El papel de la IA en la seguridad moderna de los endpoints

Lamentablemente, muchas soluciones de seguridad para endpoints heredadas simplemente no ofrecen suficiente visibilidad de los procesos y aplicaciones que podrían contener amenazas, y muchas terminan atrofiando la productividad y eficacia de los administradores de seguridad al requerir una clasificación manual. Por ello, la inteligencia artificial (IA) se está convirtiendo en la columna vertebral del éxito de la seguridad moderna de los endpoints.

Jorge Pages, Sales Engineer WatchGuard-Cytomic.

A continuación, se presentan varias ventajas que la seguridad de los endpoints basada en IA puede ofrecer a las organizaciones en la lucha contra los ataques fuera de la red en la era del trabajo remoto:

Monitorización continua: a medida que aumenta el teletrabajo, tener visibilidad de la actividad de cada aplicación en cada endpoint es clave. Pero las soluciones manuales para este reto no son sostenibles por el nivel de tiempo y atención requeridos, y los obstáculos prácticos de visibilidad que presentan las fuerzas de trabajo remotas para los equipos de TI y de seguridad. Las soluciones de seguridad para endpoints habilitadas por IA pueden rastrear y supervisar continuamente todas las actividades de los endpoints y considerar cada ejecución como maliciosa o aprobada. Y en los casos en los que un atacante adopta un software previamente definido como legítimo para realizar actividades maliciosas, la IA puede detectar la diferencia, reclasificarlo y garantizar que no pueda ejecutarse. Este nivel de clasificación automatizada e ininterrumpida es la razón por la que la IA es la clave para una seguridad de los endpoints fiable y escalable.

Clasificación automatizada: las soluciones de seguridad para endpoints basadas en IA deben crear automáticamente una lista de “denegación“ basada en el malware conocido, una lista de ”autorización” basada en el goodware conocido y una lista separada para los procesos desconocidos que no estén incluidos en ninguna de estas categorías. Para los procesos desconocidos, los algoritmos de aprendizaje automático (ML) evalúan los atributos estáticos, de comportamiento y de contexto en un sistema de IA en cloud. Estos algoritmos extraen atributos de la telemetría del entorno basado en la nube y de un conjunto de sandboxes físicos en los que se detonan archivos ejecutables para clasificar completamente los procesos desconocidos como legítimos o maliciosos. La minúscula fracción de procesos restantes sin categorizar podría requerir el estudio de analistas de malware y threat hunters, pero en general, la clasificación automatizada de amenazas para endpoints basada en IA debería ser autosuficiente y escalable a grandes volúmenes de archivos.

Control de aplicaciones basado en el riesgo: hay dos opciones principales a considerar cuando se trata del nivel de seguridad basado en la IA que los agentes que se ejecutan en los endpoints individuales pueden proporcionar. La primera es denegar cualquier aplicación o binario desconocido procedente del exterior. Esto significa que el agente de endpoint bloqueará por defecto cualquier pro¬ceso procedente de descargas web, email, medios extraíbles, ubicaciones remotas, etc., hasta que sea validado como legítimo. La segunda es denegar por defecto cualquier aplicación o binario, independientemente de su ubicación. Esto bloquearía los procesos de la red, del interior o exterior del endpoint hasta que el sistema confirme que todos los procesos en ejecución son de confianza.

Los endpoints son objetivo de los ciberdelincuentes. Con el creciente volumen de ataques fuera de la red al que nos enfrentamos, simplemente no puede permitirse tolerar las soluciones EDR heredadas que suponen una mayor carga para su equipo de seguridad al obligarles a priorizar las alertas y clasificar las amenazas manualmente. La única manera de garantizar una seguridad de endpoints sólida, fiable y escalable en el panorama actual de amenazas es aprovechar los servicios de seguridad con IA y automatización en su núcleo.