QUÉ ES UN NGAV?
Como sus siglas en inglés lo indican, NGAV (Next Generation AntiVirus) hace referencia al software antivirus de siguiente generación que ayuda a detectar, prevenir y responder a la mayoría de nuevas amenazas y ataques cibernéticos a los que los dispositivos finales (endpoints) de los usuarios están expuestos, si bien lo hemos comentado en artículos anteriores, el perímetro por la pandemia cambió y ahora los usuarios exponen datos empresariales a redes inseguras como las del hogar, lugares públicos, hoteles, cafeterías, etc.
¿QUÉ BENEFICIO OBTENGO AL ADQUIRIR ESTE TIPO DE SOFTWARE?
Los beneficios dependerán proporcionalmente de la buena configuración de la herramienta y de permearla a lo largo y ancho de la organización, entre los beneficios más comunes destacan:
1. Protección anti-ransomware (secuestro de información).
2. Monitoreo constante de amenazas a través de diversos métodos de análisis y AI (Inteligencia Artificial).
3. Monitoreo centralizado de todos los equipos de la organización.
4. Capacidad de aislamiento de un equipo en específico ante un ataque.
5. Capacidad de reacción y remediación automatizada a través de la funcionalidad EDR (Endpoint Detection and Response).
LA FUNCIÓN DEL EDR
La principal función del EDR es su capacidad de generar un monitoreo constante del equipo del usuario desde un punto de vista integral, es decir, es capaz de monitorear en tiempo real recursos como: eventos de los usuarios, eventos de RED, procesos, memoria, BIOS (Basic Input Output System), archivos, e-mails, etc. Esto es lo que genera en conjunto con las técnicas de análisis que emplea cada marca una solución de alto valor empresarial por su sencilla administración, poca o nula intervención del usuario, ya que dicho software tiene la capacidad de auto remediación sin la intervención de los usuarios, esto ayuda en demasía a la prevención del cifrado de archivos y diversos ataques de exploits y APT’s (Advanced Persistent Threats o Amenazas Persistentes Avanzadas), y todo esto sin que el usuario o el administrador de la solución requieran un alto conocimiento tecnológico.
TOP 10 DE RECOMENDACIONES PARA ADQUIRIR E IMPLEMENTAR UN NAGV CON EDR
1. Analiza los recursos y versiones del sistema operativo de tus equipos y valida si el software en cuestión es compatible con todo tu ambiente.
2. Crea políticas con base en las necesidades de protección versus funcionalidad y en la medida de lo posible, activa las opciones que no permitan al usuario final modificar o desinstalar dicho software.
3. Valida el costo-beneficio de los diversos modelos de licenciamiento que mejor encaje en su organización, existen modelos de compra por año, por tres años, rentas mensuales, etc.
4. En la medida de lo posible, no desactives funcionalidades de las soluciones, ya que hay una relación entre varias funciones y al desactivar una opción, puedes afectar a más de una funcionalidad.
5. Programa los escaneos en tiempos muertos o de baja carga para la organización o el usuario.
6. Implementa en un orden lógico de exposición del activo, es decir inicia con los activos más importantes de tu organización y genera un plan rápido y eficaz de implementación.
7. No dejes equipos fuera de la implementación sólo porque pienses que no son importantes, ya que éstos pueden tener interconexión con tu RED principal y poseer diversas vulnerabilidades.
8. Si te es posible retroalimenta o envía los logs generados por tu NGAV a un NGFW (Next Generation Firewall o Firewall de siguiente generación) o a un SIEM (Security Information and Event Management o Correlacionador de Eventos de Seguridad).
9. Genera respaldos de forma constante de tu infraestructura, un NGAV no es una bala de plata ante el ransomware ni garantiza el 100% de protección.
10. Capacita y concientiza a tu personal sobre los beneficios y casos de uso de estas nuevas tecnologías y de las amenazas cibernéticas a las que día a día están expuestos sus equipos.