¿Qué significa una solución de protección contra amenazas avanzadas y cuándo la necesita una empresa?

Plataformas de aplicaciones que proporcionan una protección avanzada contra los ataques modernos a las redes de empresas, organizaciones e instituciones educativas

¿Qué entendemos por «solución de protección avanzada contra amenazas (ATP)»? ¿Y por qué las empresas y las organizaciones necesitan hoy en día soluciones avanzadas para la protección de sus redes y dispositivos? Lo explicamos en este artículo.

1. Qué entendemos por «solución de protección avanzada contra amenazas»

Las soluciones de protección contra amenazas avanzadas (ATP) son plataformas de aplicaciones que proporcionan una protección avanzada contra los ataques modernos a las redes de empresas, organizaciones e instituciones educativas. Para luchar contra los ciberdelincuentes a un nivel similar, ya no basta con recurrir a aplicaciones obsoletas. Más bien, es necesaria una protección mucho más sofisticada.

El enfoque adopta el nombre de «Detección y Respuesta», por lo que se enfrenta al peligro potencial con una supervisión constante de los dispositivos (puntos finales) y de la red de la empresa, y proporciona una respuesta inmediata. También se describe como un cambio de un modo de protección pasivo, en el que primero recibes el daño y luego intentas arreglarlo, a uno activo, en el que el objetivo es prevenir los ataques.

Todos los productores de soluciones para la seguridad de las empresas han actualizado su oferta y ahora incluyen soluciones de protección contra amenazas avanzadas con plataformas que cuentan con un núcleo central y dos módulos adicionales. La mayoría de ellas se suministran como un servicio, por lo tanto, en la modalidad SaaS (Software as a Service). Esto significa que la empresa paga una cuota fija mensual por utilizar la plataforma de seguridad, a menudo compuesta por hardware y software e integrada en su arquitectura informática. Pero el servicio también puede suministrarse a distancia y basado en la nube, una vez que se ha establecido una conexión continua con la red de la empresa. En este caso, podría no ser necesario implementar un dispositivo de seguridad y la plataforma de aplicaciones conectadas en el centro de datos de la empresa.

Los socios informáticos vigilarán la red de sus clientes las 24 horas del día a través de su SOC (Centro de Operaciones de Seguridad), siguiendo los accesos y el tráfico sospechoso de datos y documentos. Pero, sobre todo, estarán continuamente actualizados sobre el número y la naturaleza de los ataques en cualquier parte del mundo, gracias a la conexión con los diferentes centros de monitorización. De este modo, siempre estarán al tanto de la situación y serán rápidos a la hora de aplicar medidas de contraataque.


>> FlashStart le protege de una amplia gama de amenazas e impide el acceso a sitios web maliciosos ? Comience su prueba gratuita o solicite una cotizaciòn


2. ¿Por qué necesitamos hoy soluciones de protección avanzadas?

Los ataques actuales de los ciberdelincuentes son muy diferentes a los de hace unos años. Son más complejos, más selectivos y a menudo estallan tras meses de espera. Los ataques más frecuentes a las redes de las empresas se realizan a través de malware. Son pequeños programas que se introducen en la red con diferentes objetivos. El más común, el ransomware, tiene como objetivo bloquear el acceso a datos, información y documentos o robarlos. El desbloqueo sólo se produce después de que la empresa víctima pague un rescate, solicitado en bitcoins. Otros programas maliciosos son los troyanos, incluidos en un programa que el usuario considera inocuo, y que son capaces de tomar el control del end-point. Además, están las puertas traseras utilizadas para penetrar en la red de una empresa, el phishing y el cracking de las credenciales de acceso de la empresa.

En la mayoría de los casos el atacante toma el control de la red de la empresa entrando desde un end-point, un ordenador o smartphone de un empleado o un dispositivo IoT. Lo hace adquiriendo las credenciales de acceso al dispositivo, a la red, a una aplicación como Microsoft 365. Para ello, puede utilizar técnicas de ingeniería social, rastreando un nombre de usuario y una contraseña gracias a un estudio de los rastros dejados en la web por el usuario o a través de un correo electrónico falso, y de ahí utilizar técnicas y aplicaciones de phishing para descifrar la contraseña.

Actualmente, los ciberdelincuentes tienen las ideas y los objetivos muy claros. El objetivo principal de un ataque a la red de una empresa es la extorsión. Por tanto, pretenden dar con documentos confidenciales, proyectos o, más en general, datos que puedan tener un valor para la víctima o, en un país extranjero, para un competidor. Y lo hacen enmascarados como empleados, entrando en la red desde un punto de acceso autorizado. Además, a diferencia de lo que ocurrió hace años, lo normal es que el malware se instale meses, en algunos casos años, antes del ataque y permanezca latente, esperando a realizar un ataque cuando empiecen a transitar datos interesantes.

La discusión hasta ahora deja claro que contra estos ataques las soluciones de protección tradicionales no son suficientes, sino que se necesitan soluciones de protección contra amenazas avanzadas. En particular, es fundamental señalar la atención en dos contextos: el acceso desde los puntos finales y una vigilancia constante del tráfico en la red. Además, destacamos que ninguna empresa, de cualquier dimensión o mercado vertical, puede considerarse inmune a un ataque.

Esto es así porque cada vez más a menudo la arquitectura informática de un proveedor de un productor de automóviles está, por ejemplo, conectada a la del propio productor. Esto significa que el atacante puede explotar las vulnerabilidades del proveedor para acceder a las del productor red. Y te recordamos también esto: el GDPR puede considerar directamente responsable del ataque también al proveedor, a menos que demuestre que tiene un nivel de protección avanzado.


>> Comience su prueba gratuita o solicite una cotizaciòn


3. Cómo funcionan las modernas soluciones de protección

En primer lugar, las soluciones de protección contra amenazas avanzadas (ATP) llevan a cabo una supervisión constante del tráfico de la red. Se comprueba quiénes acceden a la red, así como sus actividades. Este control se apoya en algoritmos de inteligencia artificial, especialmente en el aprendizaje automático y la automatización. Este núcleo de la plataforma se describe como XDR (extended detection & response). Recoge y correlaciona automáticamente los datos en varios niveles de seguridad: correos electrónicos, dispositivos remotos, servidores y aplicaciones en la nube y en la red.

El aprendizaje automático ayuda a las soluciones de protección contra amenazas avanzadas a entender los hábitos de los usuarios, de modo que se advierten inmediatamente los comportamientos extraños. Por ejemplo: ¿por qué un empleado que hasta ahora se había conectado siempre desde Milán se conecta de repente desde Saigón? Los algoritmos de automatización, por su parte, realizan algunas actividades automáticas para garantizar una protección inmediata. Entre ellas, el envío de una alerta, por ejemplo, pero también el bloqueo de la IP de la que procede el tráfico inesperado y otras actividades más sofisticadas.

Además, las plataformas ATP comprueban a fondo los puertos de la red de una empresa, normalmente a través de un dispositivo instalado en el centro de datos de la empresa. Por último, otro componente de una plataforma ATP es el sandbox. Se trata de un lugar virtual, oculto y protegido, por el que deben transitar todos los archivos sospechosos. En cuanto se identifica un archivo, se convierte en «rehén» y se comprueba de dentro a fuera. En caso de que un empleado reciba un archivo adjunto en un correo electrónico, el archivo se analiza en tiempo real y no será posible abrirlo hasta que la plataforma lo haya verificado.

Otro tema candente es la gestión de los accesos. Es fundamental, por ejemplo, activar la autenticación multifactor, de ahí que se acceda mediante una doble autenticación, por ejemplo, a través del smartphone. Más aún, gestionar con precisión los privilegios de acceso: qué puede hacer un usuario dentro de la red de la empresa, a qué documentos puede acceder y si es realmente necesario que tenga plena libertad de acción. Todo esto es posible si se utilizan las herramientas específicas de una plataforma ATP.

4. Qué tipo de solución debe elegir

Entonces, ¿qué tipo de soluciones de protección contra amenazas avanzadas debe elegir? Teniendo en cuenta lo que hemos hablado hasta ahora, la ciberdelincuencia no conlleva ningún encarcelamiento. Todas las empresas, de todas las dimensiones y en todos los mercados, todas las organizaciones, escuelas e instituciones, están potencialmente en riesgo. Y en realidad, son especialmente las más pequeñas y débiles las que actúan como caballos de Troya para acceder a estructuras más amplias. Y si no buscan un lugar seguro, se arriesgan no sólo a los daños directos, sino también a los indirectos, sobre las empresas de los clientes, socios y proveedores, y a las sanciones en función de su volumen de negocio, como indica el GDPR.

Por lo tanto, no cabe duda de que hay que elegir una plataforma para la ATP entre las que ponen a disposición los líderes del mercado. Si considera que las soluciones más extendidas son bastante similares y que la misma tecnología está disponible como servicio tanto para los «grandes» como para los «pequeños», le aconsejamos encarecidamente que elija un socio informático especializado en seguridad.
Será el socio quien elija la solución para el cliente, será él quien defina el precio del servicio en función de las funciones que necesite activar, el número de usuarios conectados a la red, el tipo de documentos a proteger. Y seguirá siendo el socio quien suministre todo el apoyo durante las fases de instalación y puesta en marcha. Los más organizados, por último, suministrarán un servicio completo a través de su propio SOC, liberando a la empresa de toda preocupación.


>> Comience su prueba gratuita o solicite una cotizaciòn


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Reading time 3 min
Valerio MarianiB2B IT Journalist & Digital content
Me dedico a proporcionar a las empresas análisis en profundidad y contenidos digitales de alta calidad para ayudarles a seguir siendo competitivas en el mercado tecnológico. Estoy aquí para proporcionar ideas claras y estrategias de comunicación eficaces para el éxito empresarial.

Ver todas las entradas de Valerio Mariani

Me dedico a proporcionar a las empresas análisis en profundidad y contenidos digitales de alta calidad para ayudarles a seguir siendo competitivas en el mercado tecnológico. Estoy aquí para proporcionar ideas claras y estrategias de comunicación eficaces para el éxito empresarial.
Compartir:  
For information
click here
For a free trial
click here
For prices
click here
Follow us on
Linkedin | YouTube