NOTICIAS

Listado de noticias

Los Expertos Opinan: «Mejores prácticas de detección y respuesta en el endpoint» – José de la Cruz

  • 17/12/2018

José de la Cruz, director técnico de Trend Micro Iberia

Hay muchos factores que pueden complicar los esfuerzos efectuados por las empresas en materia de ciberseguridad: la creciente sofisticación de las estrategias y actividades cibercriminales, la amplia gama de componentes conectados a la red, la protección de datos o la seguridad de las infraestructuras se han convertido en una batalla cuesta arriba.

A esto hay que añadir los endpoints conectados en red. Tradicionalmente, los administradores solo tenían que ocuparse de los equipos de escritorio locales. Con el aumento de BYOD y la movilidad de la empresa, la protección de los endpoints y la seguridad de datos asociada se ha vuelto mucho más compleja. Además, los administradores de TI no solo deben preocuparse por los endpoints: cualquier dispositivo que se conecte y aproveche la red corporativa debe formar parte de las estrategias de detección y respuesta. Hoy en día se examina más de cerca la detección y respuesta, incluso desde la perspectiva del endpoint, así como la forma en que las organizaciones pueden utilizar las buenas prácticas para cubrir las carencias internas y garantizar mejor la protección de los activos clave y de la red general.

Detección y respuesta endpoint ¿qué es y cómo funciona?

Parece algo básico, pero es importante tenerlo en cuenta. Según Nate Lord, colaborador de Digital Guardian, el concepto de detección y respuesta endpoint (EDR) surgió por primera vez en 2013 gracias al investigador de Gartner, Anton Chuvakin, quien lo define como el conjunto de “herramientas centradas principalmente en la detección e investigación de actividades sospechosas (y rastreo de las mismas) y otros problemas relacionados con los hosts/endpoints”. En este sentido, la detección y respuesta se centra en la capacidad de identificar amenazas potenciales y actividades que pueden señalar posibles intrusiones o ataques y responder a estos problemas o peligros. Si bien las diferentes herramientas funcionan de manera única e incluyen distintas características y capacidades, la protección y respuesta endpoint incluye algunos procesos clave:

  • Monitorización:

La piedra angular de este proceso es el análisis continuo de las actividades y eventos que tienen lugar dentro de la red. Esto incluye la integración y uso de diferentes endpoints, plataformas de software, elementos de hardware o entornos digitales.

  • Registro de eventos:

Los eventos que tienen lugar dentro de la red, a través del conjunto de diferentes endpoints, se registran en una base de datos central.

  • Análisis:

A continuación, los eventos registrados se analizan para detectar posibles amenazas e inteligencia que pueda aprovecharse para fundamentar las estrategias de protección. El análisis también puede incluir o informar de otros procesos como la investigación de las amenazas detectadas, la elaboración de informes y alertas asociadas.

Alineación con el Marco de Ciberseguridad NIST

Cabe destacar los puntos en común entre los elementos esenciales de una estrategia de detección y respuesta en el endpoint y el Marco de Ciberseguridad NIST. Los procesos clave involucrados en la detección y respuesta endpoint se alinean específicamente con ciertas funciones críticas dentro del Marco de Ciberseguridad NIST. Este incluye cinco funciones clave: identificar, proteger, detectar, responder y recuperar. De esta manera, puede resultar beneficioso crear una planificación de detección y respuesta en torno a las funciones y categorías particulares incluidas en este marco de ciberseguridad.

Además de alinear la protección y respuesta endpoint con las funciones y categorías del NIST Cybersecurity Framework, hay otras consideraciones y prácticas clave que las empresas y sus equipos de TI deben implementar, junto con su estrategia de detección y respuesta para el endpoint.

Centrarse en los endpoints y en los usuarios

Uno de los eslabones más débiles implicados en los procesos de protección y respuesta del endpoint no son los endpoints en sí mismos, sino los usuarios que interactúan con ellos. Las empresas pueden desplegar diversas estrategias de protección, detección y respuesta, pero estas deben ser implementadas sobre una base de educación y concienciación de los usuarios. Los usuarios son el objetivo de personas ajenas a la empresa mediante el uso de phishing, ingeniería social y otras técnicas que buscan persuadirles de que abran la puerta y les permitan entrar. Los usuarios deben ser conscientes de estas amenazas y por eso es clave combinar formación y concienciación de los usuarios con la postura de seguridad de la organización. Hay que educar sobre los riesgos potenciales en el entorno de amenazas actual y sobre el posible impacto de sus acciones en el negocio, su reputación y en los clientes.

Construir sobre EDR con análisis de causa raíz

Los expertos del sector corroboran el interés que existe en el mercado en la detección, protección y respuesta del endpoint, así como en la capacidad de construir sobre esta base con el análisis de las causas de fondo. Las empresas no solo quieren herramientas para protegerse e identificar amenazas potenciales, sino que cuando se produce un evento de seguridad quieren entender cómo ocurrió y cómo pueden evitarlo en el futuro.

EDR requiere los recursos adecuados y es parte de una estrategia de seguridad más amplia

También es importante que las empresas comprendan que la detección y respuesta de endpoints no se debe realizar como una estrategia ad hoc, sino que se debe incorporar a consideraciones de seguridad más amplias y globales. No incluir correctamente la seguridad endpoint en la estrategia de seguridad general de la empresa es un error frecuente. Un factor que contribuye a esto es que una estrategia robusta de detección y respuesta para el endpoint puede ser particularmente intensiva en recursos y operaciones, y requiere de la experiencia y las herramientas adecuadas.

Afortunadamente, ya existen tecnologías para abordar este problema que incluyen la monitorización constante, la detección de alertas y amenazas, así como el registro de eventos endpoint, el registro de metadatos de red y el análisis de causa raíz. Este servicio es ideal para organizaciones que pueden no tener los recursos y capacidades internas para asumir este proceso crítico por sí solas.

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic
entrust-1421665994898
extrahop
forcepoint
fortinet1584959160
fujitsu
group-ib
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
Rubrik
S2GRUPO-AZUL
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelone
sia1613034479
smartfense
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
telefonica tech
Tier8
transmitsecurity
TRC
trustworks
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscale

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.