La protección de la infraestructura tecnológica en las organizaciones, se ha convertido en una prioridad, y sobre todo en la seguridad para endpoints, como el vector más débil de la empresa.
¿Qué es un endpoint?
Para Kaspersky, los endpoints (dispositivos de punto final, por su traducción del inglés), representa cualquier equipo que se encuentre conectado a la red de la empresa a través de Internet.
Esta conexión puede estar dada a través de vía cableada, inalámbrica o de fibra óptica, sin importar si el equipo es operado por un usuario o tiene autonomía de funcionamiento en la empresa.
En la actualidad, se pueden conseguir múltiples endpoints con la aplicación del IoT y el IIoT, tanto en hogares, empresas e industrias.
Entre las características específicas de estos endpoints están que poseen pequeños ordenadores con sistema operativo y software con diferentes aplicaciones.
También, muchos endpoints poseen ciertos servicios especializados como:
- Servidor web
- SSH
- FTP
- Wifi
- Bluetooth, entre otras.
Tipos de Endpoint
Sin darnos cuenta, todo nuestro entorno está conectado de una u otra forma a través de diversos endpoints conectados a una red.
Entre estos se pueden mencionar los más conocidos como computadoras de escritorio, computadoras portátiles, teléfonos inteligentes, sistemas POS, impresoras, escáneres y tabletas.
Pero existen muchos otros dispositivos que son empleados para comunicarse entre sí y compartir datos en un entorno conectado.
El portal digital de Incibe-cert, indica que estos dispositivos están cada vez más presentes en diversos entornos, ya sean en vehículos, equipos industriales, tecnologías de la salud, robótica, etc.
El uso del Internet de las Cosas Industrial (IIoT) en estos dispositivos, permite expandir su uso y mantenerlos comunicados e intercambiando información.
Es por ello que en el proceso de garantizar la seguridad para los endpoints se está comenzando a aplicar el enfoque de Security by Design (SbD, en sus siglas en inglés) como un estándar organizacional.
Este enfoque sobre la administración de los puntos finales, garantiza que todos los endpoints de la red mantengan ciertos niveles de seguridad.
Tipos de negocios con endpoints más vulnerables
A este nivel, se puede deducir que cualquier tipo de organización puede ser susceptible en su seguridad para los endpoints ante un ataque de ciberdelincuentes o un malware.
De hecho, en un estudio publicado en el portal web de Sarenet, mencionan que las principales empresas que se vieron afectadas por ataques de ransomware en sus dispositivos de punto final están en las categorías de:
hospitales, clínicas, industrias farmacéuticas, laboratorios clínicos, droguerías y farmacias.
industrias petroleras, mineras, gasiferas.
transporte, semáforos, sistema férreo y de tren, electricidad, telefonía, plantas de tratamiento de agua y represas hidroeléctricas.
call centers, servicios de ventas en línea, telecomunicaciones, educación, entre otras.
bancos, bolsa de valores, y demás entidades relacionadas.
En muchos de estos casos, los ataques de ransomware exigen seguridad especializada para los endpoints, ya que, la mayoría de los ataques se centran en estos dispositivos.
Pero determinar el negocio más vulnerable va a depender de cuántos endpoints posea la empresa, y si estos dispositivos tienen algún tipo de sistema de seguridad.
En algunos casos, se puede considerar hasta los Puntos de Venta (POS, en sus siglas en inglés) de las tiendas como un endpoint con alta vulnerabilidad.
Aunque estos POS o PdV (por sus siglas en español) pueden funcionar sin una conexión a internet, la gran mayoría está en línea con los servidores y servicios de la empresa para poder actualizar precios, inventarios y ventas de forma inmediata.
Pero más que el negocio, se debe determinar cuál es el tipo de endpoint y sus características que implicaría el grado de vulnerabilidad.
En este aspecto, Incibe-cert plantea la evaluación de las medidas de seguridad de algunos componentes de los endpoints como:
Tener instalada la configuración adecuada de la versión segura del protocolo, por ejemplo Secure DNP3 en lugar de DNP3, que mejoren la autenticación y cifrado. Usando técnicas como el fuzzing, se puede probar la implementación de los protocolos para intentar descubrir ciertas vulnerabilidades.
La disponibilidad física de las interfaces (RJ45, WIFI, Zigbee, CAN, USB, etc.) puede dar acceso al firmware del endpoint. Esta entrada debe ser controlada tanto físicamente (protección anti-tampering), así como lógicamente (deshabilitando aquellos que no sean requeridos o restringiendo acceso a usuarios identificados).
Aunque posee cierta relación al punto anterior, este se enfoca más específicamente al funcionamiento de las partes y piezas internas del endpoint. La seguridad de estos dispositivos finales en el acceso físico al mismo, consistirá en prevenir el acceso a las partes internas a través de una protección anti-tampering que bloquee física y, lógicamente, la apertura del dispositivo. En este aspecto, se pueden mencionar algunos tipos de ataques como sofisticados o laterales, donde se intenta modificar valores del endpoint a través de alteraciones en la señal del reloj del sistema o de posiciones de memoria que están cerca de algunos circuitos.
Si un hacker accede al firmware del endpoint, puede aplicar ingeniería inversa para encontrar las contraseñas almacenadas en el código, algoritmos de cifrado débiles o mal implementados. En la actualidad, este componente se puede actualizar desde la misma web directamente al dispositivo.
Algunos endpoints de uso industrial, poseen cierta capacidad de cálculo suficiente que los compara con las aplicaciones existentes en un servidor convencional. Es por ello que estos dispositivos deben ser evaluados para evitar que puedan tener instalados programas innecesarios o vulnerables.