Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sin embargo, la protección no es suficiente por sí sola. Cuatro de cada cinco empresas admiten tener escasez de conocimientos
de seguridad a nivel interno¹. Teniendo esto en cuenta, la usabilidad también es esencial si los equipos de TI sobrecargados han
de utilizar de forma óptima las funciones de la protección. También debe dar por sentado que las amenazas penetrarán en sus
defensas y preparar su empresa en consecuencia. Esto incluye tener una visibilidad completa de cómo han entrado las amenazas
en la empresa, dónde han estado, qué han tocado para poder neutralizar el ataque y cerrar cualquier brecha de seguridad.
Utilice esta guía para entender las tecnologías de protección disponibles y tomar una decisión informada sobre los productos de
protección para endpoints.
Ì Portables ejecutables (malware): cuando se considera una protección para endpoints, los programas
de software maliciosos (malware) suelen ser la principal preocupación. El malware incluye aplicaciones
maliciosas tanto conocidas como desconocidas. Con frecuencia, las soluciones tienen dificultades para
detectar el malware desconocido. Esto es importante, ya que SophosLabs detecta unas cuatrocientas mil
aplicaciones de malware desconocido todos los días. Las soluciones deberían detectar sin ninguna dificultad
los archivos empaquetados y polimórficos que se han modificado para dificultar su identificación.
Ì Aplicaciones no deseadas (PUA): las PUA son aplicaciones que técnicamente no se consideran malware, pero que muy
probablemente no queremos tener en nuestros ordenadores, como el adware. La detección de PUA se ha vuelto cada
vez más importante debido al auge de los programas de criptominería que se utilizan en los ataques de criptojacking.
Ì Ransomware: más de la mitad de las empresas se han visto afectadas por el ransomware en el último año, con un
coste medio de 133 000 USD². Los dos principales tipos de ransomware son los programas de cifrado de archivos
y los programas de cifrado de disco (wipers). Los programas de cifrado de archivos son los más comunes, que
cifran los archivos de la víctima y los secuestran para conseguir un rescate. Los programas de cifrado de disco
bloquean el disco duro entero de la víctima, no solo los archivos, o borran todos los datos que contiene.
Ì Ataques sin archivos y basados en exploits: no todos los ataques se sirven del malware. Los ataques basados en exploits
utilizan técnicas que se aprovechan de los errores y las vulnerabilidades del software a fin de obtener acceso al ordenador
y controlarlo. Los documentos armados con malware (normalmente un programa de Microsoft Office que se ha creado o
modificado para provocar daños) y los scripts maliciosos (código malicioso que se esconde con frecuencia en programas
y sitios web legítimos) son tipos habituales de técnicas usadas en estos ataques. Otros ejemplos incluyen ataques Man-in-
the-Browser (el uso de malware para infectar un navegador para permitir a los atacantes ver y manipular el tráfico) y tráfico
malicioso (el uso de tráfico web con fines malintencionados, como contactar con un servidor de comando y control).
Ì Técnicas de Active Adversary: muchos ataques contra endpoints implican numerosas fases y múltiples
técnicas. Entre las técnicas de Active Adversary se cuentan el aumento de privilegios (métodos utilizados
por los atacantes para obtener acceso adicional a un sistema), el robo de credenciales (robar nombres y
contraseñas de usuarios) y las cuevas de código (ocultar código malicioso en aplicaciones legítimas).
Marzo 2021 2
Guía para la adquisición de seguridad para endpoints
Funciones base:
Ì Antimalware/antivirus: detección basada en firmas de malware conocido. Los motores
de malware deben poder inspeccionar no solo los ejecutables, sino también otro
código como el JavaScript malicioso que se encuentra en los sitios web.
Ì Protección web: búsqueda de direcciones URL y bloqueo de sitios web maliciosos. Los sitios
bloqueados deben incluir los que puedan ejecutar JavaScript para la criptominería, además de
aquellos que recopilen credenciales de autenticación de usuarios y otros datos confidenciales.
Ì Prevención de pérdidas de datos (DLP): si un adversario consigue pasar desapercibido, las funciones de
DLP pueden detectar y evitar la última fase de algunos ataques, es decir, cuando el atacante intenta exfiltrar
los datos. Esto se logra mediante la monitorización de una serie de tipos de datos confidenciales.
Funciones modernas:
Ì Machine Learning: existen diversos tipos de métodos de Machine Learning, como las redes neuronales de
Deep Learning, bosques aleatorios, análisis bayesianos y agrupación en clústeres. Independientemente
de la metodología, los motores de detección de malware con Machine Learning deben diseñarse para
detectar malware tanto conocido como desconocido sin depender de firmas. La ventajas del Machine
Learning es que puede detectar malware nunca antes visto, lo que incrementa de forma óptima la tasa
general de detección de malware. Las organizaciones deben evaluar la tasa de detección, el índice de
falsos positivos y el impacto sobre el rendimiento de las soluciones basadas en Machine Learning.
Ì Antiexploits: la tecnología antiexploits está diseñada para repeler a los atacantes bloqueando las
herramientas y las técnicas de las que dependen en la cadena de ataque. Por ejemplo, exploits como el
EternalBlue y el DoublePulsar se utilizaron para ejecutar el ransomware NotPetya y WannaCry. La tecnología
antiexploits detiene el conjunto relativamente pequeño de técnicas utilizadas para propagar el malware
y perpetrar ataques, lo que rechaza muchos ataques de día cero sin haberlos visto previamente.
Ì Protección contra robos de credenciales: tecnología diseñada para evitar el robo de contraseñas
de autenticación e información de hash de la memoria, el registro y el disco duro.
Marzo 2021 3
Guía para la adquisición de seguridad para endpoints
Ì Detección y respuesta para endpoints (EDR): las soluciones de EDR deben tener la capacidad
de proporcionar información detallada al detectar amenazas esquivas, mantener la higiene de las
operaciones de seguridad TI en excelente estado y analizar los incidentes detectados. Es importante
que el tamaño y las habilidades de su equipo se equiparen con la complejidad y la facilidad de uso de
la herramienta que esté considerando. Por ejemplo, seleccionar una solución que ofrezca información
detallada sobre las amenazas y orientación para poder responder a ellas de forma rápida y sencilla.
Ì Detección y respuesta ampliadas (XDR): la XDR va más allá del endpoint y el servidor e incorpora
otras fuentes de datos, como el firewall, el correo electrónico, la nube y los dispositivos móviles.
Está diseñada para dar a las empresas una visión holística de la totalidad de su entorno, con
la capacidad de profundizar en detalles granulares en caso necesario. Toda esta información
debe correlacionarse en una ubicación centralizada, normalmente conocida como lago de
datos, en que el usuario puede preguntar y responder preguntas críticas para el negocio.
Cuando esté evaluando productos seguridad para endpoints, pregunte a distintos proveedores qué técnicas se
incluyen en su solución. ¿Qué efectividad ofrece cada uno de sus componentes? ¿Qué amenazas está diseñada
para detener? ¿Depende de una única técnica principal? ¿Y si falla?
Marzo 2021 4
Guía para la adquisición de seguridad para endpoints
Avast Business Antivirus, Avira Antivirus Pro, Symantec Endpoint Protection y Trend Micro Security suspendieron la
prueba. Lea el informe completo aquí.
Marzo 2021 5
Guía para la adquisición de seguridad para endpoints
100% 100%
50% 50%
ACCURACY / FP
ACCURACY / FP
ACCURACY / FP
ACCURACY / FP
ACCURACY / FP
ACCURACY / FP
MALWARE
MALWARE
MALWARE
MALWARE
MALWARE
MALWARE
PUA
PUA
PUA
PUA
PUA
PUA
0% 0%
0.81 0.00 0.05 4.05 1.42 0.03 1.62 48.94 0.06 12.96 50.35 0.01 14.98 47.52 0.14 12.55 68.79 1.61
0.00 4.96 25.91 1.42 0.81 0.71 4.05 15.60 2.43 26.95 12.96 14.89
99.19 95.04 99.95 69.23 83.69 99.97 97.57 50.35 99.94 83.00 34.04 99.99 82.59 25.53 99.86 74.49 16.31 98.39
Marzo 2021 6
Guía para la adquisición de seguridad para endpoints
35 35
30 30
25 25
20 20
15 15
10 10
5 5
0 0
1 12 16 16 19 21 22 23 24
1 2 2 1 2 1 2 3
34 19 17 17 15 12 12 10 8
Marzo 2021 7
Guía para la adquisición de seguridad para endpoints
Marzo 2021 8
Guía para la adquisición de seguridad para endpoints
Reseña de SC Magazine:
SC Magazine concedió a Intercept X la calificación máxima y lo describió así:
"... una notable solución de seguridad para endpoints fácil de instalar que añade experiencia al proporcionar
información contextual detallada sin aumentar la plantilla de seguridad".
Marzo 2021 9
Guía para la adquisición de seguridad para endpoints
AV-Comparatives
Intercept X hizo su primera aparición pública en la prueba de seguridad para empresas de AV-Comparatives y
obtuvo la primera posición en detección de malware. Conseguimos una tasa de detección del 99,7 % con solo una
falsa alarma en la prueba en "condiciones reales" y una detección del 99,9 % y ninguna falsa alarma en la prueba
de "malware".
FALSAS ALARMAS EN
ÍNDICE DE PROTECCIÓN ANTIMALWARE SOFTWARE EMPRESARIAL COMÚN
Avast, Bitdefender, Panda, Sophos, SparkCognition 99,9% 0
Cisco, Symantec, Trend Micro 99,8% 0
K7, McAfee 99,7% 0
Seqrite 99,6% 0
FireEye, Microsoft 99,5% 0
CrowdStrike, Endgame, VIPRE 99,2% 0
Kaspersky Lab 99,0% 0
Fortinet 98,9% 0
ESET 99,5% 0
PC Magazine
PC Magazine afirmó que Intercept X es "una excelente solución de defensa
contra el malware para empresas de todos los tamaños". Destacó además que
proporciona una "excelente funcionalidad antiexploits y de detección", una
"detección y respuesta para endpoints (EDR) totalmente integrada" y un "buen
control de políticas".
Fuente: https://uk.pcmag.com/software/121154/sophos-intercept-x-endpoint-protection
AV-Test (Mac)
Sophos obtuvo un 6/6 en protección, un 6/6 en rendimiento y un 6/6 en
usabilidad.
Fuente: https://www.av-test.org/en/antivirus/business-macos/macos-catalina/june-2020/sophos-
endpoint-9.9-202105/
Marzo 2021 10
Guía para la adquisición de seguridad para endpoints
AV-Comparatives
Ì N.º 1 en protección contra malware (detección del 99,9 %, ninguna falsa alarma)
MRG Effitas
Ì N.º 1 en protección contra malware
PC Magazine
Ì Premio del editor
AV-Test
Ì AV-Test (macOS): máxima puntuación
Gartner
Ì Líder: Cuadrante mágico de plataformas de protección de endpoints de 2020
Forrester
Ì Líder: 2019 Endpoint Security Wave
IDC
Ì Líder: 2019-2020 Enterprise Mobility Management Marketscape
Marzo 2021 11
Guía para la adquisición de seguridad para endpoints
Lo ideal es que un solo proveedor proporcione soluciones que, de forma conjunta, le ofrezcan una protección uniforme y la
imposición de políticas en toda su organización. Trabajar con un solo proveedor puede proporcionar una seguridad mejor y
reducir la administración y los costes.
Algunas tecnologías específicas que tener en cuenta junto con la protección para endpoints incluyen el cifrado completo
de discos, la gestión de dispositivos móviles, la seguridad móvil, una puerta segura de enlace de correo electrónico,
protección especializada para equipos virtuales o servidores y Seguridad Sincronizada entre dispositivos endpoint
y de red.
Haga preguntas detalladas sobre la búsqueda de amenazas y las operaciones de seguridad TI como:
Ì Amplíe las investigaciones hasta 30 días sin tener que volver a conectar el dispositivo
Ì Utilice detecciones ATP e IPS desde el firewall para investigar hosts y dispositivos sospechosos
Ì Compare la información de encabezado del correo electrónico con otros indicadores de peligro
Ì Revise los últimos 30 días para identificar actividad inusual en un dispositivo extraviado o destruido
Marzo 2021 12
Guía para la adquisición de seguridad para endpoints
Ì Consultas SQL ya escritas avanzadas para obtener los detalles que necesita
Ì Análisis de malware con Deep Learning para replicar el rol de los analistas de malware
Ì Informes de actividades
Nota: el equipo de MTR tendrá la capacidad de utilizar los datos y la funcionalidad XDR para los clientes de MTR Advanced. Sin embargo, los clientes de MTR quedarán
limitados a la funcionalidad EDR en su consola de Sophos Central a menos que compren una licencia XDR.
Marzo 2021 13
Guía para la adquisición de seguridad para endpoints
1. ¿
El producto se sirve de técnicas base, técnicas modernas o una combinación de ambas? ¿Qué funciones
específicas son fundamentales en la tecnología?
3. P
ara los productos en que se dice que se utiliza el Machine Learning, ¿qué tipo de Machine Learning se emplea?
¿De dónde proceden los datos de formación? ¿Cuánto tiempo ha estado en producción el modelo?
4. ¿
Qué tecnología existe para evitar los ataques sin archivos y basados en exploits? ¿Qué técnicas antiexploits se
utilizan y qué tipos de ataques pueden detectar?
7. ¿
Puede el producto hacer preguntas detalladas sobre la búsqueda de amenazas y las operaciones de seguridad
TI? ¿Cuál es el periodo de retención de datos para búsquedas?
8. ¿Qué visibilidad sobre los ataques ofrece el proveedor, como el análisis de causa raíz?
9. ¿
Responde el producto automáticamente a las amenazas? ¿Puede limpiar una amenaza y responder a un
incidente automáticamente?
10. ¿Tiene el producto la capacidad de permitirle acceder a los dispositivos de forma remota para realizar más
investigaciones y tomar las medidas necesarias?
Conclusión
A medida que crecen las ciberamenazas tanto en complejidad como en cantidad, es más importante que nunca
tener implementada una protección efectiva en el endpoint. Entender las amenazas que necesita bloquear y las
distintas tecnologías de seguridad disponibles le permitirá tomar una decisión informada en cuanto a los productos
de seguridad para endpoints, y brindará a su organización una protección óptima contra los ataques de hoy día.
Fuente:
1 Siete verdades incómodas de la seguridad para endpoints, marzo de 2019. Una encuesta independiente a 3100 directores de TI en 12 países encargada por Sophos
2 Encuesta sobre el estado de la seguridad para endpoints de 2018
3 Evaluación comparativa de protección contra malware de MRG Effitas, febrero de 2018
Cuadrante mágico de Gartner de plataformas de protección de endpoints, Ian McShane, Eric Ouellet, Avivah Litan, Prateek Bhajanka, 24 de enero de 2018. Gartner no apoya a ninguna compañía,
producto o servicio mencionado en los estudios publicados y no aconseja a los usuarios de tecnologías que elijan solamente a los proveedores con las clasificaciones más altas. Los estudios
publicados por Gartner están compuestos por las opiniones de su equipo de investigaciones y no deben considerarse declaraciones de hecho. Gartner renuncia a todas las responsabilidades,
explícitas o implícitas, con respecto a este estudio, incluida cualquier garantía de comercialización o conveniencia para fines particulares.
The Forrester Wave™: Endpoint Security Suites, 3T 2019, por Chris Sherman con Stephanie Balaouras, Merritt Maxim, Matthew Flug y Peggy Dostie; 23 de septiembre de 2019
21-03-2021 ES (MP)