¿Por qué resulta fundamental implementar una solución EDR en los negocios?
05/02/2024En la última década, hemos presenciado un drástico “paso cuántico” en los métodos de ciberamenazas los cuales son cada vez más complejos. Por ello, ya no resulta eficiente contar solamente con un antivirus y firewall, pues se requiere de otras soluciones complementarias capaces de detectar y responder a tiempo contra estas amenazas cibernéticas. Es aquí donde irrumpen los sistemas de protección EDR los cuales tienen la capacidad de detectar y actuar a tiempo cuando surge alguna ciber incidencia que amenace la integridad de la organización. Analicemos a continuación este interesante y útil tema. ¿Cuál es la solución EDR y cómo funciona? Las herramientas de detección y respuesta de terminales (EDR por sus siglas en inglés) tienen como objetivo fundamental supervisar y detectar amenazas potenciales en tiempo real a fin de aplicar una respuesta eficaz ante esa incidencia. Si bien su uso se puede aplicar a cualquier sistema y dispositivo informático, estas soluciones se utilizan comúnmente en estaciones de trabajo y servidores. Su funcionamiento básicamente consiste en: Se recopilan anónimamente los datos generados, programas ejecutados e inicios de sesión de los ordenadores protegidos. Toda esta información se envía a una plataforma central. Usualmente, esta plataforma es una nube, aunque dependiendo de la empresa y sus requerimientos, la misma puede estar de forma local e interna o en una nube mixta. Los datos se analizan y se procesan empleando funcionalidades basadas en IA y se comparan las actividades con ejemplos de ataques a fin de detectar posibles amenazas Si se detecta una posible amenaza, el sistema identifica el o los ordenadores posiblemente afectados y notifica a los equipos de seguridad informática. También y dependiendo de la configuración, estos sistemas pueden actuar de manera automatizada para efectuar la acción requerida. Generalmente, el sistema EDR aísla estos dispositivos de la red a fin de evitar propagaciones. Estos datos y la acción efectuada se almacenan como ejemplos de ataques a fin actuar rápidamente si hay una reincidencia de amenaza de seguridad usando esa misma táctica ¿Por qué utilizar una solución de seguridad EDR? Detección y respuesta a amenazas en tiempo real Las soluciones EDR continuamente monitorean y detectan amenazas en tiempo real en todos los dispositivos finales a los que se le asignan. Al recopilar y analizar datos de los dispositivos finales, las soluciones EDR pueden identificar indicadores de compromiso (IOC), comportamiento anómalo y patrones de ataque conocidos. De esta manera, no solo notifica a los equipos de seguridad o aplica la corrección de manera automatizada, sino que además, aprende estos comportamientos. Un estudio realizado por el Instituto Ponemon encontró que las organizaciones que implementaron soluciones EDR experimentaron una reducción del 51 % en el tiempo necesario para detectar y responder a incidentes de seguridad. Esto no solo reduce el daño potencial causado por los ataques, sino que también mejora las capacidades generales de respuesta a incidentes de las organizaciones. Visibilidad de endpoints y análisis forense La visibilidad de los terminales es vital para comprender la postura de seguridad de los dispositivos de una organización. Las soluciones EDR brindan visibilidad detallada de las actividades de los terminales, incluidas modificaciones de archivos, conexiones de red y ejecuciones de procesos. Esta visibilidad permite a los equipos de seguridad investigar incidentes, llevar a cabo análisis forenses e identificar la causa raíz de las incidencias. Por ejemplo, en un ciberataque a una institución financiera, una solución EDR puede detectar conexiones de red sospechosas que se realizan desde una computadora portátil de un empleado. Con ello, el equipo de seguridad puede investigar rápidamente el incidente, identificar la presencia de malware y bloquear el acceso adicional a datos confidenciales. Sin un EDR, un ataque de este tipo suele pasar desapercibido, lo que provoca importantes daños financieros y de reputación. Caza de amenazas desconocidas Las soluciones EDR no solamente detectan amenazas conocidas, sino que también permiten la búsqueda proactiva de amenazas desconocidas. Los equipos de seguridad pueden utilizar herramientas EDR para buscar indicadores de compromiso, hacer investigaciones en profundidad e identificar amenazas potenciales, las cuales pueden haber evadido los controles de seguridad tradicionales. Al contar con funcionalidades basadas en IA sobre amenazas y el análisis de comportamiento, las soluciones EDR pueden identificar amenazas emergentes. Según una encuesta del Instituto SANS, las organizaciones que utilizan soluciones EDR informaron de una mejora en torno al 63 % en su capacidad para detectar amenazas previamente desconocidas. Esto resalta la importancia del EDR para mejorar las capacidades generales de detección de amenazas de una organización. Respuesta y arreglos automatizados Las soluciones EDR ofrecen capacidades de respuesta y solución automatizadas, lo que permite a los equipos de seguridad contener y mitigar rápidamente las amenazas. Al definir acciones de respuesta preconfiguradas, como aislar un punto final infectado o finalizar procesos maliciosos, las soluciones EDR pueden minimizar el tiempo y el esfuerzo necesarios para responder a los incidentes. Por ejemplo, si una solución EDR detecta un ataque de ransomware, puede aislar automáticamente el punto final afectado de la red, evitando la propagación de la infección a otros dispositivos. Esta rápida respuesta reduce el impacto potencial del ataque, limitando la pérdida de datos y minimizando el tiempo de inactividad. Reduciendo las situaciones de falsos positivos Contextualizar las alertas Proporcionar contexto adicional a las alertas puede ayudar a los equipos de seguridad a comprender mejor la naturaleza y la gravedad de cada alerta. Las soluciones EDR se pueden configurar para incluir información relevante, como el punto final afectado, el usuario, el proceso y las conexiones de red. Este contexto permite a los analistas priorizar e investigar las alertas de manera más eficiente, reduciendo los falsos positivos y mejorando la respuesta a incidentes. Incorporar inteligencia sobre amenazas La integración de fuentes de inteligencia sobre amenazas en las soluciones EDR mejora su capacidad para identificar y priorizar amenazas reales. Al aprovechar información actualizada sobre indicadores maliciosos conocidos, las organizaciones pueden reducir los falsos positivos y centrar sus esfuerzos en detectar y responder a amenazas genuinas. Implementar análisis del comportamiento del usuario El análisis del comportamiento del usuario (UBA) puede ayudar a diferenciar entre las actividades normales del usuario y el comportamiento sospechoso. Al establecer patrones básicos de comportamiento de los usuarios, las organizaciones pueden identificar anomalías y amenazas potenciales con mayor precisión. UBA también se puede utilizar para detectar amenazas internas e incidentes de compromiso de cuentas, mejorando aún más la eficacia de las soluciones EDR.
[ ... ]
¿Qué es un Hosting web y para qué sirve?
09/09/2021Si estás pensando en iniciar tu propia página web o si, por el contrario, ya cuentas con una, pero estás pensando en buscar un alojamiento más potente, seguramente tengas muchas incertezas con relación al hosting web: qué es, qué tipos existen, para qué sirve, etc. Por ello, a continuación, ofrecemos una pequeña guía de iniciación al hosting web, explicada de una forma clara y sencilla. Qué es el hosting web Un hosting es un servicio de alojamiento para sitios web. De esta manera, el hosting web se encarga de alojar los contenidos de las webs y el correo electrónico, de forma que estos puedan consultados en todo momento y desde cualquier lugar y dispositivo. Los contenidos de las webs se almacenan, por lo tanto, en servidores web que permiten que sus contenidos puedan ser visitados a través de internet. Para todos aquellos que desconozcan el término, un servidor web es un equipo informático mucho más potente que cualquier ordenador convencional y que, además, está conectado a internet las 24 horas del día para posibilitar el acceso a los contenidos que almacena. A partir del servidor web se ofrecen diferentes tipos de hosting: hosting compartido, VPS, cloud, hosting WordPress, hosting elástico, etc. Estos servicios son ofrecidos por empresas de hosting como Webempresa, que cuentan con servidores en los que alojar páginas webs. Para qué sirve el hosting web El hosting web permite que tu página web esté siempre online y disponible en todo el mundo y para todo el mundo. Por ello, aunque puedas permitirte comprar tu propio servidor y contar con una conexión a internet muy potente, lo más aconsejable es contratar un servicio de hosting web, ya que resultará mucho menos costoso. Las empresas de hosting disponen de sus propios servidores para almacenar las páginas webs de sus clientes. Estos servidores están localizados en un Centro de Procesamiento de Datos (CPD): una infraestructura que dispone de los sistemas de seguridad más avanzados y de conexiones a internet permanentes y seguras, que evitan que se produzcan fallos o errores en los servicios. Qué tipos de hosting existen Aunque en el mercado existen diferentes tipos de hosting webs, los más comunes son los siguientes: hosting compartido, servidor dedicado, VPS (Servidor Privado Virtual), cloud hosting, hosting reseller y hosting wordpress. Cada uno de ellos aporta una respuesta diferenciada a las necesidades de los clientes. El hosting compartido es un tipo de alojamiento donde el proveedor alquila pequeños espacios a diferentes sitios webs localizados dentro de un mismo servidor. De esta forma, todos los clientes cuentan con un espacio propio para alojar su contenido, al tiempo que comparten recursos del servidor como el CPU, el procesador, la memoria RAM, el ancho de banda o la dirección IP, por ejemplo. Por el contrario, un servidor dedicado es aquel cuyo uso exclusivo es de un solo cliente, por lo que este no comparte recursos con otras empresas, es decir, utiliza él solo un servidor entero. Aunque el hosting compartido funciona muy bien, dos de las ventajas de utilizar un hosting dedicado es que este nunca se verá afectado por el tráfico existente y además cuenta con un mayor nivel de seguridad. Un Servidor Privado Virtual (SPV), conocido en inglés como Virtual Private Server, es un servicio de almacenamiento web caracterizado por un servidor físico divido en particiones virtuales independientes capaces de trabajar con su propio sistema operativo y sin compartir recursos con otros VPS. En este caso, las prestaciones que ofrece un servidor privado virtual son muy similares a las del hosting compartido, pero ofrece al mismo tiempo todos los beneficios de un servidor dedicado. Los sistemas de hosting web conocidos como clouds tienen un funcionamiento muy similar a la “nube” donde guardamos todo tipo de documentos. En este sentido, el almacenamiento web bautizado con este nombre funciona de una forma muy semejante, puesto que todos los recursos que se utilizan para acopiar la información de un sitio web son ejecutados desde una nube. La principal diferencia del clud hosting con respecto a otros modelos de hosting es que en este caso solo se pagan aquellos servicios que se utilizan. Además de los anteriores, también existe el reseller hosting que consiste básicamente en la reventa del servicio de almacenamiento web. De este modo, una persona adquiere el servicio de alojamiento con un proveedor y a la vez tiene clientes que le pagan por un hosting, incluido dentro de los servicios contratados. Esto permite crear dominios externos o subdominios, además de crear planes de hosting. Finalmente, dentro de los modelos de hosting podemos encontrar el email hosting, que permite registrar un nombre de dominio y disponer, por lo tanto, de un servicio profesional de correo. Esta fórmula de hosting es muy recomendable cuando a nivel empresarial se busca transmitir una imagen de seriedad y confianza. De este modo, a través del email hosting se puede contar con una dirección de correo personalizada, disponer de un mayor espacio de almacenamiento y tener garantizado un mayor nivel de seguridad.
[ ... ]
Detectada una vulnerabilidad en el formato NTFS de Windows 10
21/01/2021Microsoft investigará el problema de seguridad reportado esta semana por un analista en Seguridad y que advierte de una vulnerabilidad en el sistema de archivos NTFS de Windows 10 , capaz de corromper un disco con un simple archivo creado por un comando de una sola línea. El archivo en cuestión se esconde, según el caso, dentro de un zip, de un acceso directo un HTML u otros formatos y para corromper el disco, solo requiere que el usuario acceda donde se encuentra alojado para actuar. Ni tan siquiera es necesario abrir el archivo, sino que con solo revisando la carpeta en la que se encuentra, el bug se ejecuta. Cuando el disco falla, Windows 10 genera errores en el Registro de eventos informando que la Tabla Maestra de Archivos (MFT) contiene un registro dañado. Entonces se inician mensajes advirtiendo al usuario que los datos del disco se han dañado y Windows solicita ser reiniciado para repararse. Según el contenido del reporte advirtiendo del problema de seguridad, el comando malicioso que incluye la cadena $i30 relacionada con el índice de atributos de NTFS en Windows, puede ser ejecutado de forma remota. Tampoco requiere que el usuario que lo active disponga de algún tipo concreto de privilegios. Esta vulnerabilidad estaría presente desde Windows 10 1803 (abril 2018) hasta la versión más reciente del sistema.
[ ... ]