Blog de WatchGuard

¿Por qué es necesaria una evaluación de riesgos de ciberseguridad?

El panorama de ciberseguridad se encuentra en constante evolución. Los delincuentes se mantienen en la continua búsqueda de nuevas formas para comprometer los sistemas de las empresas y, para ello, buscan fallos en su seguridad. Estas debilidades suelen deberse a la dificultad que encuentran los profesionales de TI para visualizar el estado de salud de su ecosistema y determinar si alguno de los equipos dentro de su red presenta vulnerabilidades que requieren la aplicación de parches críticos, no están protegidos correctamente, si tienen una configuración de seguridad débil o insuficiente o si existen comportamientos inadecuados o extraños dentro de los sistemas que puedan ser un reflejo de ataques complejos.

La existencia de soluciones incompletas o no integradas obliga a las compañías a adoptar múltiples productos dispares con características y funcionalidades que se solapan. Esto genera un entramado de tecnologías desarticuladas y duplicadas que presentan retos de integración y limitan el acceso a la inteligencia compartida, además de provocar dificultades a la hora de crear un entorno personalizado. El verdadero inconveniente es que una infraestructura de este tipo con soluciones de seguridad incompatibles puede dejar agujeros que los atacantes pueden aprovechar.

Según datos de Ponemon Institute, el 68% de las organizaciones han experimentado uno o más ataques a sus endpoint comprometiendo con éxito los datos y/o su infraestructura de TI. En paralelo, estas intromisiones causan daños a la reputación empresarial además de tener que afrontar las multas impuestas por las autoridades al entender que una empresa que ha sufrido una brecha no ha sido capaz de adoptar las medidas de seguridad necesarias. Normalmente este tipo de sanciones económicas se imponen debido a escasas medidas de prevención y seguridad, incapacidad para identificar el origen del ataque, posibles consecuencias y datos confidenciales exfiltrados.

¿Cuáles son los principales problemas al asegurar los endpoints?

  • No mantenerse al día con los parches: según datos expuestos en Venture Beat el 71% de los profesionales de seguridad y gestión de riesgos considera que la aplicación de parches es muy complicada y requiere mucho tiempo. Debido a esto, el 62% deja esta tarea para más tarde y luego resulta sustituida por otros proyectos. Durante el primer trimestre de 2022 se produjo un incremento de 7,6% en el número de vulnerabilidades asociadas al ransomware, en comparación con el final de 2021 y, a nivel mundial, las vulnerabilidades vinculadas al ransomware han pasado de 57 a 310 en un plazo de dos años.
  • Desconfiguración de la seguridad: para que un sistema esté verdaderamente protegido los ajustes de las soluciones deben estar configurados y activados de la manera correcta. Ejecutar un software obsoleto, mantener las claves y contraseñas por defecto o ejecutar servicios o funciones innecesarias puede dar ventaja a los cibercriminales. Venture Beat también explica que la mayoría de los endpoints tiene una media de 11,7 controles de seguridad instalados, de los cuales cada uno decae a ritmos diferentes. Además, el 52% de los endpoints tienen tres o más clientes de gestión instalados. Esto, genera múltiples superficies de ataque.
  • Dejar endpoints accidentalmente desprotegidos: la seguridad de una empresa es tan fuerte como su eslabón más débil. Hace falta un único dispositivo comprometido para que un ciberdelincuente sea capaz de comprometer la seguridad de una organización completa. Una encuesta realizada por Dark Reading determinó que, a pesar de que el 36% de las compañías cuentan con controles de seguridad en los endpoints, son muy pocas las que tienen visibilidad y control completo de todos los dispositivos e identidades. De modo que, los departamentos de TI no logran identificar la ubicación o el estado de hasta el 40% de sus endpoints en un momento dado.
  • Falta de visibilidad de los indicadores de ataque (IoAs):  en los ataques "living-off-the-land" (LotL), los ciberdelincuentes utilizan software legítimo o herramientas disponibles en el sistema de la víctima, los conocidos como fileless malware, para realizar acciones maliciosas. Para detectar este tipo de ataque es necesaria una solución de seguridad avanzada que sea capaz de realizar análisis de comportamientos anómalos y la detección de IoAs para detenerlos.

La evaluación de riesgos: la función que garantiza la seguridad total de los endpoints

Está claro que no es suficiente aplicar diferentes soluciones de seguridad para mantener los endpoints de una empresa completamente protegidos. Si no se tiene visibilidad de los posibles agujeros que las propias soluciones pueden estar generando, debido a una mala configuración o a un parche crítico no aplicado, un atacante podría llevar a cabo sus planes de forma exitosa.

Los administradores de seguridad necesitan entender su postura de riesgo ante las ciberamenazas y, en el caso de los MSP, entender la postura de riesgo de sus clientes para reforzar los controles de las soluciones de seguridad y así prevenir y reducir al máximo las posibilidades de una infección e interrupción del negocio. Para ello, pueden apoyarse en funcionalidades como la Monitorización de Riesgos en el Endpoint de WatchGuard que permite reforzar la seguridad gracias identificación y control de las vulnerabilidades y debilidades de configuración que presentan los dispositivos donde se han implementado las soluciones de WatchGuard Endpoint Security.

Muchos de los ataques que se han llevado a cabo debido a configuraciones deficientes podrían haberse evitado con la realización de una monitorización previa, ya que el administrador habría ganado la visibilidad necesaria sobre el estado de su seguridad, permitiéndole corregir las debilidades de mayor urgencia. Esta funcionalidad permite mitigar esas debilidades y reducir de forma drástica el número de infecciones ocasionadas por una mala configuración de seguridad o por la falta de aplicación de parches críticos, a través de una evaluación que determina los puntos débiles y los categoriza automáticamente según su nivel de urgencia.

Asimismo, con el uso de esta función es posible obtener un control de los riesgos en tiempo real y el estado de la salud general del dispositivo. Además, los informes proveen información general del estado de los riesgos para obtener visibilidad de los puntos expuestos y tomar las decisiones necesarias antes de que sea demasiado tarde.  Es evidente que la monitorización de riesgos resulta extremadamente útil y debería ser adoptada por los equipos de TI y MSP que quieran asegurarse de blindar por completo su perímetro de seguridad.