Endpoint Management

Endpoint Privilege Management: Una nueva generación de agentes 007

Al contrario de lo que la gente pueda pensar, los ciberataques no son (siempre) un intento masivo de hacerse con una infraestructura o deshabilitarla. Mientras que a menudo el DDoS se utiliza como señuelo, el verdadero ataque es mucho más sutil, más elaborado. Pongamos por ejemplo la película de James Bond: el tipo malo intenta infiltrarse en su organización de forma silenciosa, después identifica sus debilidades y trata de ganar poder de forma gradual para así consumar su malvado plan.

Al igual que en las películas de James Bond, las defensas amplias y externas no son suficientes y, normalmente, las medidas defensivas llegan demasiado tarde para frenar la infiltración. Esta situación es particularmente cierta en el caso de organizaciones y empresas fragmentadas que confían mucho en contratistas externos y empleados que trabajan de forma remota. Una vez que el enemigo encuentra la manera de penetrar en su infraestructura, toda la organización cae. Con un 69% de violaciones perpetradas por personas externas, como grupos delictivos o estados-naciones, se necesita a alguien resolutivo como el agente 007 para arreglar el problema.

Desarrollo de la protección de los endpoints

Sus terminales, como puestos de trabajo y servidores, constituyen los objetivos ideales para infiltrar un sistema. Si a esto le sumamos su traslado fuera de la red corporativa, estos endpoints dejan de beneficiarse de la protección perimetral y se vuelven incluso más vulnerables.

Anteriormente, las soluciones de antivirus se centraban en la identificación de firmas de malware y en mecanismos de lista blanca o lista negra. No obstante, este enfoque alcanzó rápidamente sus límites debido a que se apoyaba mucho en exploits conocidos. Por lo tanto, los sistemas acababan exponiéndose de forma repetida a días cero al mismo tiempo que surgían nuevas amenazas constantemente.

Mientras que los vectores de ataque evolucionaron y mutaron, los proveedores de software desarrollaron nuevas protecciones, los antivirus de última generación (NGAV), que se apoyan en una serie de herramientas:

Machine learning, habilitando la capacidad de detectar amenazas desconocidas y prevenir ataques no identificados.
La detección y respuesta de endpoints (EDR), que puede conectar eventos y detectar actividad sospechosa.

Sin embargo, estas tecnologías siguen centrándose en la identificación de amenazas en lugar de proteger el sistema desde el interior. Básicamente, reactividad en lugar de proactividad.

Proteger al sistema desde dentro

El Endpoint Privilege Management es una nueva generación de protección de ciberseguridad que se centra en proporcionar una defensa efectiva e «inmune» para sus endpoints. En lugar de tratar de identificar, bloquear y atacar en vano, frena todo aquello que no sea una parte natural del organismo.

Esto quiere decir que en su sistema tan tolo se pueden llevar a cabo aquellas acciones consideradas como legítimas.

Este nuevo enfoque resulta particularmente interesante para los endpoints expuestos a las redes externas, como los que utilizan los proveedores externos o empleados remotos que acceden a los recursos de su red. Este planteamiento asume que cualquier sistema puede ser infiltrado, pero implementa protecciones internas para que no pueda ser dañado aunque eso ocurra, incluso si está fuera de la red corporativa. La protección de los endpoints aplica el Principio del Menor Privilegio: sin derechos de administrador local, un intruso o malware no será capaz de adquirir los privilegios necesarios para ejecutar procesos y aplicaciones.

La implementación del Principio del Menor Privilegio también conlleva beneficios adicionales:

Elimina usuarios con demasiados privilegios en los endpoints para que el malware sea incapaz de dañar su sistema o robar datos críticos
Suprime todas las cuentas de administrador local para reforzar las defensas
Bloquea los CryptoAPI con el fin de que los sistemas no puedan ser secuestrados por un ransomware
Concede los derechos necesarios a los usuarios adecuados en el contexto apropiado

Esto es un buen primer paso, aunque este principio sigue centrándose en el «agente externo»: el usuario y sus privilegios. Mientras que, en teoría, esto es funcional, no es suficiente para defender completamente a los endpoints. Los sistemas deben ser capaces de protegerse a sí mismos frente a amenazas. Eso es por lo que las mejores soluciones llevan a EPM a otro nivel:

Los privilegios a nivel de proceso, no de usuario

Las soluciones EPM más fuertes e innovadoras han dejado de tratar privilegios a nivel de usuario, sino a nivel de proceso y aplicación.

Esto supone un cambio conceptual mayor para la seguridad: los sistemas locales ya no están protegidos frente a amenazas o usuarios. Para lograr un control y seguridad más profundos y personalizados, la defensa se despliega a nivel de aplicación o proceso.

Con más frecuencia de la que imaginamos, la gestión de aplicaciones se apoya en decisiones binarias como: los usuarios deben accederlas o no, autorizamos esta aplicación o tampoco, etc. El objetivo de estas normas es impedir que aplicaciones y procesos dañen el sistema, sin embargo, estas se implementan a costa de la productividad, ya que un usuario tiene que interrumpir a su equipo de TI para llevar a cabo cualquier descarga de software legítimo.

Cuando las aplicaciones están preaprobadas (o denegadas) y las acciones específicas dentro de estos procesos también lo están, la gestión de la seguridad de los endpoints se vuelve sencilla. Los procesos y aplicaciones tan solo se pueden ejecutar a través de un conjunto determinado de privilegios en un contexto específico. Teniendo en cuenta que los usuarios no pueden autoelevar sus privilegios y que se han eliminado las cuentas de administrador, ya no se pueden secuestrar procesos para llevar a cabo operaciones malignas.

Al proporcionar una protección granular a nivel de proceso se le permite al usuario mantener el acceso a todas las herramientas necesarias para lograr sus tareas de forma eficiente e independiente mientras se asegura que el software no puede dañar el sistema en caso de que un enemigo logre penetrar en él.

—

No siempre se puede llamar a Bond, James Bond para que nos solucione los problemas. Por ello es esencial implementar EPM, ya que permite a las organizaciones bloquear la raíz del peligro al que se enfrentan desde el interior: procesos y aplicaciones, en particular cuando los endpoints como los PC de los empleados están expuestos a amenazas externas. La implementación adecuada del Principio del Privilegio Mínimo ayuda a prevenir que los agentes infiltrados secuestren sus sistemas, simplemente por el hecho de que no podrán realizar ninguna actividad más allá de aquellas a las que pueden acceder sus empleados para llevar a cabo tareas específicas.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Endpoint Privilege Management: Una nueva generación de agentes 007

Desarrollo de la protección de los endpoints

Proteger al sistema desde dentro

Los privilegios a nivel de proceso, no de usuario

Por qué su organización necesita una solución PAM

IDaaS y el acceso: Que el portero no le eche a patadas

Blogs Associés

Ressources Associés

Productos

Soluciones

Recursos

Acerca