La protección del puesto de trabajo: cinco claves a tener en cuenta

Sin duda, el principal objetivo de un ciberatacante es apoderarse de datos personales, industriales o comerciales sensibles, cifrarlos y pedir un rescate, publicarlos o interrumpir la producción de la empresa. Esto lo consiguen localizando “puntos de entrada”, que suelen ser los propios dispositivos de los usuarios, para, una vez comprometidos, -incluso sin privilegios elevados- adentrarse más profundamente en el sistema.

Para lograrlo, los ciberdelincuentes pueden explotar las vulnerabilidades humanas, utilizando técnicas de phishing cada vez más dirigidas (‘spear phishing’), o las de los sistemas mal protegidos: servidores RDP expuestos en Internet, aplicaciones no actualizadas, etc. Para garantizar que los atacantes no puedan obtener un acceso más amplio al sistema, es importante identificar estos ataques tan pronto como se produzcan, deteniendo los procesos maliciosos e impidiendo su propagación en la máquina o aplicación en cuestión.

Si garantizar la seguridad de los puestos de trabajo ya era una cuestión transcendental en las propias instalaciones de la empresa, hoy en día, con el uso generalizado de portátiles, y sobre todo con los problemas de movilidad propios de cada organización, esta tarea se ha vuelto aún más compleja.

Por tanto, la protección de los puestos de trabajo ya no puede ser estática, sino dinámica, y en función del contexto y de los diferentes escenarios de movilidad de la organización. Esto significa, por ejemplo, controlar las redes WiFi autorizadas, deshabilitarlas cuando se dispone de una conexión LAN o, en los casos en los que está activa una VPN, impedir cualquier conexión que no sea la VPN (para evitar los ataques smurf).

Siempre es más sencillo y menos arriesgado identificar un elemento malicioso en el punto de entrada (estación de trabajo o servidor), antes de que tenga la oportunidad de propagarse, y bloquear sus actividades inmediatamente. Este es el objetivo de un sistema de protección de puestos de trabajo. Los antivirus tradicionales basados en firmas ya no son suficientes para contrarrestar el ransomware, que cada vez es más sofisticado. Los ataques desconocidos de Día Cero simplemente no pueden ser detectados inmediatamente.

Para superar esta deficiencia, el HIPS basado en el comportamiento basa sus análisis en el comportamiento “normal” de un host o de sus aplicaciones. Si se detecta una actividad sospechosa en las aplicaciones legítimas, el sistema emite inmediatamente una alerta (o bloquea inmediatamente las actividades en cuestión), para limitar los riesgos de propagación. Aunque su implementación es un poco más compleja, se adapta fácilmente a cualquier tipo de organización, y podrá contrarrestar los ataques desconocidos de Día Cero. 

Saber cómo interrumpir un ataque -ya sea conocido o desconocido- es, por supuesto, esencial. Pero para dar un paso más, también hay que aprender de estos ataques, para poder prevenirlos más fácilmente en el futuro. Esta es una de las funciones que se pueden atribuir a las soluciones Endpoint Detection & Response (EDR): además de la respuesta inmediata, la inspección de sus registros permite, tras un análisis en profundidad, mejorar la eficacia de las soluciones en la búsqueda de ataques.

A este respecto, son posibles dos enfoques. Un punto de vista centrado en una solución en la nube se fundamenta en la respuesta de un cliente ligero desplegado en cada estación de trabajo, que ofrece toda la promesa de la inteligencia artificial, pero que sigue requiriendo que las máquinas estén conectadas. En cambio, una solución independiente basada en agentes proporciona una protección proactiva en tiempo real para cada puesto de trabajo, al tiempo que procura información que favorece un análisis más profundo del ataque. Los sistemas de terceros podrán entonces tener en cuenta estos eventos, correlacionándolos en un contexto de inteligencia artificial.

El principal objetivo de un ciberatacante son los datos de la empresa. Pero los sistemas de seguridad de las organizaciones siguen siendo objetivos principales: si los atacantes consiguen desactivar las protecciones -o peor aún, utilizar los privilegios de cuenta escalados de estas soluciones- la puerta del sistema de información quedará abierta de par en par para ellos.

Al igual que con el despliegue de cualquier hardware o aplicación, el objetivo es limitar el riesgo de un error o la aparición de una vulnerabilidad siempre que sea posible, ofreciendo una configuración reforzada y eficaz por defecto, dada la superficie de ataque que representan. Con los privilegios escalados, la superficie de ataque que presentan los sistemas de protección sigue siendo relativamente amplia. Por lo tanto, debe fomentarse un enfoque de “seguridad por diseño” en su desarrollo.