Guía para la adquisición de

seguridad para endpoints

A medida que las ciberamenazas se vuelven todavía más complejas, también
crece la presión sobre los directores de seguridad y TI para que implementen
la solución para endpoints más adecuada. Sin embargo, el mercado de la
seguridad para endpoints se ha visto saturado con numerosas soluciones
distintas y está tan repleto de reclamos de marketing indefendibles que tomar
una decisión informada para su organización es cada vez más difícil.
El rápido ritmo de los cambios, tanto en las amenazas a las que nos
enfrentamos como en la tecnología preventiva, se ha traducido en una
confusión generalizada. Esta guía le ofrecerá claridad a través de un repaso de
las tecnologías de prevención clave para que pueda asegurarse de que cuenta
con las defensas adecuadas en los endpoints a fin de proteger su organización.
También le permitirá descubrir las diferencias entre los proveedores detectadas
en pruebas independientes, lo que le ayudará a realizar una elección informada.
Guía para la adquisición de seguridad para endpoints

No está solo
¿Tiene dudas sobre qué debe buscar en una solución de seguridad para endpoints? ¿Le preocupa no contar
con una protección adecuada? No está solo. Esto es lo que dicen otros profesionales de la seguridad y TI1:

ÌÌ El 87 % está de acuerdo en que las amenazas se han vuelto más complejas en el último año.

ÌÌ El 60 % afirma que sus ciberdefensas actuales no son suficiente para detener las ciberamenazas de hoy.

ÌÌ El 60 % tiene previsto implementar Machine Learning en los próximos 12 meses.

ÌÌ El 56 % no entiende las diferencias entre el Machine Learning y el Deep Learning.

ÌÌ El 46 % afirma que cuenta con tecnología antiexploits, pero 2/3 no

entienden qué es realmente la tecnología antiexploits.

En vista de esto, no resulta sorprendente que haya mucha confusión con respecto a la seguridad para
endpoints. Esta guía se ha diseñado para ayudarle a tomar una decisión informada y a implementar la
mejor protección para su organización.

Características y funciones del producto

Las soluciones de seguridad para endpoints, a veces simplemente denominadas soluciones antivirus,
pueden incluir distintos enfoques base (tradicionales) y modernos (next-gen) para evitar las amenazas para
los endpoints. Al evaluar productos, es importante buscar soluciones que cuenten con un amplio conjunto
de técnicas para detener una gran variedad de amenazas. También es importante entender las amenazas
que está intentando evitar.

Amenazas para endpoints

Si bien el panorama de las amenazas está en constante evolución, a continuación encontrará algunas
amenazas para endpoints clave que debe tener en cuenta a la hora de evaluar distintas soluciones:

ÌÌ Portables ejecutables (malware): cuando se considera una protección para endpoints, los
programas de software maliciosos (malware) suelen ser la principal preocupación. El malware
incluye aplicaciones maliciosas tanto conocidas como desconocidas. Con frecuencia, las
soluciones tienen dificultades para detectar el malware desconocido. Esto es importante,
ya que SophosLabs detecta unas cuatrocientas mil aplicaciones de malware desconocido
todos los días. Las soluciones deberían detectar sin ninguna dificultad los archivos
empaquetados y polimórficos que se han modificado para dificultar su identificación.

ÌÌ Aplicaciones no deseadas (PUA): las PUA son aplicaciones que técnicamente no se consideran
malware, pero que muy probablemente no queremos tener en nuestros ordenadores, como
el adware. La detección de PUA se ha vuelto cada vez más importante debido al auge de
los programas de criptominería que se utilizan en los ataques de criptojacking.

ÌÌ Ransomware: más de la mitad de las empresas se han visto afectadas por el ransomware en
el último año, con un coste medio de 133 000 USD2. Los dos principales tipos de ransomware
son los programas de cifrado de archivos y los programas de cifrado de disco (wipers). Los
programas de cifrado de archivos son los más comunes, que cifran los archivos de la víctima
y los secuestran para conseguir un rescate. Los programas de cifrado de disco bloquean el
disco duro entero de la víctima, no solo los archivos, o borran todos los datos que contiene.

ÌÌ Ataques sin archivos y basados en exploits: no todos los ataques se sirven del malware. Los ataques
basados en exploits utilizan técnicas que se aprovechan de los errores y las vulnerabilidades
del software a fin de obtener acceso al ordenador y controlarlo. Los documentos armados con
malware (normalmente un programa de Microsoft Office que se ha creado o modificado para
provocar daños) y los scripts maliciosos (código malicioso que se esconde con frecuencia en
programas y sitios web legítimos) son tipos habituales de técnicas usadas en estos ataques.
Otros ejemplos incluyen ataques Man-in-the-Browser (el uso de malware para infectar un
navegador para permitir a los atacantes ver y manipular el tráfico) y tráfico malicioso (el uso de
tráfico web con fines malintencionados, como contactar con un servidor de comando y control).

Mayo de 2018 2
Guía para la adquisición de seguridad para endpoints

ÌÌ Técnicas de Active Adversary: muchos ataques contra endpoints implican numerosas

fases y múltiples técnicas. Entre las técnicas de Active Adversary se cuentan el aumento
de privilegios (métodos utilizados por los atacantes para obtener acceso adicional
a un sistema), el robo de credenciales (robar nombres y contraseñas de usuarios) y
las cuevas de código (ocultar código malicioso en aplicaciones legítimas).

Técnicas modernas (next-gen) frente a técnicas base (tradicionales)

Si bien se conocen por distintos nombres, las soluciones antivirus han existido durante mucho tiempo
y han demostrado ser muy efectivas contra las amenazas conocidas. Existen diversas técnicas base de
las que se han servido las soluciones de protección para endpoints tradicionales. No obstante, a medida
que el panorama de las amenazas ha cambiado, las amenazas desconocidas, como el malware nunca
antes visto, se han vuelto cada vez más habituales. Por este motivo, han entrado en el mercado nuevas
tecnologías. Los compradores deben buscar una combinación de enfoques modernos (lo que a menudo se
denomina seguridad "next-gen") y de enfoques base probados. Estas son algunas de las funciones clave:

Funciones base:
ÌÌ Antimalware/antivirus: detección basada en firmas de malware conocido. Los
motores de malware deben poder inspeccionar no solo los ejecutables, sino también
otro código como el JavaScript malicioso que se encuentra en los sitios web.

ÌÌ Bloqueo de aplicaciones: evita comportamientos maliciosos de las aplicaciones, como un

documento de Office armado con malware que instala otra aplicación y la ejecuta.

ÌÌ Control de comportamiento/Sistemas de prevención contra intrusiones en el host (HIPS):

esta tecnología base protege los ordenadores contra virus no identificados y comportamientos
sospechosos. Debe incluir el análisis de comportamiento tanto antes como durante la ejecución.

ÌÌ Protección web: búsqueda de direcciones URL y bloqueo de sitios web maliciosos. Los sitios
bloqueados deben incluir los que puedan ejecutar JavaScript para la criptominería, además de
aquellos que recopilen credenciales de autenticación de usuarios y otros datos confidenciales.

ÌÌ Control web: el filtrado web en endpoints permite a los administradores definir

qué tipos de archivos puede descargar el usuario de Internet.

ÌÌ Prevención de pérdidas de datos (DLP): si un adversario consigue pasar

desapercibido, las funciones de DLP pueden detectar y evitar la última fase de
algunos ataques, es decir, cuando el atacante intenta exfiltrar los datos. Esto se logra
mediante la monitorización de una serie de tipos de datos confidenciales.

Funciones modernas:
ÌÌ Machine Learning: existen diversos tipos de métodos de Machine Learning, como las redes
neuronales de Deep Learning, bosques aleatorios, análisis bayesianos y agrupación en
clústeres. Independientemente de la metodología, los motores de detección de malware con
Machine Learning deben diseñarse para detectar malware tanto conocido como desconocido
sin depender de firmas. La ventajas del Machine Learning es que puede detectar malware
nunca antes visto, lo que incrementa de forma óptima la tasa general de detección de
malware. Las organizaciones deben evaluar la tasa de detección, el índice de falsos positivos
y el impacto sobre el rendimiento de las soluciones basadas en Machine Learning.

ÌÌ Antiexploits: la tecnología antiexploits está diseñada para repeler a los atacantes

bloqueando las herramientas y las técnicas de las que dependen en la cadena de ataque.
Por ejemplo, exploits como el EternalBlue y el DoublePulsar se utilizaron para ejecutar
el ransomware NotPetya y WannaCry. La tecnología antiexploits detiene el conjunto
relativamente pequeño de técnicas utilizadas para propagar el malware y perpetrar
ataques, lo que rechaza muchos ataques de día cero sin haberlos visto previamente.

ÌÌ Específicas para ransomware: algunas soluciones incluyen técnicas diseñadas específicamente

para impedir el cifrado malicioso de datos por parte del ransomware. Con frecuencia, las técnicas
específicas para el ransomware también corrigen los archivos afectados. Las soluciones contra
el ransomware no solo deben detener el ransomware de archivos, sino también el ransomware de
discos utilizado en los destructivos ataques wiper que manipulan el registro de arranque maestro.

Mayo de 2018 3
Guía para la adquisición de seguridad para endpoints

ÌÌ Protección contra robos de credenciales: tecnología diseñada para evitar el robo de

contraseñas de autenticación e información de hash de la memoria, el registro y el disco duro.

ÌÌ Protección de procesos (aumento de privilegios): protección diseñada para determinar

si se ha insertado un token de autenticación de privilegios en un proceso a fin de
aumentar los privilegios como parte de un ataque de Active Adversary. Este debe
ser efectivo independientemente de qué vulnerabilidad, conocida o desconocida,
se haya utilizado para robar el token de autenticación para empezar.

ÌÌ Protección de procesos (cueva de código): impide el uso de técnicas como las

cuevas de código y el AtomBombing, utilizadas a menudo por adversarios que tratan
de aprovecharse de la presencia de aplicaciones legítimas. Los adversarios pueden
aprovechar estas llamadas para hacer que otro proceso ejecute su código.

ÌÌ Detección y respuesta para endpoints (EDR)/análisis de causa raíz: la función EDR

y otras herramientas analíticas no se centran en evitar los ataques, sino en analizar y
responder a incidentes detectados previamente. Algunas también ofrecen funciones
de búsqueda para detectar ataques que hayan pasado desapercibidos con anterioridad.
Es importante que el tamaño y las habilidades de su equipo de TI se equiparen con
la complejidad y la facilidad de uso de la herramienta que esté considerando.

ÌÌ Respuesta ante incidentes/Seguridad Sincronizada: las herramientas para endpoints deben

proporcionar un mínimo de visibilidad sobre los hechos ocurridos a fin de evitar futuros incidentes.
Lo ideal es que respondan de forma automática a los incidentes, sin necesidad de que intervengan
los analistas, para evitar que las amenazas se propaguen o provoquen más daños. Es importante
que las herramientas de respuesta ante incidentes se comuniquen con otras herramientas
de seguridad de endpoints además de con las herramientas de seguridad de redes.

El "poder del más": combinación de múltiples técnicas para una seguridad

de endpoints completa
Al evaluar las soluciones para endpoints, las organizaciones no deben buscar únicamente una función
principal. En lugar de ello, busque un conjunto de funciones excepcionales que engloben tanto técnicas
modernas, como el Machine Learning, como enfoques base que se haya demostrado que siguen siendo
efectivos. Si depende de una única función dominante, aunque sea la mejor que existe, será vulnerable
a puntos únicos de error. En cambio, un enfoque de defensa exhaustiva, en que haya un conjunto de
múltiples capas de seguridad sólidas, logrará detener una gama de amenazas más amplia. Esto es lo
que solemos denominar "el poder del más", una combinación de técnicas base con Machine Learning,
antiexploits, antiransomware y mucho más.

Cuando esté evaluando productos seguridad para endpoints, pregunte a distintos proveedores qué técnicas
se incluyen en su solución. ¿Qué efectividad ofrece cada uno de sus componentes? ¿Qué amenazas está
diseñada para detener? ¿Depende de una única técnica principal? ¿Y si falla?

Sophos frente a la competencia

Comparar productos con distintas funciones ya es muy difícil, pero comparar su rendimiento en
ataques simulados, en que las acciones de un atacante son potencialmente infinitas y desconocidas,
es prácticamente imposible. Para quienes decidan ponerlos a prueba por su cuenta, ponemos a su
disposición una guía de pruebas aquí. Sin embargo, muchas organizaciones optan por confiar en
evaluaciones de terceros para ayudarse en sus decisiones de compra.

Prueba de protección contra malware de MRG Effitas

MRG Effitas realizó una prueba por encargo para comparar la capacidad de distintos productos de
protección para endpoints para detectar malware y aplicaciones no deseadas. En la prueba se revisaron
seis proveedores distintos, entre ellos Sophos. Sophos se posicionó como el n.º 1 en detección de malware,
así como en detección de aplicaciones no deseadas. Sophos también obtuvo un impresionante índice de
falsos positivos.

Mayo de 2018 4
Guía para la adquisición de seguridad para endpoints

Malware & PUA Accuracy / False Positive

Missed False Positive

Behavior Blocked True Negative

COMPARATIVE PROTECTION ASSESSMENT Auto Blocked

100% 100%

50% 50%
ACCURACY / FP

ACCURACY / FP

ACCURACY / FP

ACCURACY / FP

ACCURACY / FP

ACCURACY / FP
MALWARE

MALWARE

MALWARE

MALWARE

MALWARE

MALWARE
PUA

PUA

PUA

PUA

PUA

PUA
0% 0%

0.81 0.00 0.05 4.05 1.42 0.03 1.62 48.94 0.06 12.96 50.35 0.01 14.98 47.52 0.14 12.55 68.79 1.61

0.00 4.96 25.91 1.42 0.81 0.71 4.05 15.60 2.43 26.95 12.96 14.89

99.19 95.04 99.95 69.23 83.69 99.97 97.57 50.35 99.94 83.00 34.04 99.99 82.59 25.53 99.86 74.49 16.31 98.39

DISPUTED 0.81 13.48 0.00

Consulte los resultados completos aquí.

Prueba de protección antiexploits y posexploits de MRG Effitas

A modo de seguimiento a su prueba de protección contra malware, MRG Effitas también publicó un informe
que comparaba cómo distintas soluciones para endpoints detenían técnicas de explotación específicas.
Sophos Intercept X superó con creces a las demás soluciones probadas. De hecho, Sophos consiguió
bloquear más del doble de las técnicas de explotación que la mayoría de las demás herramientas probadas.

Level 1: Product blocked the exploit

Level 2: Exploit missed by attack stopped by other methods
Disputed

EXPLOIT PROTECTION TEST RESULTS Missed

35 35

30 30

25 25

20 20

15 15

10 10

5 5

0 0

1 12 16 16 19 21 22 23 24

1 2 2 1 2 1 2 3

34 19 17 17 15 12 12 10 8

El informe completo está disponible aquí.

Mayo de 2018 5
Guía para la adquisición de seguridad para endpoints

Cuadrante mágico de Gartner de plataformas de protección de endpoints

El cuadrante mágico de Gartner de plataformas de protección de endpoints es una herramienta de
investigación que evalúa la integridad de la visión y la capacidad de ejecución de los proveedores. Sophos
ha sido nombrado líder en el Cuadrante mágico de Gartner de plataformas de protección de endpoints en
diez informes consecutivos. Sophos es uno de los tres únicos proveedores que han sido nombrado líderes.

Mayo de 2018 6
Guía para la adquisición de seguridad para endpoints

The Forrester Wave™: Suites de seguridad para endpoints

Forrester Research, Inc. lleva a cabo exhaustivas evaluaciones de productos para crear su informe, para el que
entrevista tanto a los proveedores de soluciones para endpoints como a sus clientes. Evalúan a los proveedores
basándose en la eficacia tanto de su producto como de su estrategia. Una vez más, Sophos ha sido nombrado
líder en el informe The Forrester Wave: Endpoint Security Suites.

El informe completo está disponible aquí.

Evaluación de Intercept X por ESG Labs

Enterprise Strategy Group Lab puso a prueba Sophos Intercept X y concluyó lo siguiente:

"Intercept X detuvo el 100 % de las técnicas de explotación que escaparon a la aplicación antivirus tradicional".3

El informe completo está disponible aquí.

Ampliación de su seguridad:
considere una protección completa
Una solución de seguridad para endpoints constituye solo una parte de una estrategia global de seguridad.
Hoy en día es aconsejable que las empresas miren más allá de los endpoints y protejan todo el entorno.

Lo ideal es que un solo proveedor proporcione soluciones que, de forma conjunta, le ofrezcan una protección
uniforme y la imposición de políticas en toda su organización. Trabajar con un solo proveedor puede proporcionar
una seguridad mejor y reducir la administración y los costes.

Algunas tecnologías específicas que tener en cuenta junto con la protección para endpoints incluyen el cifrado
completo de discos, la gestión de dispositivos móviles, la seguridad móvil, una puerta segura de enlace de
correo electrónico, protección especializada para equipos virtuales o servidores y Seguridad Sincronizada entre
dispositivos endpoints y de red.

Mayo de 2018 7
Guía para la adquisición de seguridad para endpoints

Evaluación de la seguridad para endpoints:

las 10 principales preguntas que hacer
Para evaluar una solución de protección para endpoints, comience por hacer al proveedor las
preguntas siguientes:

1.  El producto se sirve de técnicas base, técnicas modernas o una combinación de ambas?

¿
¿Qué funciones específicas son fundamentales en la tecnología?

2. ¿Cómo detecta el producto las amenazas desconocidas? ¿Utiliza el Machine Learning?

3.  ara los productos en que se dice que se utiliza el Machine Learning, ¿qué tipo de Machine
P
Learning se emplea? ¿De dónde proceden los datos de formación? ¿Cuánto tiempo ha estado
en producción el modelo?

4.  Qué tecnología existe para evitar los ataques sin archivos y basados en exploits?
¿
¿Qué técnicas antiexploits se utilizan y qué tipos de ataques pueden detectar?

5. ¿Tiene el producto tecnología específicamente diseñada para detener el ransomware?

6. ¿Tiene el proveedor resultados de terceros que validen su enfoque?

7.  Tiene el producto un nivel aceptable de falsos positivos? Si se detecta un falso positivo,

¿
¿con qué facilidad se puede reducir su impacto?

8. ¿Qué visibilidad sobre los ataques ofrece el proveedor, como el análisis de causa raíz?

9.  Responde el producto automáticamente a las amenazas? ¿Puede limpiar una amenaza y

¿
responder a un incidente automáticamente?

10. ¿Cuánto esfuerzo requieren el despliegue y el uso de la solución?

Conclusión
A medida que crecen las ciberamenazas tanto en complejidad como en cantidad, es más importante que
nunca tener implementada una protección efectiva en el endpoint. Entender las amenazas que necesita
bloquear y las distintas tecnologías de seguridad disponibles le permitirá tomar una decisión informada en
cuanto a los productos de seguridad para endpoints, y brindará a su organización una protección óptima
contra los ataques de hoy día.

Fuente:

1 Informe Estado de la seguridad para endpoints de Sophos, enero de 2018

2 Informe Estado de la seguridad para endpoints de Sophos, enero de 2018
3 Evaluación comparativa de protección contra malware de MRG Effitas, febrero de 2018
Cuadrante mágico de Gartner de plataformas de protección de endpoints, Ian McShane, Eric Ouellet, Avivah Litan, Prateek Bhajanka, 24 de enero de 2018. Gartner no apoya a ninguna
compañía, producto o servicio mencionado en los estudios publicados y no aconseja a los usuarios de tecnologías que elijan solamente a los proveedores con las clasificaciones más
altas. Los estudios publicados por Gartner están compuestos por las opiniones de su equipo de investigaciones y no deben considerarse declaraciones de hecho. Gartner renuncia a
todas las responsabilidades, explícitas o implícitas, con respecto a este estudio, incluida cualquier garantía de comercialización o conveniencia para fines particulares.
The Forrester Wave™: Endpoint Security Suites, Q4 2016 por Chris Sherman, 19 de octubre de 2016

Pruebe Sophos Intercept X

ahora gratis.

Ventas en España Ventas en América Latina

Teléfono: (+34) 913 756 756 Correo electrónico: Latamsales@sophos.com
Correo electrónico: comercialES@sophos.com

© Copyright 2018. Sophos Ltd. Todos los derechos reservados.

Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales
o registradas de sus respectivos propietarios.

31/05/2018 WP-ES (3017-DD)