Antivirus: ¿Realmente protege una estación de trabajo?

Antivirus: ¿Realmente protege una estación de trabajo?

  • 218

Los antivirus son la protección contra ataques informáticos más conocida históricamente, sin embargo, no es suficiente para el contexto empresarial actual, donde los ciberdelincuentes buscan vulnerar los sistemas por diferentes vectores de ataque.

Tal vez te interese leer: ¿Qué son los vectores de ataque en ciberseguridad?

Con el aumento del teletrabajo a nivel mundial, los ciberdelincuentes buscan aprovecharse de la baja protección que muchos tenemos en nuestros computadores personales o Endpoints para vulnerar nuestros datos o los sistemas de las empresas en las que trabajamos.

¿Qué es el endpoint?

El vector de ataque endpoint, es el dispositivo final, como computadores de escritorio, laptops, smartphones o servidores que estén conectados a una red.

En el contexto actual de pandemia global donde la mayoría de las empresas se encuentran en modo de teletrabajo, se ha incrementado los ciberataques por este vector.

Esto se debe a que en nuestros hogares no contamos con las mismas medidas de protección que en la empresa, y los ciberdelincuentes lo saben.

¿Qué es un antivirus?

Un antivirus, es un software o programa informático desarrollado específicamente para ayudar a encontrar, mitigar y eliminar software malicioso o Malware en el vector de ataque “endpoint”.

Es una solución de seguridad diseñada para analizar, detectar, bloquear, mitigar y eliminar amenazas a nivel de dispositivo final (Endpoint).

Ofrece una protección proactiva basada en la heurística:

Se analiza un archivo y se compara su comportamiento con X criterios que determinan si un archivo es malicioso.

El EPP es un mecanismo de defensa de primera línea. Es efectivo para bloquear sobre todo amenazas conocidas. Sin embargo, las últimas soluciones han evolucionado para utilizar una gama más amplia de técnicas de detección.

 

¿Qué es EPP o Endpoint Protection Platform?

EPP son las siglas de “Endpoint Protection Platform” , es la denominación actual para referirnos al antivirus tradicional.

Las plataformas de protección de endpoints (EPP), según Exabeam, tienen como principal meta prevenir amenazas tradicionales como malware conocido y amenazas avanzadas como ataques sin archivos, ransomware y vulnerabilidades de día cero.

Características de un EPP

Algunas soluciones EPP ya poseen capacidades EDR, pero en este artículo se tratarán cada solución por separado. Un EPP detecta actividad maliciosa usando diversos métodos como:

  • Coincidencia de firmas: es la detección de ataques o amenazas a través de las firmas de malware ya conocidas.
  • Sandboxing: es la aplicación de una prueba o test del comportamiento malicioso archivos recibidos o detectados en la red, pero en un entorno virtual aislado y seguro, antes de permitir que se ejecuten.
  • Análisis de comportamiento: las EPP pueden establecer el lineamiento base de comportamiento de los endpoints y registrar anomalías de comportamiento, aunque no existe una firma de amenaza conocida.
  • Análisis estático: es el análisis de datos binarios en búsqueda de cualquier aspecto de código o características de carácter malicioso antes de la ejecución mediante algoritmos de aprendizaje automático.
  • Incluir en listas blancas y negras: es simplemente bloquear o solo permitir el acceso a direcciones IP, URL y aplicaciones específicas.

¿Qué es EDR o Endpoint Detection and Response?

La detección y respuesta del Endpoint (EDR), es una de las soluciones de seguridad que suministra visibilidad en tiempo real de las acciones que realiza su estación de trabajo.

Esto lo hace detectando comportamientos maliciosos, monitoreando y registrando datos de los equipos y actuando ante amenazas.

Los equipos de seguridad previenen de forma proactiva las amenazas analizando en detalle los datos que los Endpoint reciben de las soluciones EDR.

Los ataques como las amenazas persistentes avanzadas (APT) y los ataques sin archivos (Fileless en inglés) intentan dañar las redes de la organización. Una solución EPP, por sí sola, no puede hacer frente a estos constantes ataques avanzados.

Característica de un EDR

Para la empresa de ciberseguridad Exabeam, la mayoría de las soluciones EDR promueven cuatro características resaltantes:

  1. Contención de incidentes de seguridad: donde los EDR bloquean los incidentes de seguridad en los Endpoint de la red para prevenir que los ataques se esparzan por toda infraestructura tecnológica de la empresa.
  2. Detección de amenazas: es la capacidad de reconocer actividad maliciosa y anomalías en los endpoints en vez de solo buscar malware basado en archivos.
  3. Respuesta a incidentes: las soluciones EDR ofrecen características de respuesta a incidentes, como la priorización de incidentes de seguridad, que ayudan a los equipos de seguridad a actuar prontamente ante los ataques.
  4. Investigación de incidentes: EDR hace más fácil la investigación forense de incidentes al establecer un repositorio central de datos de los Endpoint y prepararlo para su análisis.

 

¿Debo o no tener un antivirus o EDR instalado en mi equipo y servidores?

La respuesta a esta interrogante definitivamente es un SÍ en mayúscula, y no solo tener cualquier antivirus, sino un software de amplio espectro en protección sobre todo el entorno tecnológico que poseemos en nuestro hogar o empresa, porque si no se ha dado cuenta, el 2020 fue el año de los virus y los ataques. Según el Diario Digital El Independiente, se registró un récord en ciberataques, donde expertos en el área aseguran que entre las consecuencias indirectas del coronavirus, se puede mencionar un aumento abrumador de estos eventos y del impacto que han ocasionado en las empresas y personas en todo el mundo.

Tal vez te interese leer: Home Office: cómo protegerse de los ataques informáticos en la pandemia

La cuarentena aplicada en los países por la pandemia, ha obligado a reestructurar las estrategias operativas de las empresas de forma apresurada, obligando a aplicar soluciones de teletrabajo y Cloud, sin tener en cuenta las implicaciones de seguridad que requieren estas nuevas soluciones.

Esto ha puesto a las organizaciones en una situación de debilidad o riesgo que los cibercriminales han sabido aprovechar, de ahí el aumento en los ataques.

No importa si se trata de una suplantación de identidad, la descarga de una aplicación sospechosa de un sitio web no seguro o cualquiera de las muchas otras formas en que nuestros computadores y equipos se ven vulnerados, el hecho es que se verá comprometida la información que poseemos y la seguridad de la empresa donde trabajamos, y debemos estar protegidos de una u otra forma.

 

Por las múltiples situaciones antes mencionadas, los desarrolladores de software de antivirus han ampliado su espectro de acción desarrollando soluciones tipo EDR (mencionadas anteriormente), donde la prioridad es proteger sus estaciones de trabajo para que no se transformen en puertas de entrada de ciberpiratas para sus entornos empresariales, evitando un trabajo adicional en el mantenimiento de firmas digitales del software, definiciones y actualizaciones del mismo.

 

Afortunadamente, hay muchas soluciones en el mercado que nos permiten proteger estos activos y automatizar los procesos de respuesta con algoritmos inteligentes que se actualizan con el tiempo ante nuevas amenazas.

Ya que el entorno de las estaciones de trabajo (Endpoint en inglés) se ha vuelto muy concurrido últimamente, ha motivado que diversos proveedores de tecnología desarrollen su propia solución “patentada” o respuesta al problema de seguridad de los terminales.

Las dos categorías principales de tecnología en el espacio de seguridad avanzada de terminales son EDR y EPP, donde la firma Gartner Peer Insight, especialista en el área define el entorno de estos conceptos y cómo pueden ayudar a proteger sus equipos, mostrando estadísticamente los logros de algunos proveedores de los servicios y lo que conlleva a aplicar EPP o EDR o ambos.

EPP vs EDR

Para entender mejor este tema, hemos definido anteriormente de que se tratan los acrónimos EPP y EDR, sus alcances en cuanto a funcionalidad y cuán seguros podemos estar dependiendo de las implementaciones realizadas en nuestro entorno tecnológico.

Las plataformas de protección de endpoints (EPP),o “antivirus” tradicionalmente conocidas, previenen ataques de seguridad de dispositivos finales como malware conocido y desconocido.

Las soluciones de detección y respuesta de endpoints (EDR) pueden, por su parte, detectar y responder a amenazas de mejor manera que un EPP permitiendo mayor protección en los dispositivos finales.

Muchas plataformas de seguridad instaladas en equipos tecnológicos modernos combinan estos dos enfoques, pero también puede elegir un tipo de seguridad en lugar de ambos.

 

La banca, antivirus y ciberseguridad

Los procesos de actualización y ajustes a nuevas tecnologías en la banca a nivel mundial nunca se han detenido, pero bajo los aspectos de la pandemia ya mencionados en otras ocasiones, el sendero hacia la digitalización del sector bancario es un crecimiento imparable, clave y necesario, donde se proyecta proveer cada día mejores servicios y mayor seguridad.

Pero está el temor latente de la seguridad de información en la nube, donde los ataques y amenazas son constantes y variados.

Para esto, está disponible, para los usuarios finales, soluciones de EPP y EDR que abarcan todo el espectro de interconexión desde el aplicativo en el celular o computadora, pasando por lo cajeros automáticos, hasta las páginas web donde puede ahora aperturar una cuenta bancaria sin necesidad de movilizarte al banco y hacer colas.

Según la revista Digital Cloud computing, durante el confinamiento por la pandemia del Covid-19, se han incrementado los requerimientos de procesos bancarios online, donde las operaciones más usadas por los clientes de banca digital son la consulta de saldo, de movimientos, transferencias y pago de facturas y recibos.

Un 43% de estos usuarios prefieren hacer sus gestiones a través de la aplicación móvil del banco; un 25% opta por realizarlas a través de la página web del banco.

Las gestiones con menor uso son las que se realizan a través del teléfono y el correo electrónico, demostrando que los servicios que están en la nube tienen la mayor demanda por parte de los clientes.

Tal vez te interese leer: ¿Qué es la seguridad en la nube?

Toda esta cadena de valor agregado que brindan los bancos viene respaldada con plataformas que garanticen la solidez del negocio en momentos críticos.

Por lo tanto, la decisión de implementar EPP y EDR debe ser tomada con un socio estratégico como proveedor de esos módulos, que garantice la continuidad operativa de los servicios 24x7x365.

 

Recomendaciones finales para estar protegido

Para ser honesto, no es posible detectar todos los virus existentes en la actualidad con un solo software, pero puede considerar algunas precauciones para evitar cualquier infección probable.

Una de las alternativas que debe tener en cuenta es actualizar su sistema con frecuencia para reducir la gama de ataques diversos.

Cuando la administración de parches de su aplicación o sistema operativo le envíe notificaciones de una actualización, es porque debe actualizar el mismo para que la actual versión pueda hacer frente a algunos ataques.

Por lo tanto, no es suficiente con tener el antivirus actualizado, se deben considerar otras medidas adicionales para proteger la red, ya sea usando un firewall o evitar o restringir acceso a sitios no seguros que representen una potencial amenaza, pero lo que sí es seguro que un equipo conectado a internet siempre tendrá un porcentaje de probabilidad de recibir ataques o amenazas de variado índole, así que tome las medidas a tiempo o seleccione a un buen proveedor de servicios que sea su socio en estrategias de seguridad en este ámbito.

Para mayor información sobre ciberseguridad empresarial los invitamos a ver nuestro webinar sobre los fundamento de seguridad informática, donde 2 expertos nos cuentan cómo proteger los vectores de ataque



Send this to a friend