La mayoría de las soluciones de seguridad para pequeñas y medianas empresas existen solo para evitar que el malware se disperse en una estación de trabajo o servidor. Por años, esto fue suficiente. Siempre y cuando una organización pudiera detectar ciberamenazas en dispositivos finales, podría detener la expansión de la infección en la red y así proteger la infraestructura corporativa.
Los tiempos cambian. Un ciberataque típico moderno no es un incidente aislado en la computadora de un empleado, sino una operación compleja que afecta a una porción considerable de infraestructura. Por lo tanto, para reducir al mínimo el daño de un ciberataque moderno es necesario no solo bloquear el malware, sino también entender rápidamente qué y cómo sucedió, y dónde podría ocurrir otra vez.
Qué cambió
El cibercrimen moderno ha evolucionado de manera que incluso una empresa pequeña pudiera, razonablemente, caer presa de un ataque completo dirigido. Hasta cierto punto, esto se deriva de la disponibilidad en aumento de las herramientas necesarias para orquestar un ataque complejo de varias etapas. Sin embargo, los criminales también tratan de sacar el mayor provecho por su esfuerzo, en donde se destacan los operadores del ransomware. Últimamente se ha visto investigación verdadera y largas preparaciones para las operaciones de ramsomware. En ocasiones, los operadores acechan en una red objetivo durante semanas mientras exploran la infraestructura y roban datos vitales antes de dar el golpe con cifrado y demandas de rescate.
Una empresa pequeña podría servir como un objetivo intermedio en un ataque a la cadena de suministro; se sabe que a veces los atacantes utilizan la infraestructura de un contratista, un proveedor de servicios online, o un socio pequeño para atacar a una organización más grande. En estos casos, pudieran explotar vulnerabilidades de día cero, que es una opción usualmente costosa.
Entendamos lo que pasó
Para terminar con un ataque complejo de varios niveles es necesario tener un panorama claro de cómo el atacante penetró en la infraestructura, cuánto tiempo estuvo dentro, a qué datos pudo tener acceso, etc. Si solo eliminamos el malware sería equivalente a tratar los síntomas de una enfermedad sin abordar la causa.
En compañías de ámbito empresarial, el Centro de operaciones de seguridad (SOC), el departamento de TI, o un tercero realizan estás investigaciones. Las empresas grandes utilizan soluciones EDR para esto. Los límites en el presupuesto y el personal ocasionan que estas opciones estén fuera del alcance de empresas pequeñas. Y, sin embargo, éstas aún necesitan herramientas especializadas que les ayuden a responder oportunamente a amenazas complejas.
Kaspersky Endpoint Security Cloud con EDR
Nuestra solución SMB con funcionalidad EDR no necesita ser configurada por un experto en seguridad; la actualización de Kaspersky Endpoint Security Cloud Plus ofrece visibilidad mejorada de la infraestructura. El administrador puede identificar rápidamente las trayectorias que una amenaza utilice para expandirse, ver información detallada de las máquinas afectadas, ver rápidamente los detalles de archivos maliciosos y también ver dónde más se están usando los archivos. Con esto, los administradores rápidamente pueden detectar todos los focos de la amenaza, bloquear la ejecución de archivos peligrosos y aislar las máquinas afectadas, para así reducir al mínimo el daño potencial.
Mientras monitoreamos el uso de la herramienta para determinar su relevancia en el campo, pusimos a disposición de los usuarios la funcionalidad EDR de Kaspersky Endpoint Security Cloud Plus en modo de prueba durante el 2021. Puedes conocer más y ordenar la versión de prueba aquí.