Seguridad en el Endpoint
¿Cuán importante es el parámetro “rendimiento” en una plataforma de protección del endpoint? Demasiado a menudo se nos olvida hacernos esta pregunta a la hora de definir la arquitectura de seguridad corporativa para una empresa.
En última instancia, si el software de protección del endpoint (EPP) es engorroso, si ralentiza el rendimiento del dispositivo o frustra al usuario, entonces no importa cuán innovadora sea la tecnología: los usuarios la rechazarán o, si tienen la opción, la apagarán. Es por eso por lo que el desarrollo de software de seguridad requiere un acto de equilibrio constante entre aumentar la protección y minimizar el impacto en el rendimiento.
Ese equilibrio forma parte primordial en los criterios de diseño que sigue Symantec para el desarrollo de software de seguridad para endpoints. Para conseguirlo, nuestros ingenieros de desarrollo han invertido en cuatro áreas clave para ofrecer una defensa multicapa sin comprometer la productividad ni de los usuarios ni de los administradores de TI.
En este documento echaremos un breve un vistazo a cada área en detalle.
1) Huella más pequeña
Cada nueva capa de defensa en el endpoint, cada arma nueva en nuestro arsenal para defender a los usuarios finales debe ser cuidadosamente optimizada para no ralentizar ni a la red ni al usuario final, fortaleciendo la seguridad a la vez que priorizamos la eficiencia. Por ejemplo, implementamos nuestra tecnología de aprendizaje automático tanto en el punto final como en la nube, analizando los atributos y comportamientos de los archivos localmente en el dispositivo, mientras analizamos las relaciones y la reputación usando Big Data a escala en nuestra nube. Eso ofrece una inteligencia increíble para la protección de punto final sin requerir una aplicación voluminosa.
También optimizamos y mejoramos el núcleo del software de protección en sí mismo, para minimizar el volumen de definiciones de firmas almacenadas localmente. En total, la huella típica de nuestra plataforma de protección de endpoint se ha reducido en un 68%, un impresionante delta que se traduce tanto en un espacio de aplicación más pequeño como en una reducción del tamaño de las actualizaciones de archivos de definiciones.
2) Descargas reducidas
Si bien el uso de mecanismos de detección basados en Machine Learning o en mitigación de vulnerabilidades de memoria, entre otros, permite reducir la dependencia de las firmas de una plataforma de EPP, el uso inteligente de éstas aún agrega valor.
Aunque algunos proveedores de seguridad quisieran que creyeras que el uso de firmas en la prevención del malware está totalmente obsoleto, la realidad es que los sistemas de detección basados en firmas aún juegan un papel esencial en la prevención de amenazas conocidas, mientras que el aprendizaje automático, la prevención de vulnerabilidades y los entornos virtuales se usan para abordar lo desconocido. Desplegar uno sin lo otro es similar a instalar un sistema de alarma nuevo y elegante en casa y luego quitarle las cerraduras intencionalmente a las puertas.
En Symantec creamos el servicio Intelligent Threat Cloud para proporcionar búsquedas en la nube en tiempo real bajo de manda de firmas, por lo que no necesitamos mantener todas las definiciones en el endpoint, permitiendo que las actualizaciones se centren en la información más reciente sobre amenazas. Esto reduce la frecuencia y el tamaño de los archivos de definición de firmas, sin reducir su efectividad. lo que a su vez reduce el uso de la red y aumenta el rendimiento.
En base a nuestras pruebas hasta la fecha, el uso de Intelligent Threat Cloud ha ayudado a reducir las actualizaciones diarias en un 70%. Eso es aproximadamente el equivalente de dos correos electrónicos por día. ¿Qué pasa si no podemos conectarnos a la nube? Múltiples tecnologías sin firmas, como el aprendizaje automático y la mitigación de vulnerabilidades de memoria ya están en condiciones de ofrecer un veredicto bastante definitivo en el endpoint, por lo que si no podemos corroborarlo, lo bloquearemos.
3) Tiempos de escaneo más rápidos
Con el objetivo de minimizar el impacto en el rendimiento de la protección del enpoint, nuestros equipos de desarrollo han trabajado arduamente para ofrecer una mejor protección con tiempos de exploración más rápidos. El nuevo software realiza escaneos conjuntos en muestras que combinan archivos limpios y aquellos que contienen malware casi un 20% más rápido, un aumento se puede atribuir en gran parte a la adición de Intelligent Threat Cloud.
La exploración en tiempo real de archivos nuevos también funciona increíblemente rápido. El módulo Emulador de nuestra plataforma de EPP, por ejemplo, utiliza sandboxing virtual para bloquear ataques basados en el uso de custom packers, implementando una tecnología sofisticada que imita los sistemas operativos, las API y las instrucciones del procesador, todo esto al mismo tiempo que administra la memoria virtual y ejecuta varias tecnologías de detección y heurísticos. El Emulador opera en milisegundos, un promedio de 3.5ms para archivos limpios y 300ms para malware, lo que minimiza significativamente el impacto de la detección y respuesta en la red y en la experiencia del usuario.
4) Un agente, múltiples capas de protección
El panorama de las amenazas siempre está cambiando y el malware puede infiltrarse en los sistemas corporativos en cualquier punto de la cadena de ataques. La realidad es que ninguna tecnología, por sí sola, puede detener todo el malware, todo el tiempo.
Por ello, el uso de múltiples tecnologías de protección de forma concurrente es un requisito fundamental para el futuro de la seguridad en las plataformas EPP.
La contrapartida de esta aproximación es el impacto en rendimiento y un incremento de complejidad para los administradores de TI, ya que múltiples tecnologías de detección y protección en el endpoint, suelen traducirse en la necesidad de desplegar y operar múltiples agentes en el puesto de trabajo de los usuarios finales.
Pero los usuarios finales no quieren el impacto en el rendimiento que supone usar múltiples agentes de protección, y los administradores de TI no necesitan el dolor de cabeza que suponen usar aplicaciones separadas de múltiples proveedores, con la necesidad de instalar, parchear, actualizar, solucionar problemas e integrar cada uno de ellos por separado.
En Symantec hemos desarrollado una plataforma de EPP y EDR (Endpoint Discovery and Response) integrada en la que, además combinamos tecnologías nuevas y establecidas en un agente único y liviano para detener amenazas conocidas y desconocidas en múltiples vectores, yendo mucho más allá del alcance y la capacidad de soluciones individuales que pretenden proteger frente a distintas tipologías de de amenazas o resolver las necesidades de EDR por separado de la plataforma de EPP. Estas múltiples capas de protección incluyen:
- aprendizaje automático,
- prevención de vulnerabilidades en memoria,
- sandboxing en memoria y en dispositivos de red,
- despliegue de mecanismos de deception que hacen que se revelen actividades maliciosas que de otra forma podrían pasar inadvertidas durante largo tiempo,
- antivirus y reputación,
- análisis de comportamiento,
- hardening del sistema operativo y las aplicaciones
Todo ello dentro de un único agente de alto rendimiento que ha obtenido la puntación más alta en los Passmark Performace Tests para Enterprise Endpoint Protection tanto para Windows 7 (puntuación de 62) y para Windows 10 (puntuación de 65) y que además ha sido nombrado como líder indiscutible del Gartner Magic Quadrant for Endpoint Protection Platform, publicado por Gartner en Enero de 2018.
Ese mismo agente también puede recopilar los datos que necesita para alimentar la detección y respuesta del endpoint (EDR) a través de consolas de Symantec y de terceros.
Al mismo tiempo, estas nuevas técnicas de detección de amenazas se combinan con otras tecnologías de probada eficacia y bien establecidas, como el Firewall de puesto de trabajo, el IPS de puesto de trabajo, el control de aplicaciones, o el control de dispositivos.
En definitiva, uno de los criterios de selección para plataformas EPP que deben tener en cuenta los responsables de seguridad es el impacto en el rendimiento que tendrá la solución elegida pues, como decíamos al inicio de este artículo, si el software de protección del endpoint es engorroso, si ralentiza el rendimiento del dispositivo o frustra al usuario, entonces no importa cuán innovadora sea la tecnología de protección los usuarios la rechazarán o terminarán forzando a los administradores de IT a desactivarla (si es que no tiene la opción de desactivarla ellos mismos).
En Symantec hemos entendido esta necesidad perfectamente y hemos encontrado el equilibrio perfecto entre maximizar los mecanismos de protección de una EPP y minimizar su impacto en el rendimiento de los endpoints. Gracias a este equilibrio, D las organizaciones ya no necesitan instalar y administrar múltiples agentes de punto final para prevención, detección y respuesta. Con las tecnologías consolidadas de la plataforma de EPP de Symantec, los responsables de seguridad pueden cosechar el enorme beneficio de la protección de última generación, a la vez que mejoran la experiencia del usuario, reducen la carga de trabajo de los administradores de TI y disminuyen el TCO, liberando más recursos y energía para centrarse en combatir a los malos.
Symantec