En la actualidad se utilizan dispositivos muy diferentes como ordenadores de sobremesa, portátiles, teléfonos móviles, tabletas, dispositivos de almacenamiento extraíbles, impresoras de red, escáneres, etc. Todos estos elementos se pueden considerar puestos de trabajo.

Dentro de este escenario de riesgo es donde pueden producirse fuga de datos, pérdida de información confidencial o infecciones por malware. Para este último apartado, en Valorista trabajamos con un producto líder del mercado: Sophos Intercept X.

En la actualidad, cada día nos enfrentamos a multitud de amenazas, tanto genéricas como dirigidas, que tienen como objetivo comprometer nuestros sistemas. Concretamente, de acuerdo con las cifras de Sophos Labs, más de medio millón de muestras de malware desconocidas son analizadas por el equipo técnico de Sophos, tratándose así de un crecimiento sin precedentes. Esta situación hace que hoy más que nunca sea imprescindible contar con una protección adecuada en estos puestos de trabajo.

Por si pareciera una tarea sencilla, se ha extendido debido a la situación sanitaria los entornos de trabajo híbridos, donde el usuario puede trabajar desde su casa o desde la oficina, provocando que entren en juego muchos factores adicionales:

1.- Ausencia de firewall.

2.- Conexiones externas a servicios internos de la compañía.

3.- Trabajo colaborativo.

En líneas generales, debemos tener en cuenta que no se dispone nunca de una protección total frente a las amenazas y que debemos superponer todas las capas posibles para elevar al máximo posible el nivel de protección. ¿Cómo conseguirlo? Con soluciones de protección de puesto de trabajo, tecnología EDR/XDR y con un equipo técnico que interprete y actúe en función del escenario particular de cada cliente.

EPP - EDR – MTR ¿Qué es todo esto?

Cada día escuchamos muchas de estas siglas y es importante saber ubicarlas para poder entender en profundidad lo que proporciona cada una de ellas. Desde Valorista te las explicamos:

Sophos Intercept X Advanced es la solución estándar de protección de Sophos, que incluye funcionalidades tradicionales y de nueva generación. Es lo que podríamos entender como EPP (Endpoint Protection Platform). A modo de resumen, eta solución permite dotar a nuestros equipos de:

1.- Protección base: control de aplicaciones, detección de comportamiento, control web, control de periféricos, etc.

2.- Protección next-gen: Deep Learning, antiramsonware, protección contra ataques sin archivos, análisis de causa raíz, etc.

El análisis de causa raíz se ha convertido en una funcionalidad imprescindible para cualquier solución de seguridad, ya que permite averiguar donde se ha iniciado el ataque, como se ha propagado y que procesos o archivos se han visto afectados. Además, nos permitirá aislar el dispositivo mientras se investiga la incidencia, escanear el dispositivo o buscar más información al respecto. Esta característica se ve enormemente reforzada con la tecnología EDR.

La siguiente imagen ilustra un ejemplo de causa raíz, donde podemos observar todos los elementos afectados desde que se inicia la amenaza hasta que es detenida:

Tecnologia-EDR
Tecnologia-EDR

Según Incibe, un sistema EDR (Endpoint Detection & Response) es aquel que une el potencial de la inteligencia artificial y el Big Data mejorando las capacidades de detección y respuesta frente a malware de tipo polimórfico, ataques de ingeniería social o amenazas de día cero, entre otros. En el caso concreto de Sophos, el producto correspondiente a esta tecnología es Sophos Intercept X Advanced con EDR.

Con esta solución, podemos ofrecer respuestas a preguntas de todo tipo, como por qué un equipo funciona lento, si hay programas ejecutándose que no deberían hacerlo o si se han modificado claves de registro recientemente. Además, permite la intervención de forma remota mediante una herramienta en línea de comandos:

1.- Reiniciar dispositivos

2.- Finalizar procesos activos

3.- Ejecutar scripts o programas

4.- Editar archivos de configuración

5.- Instalar y desinstalar software

6.- Ejecutar herramientas forenses

Un ejemplo reciente de potencial de este tipo de tecnologías sería aplicable a la vulnerabilidad PrintNightmare que afecta a la Cola de Impresión de Windows. Con una simple consulta desde la consola de administración web, podemos ver la totalidad de equipos que se encuentran afectados por dicha vulnerabilidad y que tienen el servicio correspondiente activo. Es un ejemplo de la visibilidad lograda con este sistema. Por último, Sophos proporciona su propio servicio de detección y respuesta gestionado, que se encuentra operativo 24 horas al día y 7 días a la semana para dar rápidas respuestas a los incidentes que puedan producirse. Este servicio es el conocido como Managed Treath Response

¿Cómo gestionar estas soluciones?

Desde hace tiempo, la estrategia de Sophos es clara y se centra en dos pilares fundamentales:

1.- Todos los productos deben poder administrarse desde una consola central en la nube, denominada Sophos Central, incluyendo productos como protección endpoint, server, firewall, móviles, email, cifrado, etc.

2.- Todos los productos deben ser capaces de interactuar entre sí, conocido como seguridad sincronizada.

Sophos Central permite la unión de todos los productos que se han contratado, y de esta forma se dispone de un panel principal unificado, en el que se muestran las alertas y el resumen de todos los productos.

La administración se fundamenta en el usuario, lo cual nos permitirá ver el estado de un usuario en relación con las soluciones que le apliquen. Por ejemplo, un usuario puede tener un equipo portátil, un teléfono y un buzón de correo. Las alertas de este usuario incluirán todos los productos afectados.

Respecto a la seguridad sincronizada, se consiguen multitud de ventajas al interconectar dos o más productos de Sophos, por ejemplo:

1.- Endpoint + Firewall: aislado automático de equipos infectados del resto de la red, identificación de aplicaciones y vinculación de amenazas a usuarios específicos.

2.- Endpoint + Email: aislado de buzones comprometidos y limpieza automática de equipos afectados.

En conclusión, el puesto de trabajo es un activo crítico de cara a la seguridad de la información, no solo para él mismo, sino para la integridad del resto de dispositivos y de la red corporativa. Por ello, es necesario aplicar el mayor nivel de seguridad posible para complicar la tarea a los atacantes externos.

Marcos Pilar Sauceda

Manager de Infraestructuras y soluciones de ciberseguridad.