La protección contra manipulaciones es una de esas funciones de protección pero menos conocidas que trabaja silenciosamente en segundo plano. Evita que los adversarios desactiven las defensas de Sophos Intercept X Endpoint, nuestra solución EDR líder del mercado, para poder desplegar sus cargas útiles.
Recientemente, la protección contra manipulaciones saltó a la palestra cuando fue clave para que Sophos identificara y frustrara un novedoso ataque de ransomware en el que los atacantes utilizaban un controlador malicioso firmado con un certificado digital legítimo de Windows Hardware Compatibility Publisher de Microsoft. El controlador se dirige específicamente a los procesos utilizados por los principales paquetes de software de detección y respuesta de puntos finales (EDR) y tenemos la firme certeza de que está asociado con el grupo de ataque detrás del ransomware Cuba.
Crear un controlador malicioso desde cero y conseguir que lo firme una autoridad legítima es muy difícil, pero también es increíblemente eficaz porque el controlador puede llevar a cabo esencialmente cualquier proceso sin que sea cuestionado.
Prácticamente todo el software EDR es vulnerable a este nuevo controlador pero, afortunadamente, la capacidad de protección contra manipulaciones de Sophos Endpoint garantizó que el intento del adversario de desactivar nuestra protección fracasara. Esto permitió que otras tecnologías de protección de Sophos Endpoint detuvieran con éxito el ataque de ransomware. Sophos Rapid Response, nuestros expertos en respuesta a incidentes, intervinieron para neutralizar con éxito el incidente, y la investigación desencadenó una amplia colaboración entre Sophos y Microsoft para tomar medidas y hacer frente a la amenaza.
La importancia de la protección por capas
En materia de ciberseguridad, no existe una bala de plata, ni una única capacidad de protección que detenga todas las amenazas. Cada ataque combina un conjunto diferente de tácticas, técnicas y procedimientos (TTP), por lo que no existe una solución de protección única. Lo que funciona contra un ataque no siempre funcionará contra el siguiente.
Para optimizar tus defensas, necesitas una protección por capas: varias funciones de seguridad sofisticadas, cada una de las cuales desempeña su papel en la defensa contra ataques avanzados. Sophos Endpoint incluye estas capas de protección:
- Protección contra robo de credenciales que impide el acceso no autorizado al sistema
- Protección contra exploits para detener las técnicas que utilizan los adversarios
- Protección antiransomware que identifica y bloquea los intentos de cifrado maliciosos
- Y, por supuesto, protección contra manipulaciones
La combinación de múltiples capas de tecnologías de protección nos permite optimizar las defensas de nuestros clientes. Prueba de la calidad de nuestras defensas y del poder de la protección por capas es que detenemos el 99,98% de las amenazas (puntuación media de AV-TEST), y recientemente hemos obtenido puntuaciones perfectas en el informe de protección de endpoints de SE Labs.
Además, estas capas generan señales de alta calidad que los defensores de Sophos MDR, nuestro servicio gestionado de detección y respuesta 24/7 líder del mercado, pueden utilizar para identificar, investigar y responder rápidamente a las actividades de los adversarios antes de que se produzcan daños.
La protección contra manipulaciones se activa con Sophos Account Health Check
Sophos Account Health Check permite a los clientes de Sophos Endpoint EDR y protección de servidores identificar y solucionar rápidamente los problemas de configuración de sus dispositivos protegidos por Sophos. Disponible para todos los clientes que gestionan su seguridad de Sophos a través de la plataforma Sophos Central, realiza una serie de comprobaciones clave:
- Asignación de software: ¿tienen los dispositivos el software correcto asignado?
- Política de amenazas: ¿utilizan las políticas la configuración recomendada?
- Exclusiones: ¿hay exclusiones que creen una exposición significativa?
- Protección contra manipulaciones: ¿se ha desactivado la protección contra manipulaciones en algún ordenador o servidor?
Nuestra nueva función “Corregir automáticamente” permite a los equipos informáticos activar fácilmente la protección contra manipulaciones en todos los dispositivos, lo que mejora la seguridad con sólo un par de clics.
Accede a la comprobación del estado de las cuentas desde el panel de navegación principal de Sophos Central y utilice el panel intuitivo para solucionar cualquier problema.
Aunque las configuraciones recomendadas se aplican automáticamente con todas las nuevas implementaciones de Sophos, con el tiempo pueden surgir problemas al añadir y eliminar dispositivos, cambiar los miembros del equipo y adquirir distintas suscripciones de software. Recomendamos a nuestros clientes que revisen la comprobación de estado al menos cada tres meses para mantener un entorno saludable.
Dejar un comentario