sistemas de PROTECCIÓN endpoint
La típica situación para la mayoría de las empresas, es cuando las funciones del sistema de protección contra el malware las cumplen solo los «Antivirus» tradicionales instalados en las estaciones de trabajo.Se suele creer que:
-El malware solo puede entrar a través de los puntos finales,por eso no tiene sentido proteger los servidores.
-Todos los archivos entrantes pasan a través de las estaciones de trabajo y sera suficiente proteger solo estos,la protección instalada en las estaciones de trabajo deben proporcionar detección y eliminación de todo el malware que entra en los sistemas de una manera u otra.
-Nadie trabaja en los servidores,por lo tanto nadie los puede infectar.
Las razones por la que es necesario proteger los servidores:
-El servidor puede estar infectado por un malware desconocido en el momento de contraer el virus que penetro en el equipo y luego se difundió por la red.La protección instalada en el servidor lo intercepta de inmediato,basándose en mecanismos heuristicos. En el ultimo caso va a tratar el malware durante la próxima actualización.La ausencia de la protección lo convertirá el servidor en una fuente constante de infección.
-El servidor puede ser hackeado. La protección instalada en el servidor va a monitorear y destruir el malware. Si el servidor esta bajo el control de un sistema centralizado de gestión,el administrador recibirá inmediatamente la notificación de cambio de estado en la estación,por ejemplo el intento de detener el sistema de seguridad.
-Los usuarios pueden trabajar no solo en la oficina sino también en casa,guardar los datos en los servidores de archivos de la empresa y en servidores de Internet.Utilizar sus unidades de memoria flash o las de amigos y colegas.Estos medios pueden contener malware. Los dispositivos móviles por sus capacidades y vulnerabilidades pueden ser comparados con los equipos,ya que utilizan los sistemas operativos y aplicaciones que también pueden estar infectados.El malware puede llegar a la red corporativa y acceder al servidor.
«LA EMPRESA TIENE LA OBLIGACIÓN DE PROTEGER SOLO LOS DISPOSITIVOS QUE LE PERTENECEN»
Hoy en día nadie puede negar la necesidad absoluta de proteger las estaciones de trabajo de la empresa.Pero el error mas común en la construcción de la seguridad de la red es la decisión de organizar la protección solo de equipos de oficina.
Bajo el método de organización antiguo que se va al pasado,la empresa podía en cualquier momento garantizar el cumplimiento de un determinado nivel de seguridad,por lo que los administradores de sistemas controlaban todos los dispositivos de la compañía.
Ahora es imposible,hoy en día la mayoría de los equipos que se encuentran dentro de la empresa,no le pertenecen,son propiedad de los empleados,sus ordenadores portátiles y dispositivos móviles.
Un 60% de los dispositivos móviles de los empleados no tienen protección de ningún tipo, el dato es estremecedor
Desde estos equipos que entran a la red local o al cloud,siendo fuentes de archivos maliciosos y un gran trampolín para que los ciberdelincuentes penetren a una LAN esquivando la protección perimetral. Es muy importante para las empresas garantizar la seguridad de todos los dispositivos que utilizan sus empleados,donde sea que trabajen y a quien sea que pertenezcan.
«BASTARA SOLO CON LA PROTECCIÓN ENDPOINT,NO HACE FALTA NADA MAS»
La mayoría de las empresas compra solo una protección de endpoint para proteger los equipos de escritorio y no una securizacion completa que se compone de muchas herramientas,que en conjunto blindan la seguridad de su red empresarial.Se cree que sera suficiente,incluso si el malware entra en la maquina,la protección lo destruirá,pero esto no es así.
Al mismo tiempo se cree que la única tarea de la protección Endpoint es evitar que un malware penetre en la red, en otras palabras la protección debe reconocer en el momento de la penetración todos o casi todos los malwares y la protección que deja pasar malware se considera deficiente y debe ser reemplazada.
La función de las soluciones tradicionales que no cuentan con Inteligencia Artificial es detectar y destruir archivos dañinos,pero solo pueden eliminar amenazas conocidas a las bases de datos de malware o amenazas que pueden ser detectadas por los mecanismos heuristicos. Antes de recibir actualizaciones las protecciones no pueden detectar ni destruir una amenaza nueva desconocida.
Las protecciones bloquean la mayoría de las rutas de acceso del malware debido a la posibilidad de prohibir el uso de medios extraibles y restringir el acceso a los dispositivos locales y de red,un malware nuevo,aun no captado para el análisis en el laboratorio y por lo tanto no detectado por las protecciones tradicionales,simplemente no podrían llegar a un servidor protegido o estación de trabajo.
Ventajas de usar paquetes integrales en ciberseguridad con diferentes herramientas no solo de protección de Endpoint:
-Analizar el trafico de Internet que ingrese en el navegador y escaneo el trafico de email antes de que la infección pueda penetrar por esa via .Es decir el malware, no sera capaz de aprovecharse de las vulnerabilidades que pueda haber en el sistema.
-Disminución en el porcentaje de amenazas,lo que aumenta significativamente la productividad.
«TODAS LAS AMENAZAS PROVIENEN SOLO DE INTERNET,¿PARA QUE PROTEGER EQUIPOS QUE NO TIENEN CONEXIÓN?»
La opinión generalizada es que si el equipo no esta conectado a Internet o aislado de la red,no necesita ningún tipo de protección. Dichas maquinas sin protección son fallos en el sistema de seguridad y causas de infección de LAN.
Las principales formas de penetración del malware en las maquinas y luego en una red local,cloud o en los equipos de los clientes de la empresa son los dispositivos extraibles que se utilizan sin control por los empleados en caso de ausencia de control de oficina en el equipo que tiene medios de limitación de acceso.
«NO HAY MALWARE EN SISTEMAS MAC Y LINUX»
Otra ilusión colectiva que es debida al numero relativamente pequeño de programas maliciosos para sistemas MAC o Linux que cada vez esta mas en aumento,solo es necesario proteger las estaciones de trabajo y servidores bajo sistemas Windows. Como resultado de este enfoque,el malware obtiene un refugio seguro en las maquinas vulnerables,incluso si no pueden infectar los sistemas operativos y las aplicaciones en ejecución,pueden utilizarlos como fuente de infección,por ejemplo a través de los recursos compartidos por la red.
«LA CONSOLA DE ADMINISTRACIÓN DEL SISTEMA DE PROTECCIÓN ENDPOINT SIRVE SOLO PARA LA COMODIDAD DEL ADMINISTRADOR DEL SISTEMA»
Es una opinión fundamentalmente equivocada.La presencia de la gestión centralizada del sistema de protección endpoint,influye de manera significativa en el nivel de seguridad de la información de la empresa.El centro de control o la consola de gestión es una garantía de la política de seguridad de la información para cada objeto protegido que permite:
-Crear diferentes configuraciones para diferentes grupos de usuarios sin la necesidad de configurar la seguridad para cada estación de trabajo individual.
-Asegurar que la protección en cada equipo no este desactivado y funcione de acuerdo con los ajustes que estableció el administrador de la red.
-Realizar actualizaciones regulares del sistema y escaneo programados.