Las herramientas de seguridad de Microsoft no son solo para las plataformas de Microsoft, porque los atacantes no solo persiguen a Windows.
“En los últimos años, hemos visto evolucionar el panorama de amenazas en el que los atacantes y los ciberdelincuentes apuntan a todas las plataformas por igual”, dijo a TechRepublic Tanmay Ganacharya, socio director de investigación de seguridad de Microsoft. “Hemos visto un aumento significativo en la detección y notificación de vulnerabilidades para plataformas que no son de Windows, y también en las campañas de malware y amenazas en general”.
Como sistema operativo de escritorio dominante, Windows solía ser el objetivo más popular para los atacantes, pero el Estadísticas MITRE para CVE muestran que el número de vulnerabilidades encontradas en otras plataformas aumenta rápidamente.
“A medida que la protección de Windows ha mejorado cada vez más en los últimos años, la fruta al alcance de la mano ahora no apunta a los puntos finales de Windows, sino a algunos de estos otros puntos finales que la gente asume que son seguros”, dijo Ganacharya.
VER: Política de seguridad de dispositivos móviles (TechRepublic Premium)
Las políticas BYOD han hecho que las redes empresariales sean más diversas, y es probable que los dispositivos que solían estar conectados solo a redes corporativas ahora también estén en Internet. Los atacantes también han cambiado de modo que, además de intentar comprometer los dispositivos de punto final, también se dirigen a las credenciales e identidades.
“Sí, puedes ingresar, pero ¿no es mejor, para un atacante de todos modos, si solo pueden iniciar sesión?” dijo Ganacharya. «Las identidades pueden ser robadas en cualquiera de los dispositivos en los que los empleados de una red determinada inician sesión».
Importancia de un enfoque de extremo a extremo para la seguridad
Detectar y prevenir ataques en puntos finales es solo una parte de la protección de su red y los recursos que conecta, y no siempre podrá detectar todo a tiempo. Necesita un enfoque de extremo a extremo.
“Tiene que pensar en todo lo que ejecuta software o código en su red mientras realiza el modelado de amenazas para su red, y luego tener un plan en marcha”, dijo Ganacharya. “¿Cómo van a identificar estos dispositivos? ¿Cómo los vas a asegurar? ¿Cómo maneja las alertas que provienen de todo tipo de dispositivos? ¿Tiene libros de jugadas para responder a esas alertas por igual en todos esos dispositivos? ¿Cómo va a rastrear o responder cuando aparezcan alertas en caso de que las amenazas no se prevengan sino que se detecten?
Comenzando con puntos finales
Si bien es importante no confiar solo en los puntos finales, aún debe comenzar con ellos. Esto es especialmente cierto en el caso de los endpoints que no está protegiendo actualmente, por lo que Microsoft planea tener un paquete de seguridad completo para cada plataforma, que abarque la administración de vulnerabilidades, la reducción de la superficie de ataque, la prevención, detección y reparación de amenazas, así como el software a pedido de Microsoft. Servicios de Defender Experts, dijo Ganacharya a TechRepublic.
“La investigación de amenazas, la inteligencia de amenazas, el contenido de detección y remediación que construimos puede escalar en todas las plataformas”, dijo. “Lo aplicamos en diferentes etapas de hacia dónde se dirigen los ataques para que podamos detener el ataque independientemente del dispositivo en el que se encuentre el cliente”.
Para los endpoints, Microsoft se está enfocando actualmente en Linux, Mac, Android e iOS, comenzando con antimalware y detección y respuesta de endpoints. Más recientemente, Defender for Endpoint agregó nuevas funciones para Mac y Linux, centrándose en la reducción de la superficie expuesta a ataques, la protección web y la protección de la red.
Esas prioridades corresponden a las amenazas que Microsoft ve en cada plataforma, así como lo que puede hacer en un teléfono, servidor o dispositivo portátil con las capacidades del sistema operativo disponibles.
“Cada plataforma trae su propio panorama de amenazas interesante dependiendo de cómo se aproveche, y cada plataforma tiene sus propias limitaciones en términos de lo que puede hacer una solución antimalware o similar a EDR en esas plataformas”, dijo Ganacharya.
Parte de esto también se reducirá a las políticas en lugar de a la tecnología, señala.
“Algunos dispositivos presentan desafíos adicionales, como los teléfonos: ¿cuánto los rastrea cuando las personas aprovechan sus teléfonos personales para iniciar sesión en el correo electrónico y los equipos?”
Protege y detecta con Microsoft Defender
La protección web cubre las cosas que suceden completamente en el navegador: proporciona una puntuación de reputación para los sitios web, bloquea los sitios conocidos por phishing, malware, exploits o problemas específicos que le preocupan, y rastrea dónde ingresan los usuarios sus credenciales corporativas en caso de que estén expuestos y hay que cambiar.
“También puede permitirle a usted, como empresa, filtrar contenido y decir: ‘Oye, estas categorías de sitios web están permitidas en mis dispositivos de red, este tipo de categorías no están permitidas en mi red’”, dijo Ganacharya.
Con Microsoft Edge en Windows, SmartScreen hace todo eso en el navegador, pero las alertas y las métricas se ven en el portal de Defender for Endpoint (Figura A).
Figura A
Si está utilizando otros navegadores, incluido Edge en macOS, que aún no tiene protección web integrada, las funciones de protección web se basan en las funciones de protección de red (Figura B).
Figura B
“Todo lo que haces en el navegador, también lo puedes ver en la red, pero luego puedes ver mucho más en la red más allá de eso”, dijo Ganacharya. “Si podemos aplicar nuestras capacidades de detección en la red, aún podemos detener las mismas amenazas en esas plataformas”.
Además de evitar que los navegadores y otras aplicaciones se conecten a sitios maliciosos, la protección de la red reduce la superficie de ataque para bloquear ataques comunes y permite a los defensores explorar el comportamiento de la red eso podría indicar que está ocurriendo un ataque.
La protección de la superficie de ataque bloquea los ataques Man in the Middle y evita que los dispositivos comprometidos en su red se conecten a los servidores de comando y control, lo que evita que los atacantes exfiltren datos, usen sus dispositivos para un ataque distribuido de denegación de servicio o para descargar y propagar malware.
También se asegura de que los usuarios se conecten a la red Wi-Fi correcta.
“Rogue Wi-Fi es un problema bastante grande que enfrentan muchos de nuestros clientes”, dijo Ganacharya. “Los empleados terminan conectándose a una red o redes no seguras creadas a medida para que puedan escuchar lo que está haciendo en su máquina”.
Los exploits basados en la red también siguen siendo una amenaza.
“Envías un paquete creado con fines maliciosos a la red, y eso puede usarse para comprometer un punto final”, dijo Ganacharya. “Es posible que la protección antivirus y web no lo detenga, pero es posible que podamos detectar la actividad posterior a la explotación”.
Señaló que la protección de la red ayuda a brindarle una defensa en profundidad al tener protecciones y detecciones que cubren las diferentes etapas de un ataque: «Incluso si se pierde un paso, lo detectamos en el siguiente paso».
Puede detectar más ataques al monitorear los puntos finales directamente y en la red.
“Podemos correlacionar qué proceso en el punto final creó qué tráfico y a qué IP intentó conectarse”, dijo.
Pero si hay terminales que aún no está protegiendo, tal vez porque ni siquiera sabía que estaban en su red, las funciones de protección de la red pueden ayudarlo a encontrarlos.
“Para eso, no solo debemos estar en un punto final, y no solo observar qué tráfico se genera en este dispositivo, sino también qué otros dispositivos se identifican en la red”, dijo Ganacharya. “Mover esta capacidad de detección a dispositivos como enrutadores lo ayuda a reducir sus falsos negativos”.
No todas las funciones de protección de puntos finales para dispositivos Windows están disponibles para macOS y Linux todavía, y ambas aún están en versión preliminar: no puede personalizar los mensajes que reciben los usuarios si un sitio está bloqueado o aparece una advertencia, aunque eso puede suceder. en el futuro.
En Linux, la protección de la red se implementa como un túnel VPN y Defender no incluye prevención de pérdida de datos. Ni macOS ni Linux tienen la opción de administración de seguridad de Defender para administrar la configuración de seguridad de Defender sin necesidad de un software de administración de dispositivos adicional.
Se admiten seis distribuciones para Defender en Linux: RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS o superior LTS, SLES 12+, Debian 9+ y Oracle Linux 7.2. En Mac, necesita macOS 11 o posterior.
Dispositivos vulnerables que necesitan ser protegidos
Puede haber otros dispositivos en su red que necesiten seguimiento y protección.
“Enrutadores, impresoras, dispositivos de salas de conferencias, televisores inteligentes, refrigeradores inteligentes: todo tipo de dispositivos se conectan a Internet hoy en día y está aumentando la superficie de ataque”, dijo Ganacharya.
Los atacantes individuales implementan directamente el ransomware en lugar de solo los scripts automatizados, y están buscando la forma más fácil de ingresar, que podría ser un dispositivo que no cree que represente una amenaza. Es por eso que existe una versión de Defender para dispositivos IoT y Operational Technology que usan monitoreo de red sin necesidad de agentes.
“Los clientes realmente tienen que adoptar esto y asumir que cualquier dispositivo que tengan en su red puede ser un punto de entrada para un ataque”, advirtió Ganacharya.