Una plataforma de protección de terminales (EPP) es una solución de seguridad integral que se implementa en los terminales para protegerlos de las amenazas.

Definición de «plataforma de protección de terminales»

Las EPP utilizan datos de la nube, donde se suelen gestionar, para facilitar la supervisión avanzada y la corrección remota.
Las soluciones de EPP emplean una amplia gama de funciones de seguridad, pero a nivel básico incluyen lo siguiente:

• Prevención de programas maliciosos basados en archivos
  
• Detección de actividades sospechosas mediante técnicas que van desde indicadores de riesgo (IOC) hasta análisis del comportamiento
• Herramientas de investigación y corrección para gestionar incidencias y alertas dinámicas

Las plataformas de protección de terminales son la última evolución de la seguridad de terminales. Se desarrollaron para identificar a los atacantes que pueden eludir la seguridad tradicional de los terminales, así como para ayudar a consolidar pilas de seguridad complejas. La consolidación mejora el uso compartido de datos, lo que mejora los análisis disponibles para detectar comportamientos sospechosos. También simplifica considerablemente las operaciones de seguridad.

Otra ventaja importante de las plataformas de protección de terminales es la migración a la nube. Las EPP nativas de nube pueden utilizar un único agente ligero para supervisar todos los terminales. Además, los datos que se pueden recopilar y utilizar van más allá de los terminales de una sola empresa. Los datos globales compartidos que ilustran las tácticas de los atacantes se pueden incorporar para mejorar la detección de sus comportamientos.

En su artículo Critical Capabilities for Endpoint Protection Platforms, Gartner destaca la importancia de las EPP basadas en la nube y afirma: «Las soluciones de EPP basadas en la nube ofrecen una rentabilidad más rápida, menores costes de administración y un producto más ágil que las implementaciones locales tradicionales».

En el Cuadrante Mágico de Gartner sobre plataformas de protección de terminales más reciente, Gartner prevé que las EPP evolucionarán para proporcionar una «investigación de incidentes automatizada y coordinada, y una respuesta a las vulneraciones». También aconseja a los responsables de la gestión de riesgos y seguridad que «se aseguren de que su proveedor de EPP evolucione lo suficientemente rápido para hacer frente a las amenazas modernas».

Las plataformas de protección de terminales basadas en la nube, que van más allá de la respuesta ante incidentes, hacen posible el análisis del comportamiento en tiempo real. El programa de EPP más avanzado utiliza el procesamiento de flujo de eventos, la misma tecnología que se utiliza en la detección de fraudes con tarjetas de crédito, para revolucionar la seguridad de los terminales. Esto permite detectar los comportamientos que los atacantes suelen mostrar al intentar «parecer normales» intencionadamente para ocultar sus tácticas. En la actualidad, VMware Carbon Black Cloud es la única plataforma de protección de terminales que utiliza el procesamiento de flujos de eventos, y ya está demostrando resultados superiores al detectar atacantes antes de que se produzca el robo.

La principal motivación detrás del desarrollo de la plataforma de protección de terminales era el hecho de que los atacantes evitaban más fácilmente a los equipos de SecOps que utilizaban soluciones tradicionales. Fundamentalmente, los atacantes han avanzado más allá de las funciones de seguridad tradicionales de los terminales y ahora pueden pasar inadvertidos en las redes durante largos periodos de tiempo.

Cinco maneras en que los atacantes evitan la seguridad tradicional de los terminales

• Programas de secuestro sin archivos: al no disponer de un archivo que puedan identificar y bloquear, las técnicas para distribuir programas de secuestro sin archivos no se ven frenadas por la seguridad tradicional de los terminales. Según un informe sobre ciberseguridad de SecureWorld, los ataques sin archivos aumentaron un 18 % en la primera mitad de 2019 en comparación con la segunda mitad de 2018. Solo una EPP le permite realizar un seguimiento de los comportamientos para encontrar patrones que le avisen de los métodos de ataque sin archivos.
  
• Nuevas técnicas de ataque disponibles:  los ciberdelincuentes han robado o desarrollado técnicas avanzadas de ataque que se han puesto a la venta o que están disponibles sencillamente como código abierto en Internet y en la Internet oscura. Utilizar estos scripts y tácticas permite que la actividad de los atacantes parezca normal y permanezca oculta dentro de una red.
• Terminales obsoletos: el panorama de las amenazas está evolucionando rápidamente, de modo que los proveedores de seguridad están desarrollando parches y actualizaciones lo más rápido posible para intentar seguir el ritmo de las amenazas emergentes. El ritmo de las actualizaciones suele superar la capacidad de los equipos de SecOps, especialmente si hay carencias en la gestión de parches y la automatización. Además, los agentes de terminales suelen fallar, lo que deja a terminales individuales sin protección. Un informe sobre las tendencias globales de seguridad de terminales en 2019 reveló que el 35 % de las vulneraciones de terminales se deben a vulnerabilidades existentes. Dado que las plataformas de protección de terminales suelen estar basadas en la nube, pueden mantenerse actualizadas continuamente para proteger los terminales de las amenazas más recientes.
• Múltiples fuentes de datos: las soluciones tradicionales de seguridad de los terminales se ejecutan de forma relativamente aislada del resto de la pila de seguridad. Esto significa que se necesitan varios sistemas para ver la actividad en un único punto de acceso y rastrear cualquier actividad sospechosa en la red durante una investigación. Las plataformas de protección de terminales proporcionan una única fuente de información fiable, ya que combinan datos de todas las soluciones de seguridad de la plataforma para facilitar el acceso a los datos y la investigación de alertas.
• Datos de terminales filtrados: muchas soluciones de seguridad de terminales filtran los datos de los terminales que se consideran no relacionados con una amenaza según los patrones de comportamiento conocidos y los IOC. Ahora que los atacantes tienen técnicas más avanzadas, confían en el filtrado de datos de los terminales para ocultar su actividad. Eso significa que los equipos de SecOps no detectan los patrones nuevos. Cuando se capturan continuamente datos sobre la actividad de los terminales, es posible observar estas nuevas técnicas y predecir nuevas amenazas.

Los analistas y los expertos en seguridad coinciden en que las EPP son la mejor forma de proteger las redes frente a las amenazas avanzadas. Gartner y Forrester abordan este espacio de soluciones con el Cuadrante Mágico de Gartner sobre plataformas de protección de terminales y Forrester Wave para las suites de seguridad de los terminales, respectivamente. La validación de las EPP procede de un análisis del ROI llevado a cabo por Forrester. El estudio de Forrester sobre el impacto económico total de una plataforma de protección de terminales reveló que el ROI medio de siete empresas que adoptaron un programa de EPP fue del 204 %. Esto equivale a un ahorro medio de 2,1 millones de dólares en tres años.

Esto es lo que opinan los expertos en seguridad que han adoptado una plataforma de protección de terminales sobre su valor:

Ahorro significativo de tiempo
«Ahora tengo la capacidad para contar con un centro de operaciones de seguridad (SOC) ininterrumpido que identifica y toma medidas inmediatamente en caso de que surja cualquier problema, sin necesidad de contactar con mi equipo a horas intempestivas».
Cozy Lavalle, responsable de infraestructura de TI, Progress Residential

Un solo panel de control
«La funcionalidad de detección de amenazas y respuesta ante incidentes permite a nuestro equipo avanzar de forma rápida y contundente, aprovechando las ventajas de contar con una consola basada en la nube que solamente necesita un solo panel de control. Es un cambio radical para el equipo».
Eric Samuelson, director sénior de TI, Lithium

Mantenerse al día con las amenazas
«[La EPP] es exactamente lo que las empresas necesitan para mantener la continuidad ante las mayores ciberamenazas actuales. Con [la EPP], podemos investigar y responder rápidamente, y eliminar nuestras soluciones antivirus obsoletas».
Steven Lentz, director de seguridad de la información, Samsung Research Americas