¿Cómo funciona?
Las amenazas entregadas en los extremos o endpoints security threats, por lo general se filtran en las empresas mediante:
- un dispositivo de usuario infectado introducido en la red de la empresa y el cual entrega malware que se puede propagar de forma lateral
- un dispositivo portátil infectado
- usuarios que son engañados para que descarguen e instalen software malintencionado, haciéndoles creer que se trata de software de antivirus, de limpieza de disco y otras utilidades
Los atacantes emplean estrategias como dejar una unidad USB infectada en el estacionamiento de la organización, con la esperanza de que algún empleado la recoja y la conecte al sistema de red. Sin embargo, esos ataques son muy costosos y mucho más arriesgados para los atacantes, particularmente si se encuentran en un lugar remoto y necesitan de un recurso humano capacitado que se halle en la localidad y que les ayude con el ataque.
La protección de endpoint se torna más complicada a medida que los usuarios conectan sus propios dispositivos a la red corporativa y más usuarios trabajan de forma remota. Las organizaciones tienen que aceptar que no todo el tráfico de los dispositivos de los usuarios pasará por los controles de seguridad corporativos, y que en muchos casos no se contará con el control de dispositivos que permita imponer una solución de seguridad de endpoint específica.
Los atacantes oportunistas y aquellos que intentan amenazas dirigidas en las organizaciones tienden a utilizar mensajes de ingeniería social enviados a las cuentas de correo electrónico de las empresas a fin de afectar los extremos de usuario.
Esa estrategia resulta rentable y fácil de ejecutar, dado que los atacantes pueden ejecutar el ataque de forma remota, lo cual permite ataques a varios usuarios y en distintas ocasiones.
El informe sobre brechas de datos de Verizon de 2013 explica que la ejecución de una campaña con solamente tres mensajes de phishing dirigido brinda al atacante más del 50 % de probabilidad de lograr que al menos un usuario haga clic y que se afecte su máquina; de modo que al enviar diez mensajes casi se garantiza que al menos un usuario hará clic y pondrá en peligro su dispositivo.
Una vez afectado, el endpoint puede divulgar una gran cantidad de información de la organización, junto con credenciales de acceso que son cruciales para los sistemas y los datos críticos. El riesgo de exposición aumenta aún más cuando el extremo afectado se conecta a la red y permite que los atacantes se propaguen de forma lateral por todos los extremos conectados a la red de una organización.
La protección endpoint más robusta consiste en un método de seguridad en capas, el cual incluya las soluciones de seguridad mejores de su clase en los extremos a fin de detectar comportamiento malintencionado, la comparación de firmas y otras soluciones que puedan inspeccionar el tráfico que entre y salga del dispositivo. Además, la detección y la protección contra amenazas entregadas por correo electrónico de forma anticipada en el ciclo de vida de la amenaza constituye una estrategia primordial para detener una gran cantidad de amenazas que ise filtran a través de los endpoints de las organizaciones.