta esa actividad y permite a los equipos contener al adversario antes de que pueda desplazarse lateralmente por la red. Para continuar con la analogía, si el NGAV es una primera línea de defensa, el EDR es una red de seguridad que atrapa cualquier amenaza que pueda pasar desapercibida.

Además de detectar amenazas, el EDR también recopila datos sobre el ataque, incluidas los TTP utilizados. Esto proporciona al equipo de seguridad información contextualizada que incluye la atribución, si resulta relevante, para ofrecer detalles sobre el atacante y todo lo que se conozca sobre el ataque. Esto ayuda al equipo a responder rápidamente a las amenazas y abordarlas con precisión para limitar el daño. Una vez contenido el ataque, la herramienta de EDR también ayudará al equipo a recopilar más detalles sobre cómo se produjo y se propagó, lo que permitirá prevenir ataques similares en el futuro.

¿Necesita mi organización tanto un NGAV como el EDR?

Dado que los adversarios son cada vez más sofisticados y que sus TTP evolucionan y mejoran constantemente, es importante que las organizaciones recurran a soluciones tanto de NGAV como de EDR para reforzar sus defensas.

Si la prevención falla, la solución de seguridad de endpoints que tengas puede dejar a tu organización a oscuras. Los ciberdelincuentes pueden aprovecharse de esta situación para permanecer en tu red y desplazarse por ella.

Sin herramientas adecuadas para detectar amenazas, los fallos silenciosos permiten que los ciberdelincuentes se desplacen libremente por el entorno durante días, semanas o incluso meses. Los hackers pueden aprovechar este tiempo para crear puertas traseras que les permitan regresar a voluntad en el futuro.

¿Debería combinarse el potencial del EDR y el NGAV en las empresas?

Aunque la mayoría de los sistemas de NGAV y EDR son soluciones que van por separado, en realidad no son herramientas independientes. Además, tampoco deberían implementarse de forma aislada,

sino que deberían poder complementarse y combinarse para reforzar la posición de seguridad general. Además, estas herramientas deben integrarse dentro de la estrategia y arquitectura de ciberseguridad globales de la organización, las cuales deben incluir capacidades de seguridad adicionales, como Threat Hunting y directivas claras y contundentes sobre acceso y gestión de identidades (IAM), autenticación multifactor (MFA) y Zero Trust.

Puesto que ninguna solución ofrece una protección absoluta por sí sola, una estrategia de seguridad polifacética contribuye a abordar las carencias y limitaciones que están asociadas a cualquier herramienta y que suelen ser los principales puntos de entrada que aprovechan los adversarios.

Cómo evaluar soluciones de NGAV y EDR

En los últimos años, el panorama de proveedores de ciberseguridad se ha ido masificando, lo cual dificulta a las organizaciones la elección de herramientas que se ajusten a sus necesidades específicas.

En este artículo examinamos algunos de los criterios más importantes que deben tener en cuenta las empresas a la hora de evaluar y seleccionar herramientas de protección de endpoints, como NGAV y EDR:

Integración: uno de los principales factores a tener en cuenta a la hora de seleccionar una solución de NGAV o EDR es cómo se integrará en la arquitectura de ciberseguridad global sin aumentar la complejidad ni requerir una infraestructura de gestión local. Algunas de las cuestiones clave que se deben tener en cuenta:

• La integración de la inteligencia sobre amenazas para posibilitar la evaluación inmediata de los orígenes, el impacto y la gravedad de las amenazas del entorno, y recibir recomendaciones sobre cómo responder y aplicar correcciones de la mejor manera.
• Disponibilidad de amplias interfaces de programación de aplicaciones (API) para conectar varias aplicaciones y garantizar un intercambio de datos oportuno y eficiente.
• Integración con tecnologías adyacentes, como el control de dispositivos, firewalls, Threat Hunting y otras herramientas y soluciones de seguridad.

Solución basada en la nube: usar tecnología de nube es la única forma de que los endpoints no se vean afectados en absoluto y de garantizar que la búsqueda, el análisis y la investigación se realicen en tiempo real. Las soluciones de EDR y NGAV nativas de la nube ofrecen a las organizaciones una implementación más rápida, incrementan el rendimiento de los endpoints y facilitan su gestión por parte del equipo de TI.

Tecnologías avanzadas: tanto las soluciones de EDR como as de NGAV deben usar tecnologías innovadoras (como la IA, el ML, la protección basada en comportamientos y la mitigación de exploits) para prevenir las cambiantes TTP que usan los adversarios para acceder a las organizaciones (como malware básico y de día cero, e incluso ataques avanzados sin malware.) En el caso del NGAV, confiar únicamente en métodos basados en firmas o indicadores de compromiso (IOC, Indicators of Compromise) puede derivar en un "fallo silencioso" por el que se produzcan brechas de datos. Por otra parte, para que el EDR sea eficaz, hay que contar con estrategias basadas en comportamientos que busquen indicadores de ataque (IOA, Indicators of Attack). Así, la empresa recibirá alertas sobre actividades sospechosas antes de que el entorno esté comprometido.

Prevención online y offline: los endpoints deben protegerse independientemente de si están online y offline. Las soluciones que facilitan el procesamiento de datos y la toma de decisiones en el endpoint posibilitan la detección precisa y la prevención, y protegen los endpoints en cualquier lugar, tanto si se están usando como si no.

Rentabilización inmediata: en el panorama de ciberseguridad actual, el tiempo es oro. Las soluciones de EDR y NGAV que pueden implementarse y ponerse en funcionamiento en cuestión de horas, sin necesidad de hardware o software adicional, ni de ajustes o configuraciones mejoran en gran medida la posición de seguridad de la organización.

Prueba Falcon Prevent