La Defensa Contra Amenazas no Sólo es Acerca de Detección: Es

Anuncio
La Defensa Contra Amenazas no
Sólo es Acerca de Detección: Es
Cómo Responde Usted
WHITEPAPER
Las organizaciones que buscan más inteligencia y automatización dentro
de sus defensas de seguridad deben incluir soluciones de detección y
respuesta de endpoint para impedir nuevas amenazas y proteger activos
accesibles mediante endpoint.
El Caso para Seguridad de Endpoint Inteligente
Un endpoint es uno que es altamente automatizado para detectar problemas de seguridad
con más rapidez y precisión, responder inmediatamente y solucionar problemas por completo.
Si se hacen correctamente, los endpoints inteligentes proporcionan conocimiento y análisis
forenses valiosos acerca comportamientos de las amenazas.
Contenido
El Caso para Seguridad
de Endpoint Inteligente
1
¿Por qué importa tanto el EDR?
1
Qué buscar en una solución EDR
2
Conclusión
3
Con el fin de detener las cada vez más sofisticadas amenazas, muchas organizaciones de TI
y de seguridad se han enfocado en la detección y respuesta de endpoint (EDR, por sus siglas
en inglés). La creación de endpoints verdaderamente inteligentes requiere una estructura
amplia y fácilmente gestionable, que automáticamente detecte y responda a las amenazas
antes de que hagan daño. Si un endpoint inteligente es su objetivo estratégico, entonces la
integración significativa y la flexibilidad son aspectos importantes a considerar en una solución
EDR.
¿Por qué importa tanto el EDR?
Más allá de detener el enorme volumen de amenazas, detectar y proteger contra éstas
avanzadas se ha convertido en algo esencial para mantener endpoints confiables. La seguridad
de endpoint complementa las medidas de seguridad centralizada con protección adicional en el
punto de entrada para muchas amenazas, así como bloquea efectivamente los intentos de
acceso previos a la entrada.
Otra cruda realidad es que las amenazas avanzadas están, por naturaleza y diseño, atacando
a más de un extremo al mismo tiempo, con la finalidad de obtener acceso a datos y sistemas
valiosos a través de múltiples puntos de apoyo. Cada vez es más raro que una violación de
seguridad pueda ser contenida dentro de un solo sistema o aplicación, en gran parte porque
muchos ataques evaden con éxito a los productos de seguridad puntuales.
UN WHITEPAPER DE TECHTARGET
La Defensa Contra Amenazas no Sólo es Acerca de Detección: Es Cómo Responde Usted
Además, los administradores de seguridad están ampliando la capacidad, tratando de ser expertos sobre amenazas
emergentes y reaccionando oportunamente a las inminentes violaciones de datos. Las amenazas evolucionan, lo que
requiere que los administradores también aprendan y evolucionen. Son necesarios conocimientos significativos y
automatización, para mantener a los profesionales de la seguridad informados y avanzando correctamente.
Esto significa que el énfasis se ha desplazado de intentar detener los ataques, a rápidamente señalarlos con precisión,
identificando y haciendo que una luz brillante parpadee cuando se produzca un ataque. Es primordial determinar qué endpoints
están siendo atacados, qué datos son vulnerables y qué tan rápidamente pueden ser remediados antes de que se provoquen un
enorme daño.
Aquí es donde surge EDR. De acuerdo a Gartner,¹ el mercado de EDR se define como las soluciones que cuentan con
las siguientes capacidades primordiales:
Para 2018, el 80% de las
plataformas de protección de
endpoint de líderes y
visionarios, incluirán
capacidades de detección y
respuesta —
un incremento
del 45%
en
relación
al 2016.
1.
Detectar incidentes de seguridad.
2.
Contener al incidente en el endpoint, de manera que el tráfico de red o ejecución de proceso pueda controlarse
remotamente.
3.
Investigar incidentes de seguridad.
4.
Remediar endpoints para que retornen al estado previo a la infección..
Juntas, estas capacidades ayudan a las organizaciones que han dependido en gran medida de los procesos manuales,
a abordar las amenazas de una forma más inteligente, eficiente y oportuna. Para 2018, el 80% de las plataformas de
protección de endpoint de líderes y visionarios, incluirán capacidades de detección y respuesta un incremento del 45%
con relación al 2016.²
EDR tiene que ver totalmente con velocidad y agilidad; ayuda a las organizaciones a reducir su ventana de exposición a
amenazas de semanas o días, a tan sólo unos minutos. Los mejores EDR clasifican en medio de todo ese ruido que
generan las defensas, ruido que aparece frecuentemente como un excesivo número de alertas o una creciente incidencia
de falsos positivos..
Gartner, Market Guide for
Endpoint Detection and
Response Solutions,
16 de diciembre de
2015
Debido a que el costo de remediar una violación de datos supera las decenas de miles de dólares al día, se ha
intensificado la presión para detectar problemas con mayor confiabilidad y velocidad, para corregirlos inmediatamente y
para proteger contra nuevas incursiones en endpoints y exfiltración de datos.
Al final del día, los endpoints inteligentes deben ser capaces de detectar problemas, evitar y limitar los daños cuando las
amenazas ataquen. Una cosa es decir que usted tiene un problema, y otra totalmente diferente es solucionar el problema
de inmediato o prevenirlo por completo
Qué Buscar en una Solución EDR
Históricamente, el enfoque de las soluciones EDR ha sido en las defensas de primer nivel, detección e investigación
primarias. Obviamente son importantes, pero se están convirtiendo rápidamente en las apuestas de la mesa. Conforme
las amenazas sigan incrementándose y se vuelvan más sofisticadas, las organizaciones necesitarán buscar soluciones
que sean proactivas en la prevención de los ataques, y que los remedien rápidamente y a consciencia si logran penetrar.
Existen dos grandes atributos de diseño que debe buscar como parte de su funcionalidad EDR: integración basada en
arquitectura común y gestión centralizada. Debido a que las organizaciones ya cuentan con numerosas soluciones de
seguridad como antivirus, IPS, gateways y firewalls dentro de su infraestructura de seguridad, el mejor abordaje es
contar con una arquitectura común integrada que permita que estas y otras soluciones de seguridad trabajen juntas a
fin de compartir conocimiento y responder más rápido. La gestión a través de una única solución unificada mejora la
visibilidad, reduce la complejidad y evita lagunas y las superposiciones de las distintas soluciones.
Aquí presentamos algunas capacidades específicas y puntos de integración de EDR que debe buscar como parte de
una solución de endpoint inteligente:
•
PG 2
Acceso e integración con un entorno de inteligencia de amenazas que brinde soporte a la defensa contra
amenazas en endpoint y a compartir información en tiempo real
La Defensa Contra Amenazas no Sólo es Acerca de Detección: Es Cómo Responde Usted
• Conexión generalizada hacia gateway de web seguro, que impide la mayoría de entrega de malware de día
cero hacia donde el endpoint viaje, incluso fuera de la red
• Integración perfecta con la seguridad de endpoint tradicional (AV, HPS, Firewall, HIPS)
• Gestión centralizada para mejorar visibilidad, monitoreo y acceso rápido a eventos y respuestas
automatizadas.
• Capacidades de caza y automatización que aceleren radicalmente la capacidad de detectar y eliminar
amenazas avanzadas
Conclusión
Ningún profesional de seguridad quiere reconocer que sus sistemas no pueden detener todos los ataques avanzados
actuales y futuros. Por desgracia, la realidad es que la velocidad a la que evolucionan las tácticas de amenazas deja a la
mayoría de las organizaciones con la necesidad de una importante actualización y modernización de sus defensas de
endpoint. Es prioritario hacer una nueva generación de endpoints más adaptados inteligentes, y EDR está en el centro
de todo este esfuerzo.
Sin seguridad de endpoint más rápida, más confiable y más eficiente, los profesionales de TI y de seguridad pasarán
más tiempo combatiendo incendios y persiguiendo a las siguientes novedades en amenazas avanzadas, a menudo
mucho después de que el daño ha sido hecho. EDR ayuda a reequilibrar la ecuación en favor de defensas integradas,
colaborativas y automatizadas que detectan y emprende acciones rápidamente para reducir la ventana de tiempo que
tienen las amenazas nuevas y emergentes para causar estragos. También ofrece una mayor información sobre el
comportamiento, orígenes y métodos que los atacantes están utilizando, de modo que los administradores puedan
aprovechar los detalles forenses para endurecer sus políticas y capacitar a los usuarios.
Intel Security siempre ha sido un líder en el mercado de seguridad de endpoint; sus soluciones están construidas
alrededor de los conceptos claves de integración, automatización y gestión centralizada. La compañía ofrece una amplia
gama de productos de seguridad de endpoint, incluyendo McAfee Endpoint Security 10 y McAfee Active Response.
McAfee Endpoint Security 10 aprovecha tecnologías que comunican y aprenden unas de las otras en tiempo real para
luchar contra las amenazas avanzadas y ofrecer conocimiento con análisis forenses de amenazas accionables. También
está construido con una estructura diseñada pensando en el futuro y es extensible, de modo que aún más de sus
soluciones de endpoint pueden gestionarse de forma centralizada a medida que crece su negocio.
McAfee Endpoint Security 10 incluye una conexión nativa tanto a la nube y como a la McAfee Web Gateway en las
instalaciones. Esto ayuda a los equipos de seguridad a cambiar de apagar incendios en su actividad de corrección
constante, a defensa contra amenazas estratégica, impidiendo que la inmensa mayoría de malware de día cero
conocido, pueda llegar a los sistemas de endpoint.
Uno de los elementos claves de McAfee Active Response, es su capacidad de integrarse a la perfección con antivirus,
gateway y sistemas de detección de intrusiones. Esto no sólo fortalece a las inversiones que ya realizaron las
organizaciones, sino que también facilita el intercambio de inteligencia de seguridad con base en la actividad en
diferentes ubicaciones de endpoint y conocimiento accionable proveniente del intercambio de inteligencia de amenazas
de la compañía.
Estas soluciones están gestionadas de forma centralizada por parte de McAfee ePolicy Orchestrator, una única de la
consola de gestión de solución unificada. Además, el grupo Foundstone Services de la organización lleva la respuesta a
incidentes y la protección de endpoint hacia un nuevo nivel, combinando la corrección con medidas preventivas
progresistas.
Para obtener más información sobre el abordaje de seguridad hacia endpoints inteligentes y EDR, vaya a
http://www.mcafee.com/us/products/active-response.aspx.
1. Gartner, Market Guide for Endpoint Detection and Response Solutions, 16 de diciembre
de 2015
2.Ibid
2821 Mission College Boulevard
Santa Clara, CA 95054
888 847 8766
www intelsecurity com
PG 3
Intel y el logotipo de Intel son marcas registradas de Intel Corporation en los Estados Unidos y/o en
otros países. McAfeey el logotipo de McAfee, son marcas comerciales registradas o marcas
comerciales de McAfee, Inc. o de sus subsidiarias en los EE. UU. y en otros países. Otras marcas
pueden ser reclamadas como propiedad de otros. Copyright © 2016 McAfee, Inc,
2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
Descargar