En un mundo híbrido, cualquier endpoint o dispositivo portátil que se conecta a la red, es considerado nuestra nueva oficina. Acá, es donde ahora se desarrollan los negocios, pero también donde los agentes de amenazas se congregan para atacar a los empleados.  Esto ejerce presión sobre los equipos de TI para garantizar que puedan rastrear, proteger y administrar los dispositivos de manera más efectiva, permitiendo reducir el riesgo cibernético, mantener los costos bajo control y cumplir con una enorme cantidad de requisitos normativos.

Todo esto se suma a una carga operativa significativa para TI, en un momento en que los equipos tienen más presión que nunca por la escasez de habilidades y la necesidad de ser más eficientes y, un número cada vez mayor de empresas está buscando una gestión de endpoints siempre activa para proporcionar la visibilidad y el control continuos que necesitan en un mundo en el que se trabaja desde cualquier lugar.

El trayecto hacia terminales aún más distribuidas

Un nuevo estudio realizado por Forrester Consulting y comisionado por HP muestra que el 72% de las empresas encuestadas emplea un modelo híbrido, lo que significa que gran parte de la fuerza laboral es remota en un momento dado.  Los empleados exigen un mejor equilibrio entre el trabajo y su vida personal y, en un mercado laboral ajustado, a menudo obtienen lo que quieren.

Esto significa que los equipos de TI deben atender tanto el trabajo tradicional en la oficina como un entorno postpandemia más fluido, lo cual puede suponer un desafío cuando se trata de administrar los dispositivos propiedad de la empresa y de los empleados.

No obstante, la situación está a punto de volverse aún más desafiante. Como parte de sus estrategias de trabajo híbrido, es probable que algunas empresas hagan la transición a un modelo de espacio laboral digital global; esto es, una plataforma o entorno unificado donde todas las herramientas, las aplicaciones y los recursos necesarios están disponibles para que los empleados realicen sus tareas laborales y a la cual puedan tener acceso desde cualquier parte del mundo.

Esto hará que los esfuerzos de gestión endpoints cobren aún más importancia a medida que la fuerza laboral se siga distribuyendo entre zonas horarias y continentes.  No cabe duda de la lógica empresarial detrás de tal transición:  permite a la empresa aprovechar un grupo más amplio de talentos, al tiempo que reduce la rotación y mejora la productividad.  Puede requerir una inversión significativa en la experiencia de los empleados para ofrecer los espacios de trabajo digitales seguros, ágiles y eficientes que necesita el personal.

El problema con la gestión de dispositivos endpoint 

En este contexto, los equipos de TI deben enfrentarse a diversos desafíos. El primero es instalar actualizaciones a distancia. La explotación de software sin parches continúa siendo una de las tres formas de ataque más populares. Incluso si los equipos de TI toman la decisión de confiar en Microsoft al actualizar el sistema operativo y las aplicaciones de oficina, es posible que las aplicaciones menos comunes no tengan su propia infraestructura de actualización o que sus equipos de TI no quieran confiar en las actualizaciones de forma automática. Dado que los atacantes siguen de cerca las actualizaciones populares y les aplican ingeniería inversa para explotar rápidamente los dispositivos sin parches, solo se necesita un dispositivo endpoint expuesto para que los hackers lo utilicen como trampolín hacia la red corporativa o los servicios en la nube.

Tanto delincuentes cibernéticos motivados por el dinero como envalentonados actores estatales están al acecho de datos confidenciales y, potencialmente, de alterar operaciones críticas. Las redes domésticas menos protegidas y los puntos de acceso Wi-Fi públicos inseguros son un riesgo aún mayor. Resulta alarmante que sólo dos quintas partes (42%) de las empresas que encuestó Forrester implementen actualizaciones de firmware anualmente, mientras que un tercio (32%) solo actualiza cada dos años o menos. 

Luego están los riesgos asociados con la pérdida o el robo de dispositivos y computadoras portátiles. Alrededor del 70% de las empresas dice que el trabajo híbrido ha incrementado esta amenaza. La mayoría de los sistemas de gestión de flotillas tiene un punto ciego importante: los dispositivos endpoint no se pueden localizar, bloquear ni borrar de forma remota si no están conectadas a Internet.

Por último, el área de TI tiene que depender de una protección deficiente. La mitad de los tomadores de decisiones de TI y seguridad ha citado que las soluciones inadecuadas de seguridad en los endpoint son obstáculos para abordar los desafíos de seguridad y gestión.

En conjunto, estos desafíos exigen no sólo una mejor seguridad de los datos y mecanismos de actualización de software, sino también una mejor gestión de activos, lo que resulta clave para reducir el riesgo cibernético y mejorar la asignación de recursos, así como el cumplimiento de políticas.  De hecho, más de la mitad (55%) de los tomadores de decisiones de TI y seguridad menciona que maximizar la precisión de las bases de datos de activos es su principal desafío en la gestión remota de endpoints, junto con la seguridad de los datos (60%) y las actualizaciones de software en dispositivos remotos (55%).

¿Por qué necesitamos una gestión siempre activa?

Abordar estos desafíos es fundamental para cumplir con los estándares de auditoría interna y los mandatos normativos externos, así como para minimizar el potencial de daños financieros y de reputación derivados de un incidente en los endpoint.  Para muchas empresas, el cifrado de disco completo es un paso fundamental.  Sin embargo, no es el único control que necesitan.  También son clave la gestión de activos, la copia de seguridad y restauración de dispositivos, los procesos automatizados de recuperación de dispositivos, los mecanismos de actualización del BIOS y el seguimiento de la ubicación de los dispositivos.

Los líderes de TI deben pensar detenidamente cómo se entregan esas capacidades. Dos tercios (67%) dicen que garantizar una comunicación segura con endpoints remotos es una preocupación importante para su departamento de TI. Aquí es donde entra en juego la gestión de flotillas siempre activas.  Garantizar que las actualizaciones de software y otras instrucciones puedan enviarse a todos los dispositivos y que los datos fluyan continuamente en la otra dirección.  De esta forma, nunca habrá retrasos en la seguridad y optimización de los entornos de trabajo distribuidos.

Las soluciones de búsqueda, bloqueo y borrado que aprovechan la conectividad celular garantizan una gestión siempre activa al mitigar el riesgo cuando los dispositivos no están conectados a Internet o incluso apagados. Tres cuartas partes de los líderes de TI creen que una mejor gestión de endpoints como ésta tendría un impacto positivo en las operaciones y la eficiencia del negocio.  Podría mejorar la protección de datos, reducir el tiempo de inactividad, aumentar la productividad del personal, mejorar el cumplimiento e incluso disminuir los costos de TI al reducir la reparación o el reemplazo de PCs.  El lugar de trabajo del mañana llegará más rápido de lo que muchas empresas piensan. Lo que más les convendría es empezar a implementar desde ya esos planes de gestión de endpoints.

Por: Adrián Ali, SVP & MD LATAM Market

Origen

El informe ICS CERT de Kaspersky revela la segunda parte del análisis de un malware de filtración de datos que ataca en Europa del Este. En la primera fase realiza implantes de malware en los sistemas de las víctimas. Tras ello, extrae información de sistemas con brechas de aire o air gap (dispositivos y equipos aislados o desconectados de la red principal), allanando el terreno para la transmisión de los datos.

Los analistas de Kaspersky fueron capaces de identificar dos tipos de implantes específicos en la segunda fase del ataque. Uno de los implantes es un malware modular sofisticado que infecta unidades extraíbles (USB, etcétera) a través de un gusano. Su objetivo es filtrar datos de equipos aislados o desconectados de empresas del sector industrial de Europa del Este mediante esas unidades de memoria. El otro tipo de implante está diseñado para robar datos de las computadoras locales y enviarlos a una cuenta de Dropbox de los ciberatacantes.

El malware está diseñado específicamente para filtrar datos de sistemas con brechas de aire mediante la infección de las citadas unidades extraíbles. La herramienta maliciosa está compuesta de tres módulos, cada uno de ellos encargado de tareas diferentes: gestión de los dispositivos extraíbles, captura de datos e implantación de malware en las unidades recién conectadas.

A lo largo de la investigación, los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas. Lo consiguen mediante la encriptación de un payload en archivos de datos binarios separados, así como a través de la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de memoria.

"Los esfuerzos de los ciberdelincuentes por ofuscar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL hablan por sí solo de lo sofisticadas que son sus tácticas. Aunque la filtración de datos de redes aisladas es una estrategia recurrente adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por el actor de amenazas. Kaspersky continúa ofreciendo protección contra estos y otros ataques cibernéticos, y colabora con la comunidad de ciberseguridad para difundir inteligencia de amenazas que se pueda procesar", explica Kirill Kruglov, investigador sénior de seguridad de Kaspersky.

Para mantener seguros los equipos de tecnología operativa (OT), los expertos de Kaspersky recomiendan:

• Realizar evaluaciones periódicas de seguridad en los sistemas OT para identificar y eliminar problemas de ciberseguridad
• Evaluar y clasificar con regularidad las vulnerabilidades para su mejor gestión. Soluciones específicamente dedicadas como Kaspersky Industrial CyberSecurity son eficaces, además de una fuente de información procesable única y no disponible para todos los públicos
• Actualizar los equipos de la red e instalar parches de seguridad, así como tomar las medidas que sean necesarias tan pronto como sea posible. Estas acciones son cruciales para prevenir incidentes que paralizan los procesos productivos de las empresas con costes en muchas ocasiones millonarios
• El uso de soluciones EDR como Kaspersky Endpoint Detection and Response permite la detección de amenazas de alto nivel, así como la investigación y reparación efectiva de incidentes
• Mejorar la respuesta a las nuevas técnicas de los ciberdelincuentes y fortalecer las habilidades de prevención, detección y respuesta de incidentes de los equipos. La capacitación específica en seguridad OT para el personal de seguridad de TI y el propio personal de OT es clave en este sentido

Puedes leer el informe completo en la página web de ICS CERT.

Origen

Axis Communications anuncia el lanzamiento de un dispositivo único con un avanzado sistema de clasificación de objetos basada en el aprendizaje profundo gracias a la fusión de dos potentes tecnologías: video y radar. Ideal para la detección precisa durante las 24 horas del día y la protección de grandes áreas frente a intrusiones, ofrece una inteligencia de la escena mejorada combinada con el valor forense del video.

AXIS Q1656-DLE Radar-Video Fusion Camera ofrece prestaciones avanzadas de las cámaras Axis de la serie Q y una excelente usabilidad de imagen junto con un radar perfectamente integrado. Usando el radar, la cámara puede detectar objetos en áreas grandes independientemente de la visibilidad. Luego se puede visualizar la velocidad y la distancia de los objetos en movimiento directamente en la vista de la aplicación.

Este dispositivo inteligente permite configurar eventos activados por comportamientos sospechosos basados en la velocidad y la clasificación, como personas corriendo y coches avanzando despacio. El radar puede utilizarse también por separado para guiar a una cámara PTZ independiente. Además, como el radar “ve” en la oscuridad, también se pueden configurar activadores para poner en marcha focos, luces IR o luces de la fachada solo cuando es necesario, para invertir menos esfuerzos y ahorrar en la factura de la luz.

Principales características:

• Dos potentes tecnologías fusionadas en un único dispositivo
• Inteligencia de la escena optimizada
• Detección precisa 24/7
• Funciones de ciberseguridad integradas
• Prestaciones avanzadas de las cámaras Axis de la serie Q

Resistente y preparado para soportar las inclemencias meteorológicas, este dispositivo incorpora funciones de ciberseguridad para proteger el sistema. Y como funciona con un único dispositivo, cable, dirección IP y licencia del software de gestión de video (VMS), tanto la instalación como el mantenimiento a lo largo de su vida útil tienen un coste bajo. Además, como la proporción de falsas alarmas es baja, el personal de seguridad actúa solo cuando hay amenazas reales y puede ocuparse de más cámaras al mismo tiempo.

Origen