Las amenazas que se apoderan del dispositivo de un usuario o de la red principal de una organización tienden a extenderse y causar estragos en otros lugares si no se dispone de los controles de detección y corrección necesarios. Además, los actores de amenazas aprovechan trucos técnicos que evaden las detecciones de los endpoints y/o de la red. Por ello, las empresas necesitan que la seguridad endpoint y de red trabaje conjuntamente para ofrecer una mejor protección de extremo a extremo.
A continuación, se presentan cuatro ejemplos clave de tipos de amenazas que a veces evaden la detección endpoint o de red por separado, lo que muestra la importancia de combinar ambas:
• Rootkits – Los rootkits pueden ocultar localmente muchos aspectos de su malware a los controles de seguridad de su sistema operativo y endpoint, como sus archivos, entradas de registro e incluso conexiones de red. Sin embargo, aunque pueda ocultar su conexión de red desde el endpoint, sigue necesitando enviar paquetes de red para conectarse a su infraestructura de comando y control (C2).
• Técnicas de evasión de IPS en la red – Los actores de amenazas pueden utilizar trucos evasivos para evitar también los controles de seguridad de red. Por ejemplo, el uso de la fragmentación del tráfico, la evasión de protocolos o aplicaciones, el agotamiento de recursos y el simple cifrado son técnicas para evadir algunos controles de seguridad de red, por eso, es bueno tener también controles de endpoint.
• Malware sin archivos o ataques Living off the Land (LotL) – Estas técnicas han crecido en los últimos años, aumentando casi un 900% en 2020 respecto al año anterior. Para encontrar el malware sin archivo se requiere un tipo diferente de solución de detección y respuesta de endpoints (EDR) que examine otros indicadores más allá de los archivos y las entradas de registro. Estas técnicas son solo una de las razones por las que el EDR basado en endpoint está evolucionando hacia la detección y respuesta ampliada (XDR), que combina indicadores de endpoint y de red.
• Malware Zero-Day – Según el reciente informe de seguridad de WatchGuard Threat Lab, el malware zero-day representó el 74% de todas las detecciones en el primer trimestre de 2021. El malware evasivo es la norma, no la excepción, y para detectarlo y prevenirlo se necesita observar y correlacionar los indicadores de muchos controles de seguridad, tanto de endpoint como de red, para tener la mejor oportunidad de detectar suficientes comportamientos sospechosos para saber que algo es malicioso.
Una estrecha integración entre los servicios de seguridad de red y de los endpoints puede proporcionar una protección más eficaz
Las amenazas sofisticadas y evasivas actuales exigen una estrategia de seguridad en capas y cohesionada que proteja redes, endpoints y usuarios. Una estrecha integración entre los servicios de seguridad de red y de los endpoints puede proporcionar una protección más eficaz. La industria va en esta dirección con XDR. La plataforma WatchGuard Cloud, con Unified Security Platform, hace precisamente eso, permitiendo que las defensas de red y endpoint compartan telemetría, inteligencia de amenazas y datos de eventos de seguridad para ayudar a los MSP y a sus clientes a detectar, contextualizar, evaluar y remediar automáticamente las amenazas, independientemente de su origen, reduciendo drásticamente el coste y la complejidad de la seguridad para organizaciones de todo tipo y tamaño.