Cuando un dispositivo es atacado, especialmente por ransomware, si no reaccionamos con rapidez, perderemos. Y lo que es peor, un ataque de este tipo puede extenderse rápidamente a otros dispositivos y, sin un plan de intervención, se perderá la oportunidad de impedir que esas amenazas se propaguen a través de su organización. Los endpoints son un terreno cubierto de yesca donde soplan vientos fuertes que esperan una chispa para activarlos. De hecho, según un informe de IDC, el 70% de todas las brechas de red comienzan en los dispositivos endpoint.
Y aunque la mayoría de los CISOs estarían de acuerdo en que la prevención es importante, pensar en un 100% de efectividad no es realista. No solo los parches y las actualizaciones de seguridad se publican después de que se detecten las amenazas, también los ataques Zero Day pueden pasar desapercibidos en los sistemas de seguridad, y siempre existe el error humano. Por ello, además de la prevención, la detección y la contención en tiempo real son críticas.
El primer paso es entender los tipos de amenazas. Desde el punto de vista temporal, están los incendios forestales, que como el ransomware, pueden arruinar un sistema en segundos. Y luego están las amenazas de combustión lenta diseñadas para robar datos poco a poco. La mayoría de las violaciones de datos confirmadas tienen un largo tiempo de permanencia. De hecho, el tiempo medio para identificar una amenaza es de 197 días, y otros 69 días para contener una brecha
Este es el punto de referencia para el que se diseñaron las herramientas de detección y respuesta de endpoint (EDR) de primera generación. Se asumió que había suficiente tiempo para responder manualmente a una amenaza de combustión lenta. Y, de hecho, se han hecho importantes progresos en la velocidad de detección (MTTD), reduciendo los tiempos de semanas a días o incluso horas. Pero si una herramienta EDR es capaz de detectar un ataque en tiempo real, ¿de qué sirve si después se tarda una hora o más en contener la amenaza manualmente?
Desde nuestro punto de vista, se requiere una solución, como FortiEDR, que esté diseñada con un único y claro objetivo: impedir que los atacantes alcancen sus objetivos, ya sea la exfiltración de datos o el sabotaje, deteniendo su ataque. Al comprender la naturaleza del comportamiento del ransomware y otros similares de alta velocidad, tendremos la capacidad de desactivar y desarmar una amenaza en tiempo real, incluso después de que el endpoint esté infectado.
Este tipo de soluciones deben disponer de una tecnología de rastreo de código centrada en el sistema operativo, que le permita detectar inmediatamente procesos y comportamientos sospechosos, incluyendo ataques en memoria. Tan pronto como detecte algo sospechoso, debe actuar. Inmediatamente debe moverse para desactivar una amenaza potencial bloqueando las comunicaciones externas al servidor de comando y control (C&C) y denegando el acceso al sistema de archivos. Estos pasos evitarán inmediatamente la exfiltración de datos, el movimiento lateral y el cifrado y posterior rescate, protegiéndole así de la pérdida de datos.
Para evitar el grave problema de los falsos positivos, FortiEDR contempla el bloqueo de una amenaza potencial permitiendo una evaluación minuciosa del evento en cuestión de una fracción de segundo a través de su backend, alojado en la nube, que reúne rápidamente información adicional para clasificar el evento como una amenaza o un proceso benigno. Si es benigno, el bloqueo se libera sin que el usuario final lo perciba. Sin embargo, si se confirma que el evento es malicioso, la herramienta puede responder con una acción automatizada, como la terminación del proceso, la eliminación de archivos maliciosos o infectados, el aislamiento del endpoint, la notificación a los usuarios o la apertura de un ticket del Help Desk.
Fortinet España y Portugal
Director Systems Engineering
