Ahora que los atacantes pueden suplantar a los empleados en cualquier dispositivo e intentar extraer sus credenciales, la protección de los puntos finales tiene que cubrir algo más que Windows.
Las herramientas de seguridad de Microsoft no son sólo para las plataformas de Microsoft, porque los atacantes no sólo van a por Windows.
"En los últimos años, hemos visto evolucionar el panorama de las amenazas, en el que los atacantes y los ciberdelincuentes se dirigen a todas las plataformas por igual", declaró a TechRepublic Tanmay Ganacharya, socio director de investigación de seguridad de Microsoft. "Hemos visto un aumento significativo de las vulnerabilidades encontradas y reportadas para las plataformas que no son Windows, y también de las campañas de malware y amenazas en general".
Como sistema operativo de escritorio dominante, Windows solía ser el objetivo más popular para los atacantes, pero las estadísticas de MITRE sobre los CVE muestran que el número de vulnerabilidades encontradas en otras plataformas está aumentando rápidamente.
"Como la protección de Windows ha mejorado en los últimos años, la fruta que cuelga ahora no se dirige a los puntos finales de Windows, sino a algunos de estos otros puntos finales que la gente supone que son seguros", dijo Ganacharya.
Las políticas de BYOD han hecho que las redes de las empresas sean más diversas, y es probable que los dispositivos que antes sólo estaban conectados a las redes corporativas ahora también estén en Internet. Los atacantes también han cambiado para que, además de intentar comprometer los dispositivos de los puntos finales, también se dirijan a las credenciales e identidades.
"Sí, se puede entrar, pero ¿no es mejor -para un atacante, en cualquier caso- si puede entrar en el sistema?" dijo Ganacharya. "Las identidades pueden ser robadas en cualquiera de los dispositivos en los que se conectan los empleados de una red determinada".
Importancia de un enfoque de extremo a extremo para la seguridad
Detectar y prevenir los ataques a los puntos finales es sólo una parte de la protección de la red y de los recursos que conecta, y no siempre se detecta todo a tiempo. Se necesita un enfoque integral.
"Hay que pensar en todo lo que ejecuta el software o el código en la red al hacer un modelo de amenazas para la red, y luego tener un plan en marcha", dijo Ganacharya. "¿Cómo vas a identificar estos dispositivos? ¿Cómo vas a protegerlos? ¿Cómo se gestionan las alertas procedentes de todo tipo de dispositivos, y se dispone de manuales de actuación para responder a esas alertas por igual en todos esos dispositivos? ¿Cómo vas a rastrear o responder cuando aparezcan las alertas en caso de que las amenazas no se prevengan, sino que se detecten?"
Empezando por los puntos finales
Aunque es importante no depender únicamente de los puntos finales, hay que empezar por ellos. Esto es especialmente cierto en el caso de los puntos finales que no se están protegiendo actualmente, por lo que Microsoft está planeando tener una suite de seguridad completa para cada plataforma, que cubra la gestión de vulnerabilidades, la reducción de la superficie de ataque, la prevención de amenazas, la detección y la corrección, así como los servicios bajo demanda de Microsoft Defender Experts, dijo Ganacharya a TechRepublic.
"La investigación de amenazas, la inteligencia de amenazas, el contenido de detección y remediación que construimos puede escalar en todas las plataformas", dijo. "Lo aplicamos en las diferentes etapas en las que se producen los ataques para poder detener el ataque independientemente del dispositivo en el que se encuentre el cliente".
Para los puntos finales, Microsoft se está centrando actualmente en Linux, Mac, Android e iOS, comenzando con el antimalware y la detección y respuesta de puntos finales. Recientemente, Defender for Endpoint ha añadido nuevas funciones para Mac y Linux, centradas en la reducción de la superficie de ataque, la protección web y la protección de la red.
Estas prioridades corresponden a las amenazas que Microsoft está viendo en cada plataforma, así como a lo que se puede hacer en un teléfono, servidor o dispositivo portátil con las capacidades del sistema operativo disponibles.
"Cada plataforma aporta su propio e interesante panorama de amenazas, dependiendo de cómo se aproveche, y cada plataforma tiene sus propias limitaciones en cuanto a lo que una solución antimalware o similar a la EDR puede hacer en esas plataformas", dijo Ganacharya.
Parte de esto también se reducirá a las políticas más que a la tecnología, señala.
"Algunos dispositivos plantean retos adicionales, como los teléfonos: ¿Cuánto se rastrea cuando la gente está aprovechando sus teléfonos personales para iniciar sesión en el correo electrónico y en Teams?"
Proteger y detectar con Microsoft Defender
La protección web cubre las cosas que ocurren completamente en el navegador: Proporcionar una puntuación de reputación para los sitios web, bloquear los sitios conocidos por el phishing, el malware, los exploits o los problemas específicos que le preocupan, y rastrear dónde introducen los usuarios sus credenciales corporativas en caso de que estén expuestas y deban cambiarse.
"También puede permitirle, como empresa, hacer un filtrado de contenidos y decir: 'Oye, estas categorías de sitios web están permitidas en los dispositivos de mi red, estos tipos de categorías no están permitidos en mi red'", dijo Ganacharya.
"Todo lo que se hace en el navegador, también se puede ver en la red, pero además se puede ver mucho más en la red", dijo Ganacharya. "Si podemos aplicar nuestras capacidades de detección en la red, entonces podemos seguir deteniendo las mismas amenazas en esas plataformas".
Además de impedir que los navegadores y otras aplicaciones se conecten a sitios maliciosos, la protección de la red reduce la superficie de ataque para bloquear ataques comunes y permite a los defensores explorar el comportamiento de la red que podría indicar que se está produciendo un ataque.
La protección de la superficie de ataque bloquea los ataques de "hombre en el medio" y evita que los dispositivos comprometidos en su red se conecten a servidores de mando y control, lo que impide que los atacantes extraigan datos, utilicen sus dispositivos para un ataque de denegación de servicio distribuido o para descargar y propagar malware.
También se asegura de que los usuarios se conecten a la red Wi-Fi correcta.
"El Wi-Fi fraudulento es un problema bastante grande al que se enfrentan muchos de nuestros clientes", dijo Ganacharya. "Los empleados acaban conectándose a una red no segura o a redes creadas a medida para poder escuchar lo que se hace en su máquina".
Los exploits basados en la red también siguen siendo una amenaza.
"Se envía un paquete malicioso en la red, y eso puede ser utilizado para comprometer un punto final", dijo Ganacharya. "Es posible que el antivirus y la protección web no lo detengan, pero podríamos detectar la actividad posterior a la explotación".
Señaló que la protección de la red ayuda a dar una defensa en profundidad al tener protecciones y detecciones que cubren las diferentes etapas de un ataque: "Aunque se pierda un paso, lo detectamos en el siguiente".
Se pueden detectar más ataques supervisando los puntos finales directamente, así como en la red. "Somos capaces de correlacionar qué proceso en el punto final creó qué tráfico y a qué IP intentó conectarse", dijo.
Pero si hay puntos finales que aún no está protegiendo, tal vez porque ni siquiera sabía que estaban en su red, las funciones de protección de la red pueden ayudarle a encontrarlos.
"Para ello, es necesario no limitarse a un solo punto final, y no limitarse a mirar qué tráfico se está generando hacia este dispositivo, sino también mirar qué otros dispositivos se están identificando en la red", dijo Ganacharya. "Trasladar esta capacidad de detección a dispositivos como los routers ayuda a reducir los falsos negativos".
Todavía no existen todas las funciones de protección de puntos finales para los dispositivos de Windows en macOS y Linux, y ambos están todavía en fase de previsión: No se pueden personalizar los mensajes que reciben los usuarios si se bloquea un sitio o aparece una advertencia, aunque eso podría llegar en el futuro.
En Linux, la protección de la red se implementa como un túnel VPN y Defender no incluye la prevención de pérdida de datos. Ni macOS ni Linux disponen de la opción de gestión de seguridad de Defender para gestionar la configuración de seguridad del propio Defender sin necesidad de un software de gestión de dispositivos adicional.
Seis distros son compatibles con Defender en Linux: RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS, o LTS superior, SLES 12+, Debian 9+ y Oracle Linux 7.2. En Mac, se necesita macOS 11 o superior.
Dispositivos vulnerables que necesitan ser protegidos
Puede haber otros dispositivos en su red que necesiten ser rastreados y protegidos.
"Routers, impresoras, dispositivos de la sala de conferencias, televisores inteligentes, frigoríficos inteligentes: Todo tipo de dispositivos se conectan a Internet hoy en día, y eso aumenta la superficie de ataque", afirma Ganacharya.
El ransomware es desplegado directamente por atacantes individuales, en lugar de por scripts automatizados, y buscan la forma más fácil de entrar, que puede ser un dispositivo que no crees que suponga una amenaza. Por eso existe una versión de Defender para dispositivos de IoT y tecnología operativa que utiliza la supervisión de la red sin necesidad de agentes.
"Los clientes realmente tienen que adoptar esto y asumir que cualquier dispositivo que tengan en su red puede ser un punto de entrada para un ataque", advirtió Ganacharya.
Fuente: somoslibres
