La nueva función de WithSecure te permite hacer retroceder el reloj de forma rápida y eficaz. He aquí cómo.
Estamos introduciendo una opción de recuperación rápida a WithSecure Elements este trimestre que proporciona una mayor protección para los usuarios en caso de un ataque exitoso. En lugar de un primer recurso en caso de un ataque, es una herramienta de último recurso en caso de que un ataque tenga éxito.
WithSecure Rollback proporciona una capa adicional de protección a Elements Endpoint Protection (EPP) en el caso poco común de que sus defensas, incluidos los mecanismos que ya proporcionamos a través de Elements EPP, como DeepGuard, DataGuard, Application Control, etc., no puedan evitar un ataque con éxito.
¿En qué consiste?
Rollback permite restaurar los archivos y configuraciones originales de un dispositivo tras un ataque de malware. Básicamente, si algo se cuela en el PC de un usuario y empieza a hacer de las suyas, puedes volver atrás en el tiempo y restablecer el sistema de archivos y el registro. Esto es diferente de recuperar una copia de seguridad, y también es mucho más fácil.
Hicimos esto para servidores compartidos con nuestro Server Share Protection en enero, y WithSecure Rollback se basa en la misma tecnología subyacente, haciendo para estaciones de trabajo individuales lo que Server Share Protection ha estado haciendo para sistemas más grandes ya.
Esto es lo que parece en acción: Demo: Rollback para WithSecure™ Elements EPP – YouTube
¿Cómo funciona?
Cuando un usuario inicia una aplicación en su computadora, Elements EPP comprueba WithSecure Security Cloud para confirmar que la aplicación es conocida y aprobada.
En este punto, se te perdonaría sentirte un poco escéptico: todos estamos familiarizados con la frustración de encontrar un control de seguridad demasiado entusiasta que nos impide hacer nuestro trabajo, incluso si es por las razones correctas. Tenga paciencia.
Si se sabe que la aplicación es dañina, se bloquea inmediatamente. Si se sabe que es segura, puede iniciarse inmediatamente. Si se trata de un tercer tipo -no conocido-, se permite el inicio de la aplicación, pero el agente del EPP supervisa su actividad, rastreando todos los cambios que la aplicación realiza en el sistema de archivos y el registro del endpoint.
Si la aplicación empieza a no funcionar bien, Elements EPP la cierra y los cambios realizados en el sistema de archivos y el registro se revierten.
Hasta aquí todo bien, ¿verdad? Pero sería una gran frustración para el usuario si se tratara de un falso positivo y todo el trabajo realizado en la aplicación se borrara por capricho del equipo de ciberseguridad. No te preocupes, te tenemos. Todos los datos y cambios eliminados durante la reversión se almacenan en un área de cuarentena, de modo que si tras la investigación se trata de un falso positivo verdadero, se puede cancelar la reversión y restaurar todos los cambios.
En un mundo en el que todavía nos estamos recuperando de una pandemia mundial, el término “control de brotes” podría considerarse ligeramente dramático.
Sin embargo, esta actualización de WithSecure Elements es significativa y representa un gran paso adelante para las empresas que pretenden protegerse a sí mismas y a sus empleados de los ataques.
Control de Epidemias (Reglas de Brotes)
La ciberprotección es a menudo un equilibrio entre detener las brechas y permitir que una empresa siga funcionando. “Básicamente, siempre hay un cierto equilibrio entre usabilidad y protección. En muchos casos, las empresas pueden tener que aceptar algunos riesgos o tener algunos ajustes que son un poco más indulgentes para garantizar que la gente pueda hacer su trabajo diario de una manera que no cause fricción”, dice Mika Arasola, Senior Product Manager de WithSecure.
Esta actualización permite que ambas cosas ocurran simultáneamente. Entonces, ¿qué significa exactamente y cómo ayudará a tu empresa?
En primer lugar, ahora podemos ver todas las detecciones EDR en la vista del dispositivo EPP. Esto se debe a que nuestro EPP y nuestro EDR están perfectamente integrados y trabajan juntos en todo momento. Con esta actualización, el EPP puede ver aún mejor lo que ocurre en el EDR y reaccionar en consecuencia.
¿Cómo funciona?
Una vez que la detección se ha producido automáticamente, se ha añadido la posibilidad de cambiar la asignación del perfil. Puede crear un perfil de EPP independiente con reglas más estrictas, así como tareas automatizadas que mejorarían la situación, como instalar parches para las actualizaciones de seguridad disponibles, activar reglas de control de aplicaciones, implementar configuraciones de cortafuegos más estrictas y lanzar análisis manuales de malware.
También puede optar por especificar la gravedad del EDR cuando se cambia el perfil y si sólo se ocupa de las detecciones graves o también de las de menor prioridad.
Una vez cerradas esas detecciones EDR en el portal EDR, los perfiles originales volverán a cambiar a cualquier otro perfil que deba asignarse a ese dispositivo. “Esencialmente, da a los socios la capacidad de reaccionar dinámicamente ante algunos riesgos o problemas potenciales en su entorno”, continúa Arasola.
¿Por qué ahora?
El lanzamiento de esta actualización es el resultado de un arduo trabajo detrás de escena.
“En cuanto al PPE, no nos hemos limitado a desarrollar funcionalidades. También hemos construido las bases a las que podemos ir añadiendo cosas”, dice Arasalo con orgullo. “Esto nos ha permitido añadir al mismo tiempo normas de asignación de perfiles, y aún hay más por venir”, confirma.
“También se trata de dar más automatización, que podemos activar en función de las detecciones EDR, además del gran número de capacidades de respuesta avanzada que ya tenemos en él”, añade Tuomas Miettinen, Technical Enablement Manager en WithSecure.
La mayoría de estas capacidades sólo se utilizan en caso de necesidad y todo lo que podemos hacer automáticamente se hace dentro de Elements EPP. Sin embargo, Elements EDR es una herramienta de visibilidad para detectar algo que no se puede manejar automáticamente. Esto da flexibilidad si se detecta algo en el dispositivo.
La base de la que habla Arasola es crucial para lo que ocurre en WithSecure. El amplio abanico de posibilidades significa que la cartera de Elements puede seguir desarrollándose y adaptándose a los nuevos escenarios y amenazas que, inevitablemente, surgirán.
Todo sobre el usuario
Desarrollar esta función significaba poner al usuario en primer plano. El equipo de WithSecure es consciente de que a veces no es posible activar todas las configuraciones más estrictas, pero al implementar estas funciones se puede activar rápidamente la protección adicional en caso de que se detecte algo sospechoso.
“A veces no es posible endurecerlo todo, pero esto nos da la mejor opción de utilizar todas las funciones que podemos ofrecer, al menos cuando detectamos anomalías con nuestro EDR. Se trata de asegurarse de que todas las capacidades pueden utilizarse en esta regla de control de brotes”, concluye Miettinen.
La Postura de seguridad analiza y da recomendaciones de sus dispositivos y perfiles para encontrar debilidades comunes que provocan que los equipos estén en riesgo o se filtren datos confidenciales.
La postura de seguridad cuenta con 13 debilidades comunes, cada una de ellas cuenta con su descripción y riesgo potencial, además nos indica cuántos dispositivos, sistemas operativos y en qué perfil se encuentran y cumplen o no con las recomendaciones.
Riesgos Comunes en la Postura de Seguridad:
La longitud mínima de la contraseña no está definida o es menor a 8 caracteres
Esto define la longitud mínima de la contraseña que el usuario puede definir para sí mismo. Los valores recomendados por Microsoft son 8-14, y el ajuste se define en la Política de grupo en la siguiente ubicación: “Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas de cuentas\Política de contraseña”
La longitud mínima de la contraseña suele definirse junto con “La contraseña debe cumplir con los requisitos de complejidad”. Si los requisitos de complejidad de la contraseña están habilitados, una longitud menor de la contraseña puede ser suficiente. Los requisitos de complejidad de la contraseña se configuran en la Política de grupo en: “Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas de cuentas\Política de contraseña”
Riesgo potencial: Si este valor no se define o es 0, el usuario no necesita establecer una contraseña. Un valor demasiado corto puede ser fácil de adivinar o de aplicar fuerza bruta, especialmente si no se habilitaron los requisitos de complejidad de la contraseña.
Sistema operativo en el final de su vida útil
Existen dispositivos que ejecutan sistemas operativos marcados como en el fin de su vida útil por el proveedor (Microsoft o Apple). Considere actualizarlos.
Riesgo potencial: El proveedor ya no admite sistemas operativos en el final de su vida útil y no recibirá las correcciones y actualizaciones de seguridad que protegen a los usuarios contra vulnerabilidades conocidas.
El cifrado de la unidad del sistema está deshabilitado
El cifrado de la unidad del sistema muestra el estado del sistema para sus dispositivos. Para Windows, verifica el estado de Bitlocker, y para Mac, Filevault. El cifrado de la unidad garantiza que nadie pueda leer ni modificar los datos almacenados en ella.
Riesgo Potencial: Los dispositivos sin cifrado de disco pueden permitir potencialmente la fuga de datos confidenciales cuando estos se pierden o caen en manos desconocidas. Además, no contar con cifrado implica que un actor malicioso puede eliminar o modificar archivos en la unidad sin que nadie lo advierta.
WithSecure™ DataGuard protege las carpetas de alto riesgo y críticas en términos de valor a un monitoreo avanzado y lógica de detección adicional. Esto las fortalece significativamente contra el ransomware y evita que aplicaciones maliciosas y desconocidas destruyan o manipulen los datos que contienen. Las carpetas de alto riesgo y críticas en términos de valor incluyen, por ejemplo, la carpeta de Descargas (descargas web), carpetas de documentos, archivos temporales (adjuntos de correo electrónico) y repositorios de datos.
La lógica de detección complementaria de la función aumenta la precisión y capacidad de la detección contra el ransomware y sus procesos de cifrado. El módulo de Acceso a Datos garantiza que los datos en estas carpetas no sean destruidos, manipulados o cifrados por aplicaciones maliciosas o desconocidas, como el ransomware. Entre otros beneficios, el módulo de Acceso a Datos permite la recuperación de datos en caso de un ataque exitoso de ransomware, ya que no puede cifrar los datos ubicados en esas carpetas.
Software Updater es una función de administración de parches automatizada que está totalmente integrada con los clientes WithSecure Elements EPP for Computers. Sin necesidad de instalar agentes separados, servidores de administración o consolas.
Software Updater es un componente de seguridad crítico. Es la primera capa de protección cuando el contenido malicioso llega a los endpoints y puede prevenir hasta el 80% de los ataques simplemente instalando actualizaciones de seguridad de software tan pronto como estén disponibles.
Los parches de seguridad incluyen más de 2.500 aplicaciones de terceros como Flash, Java, OpenOffice y otras que suelen servir como vectores de ataque debido a su popularidad y mayor número de vulnerabilidades.
Análisis heurístico y de comportamiento
DeepGuard combina algunas de nuestras tecnologías de seguridad más avanzadas. Es la última y más importante capa de defensa contra las nuevas amenazas, incluso las dirigidas a vulnerabilidades desconocidas hasta ahora.
DeepGuard observa el comportamiento de las aplicaciones e intercepta de forma proactiva cualquier acción potencialmente dañina sobre la marcha antes de que cause daños. Al cambiar el enfoque de las características de las firmas a los patrones de comportamiento malicioso, DeepGuard puede identificar y bloquear el malware incluso antes de que se haya adquirido y examinado una muestra.
Cuando se inicia por primera vez un programa desconocido o sospechoso, DeepGuard retrasa temporalmente su ejecución para realizar una comprobación de la reputación de los archivos y de la tasa de prevalencia, lo ejecuta en un entorno aislado y, finalmente, lo ejecuta para realizar un análisis de comportamiento e interceptar exploits.