Porque el antivirus tradicional (EPP) ya no es suficiente…

Delegado de protección de datos > El Blog del DPD/DPO > DPD DPO > Porque el antivirus tradicional (EPP) ya no es suficiente…

Protección de los dispositivos

Porque el antivirus tradicional (EPP) ya no es suficiente…

14 junio, 2019 | DPD DPO

Tradicionalmente, muchas soluciones de seguridad se focalizaron en la protección del perímetro sin tener una visión clara y real de lo que sucedía en el endpoint. Pero, ¿qué es un endpoint?

Endpoint:

Es un dispositivo remoto que se comunica con una red a la que está conectado. Ejemplos típicos, sería un PC, portátil, Smartphone, servidores…

Este cambio de paradigma en los tiempos actuales hace que se tome más preocupación y conciencia sobre la protección de los mismos, debido fundamentalmente a:

  • Por un lado, la transformación digital que están sufriendo las empresas donde ya no queda muy claro donde colocar esa barrera perimetral.
  • Y por otro, siendo una parte significativa de las amenazas y ataques avanzados están dirigidos hacia los dispositivos finales de usuario.

Dicho de otra forma, podríamos considerar el endpoint el eslabón más crítico de la cadena en seguridad IT ya que, desde dicho dispositivo se tiene acceso a los datos corporativos, se encuentran credenciales de todo tipo, es el dispositivo por excelencia para la movilidad con lo que los accesos desde el exterior son muy frecuentes y, además, es susceptible a ataques fuera de banda (Pendrive, USB, …).

Por todo esto, el endpoint se convierte en la forma más fácil de comprometer la seguridad de las corporaciones, mediante los ataques avanzados como spear phishing, wannacry, exploits que aprovechan las vulnerabilidades de los sistemas en ataques de ZeroDay…

Nadie queda exento a dicha problemática, desde negocio local, grandes corporaciones y organismos públicos.

En la actualidad existen múltiples amenazas dirigidas específicamente al endpoint, como son el robo de credenciales, fuga de datos, ransomware, APT’s… y que, con los antivirus tradicionales (o EPP), no son capaces de mitigar dichos ataques avanzados. Por ello, debemos complementar dichas soluciones con las llamadas EDR (Endpoint Detect and Response).

EPP y EDR:

El funcionamiento de los EPP está basado en el tradicional fichero de firmas y un comportamiento heurístico, por lo que es un especialista en detectar malware conocido. Pero, ¿y si el malware no es conocido?. Para ello existen las soluciones de EDR, las cuales vienen a complementar el EPP, para poder detectar el malware desconocido, o lo que llamamos ataques de ZeroDay. Para ello, su forma de proceder es la de categorizar todos las aplicaciones y procesos que se están ejecutando en la máquina para determinar si se trata de goodware y malware. Y para aquellos que no sepa categorizar, detonará en un sandBox dicho malware, para poder estudiarlo y terminar categorizándolo.

Con la combinación de EPP + EDR, podemos asegurar que nuestro nivel de madurez aumenta, y los riesgos de sufrir un ataque de malware, ya sea conocido o desconocido, disminuye.