La Defensa Contra Amenazas no Sólo es Acerca de Detección: Es Cómo Responde Usted WHITEPAPER Las organizaciones que buscan más inteligencia y automatización dentro de sus defensas de seguridad deben incluir soluciones de detección y respuesta de endpoint para impedir nuevas amenazas y proteger activos accesibles mediante endpoint. El Caso para Seguridad de Endpoint Inteligente Un endpoint es uno que es altamente automatizado para detectar problemas de seguridad con más rapidez y precisión, responder inmediatamente y solucionar problemas por completo. Si se hacen correctamente, los endpoints inteligentes proporcionan conocimiento y análisis forenses valiosos acerca comportamientos de las amenazas. Contenido El Caso para Seguridad de Endpoint Inteligente 1 ¿Por qué importa tanto el EDR? 1 Qué buscar en una solución EDR 2 Conclusión 3 Con el fin de detener las cada vez más sofisticadas amenazas, muchas organizaciones de TI y de seguridad se han enfocado en la detección y respuesta de endpoint (EDR, por sus siglas en inglés). La creación de endpoints verdaderamente inteligentes requiere una estructura amplia y fácilmente gestionable, que automáticamente detecte y responda a las amenazas antes de que hagan daño. Si un endpoint inteligente es su objetivo estratégico, entonces la integración significativa y la flexibilidad son aspectos importantes a considerar en una solución EDR. ¿Por qué importa tanto el EDR? Más allá de detener el enorme volumen de amenazas, detectar y proteger contra éstas avanzadas se ha convertido en algo esencial para mantener endpoints confiables. La seguridad de endpoint complementa las medidas de seguridad centralizada con protección adicional en el punto de entrada para muchas amenazas, así como bloquea efectivamente los intentos de acceso previos a la entrada. Otra cruda realidad es que las amenazas avanzadas están, por naturaleza y diseño, atacando a más de un extremo al mismo tiempo, con la finalidad de obtener acceso a datos y sistemas valiosos a través de múltiples puntos de apoyo. Cada vez es más raro que una violación de seguridad pueda ser contenida dentro de un solo sistema o aplicación, en gran parte porque muchos ataques evaden con éxito a los productos de seguridad puntuales. UN WHITEPAPER DE TECHTARGET La Defensa Contra Amenazas no Sólo es Acerca de Detección: Es Cómo Responde Usted Además, los administradores de seguridad están ampliando la capacidad, tratando de ser expertos sobre amenazas emergentes y reaccionando oportunamente a las inminentes violaciones de datos. Las amenazas evolucionan, lo que requiere que los administradores también aprendan y evolucionen. Son necesarios conocimientos significativos y automatización, para mantener a los profesionales de la seguridad informados y avanzando correctamente. Esto significa que el énfasis se ha desplazado de intentar detener los ataques, a rápidamente señalarlos con precisión, identificando y haciendo que una luz brillante parpadee cuando se produzca un ataque. Es primordial determinar qué endpoints están siendo atacados, qué datos son vulnerables y qué tan rápidamente pueden ser remediados antes de que se provoquen un enorme daño. Aquí es donde surge EDR. De acuerdo a Gartner,¹ el mercado de EDR se define como las soluciones que cuentan con las siguientes capacidades primordiales: Para 2018, el 80% de las plataformas de protección de endpoint de líderes y visionarios, incluirán capacidades de detección y respuesta — un incremento del 45% en relación al 2016. 1. Detectar incidentes de seguridad. 2. Contener al incidente en el endpoint, de manera que el tráfico de red o ejecución de proceso pueda controlarse remotamente. 3. Investigar incidentes de seguridad. 4. Remediar endpoints para que retornen al estado previo a la infección.. Juntas, estas capacidades ayudan a las organizaciones que han dependido en gran medida de los procesos manuales, a abordar las amenazas de una forma más inteligente, eficiente y oportuna. Para 2018, el 80% de las plataformas de protección de endpoint de líderes y visionarios, incluirán capacidades de detección y respuesta un incremento del 45% con relación al 2016.² EDR tiene que ver totalmente con velocidad y agilidad; ayuda a las organizaciones a reducir su ventana de exposición a amenazas de semanas o días, a tan sólo unos minutos. Los mejores EDR clasifican en medio de todo ese ruido que generan las defensas, ruido que aparece frecuentemente como un excesivo número de alertas o una creciente incidencia de falsos positivos.. Gartner, Market Guide for Endpoint Detection and Response Solutions, 16 de diciembre de 2015 Debido a que el costo de remediar una violación de datos supera las decenas de miles de dólares al día, se ha intensificado la presión para detectar problemas con mayor confiabilidad y velocidad, para corregirlos inmediatamente y para proteger contra nuevas incursiones en endpoints y exfiltración de datos. Al final del día, los endpoints inteligentes deben ser capaces de detectar problemas, evitar y limitar los daños cuando las amenazas ataquen. Una cosa es decir que usted tiene un problema, y otra totalmente diferente es solucionar el problema de inmediato o prevenirlo por completo Qué Buscar en una Solución EDR Históricamente, el enfoque de las soluciones EDR ha sido en las defensas de primer nivel, detección e investigación primarias. Obviamente son importantes, pero se están convirtiendo rápidamente en las apuestas de la mesa. Conforme las amenazas sigan incrementándose y se vuelvan más sofisticadas, las organizaciones necesitarán buscar soluciones que sean proactivas en la prevención de los ataques, y que los remedien rápidamente y a consciencia si logran penetrar. Existen dos grandes atributos de diseño que debe buscar como parte de su funcionalidad EDR: integración basada en arquitectura común y gestión centralizada. Debido a que las organizaciones ya cuentan con numerosas soluciones de seguridad como antivirus, IPS, gateways y firewalls dentro de su infraestructura de seguridad, el mejor abordaje es contar con una arquitectura común integrada que permita que estas y otras soluciones de seguridad trabajen juntas a fin de compartir conocimiento y responder más rápido. La gestión a través de una única solución unificada mejora la visibilidad, reduce la complejidad y evita lagunas y las superposiciones de las distintas soluciones. Aquí presentamos algunas capacidades específicas y puntos de integración de EDR que debe buscar como parte de una solución de endpoint inteligente: • PG 2 Acceso e integración con un entorno de inteligencia de amenazas que brinde soporte a la defensa contra amenazas en endpoint y a compartir información en tiempo real La Defensa Contra Amenazas no Sólo es Acerca de Detección: Es Cómo Responde Usted • Conexión generalizada hacia gateway de web seguro, que impide la mayoría de entrega de malware de día cero hacia donde el endpoint viaje, incluso fuera de la red • Integración perfecta con la seguridad de endpoint tradicional (AV, HPS, Firewall, HIPS) • Gestión centralizada para mejorar visibilidad, monitoreo y acceso rápido a eventos y respuestas automatizadas. • Capacidades de caza y automatización que aceleren radicalmente la capacidad de detectar y eliminar amenazas avanzadas Conclusión Ningún profesional de seguridad quiere reconocer que sus sistemas no pueden detener todos los ataques avanzados actuales y futuros. Por desgracia, la realidad es que la velocidad a la que evolucionan las tácticas de amenazas deja a la mayoría de las organizaciones con la necesidad de una importante actualización y modernización de sus defensas de endpoint. Es prioritario hacer una nueva generación de endpoints más adaptados inteligentes, y EDR está en el centro de todo este esfuerzo. Sin seguridad de endpoint más rápida, más confiable y más eficiente, los profesionales de TI y de seguridad pasarán más tiempo combatiendo incendios y persiguiendo a las siguientes novedades en amenazas avanzadas, a menudo mucho después de que el daño ha sido hecho. EDR ayuda a reequilibrar la ecuación en favor de defensas integradas, colaborativas y automatizadas que detectan y emprende acciones rápidamente para reducir la ventana de tiempo que tienen las amenazas nuevas y emergentes para causar estragos. También ofrece una mayor información sobre el comportamiento, orígenes y métodos que los atacantes están utilizando, de modo que los administradores puedan aprovechar los detalles forenses para endurecer sus políticas y capacitar a los usuarios. Intel Security siempre ha sido un líder en el mercado de seguridad de endpoint; sus soluciones están construidas alrededor de los conceptos claves de integración, automatización y gestión centralizada. La compañía ofrece una amplia gama de productos de seguridad de endpoint, incluyendo McAfee Endpoint Security 10 y McAfee Active Response. McAfee Endpoint Security 10 aprovecha tecnologías que comunican y aprenden unas de las otras en tiempo real para luchar contra las amenazas avanzadas y ofrecer conocimiento con análisis forenses de amenazas accionables. También está construido con una estructura diseñada pensando en el futuro y es extensible, de modo que aún más de sus soluciones de endpoint pueden gestionarse de forma centralizada a medida que crece su negocio. McAfee Endpoint Security 10 incluye una conexión nativa tanto a la nube y como a la McAfee Web Gateway en las instalaciones. Esto ayuda a los equipos de seguridad a cambiar de apagar incendios en su actividad de corrección constante, a defensa contra amenazas estratégica, impidiendo que la inmensa mayoría de malware de día cero conocido, pueda llegar a los sistemas de endpoint. Uno de los elementos claves de McAfee Active Response, es su capacidad de integrarse a la perfección con antivirus, gateway y sistemas de detección de intrusiones. Esto no sólo fortalece a las inversiones que ya realizaron las organizaciones, sino que también facilita el intercambio de inteligencia de seguridad con base en la actividad en diferentes ubicaciones de endpoint y conocimiento accionable proveniente del intercambio de inteligencia de amenazas de la compañía. Estas soluciones están gestionadas de forma centralizada por parte de McAfee ePolicy Orchestrator, una única de la consola de gestión de solución unificada. Además, el grupo Foundstone Services de la organización lleva la respuesta a incidentes y la protección de endpoint hacia un nuevo nivel, combinando la corrección con medidas preventivas progresistas. Para obtener más información sobre el abordaje de seguridad hacia endpoints inteligentes y EDR, vaya a http://www.mcafee.com/us/products/active-response.aspx. 1. Gartner, Market Guide for Endpoint Detection and Response Solutions, 16 de diciembre de 2015 2.Ibid 2821 Mission College Boulevard Santa Clara, CA 95054 888 847 8766 www intelsecurity com PG 3 Intel y el logotipo de Intel son marcas registradas de Intel Corporation en los Estados Unidos y/o en otros países. McAfeey el logotipo de McAfee, son marcas comerciales registradas o marcas comerciales de McAfee, Inc. o de sus subsidiarias en los EE. UU. y en otros países. Otras marcas pueden ser reclamadas como propiedad de otros. Copyright © 2016 McAfee, Inc, 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com