La protección de endpoints es un componente necesario de una estrategia de seguridad multicapa, que puede incluir seguridad de correo electrónico, firewalls, detección de intrusiones, gestión de contraseñas, SEIM, SOAR, EDR y más. Idealmente, estos sistemas trabajan en conjunto para dificultar cada vez más que los ciberdelincuentes accedan sin autorización a una organización sin ser detectados.

La protección de endpoints se encarga específicamente de evitar que ocurran ataques maliciosos en su equipo. Tradicionalmente, esto consistía en identificar y aislar software malicioso como gusanos informáticos, virus, ransomware y otros ejecutables no deseados. En el constante juego del gato y el ratón entre las ciberamenazas y las defensas diseñadas para detenerlas, el software malicioso (o malware) ha adoptado diversas estrategias de evasión sofisticadas para eludir la detección, como:

• Implementar retrasos en el sandbox para evitar la detección en un entorno de máquina virtual (VME) o sandbox, especialmente aquellos que están automatizados o que solo operan durante un tiempo limitado.

• Ofuscación de código, que utiliza diversas técnicas para dificultar la comprensión del código y ocultar su propósito.

• Técnicas de "Living off the Land", en las que los atacantes aprovechan herramientas y procesos de confianza preexistentes para llevar a cabo actividades maliciosas mientras evaden la detección.

  
  

La protección de endpoints ha evolucionado a la par de estas estrategias, y un enfoque ampliamente adoptado consiste en supervisar todos los procesos para buscar actividad indicativa de intenciones maliciosas. ¿Qué es una intención maliciosa?, se preguntará. Manipular muchos archivos (moverlos, añadirlos, eliminarlos o cifrarlos) de forma inusual o inapropiada es un buen ejemplo genérico.

El problema con la detección basada en la actividad o el comportamiento es que existe una zona gris donde no está 100 % claro si un proceso es malicioso, y esta zona gris puede generar falsos positivos. Si se erra demasiado en la seguridad, se obtienen más falsos positivos. Si se erra en la dirección opuesta, se corre el riesgo de pasar por alto alguna actividad maliciosa.

El Rol de las exclusiones

Afortunadamente, los productos de protección de endpoints, incluido Emsisoft, permiten configurar exclusiones que indican al software que ignore la actividad de un proceso específico o dentro de un directorio determinado. Problema resuelto, ¿verdad? No tan rápido. Las exclusiones son útiles para afinar la detección y reducir los falsos positivos, y pueden mejorar el rendimiento del sistema. Sin embargo, si se implementan incorrectamente, pueden permitir que la actividad maliciosa se afiance y pase desapercibida. Para garantizar la máxima seguridad, una regla de exclusión debe ser lo más específica posible, ya que una regla muy general abre la posibilidad de que se excluya malware de forma accidental o maliciosa. Excluir una carpeta y sus subdirectorios, por ejemplo, podría permitir que el malware se ejecute libremente desde esa estructura de directorios. De igual manera, los comodines y las variables de entorno deben usarse con cuidado para desarrollar una regla lo más específica posible.

Redacción de reglas de exclusión más seguras

Cada vez que se añade una exclusión, se abre la posibilidad de que el malware pase desapercibido, por lo que queremos que las exclusiones sean lo más precisas posible. Consideremos varias maneras de crear reglas de exclusión lo más seguras y específicas posible.

• Privilegios: Es obvio, aunque también puede pasar desapercibido, que solo los usuarios con privilegios de administrador pueden agregar, modificar o eliminar reglas de exclusión.

Por qué es importante: Si alguien obtiene acceso no autorizado a un equipo, no debería ser fácil desactivar la protección. La protección de endpoints siempre debe tener una contraseña administrativa configurada, de modo que si alguien logra obtener acceso no autorizado, no pueda desactivar la protección y proceder a robar o cifrar sus datos.

• Algunos binarios nunca deben excluirse. Se sabe que algunos binarios del sistema se explotan como Binarios, Scripts y Bibliotecas de Uso Común (LoLBAS). Al usar herramientas legítimas de Windows, no es necesario usar malware, que puede bloquearse mediante la detección basada en firmas.

Por qué es importante: El uso de estas herramientas legítimas de Windows para realizar tareas maliciosas puede detectarse y bloquearse mediante la detección basada en comportamiento, pero solo si los binarios no tienen reglas de exclusión. Algunos ejemplos de LoLBINS son: cmd.exe, powershell.exe, regsvr32.exe, rundll32.exe. Consulte la lista completa aquí.

• Limite la aplicación de las reglas. Aplique las reglas al mínimo número posible de endpoints o usuarios.

Por qué es importante: Cuanto menor sea la exposición de una exclusión, menor será la probabilidad de que sea explotada. Si una aplicación es utilizada por pocos usuarios en contabilidad, por ejemplo, cree una regla de exclusión que solo se aplique a esos usuarios. Nunca se sabe qué dispositivo podría verse comprometido.

• Minimice el uso de comodines. Si bien pueden ser muy útiles, también pueden generar consecuencias no deseadas. Al igual que con otras exclusiones, los comodines deben ser lo más específicos posible. Por ejemplo:

  C:\Users\*\temp\*.exe ❌

  vs

  C:\Users\jdoe\temp\Update*.exe ✅

Por qué es importante: Aplicar el máximo detalle posible a una ruta que utiliza un comodín puede minimizar la posibilidad de que se produzcan abusos maliciosos.

• Nunca excluya unidades completas ni carpetas genéricas. Las carpetas utilizadas por muchas aplicaciones nunca deben excluirse. Algunos ejemplos de exclusión de una unidad o carpetas genéricas incluyen:

  C:\

  C:\users\username\appdata\roaming

  %temp%

  C:\Windows

Por qué es importante: Al igual que muchas aplicaciones utilizan las carpetas genéricas, también las utiliza el malware, lo que facilita su acceso.

• Excluir carpetas es útil. Excluir carpetas (pero no carpetas genéricas) puede ser más práctico que excluir archivos.

  
  

Por qué es importante: Por ejemplo, las actualizaciones de software a menudo no se pueden excluir fácilmente por nombre de archivo si estos cambian en versiones posteriores. Excluir la carpeta desde la que se ejecutan las actualizaciones puede ayudar a solucionar este problema. Por ejemplo:

c:\company\tool\version

Finalmente, al crear una regla de excepción, preste especial atención a la sintaxis, ya que un carácter mal colocado puede tener un impacto significativo.

Reflexiones finales

Configurar exclusiones es una cuestión de equilibrio: si es demasiado amplio, se corre el riesgo de dar vía libre al malware; si es demasiado estricto, se pueden generar falsos positivos perjudiciales. Al aplicar las exclusiones con moderación, mantenerlas lo más específicas posible y restringir quién puede crearlas o modificarlas, las organizaciones pueden reducir significativamente su exposición y, al mismo tiempo, mantener un funcionamiento fluido.