Para la Ciberseguridad Actual, la simplicidad y la automatización se han convertido en elementos críticos para garantizar la protección efectiva contra amenazas cada vez más sofisticadas. Una reciente experiencia con uno de nuestros clientes ejemplifica cómo una solución integral y automatizada pudo ofrecer una defensa efectiva contra un ataque de ransomware, superando las limitaciones de una solución especializada de protección de punto terminal (EPP por sus siglas en inglés).
Implementamos un XDR nativo (detección y respuesta extendida) que está compuesta por una robusta solución de seguridad de red multicapa, agentes EDR (detección y respuesta en puntos finales) desplegados en todas las estaciones de trabajo y servidores, puntos de acceso con seguridad para redes inalámbricas y conexiones VPN aseguradas con autenticación multifactor MFA. Estas soluciones se encuentran operando de manera coordinada a través de una capa de automatización que analiza la telemetría enviada por cada componente de la solución, normalizando los eventos y asignándoles niveles de criticidad, que permiten desencadenar respuestas automáticas, desde el bloqueo de direcciones IP de atacantes hasta el aislamiento de estaciones de trabajo comprometidas.
Un aspecto destacable de nuestra estrategia fue la adición de una capa de protección EDR a cada estación de trabajo y servidor, actuando por encima de la solución EPP seleccionada por el cliente. Esta medida demostró su valor cuando una unidad USB contaminada desencadenó un ataque de ransomware en el computador de un usuario, el cual logró evadir la protección de punto terminal. Sin embargo, nuestro agente EDR detectó el proceso de cifrado malicioso y activó el aislamiento del equipo comprometido, evitando así que el ransomware se propagara por toda la red.
Esta experiencia reciente, resalta la conveniencia de adoptar un enfoque integral y automatizado en la ciberseguridad. Al integrar diversas soluciones especializadas que abordan toda la superficie de ataque, y al orquestar su operación de manera automatizada mediante la utilización de un XDR nativo, se maximiza la capacidad de detección y respuesta ante amenazas de una forma muy sencilla, con mínimo esfuerzo. Además, se enfatiza la importancia de no depender exclusivamente de una única solución de protección, sino de implementar una estrategia de defensa en profundidad.
Sin embargo, también es crucial reconocer los aprendizajes adicionales derivados de este caso. La educación de los usuarios y la realización de pruebas regulares son igualmente fundamentales. En este sentido, la definición de políticas sobre prácticas seguras, como la prohibición de introducir unidades USB personales en equipos corporativos, y la revisión constante de los controles de seguridad pueden prevenir vulnerabilidades inadvertidas.
En conclusión, la simplicidad y la automatización son fundamentales para enfrentar las complejidades de la ciberseguridad actual. Al adoptar un enfoque integral, orquestado y proactivo, las organizaciones pueden fortalecer su postura de seguridad y mitigar los riesgos de manera efectiva.
Autor: José Luis Gomes de Faría
Todo lo relacionado con WatchGuard, eScan, Paessler y nuestros comentarios acerca de Seguridad IT 