Una vez que un actor malintencionado se encuentra en un endpoint, las soluciones EDR suelen ser el único obstáculo entre él y su objetivo, ya sea desplegar ransomware, instalar malware, acceder a datos o lanzar nuevos ataques.
Como resultado, los actores maliciosos buscan constantemente formas de desactivar los productos de seguridad: escalando privilegios si es necesario para intentar eliminar procesos y servicios, ejecutando asesinos de EDR y utilizando otras muchas técnicas.
La protección contra manipulaciones, un mecanismo diseñado para impedir que los actores maliciosos interfieran con los productos de seguridad, normalmente aplicado por un controlador en modo kernel, es por lo tanto una parte fundamental de cualquier suite de seguridad, y muchos proveedores, incluido Sophos, han desarrollado alguna forma de protección.
En línea con nuestros esfuerzos anteriores por ofrecer transparencia en torno a nuestros controladores de kernel y la arquitectura de actualización de contenidos, y con nuestro compromiso con la iniciativa Secure By Design de la CISA, queremos explicar brevemente nuestra función de protección contra la manipulación y cómo funciona.
¿Qué hace la protección contra manipulaciones?
Como su nombre indica, la protección contra manipulaciones de Sophos está diseñada para impedir la manipulación del producto Sophos por parte de usuarios no autorizados o malware. Se trata de una protección adicional, pero fundamental, que se suma a lo que consideramos nuestra función principal: defender el sistema operativo y sus aplicaciones y, por extensión, a los usuarios.
La protección contra manipulaciones está habilitada de forma predeterminada; Sophos busca configuraciones seguras por defecto y la protección contra manipulaciones no es una excepción. Aunque un usuario autorizado puede desactivarla, recomendamos a los usuarios que solo lo hagan cuando necesiten cambiar la configuración local de Sophos o desinstalar un producto Sophos existente. Los valores predeterminados seguros son un principio de diseño importante, ya que no todas las organizaciones tienen el tiempo o los conocimientos necesarios para bloquear sus entornos, lo que crea oportunidades para los atacantes.
Es fundamental que solo un administrador de Sophos Central pueda desactivar la protección contra manipulaciones y que disponga de la contraseña necesaria, que se genera automáticamente en Central y a la que solo pueden acceder los usuarios autorizados con los roles de seguridad adecuados y la autenticación multifactor (MFA), como una clave de acceso o una aplicación de autenticación. Por diseño, ningún administrador local o de dominio puede anular esto ni desactivar la protección contra manipulaciones, a menos que también sea administrador de Sophos Central y disponga de la contraseña única de protección contra manipulaciones del dispositivo.
Nuestra filosofía es que los cambios en la protección contra manipulaciones y en la política de protección contra amenazas no deben ser realizados por las mismas cuentas que se utilizan para la gestión informática rutinaria. En su lugar, apoyamos la administración basada en roles, lo que permite separar la informática cotidiana de los controles de seguridad críticos.
La protección contra manipulaciones impide:
-
Cambiar la configuración del dispositivo para la protección contra amenazas, incluyendo el análisis en tiempo real, la supervisión de comportamientos sospechosos, la protección web y Sophos Live Protection.
-
Desactivar la protección contra manipulaciones.
-
Desinstalar el software del agente de Sophos.
-
Reinstalar el software del agente de Sophos.
-
Detener los procesos de Sophos.
-
Detener los servicios de Sophos.
-
Cambiar la configuración de los servicios de Sophos.
-
Eliminar o cambiar archivos o carpetas de Sophos.
-
Eliminar o cambiar claves del registro de Sophos.
Cerrar las brechas
Somos conscientes de que los autores de amenazas buscan constantemente nuevas formas de interferir con los productos de seguridad. Por ejemplo, las actualizaciones o reinstalaciones pueden provocar que las protecciones se desactiven temporalmente, lo que proporciona una brecha para que los atacantes entren y traten de desactivar los sistemas de protección contra manipulaciones. Con nuestro enfoque integrado de protección de endpoints, motores de amenazas y servicios MDR, mantenemos una visión única y completa de los ataques modernos, y la información obtenida se retroalimenta directamente al desarrollo.
Además, con todo lo que creamos, nuestro objetivo es la seguridad desde el diseño, incluidos los mecanismos de actualización y la protección contra manipulaciones. Por ejemplo:
-
No utilizamos MSI para la instalación o las actualizaciones de los endpoints. En su lugar, Sophos Endpoint con tecnología Intercept X utiliza un sistema de actualización propio diseñado para evitar la interrupción de la protección.
-
Como se ha indicado anteriormente, la protección contra manipulaciones está activada de forma predeterminada y permanece activa durante las actualizaciones, las mejoras y las degradaciones. Su protección se extiende a los procesos, los servicios, los componentes de software, los archivos de configuración, las claves de registro y la desinstalación y reinstalación no autorizadas.
-
Las actualizaciones de los componentes se producen en paralelo, y los componentes existentes se encargan de las operaciones hasta que se completa el traspaso, lo que se traduce en un tiempo de inactividad cero en la protección durante toda la actualización. Los controladores y servicios principales solo se actualizan mediante el reinicio, lo que elimina los riesgos de manipulación en tiempo de ejecución.
Sin embargo, nunca damos por sentado que nuestras defensas son perfectas. Participamos en un programa externo de recompensa por errores desde diciembre de 2017 y probamos regularmente nuestra protección contra manipulaciones mediante revisiones de ingeniería internas, equipos rojos externos e inteligencia sobre amenazas del mundo real. Esto forma parte de nuestra inversión en seguridad: mejorar continuamente las partes de nuestros sistemas que los atacantes reales podrían intentar explotar.
Conclusión
Nuestro objetivo es garantizar que toda la superficie de protección y la actualización resista la manipulación, incluso por parte de atacantes con acceso completo al sistema.
Una protección eficaz contra la manipulación debe asumir que los atacantes tienen derechos administrativos, entienden cómo funcionan tus productos de seguridad y explotarán cualquier brecha predecible. Sophos Endpoint está diseñado para resistir estos intentos sin depender de excepciones temporales o de la recuperación tras un fallo. La protección permanece activa durante todas las operaciones, incluidas las actualizaciones. Esto representa nuestro enfoque más amplio Secure by Design, en el que la integridad del sistema tiene prioridad sobre la comodidad de la implementación.
