La protección de la infraestructura tecnológica en las organizaciones, se ha convertido en una prioridad, y sobre todo en la seguridad para endpoints, como el vector más débil de la empresa.

Y con una proyección de 175% en el incremento de delitos informáticos para el 2023, según estimaciones de Juniper Research, las compañías deben aprender las correctas medidas de seguridad en la red.

Esta predicción estima que estarían en riesgo de ser robados o vulnerados, más de 33 mil millones de registros solo en 2023.

Una cifra muy superior a los 12 mil millones de registros que fueron sustraídos en 2018 por los ciberdelincuentes.

Estas cifras se sustentan en la dedicación a proteger servidores y red, pero dejando vectores débiles en las conexiones con otros dispositivos finales por considerarlos poco relevantes.

Esto implica, tener una protección asegurada desde el punto inicial de conexión hasta el endpoint, y asociar servicios como el EDR Cloud para blindar su empresa.

Tal vez te interese leer-> Tipos de ataques informáticos

¿Qué es un endpoint?

Para Kaspersky, los endpoints (dispositivos de punto final, por su traducción del inglés), representa cualquier equipo que se encuentre conectado a la red de la empresa a través de Internet.

Esta conexión puede estar dada a través de vía cableada, inalámbrica o de fibra óptica, sin importar si el equipo es operado por un usuario o tiene autonomía de funcionamiento en la empresa.

En la actualidad, se pueden conseguir múltiples endpoints con la aplicación del IoT y el IIoT, tanto en hogares, empresas e industrias.

Entre las características específicas de estos endpoints están que poseen pequeños ordenadores con sistema operativo y software con diferentes aplicaciones.

También, muchos endpoints poseen ciertos servicios especializados como:

• Servidor web
• SSH
• FTP
• Wifi
• Bluetooth, entre otras.

Estas especificaciones son, prácticamente, el sustento de la vulnerabilidad de los dispositivos, ya que, son susceptibles a inconvenientes de seguridad a través del vector de ataque “endpoint”.

Por lo tanto, atrae la atención de ciberdelincuentes que pueden intentar tomar el control sobre los mismos.

Es por ello que se considera un vector débil de la organización, ya que, su importancia es imperceptible para algunos usuarios.

Tal vez te interese leer-> ¿Qué son los vectores de ataque en ciberseguridad?

Tipos de Endpoint

Sin darnos cuenta, todo nuestro entorno está conectado de una u otra forma a través de diversos endpoints conectados a una red.

Entre estos se pueden mencionar los más conocidos como computadoras de escritorio, computadoras portátiles, teléfonos inteligentes, sistemas POS, impresoras, escáneres y tabletas.

Pero existen muchos otros dispositivos que son empleados para comunicarse entre sí y compartir datos en un entorno conectado.

El portal digital de Incibe-cert, indica que estos dispositivos están cada vez más presentes en diversos entornos, ya sean en vehículos, equipos industriales, tecnologías de la salud, robótica, etc.

El uso del Internet de las Cosas Industrial (IIoT) en estos dispositivos, permite expandir su uso y mantenerlos comunicados e intercambiando información.

Es por ello que en el proceso de garantizar la seguridad para los endpoints se está comenzando a aplicar el enfoque de Security by Design (SbD, en sus siglas en inglés) como un estándar organizacional.

Este enfoque sobre la administración de los puntos finales, garantiza que todos los endpoints de la red mantengan ciertos niveles de seguridad.

Tipos de negocios con endpoints más vulnerables

A este nivel, se puede deducir que cualquier tipo de organización puede ser susceptible en su seguridad para los endpoints ante un ataque de ciberdelincuentes o un malware.

De hecho, en un estudio publicado en el portal web de Sarenet, mencionan que las principales empresas que se vieron afectadas por ataques de ransomware en sus dispositivos de punto final están en las categorías de:

• Sector de la salud: hospitales, clínicas, industrias farmacéuticas, laboratorios clínicos, droguerías y farmacias.
• Energía: industrias petroleras, mineras, gasiferas.
• Servicios públicos: transporte, semáforos, sistema férreo y de tren, electricidad, telefonía, plantas de tratamiento de agua y represas hidroeléctricas.
• Servicios empresariales y profesionales: call centers, servicios de ventas en línea, telecomunicaciones, educación, entre otras.
• Servicios financieros: bancos, bolsa de valores, y demás entidades relacionadas.

En muchos de estos casos, los ataques de ransomware exigen seguridad especializada para los endpoints, ya que, la mayoría de los ataques se centran en estos dispositivos.

Pero determinar el negocio más vulnerable va a depender de cuántos endpoints posea la empresa, y si estos dispositivos tienen algún tipo de sistema de seguridad.

En algunos casos, se puede considerar hasta los Puntos de Venta (POS, en sus siglas en inglés) de las tiendas como un endpoint con alta vulnerabilidad.

Aunque estos POS o PdV (por sus siglas en español) pueden funcionar sin una conexión a internet, la gran mayoría está en línea con los servidores y servicios de la empresa para poder actualizar precios, inventarios y ventas de forma inmediata.

Pero más que el negocio, se debe determinar cuál es el tipo de endpoint y sus características que implicaría el grado de vulnerabilidad.

En este aspecto,  Incibe-cert plantea la evaluación de las medidas de seguridad de algunos componentes de los endpoints como:

• Protocolos. Tener instalada la configuración adecuada de la versión segura del protocolo, por ejemplo Secure DNP3 en lugar de DNP3, que mejoren la autenticación y cifrado. Usando técnicas como el fuzzing, se puede probar la implementación de los protocolos para intentar descubrir ciertas vulnerabilidades.

• Puertos e interfaces. La disponibilidad física de las interfaces (RJ45, WIFI, Zigbee, CAN, USB, etc.) puede dar acceso al firmware del endpoint. Esta entrada debe ser controlada tanto físicamente (protección anti-tampering), así como lógicamente (deshabilitando aquellos que no sean requeridos o restringiendo acceso a usuarios identificados).

• Acceso al Hardware. Aunque posee cierta relación al punto anterior, este se enfoca más específicamente al funcionamiento de las partes y piezas internas del endpoint. La seguridad de estos dispositivos finales en el acceso físico al mismo, consistirá en prevenir el acceso a las partes internas a través de una protección anti-tampering que bloquee física y, lógicamente, la apertura del dispositivo. En este aspecto, se pueden mencionar algunos tipos de ataques como sofisticados o laterales, donde se intenta modificar valores del endpoint a través de alteraciones en la señal del reloj del sistema o de posiciones de memoria que están cerca de algunos circuitos.
• Firmware. Si un hacker accede al firmware del endpoint, puede aplicar ingeniería inversa para encontrar las contraseñas almacenadas en el código, algoritmos de cifrado débiles o mal implementados. En la actualidad, este componente se puede actualizar desde la misma web directamente al dispositivo.
• Software: Algunos endpoints de uso industrial, poseen cierta capacidad de cálculo suficiente que los compara con las aplicaciones existentes en un servidor convencional. Es por ello que estos dispositivos deben ser evaluados para evitar que puedan tener instalados programas innecesarios o vulnerables.

Tal vez te interese leer-> ¿Qué es una botnet y cómo podría afectar a los endpoints?

Beneficios de EDR Cloud para el endpoint

Una de las soluciones más idóneas, en la seguridad para los endpoints, es la utilización de un servicio EDR Cloud en la empresa.

De esta forma, dejaría centralizado el enfoque de seguridad a una infraestructura ubicua, que le permitirá conexión e integración bajo protocolos preestablecidos.

La implementación del servicio EDR Cloud, trae consigo ciertas características de seguridad como:

• Detección precisa de amenazas o falsos positivos mediante el uso de Inteligencia Artificial (IA).
• Contención de amenazas en un espacio físico y virtual, como un sandboxing, a través del uso combinado de las AI y el Machine Learning (ML), para aislar en un entorno seguro de riesgo y mitigar daños.
• Eliminación y reparación del problema a través de la respuesta inmediata ante un incidente. Esto permite el retorno rápido a las actividades laborales luego de un ataque.
• La investigación que realiza la AI y el ML, permiten generar registros de origen de las incidencias, disminuyendo los ataques y desarrollando nuevas estrategias de protección.

La seguridad para los endpoint a través del EDR Cloud viene dada de forma centralizada, ya que, éste distribuye las actualizaciones y parches de firmware y software a todos los dispositivos registrados en la red.

Si, por ejemplo, un dispositivo no está estandarizado a los lineamientos de la directiva, se pueden establecer protocolos para limitar el acceso a datos importantes.

En este caso, el proveedor de EDR Cloud puede monitorear los sistemas de seguridad de forma remota, automatizarlos para simplificar los procesos de control.

La contratación del servicio EDR Cloud con nosotros con un proveedor garantizado, le permitirá tener más tranquilidad en el negocio, al saber que sus endpoints estarán protegidos de posibles amenazas. A continuación, puedes aprender más sobre la seguridad de este vector con nuestro jefe de producto:

Otro aspecto importante es que sus endpoints dejarán de ser el vector más débil de la empresa, al estar integrados bajo un esquema de protección ampliada.

También podrá incorporar nuevos equipos a la red sin requerir de procesos complicados de actualizaciones o certificaciones, ya que, el control y monitoreo estará centrado en la Nube.

Saber más sobre EDR Cloud