Artículo
22 junio 2022

Recomendaciones para una protección total del Endpoint

El riesgo de este tipo de activos es alto ya que son un objetivo prioritario para los cibercriminales.

La protección del endpoint es un gran reto ya que principalmente es itinerante, hay interacción directa con personas, es accesible físicamente, contiene información valiosa y es cambiante. Por todo ello, el riesgo de este tipo de activos es alto ya que son un objetivo prioritario para los cibercriminales.

¿Qué es lo que nos solemos encontrar desde ELIXTECH como consecuencia de las auditorías que hacemos para los marcos ISO27001, ISO27701, ENS, NIST 800-171 o RGPD en nuestros clientes?

  • Equipos fuera del inventario.
  • Políticas de buen uso de los sistemas de información o similar sin definir o sin desarrollar.
  • Usuarios con privilegios elevados en los equipos.
  • Acceso directo a carpetas empresariales.
  • Equipos VIP o de alto riesgo sin backup.
  • Datos sensibles sin protección.
  • Autenticación débil.
  • Almacenamiento de claves, profesionales y privadas.
  • Acceso a sistemas críticos de terceros.
  • Sin plan de seguridad física diseñado.

Podríamos extender la lista más, pero he identificado las que a mi parecer son más relevantes.

Para hacer frente a esos riesgos, proponemos medidas que se adaptan al riesgo, al tamaño y complejidad de la organización y, sobre todo, unas medidas que acompañen, dentro de lo posible, al aumento de la productividad y en algunos casos que puedan simplificarse los procesos. Para ello, os identificaré unos consejos sencillos para cada uno de los riesgos identificados en listado anterior.

En ELIXTECH hay un lema con el que nos gusta trabajar y que no es un invento nuestro: “no puedo proteger aquello que no conozco”, con esto quiero resaltar que los endpoints no deben inventariarse en, por ejemplo, una hoja Excel, ya que, además de ser un proceso ineficaz, requiere muchos recursos humanos y por lo tanto es dedicar recursos de manera improductiva para mantener algo que nunca se parecerá a la realidad. Nosotros siempre recomendamos mantener el inventario con herramientas diseñadas para ello. Evidentemente estas herramientas deben tener una buena función de descubrimiento, ya que, el endpoint tiene la mala costumbre de aparecer súbditamente en la red, puede incluir nuevos activos con una relativa frecuencia y, además, la herramienta de inventario debe poder integrarse con otros sistemas de la organización, como mínimo con las herramientas más conocidas de service desk para poder hacer una gestión integral del endpoint.

También, es muy importante que toda la seguridad que se despliegue en el endpoint y con carácter general en una organización esté escrita y aprobada en las políticas de seguridad de la información. La seguridad que se despliega en los endpoints no es algo que debe ejecutarse según el criterio del equipo de sistemas, es decir, al equipo de sistemas no se le ocurre un buen día cortar el acceso a, por ejemplo, “whatsup”, sino que desde  un punto de vista estratégico se ha decidido qué es lo que no está permitido en los endpoints. ¿Qué puede ocurrir si no hay una política clara, escrita y aprobada?, pues que se introducirá una variable más en la protección del endpoint, que es el libre albedrío del CIO, e incluso del técnico de sistemas, variable que puede ser eliminada de manera sencilla, dando un sentido a todo aquello que se despliega en el endpoint y alrededor de él.

Otro riesgo que solemos encontrar, con más asiduidad de la deseada, es que los usuarios de los endpoints, son a la vez administradores del mismo, elevando el riesgo ya que, si el endpoint se ve vulnerado, le hemos regalado al atacante la elevación de privilegios y por lo tanto podrá hacer y deshacer lo que quiera, como poco, en el equipo vulnerado. Este punto requiere que el equipo de IT sea formal, es decir, las cuentas con privilegios elevados son un tesoro que bajo ningún concepto se pueden regalar. Ya sabemos que hay operaciones sencillas que requieren la introducción de una cuenta privilegiada, y se puede tener la tentación de dejar eso en manos del usuario. Para ello es necesario desplegar soluciones de bóvedas de passwords, soluciones PAM o similar que incluso nos permitan “prestar” la cuenta privilegiada para un solo uso.

Por usabilidad, normalmente, las diferentes carpetas corporativas se encuentran montadas en el explorador de Windows, de tal manera que todo lo que ocurre en el equipo se podría trasladar de manera automática a estas carpetas como, por ejemplo, el cifrado del equipo por un ransomware. Pero no hace falta que se ejecute un ransomware, sino que, un usuario puede eliminar de manera descuidada un archivo y si esas carpetas no se encuentran auditadas pues no se sabrá qué ha pasado, por ejemplo. Lo principal, y es uno de los temas más importantes a abordar es tener un backup, da igual si operativo o de seguridad, el caso es tener backup, que dicho así es sencillo, pero hoy en día hay empresas que no tienen un backup, ya no digo una estrategia de backup.

Estamos descubriendo que hay empresas que confían en que los grandes proveedores de drives en la nube también les proveen de backup, sin siquiera haber leído los “Términos y condiciones” de los contratos, y en algunas ocasiones descubrimos que no existe ese backup que se suponía dentro del servicio y que por lo tanto debía ser contratado a parte. Por lo que recomendamos leer con detalle los contratos de los servicios y contratar el backup o usar una solución de backup independiente.

También nos encontramos en algunas organizaciones que los equipos VIP o de alto riesgo por la información que tratan tienen el mismo nivel de protección que el resto e incluso no tienen. Esto es como consecuencia de no haber realizado un análisis de riesgos adecuado y por lo tanto no diseñar medidas de seguridad adicionales en esos endpoints, como pueden ser: cifrado del disco o al menos de la información sensible, tener un backup de esos equipos para poder recuperarlos o incluso poder levantar una instancia espejo en el caso de que el equipo quede inutilizado o se extravíe y/o tener soluciones para poder borrar el equipo en remoto.

Por otra parte, encontramos organizaciones que adolecen de una política de clasificación de la información por lo que, retomando el lema “sólo puedo proteger aquello que conozco”, nos indica que esas organizaciones desconocen el tipo de información y la ubicación de ésta. En este caso, al igual con el inventariado de endpoints, disponemos de soluciones que permiten encontrar información sensible allá donde esté, incluyendo el endpoint, facilitando por tanto el desarrollo de la política de clasificación de la información. Una vez descubierta la información sensible, la protección básica es el cifrado, aunque existen otro tipo aproximaciones para protegerla.

En relación con la clave de acceso a los equipos, lo primero es tener una política de claves definida y aprobada en la organización. En algunos casos, siempre siguiendo las recomendaciones del análisis de riesgos, será necesario usar el doble factor de autenticación e incluso el triple si fuera el caso. Aún hoy en día, me encuentro con bastantes ligerezas en la protección de acceso al endpoint.

Unido al anterior riesgo, nos encontramos aquellos que, porque o no se les ha proporcionado una solución de bóveda de claves, tienden a manejar un Excel, Notepad o similar con las claves de accesos a servicios empresariales e incluso de terceros, o simplemente depositan en el navegador el almacenamiento de las mismas.

Ni que decir tiene que desde muchos endpoints se accede a sistemas críticos de terceros, como, por ejemplo, la gestión de las infraestructuras. Estos endpoints deben estar protegidos con un nivel de seguridad similar al de las infraestructuras a las que se accede, por descontado, no deberían accederse directamente a los sistemas sin pasar por un PAM, por poner un ejemplo del listado de posibilidades con las que solemos trabajar para este tipo de riesgos.

Y por último, pero no menos importante, la seguridad física, es decir, tener la capacidad de blindar el equipo contra el robo o acceso físico, es decir, dejar el portátil en una mesa sin atar con una pitón cuando nos vamos a tomar un café, podría significar que alguien pase por esa zona y lo vea como un objetivo fácil de sustraer. También es primordial que los accesos externos, como el USB, estén anulados o sólo permitan que se usen unos USBs específicos. Para eso tenemos soluciones de endpoint que permiten desplegar políticas de anulación de los USBs o soluciones que revisan los USBs y los firman antes de que puedan ser usados en unos equipos concretos. Por ejemplo, volviendo de la #RegataASLAN 2022 en el AVE, pude ver durante 3 horas, todas las comunicaciones, propuestas, etc. que un directivo de una compañía internacional muy importante elaboraba durante el trayecto de 2 horas y media que duró el viaje Madrid Atocha – Barcelona Sans. Para evitar esto, hay unas protecciones que se ponen en la pantalla para evitar “cotillas” del asiento de al lado. Probablemente este directivo pensaba que la información que manejaba no era importante, a mí me resultó muy curiosa e importante, o simplemente su empresa no ha hecho un análisis de riesgos adecuado.

Desde ELIXTECH, nos gusta que nuestros clientes trabajen de manera segura y el endpoint, como decía al principio del artículo, está en primera línea de batalla y requiere una atención especial y constante para mantener los niveles de seguridad aceptables para las organizaciones.

 

¿Te ha parecido útil este contenido?

 
Más información en: https://www.elixregtech.com/
Israel Díaz domínguez
Elixtech
CISO & CTO
Cybersecurity Endpoint Detection and Response (EDR)

Te puede interesar

MICROSOFT y el Gobierno Vasco colaboran en materia de ciberseguridad infantil y juvenil
12 Jul 2024
SOPHOS: El 76% de las empresas mejoran sus ciberdefensas para poder optar a un ciberseguro
12 Jul 2024
HORNETSECURITY: La brecha de formación aumenta: una cuarta parte de las organizaciones no están preparadas para los ciberataques
12 Jul 2024
ACRONIS celebra la segunda edición de su evento Tech Champions para Iberia
12 Jul 2024
SONICWALL lanza una nueva suite de servicios de seguridad gestionada para EMEA exclusivamente a través de partners
12 Jul 2024
Concienciación e Inteligencia Artificial: Nuestros aliados en 2022
09 Feb 2022
Conociendo a ElixTech & MIA Breach Hunter
08 Nov 2021