Sophos Central Endpoint Intercept X: La solución contra el ransomware
Miremos la realidad de frente. Hoy en día, quien se conecta a Internet con un ordenador se ve de golpe expuesto a tal cantidad de amenazas que solo puede protegerse combinando sentido común, un buen antivirus y, a ser posible, un cortafuegos con filtro web detrás de la red. Apagar el ordenador por la noche sin haberse contagiado de algún tipo de malware se está convirtiendo en todo un reto.
Desde noviembre de 2015 el tema del Ransomware ocupa titulares y, durante mucho tiempo, no existía protección técnica alguna, sino únicamente consejos y recomendaciones para los responsables de TI. Con Sophos Intercept X, Sophos ha sacado al mercado un producto que complementa vuestra solución de seguridad para endpoints existente y que puede proteger frente a ransomware, ataques de día cero (zero-day exploits) y ataques sigilosos (stealth attacks).
En este artículo dejaremos de lado los clásicos virus, gusanos y troyanos para centrarnos en lo realmente grave: el llamado ransomware (troyano de cifrado). Además, explicaremos en qué medida Sophos puede proteger frente a este tipo de malware y qué productos son necesarios.
¿Qué es exactamente el ransomware?
Imaginad que abrís, totalmente confiados, el archivo adjunto de un correo electrónico y, de repente, aparece un mensaje en pantalla indicando que vuestros datos acaban de ser cifrados y que solo los recuperaréis si pagáis un “rescate”. Pero el pago no se realiza con medios habituales como PayPal, tarjeta de crédito o transferencia bancaria, ya que las transacciones deben ser lo más anónimas posible y no dejar rastro. Como si la situación no fuera ya bastante estresante, además tenéis que bregar con bitcoins. Bastante descarado, ¿no?
Ransomware: cuando de repente os piden un rescate por vuestros datos.
El ciberdelincuente actual ha dado así con un método increíblemente eficaz para ganar mucho dinero en muy poco tiempo. El hacker, o más bien, la organización de hackers, obtiene así recursos financieros suficientes como para reinvertir parte de ellos en seguir propagando el ransomware. El riesgo de que vosotros, o incluso vuestra empresa, seáis víctimas de ello aumenta sin cesar. Pensad por un momento cuánto valor tienen los datos de vuestra empresa.
En el siguiente vídeo, Sophos explica la cuestión en 90 segundos:
El ransomware no va a desaparecer
El ransomware es actualmente el tipo de ataque más efectivo, por lo que no va a desaparecer de un día para otro. Tus propios datos quedan cifrados y, si quieres recuperarlos, tienes que pagar. No solo las empresas tienen datos: los particulares también. Nadie está a salvo. Eso sí, las empresas corren un riesgo mayor, porque muchas personas acceden a los mismos datos. Basta con que un solo empleado se infecte para que se cifre la unidad de red compartida y la actividad de la empresa quede paralizada. Para los hackers, el ransomware es una historia de éxito: mueve miles de millones. Quien no haya hecho nada hasta ahora para protegerse debería actuar cuanto antes.
¿Cómo protegerse frente al ransomware?
Cuando el tema del “ransomware” saltó a la palestra, surgieron muchas guías que explicaban a los responsables de TI qué podían hacer frente a estos criptotroyanos. Básicamente se recomendaba formar a los empleados, sensibilizarlos activamente sobre estos peligros y realizar copias de seguridad periódicas de los datos corporativos. No existía una solución de software capaz de detectar este tipo de troyanos. Los fabricantes de antivirus se vieron superados por estos troyanos tan novedosos e inteligentes, y algunos lo siguen estando a día de hoy. Sophos fue el primero en lanzar al mercado, en diciembre de 2015, Sophos Sandstorm, una solución para defenderse de Advanced Persistent Threats (APT) y malware de día cero. Al menos fue un comienzo. Si queréis protegeros frente al ransomware, os recomendamos el nuevo producto Sophos Intercept X, que, en nuestra opinión, debería instalarse en todos los endpoints.
Actualización: Mientras tanto han aparecido los nuevos productos Intercept X Advanced y Intercept X Advanced para Server.
Con Sophos Intercept X frente al ransomware
Sophos Intercept X es, desde nuestro punto de vista, sencillamente imprescindible para protegerse de forma eficaz frente a estas nuevas amenazas. Intercept X se basa en la tecnología del proveedor de seguridad SurfRight, adquirido el año anterior. El primer producto resultante de esta adquisición fue Sophos Clean. Con Intercept X esta tecnología se ha integrado también en Sophos Central y se ha ampliado con nuevas funciones. Para detectar patrones de amenazas se recurre al análisis de comportamiento, a vectores de ataque y a big data. De este modo se puede detectar malware sin depender de actualizaciones ni de firmas. La detección sin firmas ofrece además la ventaja de proteger también frente a programas maliciosos desconocidos y ataques mediante exploits de día cero.
CryptoGuard: una innovación anti-ransomware
Uno de los componentes de Intercept X es CryptoGuard. Esta función protege frente a ransomware y detecta de inmediato cuándo se están cifrando archivos. Cuando esto ocurre, bloquea el proceso de cifrado y restaura automáticamente los archivos ya cifrados, de modo que no se pierdan datos.
La función estrella: el análisis
La guinda del pastel llega al final. Imaginad que, pese a todas las medidas de protección, un malware ha conseguido introducirse en vuestra red. ¿Cómo ha ocurrido? ¿Qué dispositivos se han infectado y qué se puede hacer ahora? Todas estas preguntas las responde con todo detalle la herramienta “Root Cause Analysis” de Intercept X. Un análisis visual de 360 grados os ayuda a identificar dónde se produjo el ataque, qué partes del sistema resultaron afectadas y en qué punto podría haberse detenido. Además, se proporcionan recomendaciones de actuación para ataques similares en el futuro.
Protección adicional al antivirus existente
La oferta de paquetes antivirus es poco menos que abrumadora. Están, por ejemplo, Symantec, McAfee, Kaspersky, Trend Micro, Avira y Avast, por citar solo algunos. Es muy probable que ya estéis usando uno de estos productos. Con Intercept X no tenéis que cambiar absolutamente nada. De hecho, es lo deseable, porque Sophos Intercept X puede -o, mejor dicho, debe- instalarse además de las soluciones de seguridad para endpoints de cualquier otro proveedor, incrementando así el nivel de protección.
Intercept no es una alternativa a un antivirus, es una capa de protección adicional.
Sophos Intercept X puede utilizarse, por supuesto, junto con Sophos Central Endpoint Standard (¡NUEVO!) o Advanced, ofreciendo así una potente capa adicional de seguridad.
Gestión de Intercept X
Intercept X puede instalarse y administrarse desde la consola de gestión en la nube Sophos Central. Los administradores pueden revisar y configurar ajustes, asignar licencias, añadir nuevos endpoints y supervisar todas las actividades.
Requisitos del sistema
Intercept X funciona sin problemas junto a vuestro antivirus actual, ya sea McAfee, Kaspersky, Symantec, Trend Micro, Avira, Avast u otra solución de protección de endpoints.
Según nuestro contacto en Sophos, ya se está preparando una solución para Mac, que también se integrará en Intercept X.
Probad Sophos Intercept X ahora
Para formaros vuestra propia opinión sobre Sophos Intercept X, podéis probarlo gratis durante 30 días. Solo necesitáis una cuenta de Sophos Central.
Si aún no tenéis una cuenta de Sophos Central, podéis crear una en la página web de Sophos y probar todas las funciones, incluida “Sophos Intercept X”, gratis durante 30 días.
Si ya disponéis de una cuenta de Sophos Central y el periodo de prueba de 30 días ha expirado, podéis adquirir una licencia de “Sophos Intercept X” en nuestra tienda o bien elegir nuestra modalidad “Sophos Central Abo” y alquilar las licencias mensualmente según el modelo “Pay-As-You-Go”:
Ransomware Simulator
Si aún no os fiáis del todo del asunto y pensáis que vuestro sistema está protegido frente al ransomware incluso sin Intercept X, echad un vistazo al programa de prueba independiente y gratuito “RanSim” de KnowBe4. Con esta herramienta podéis comprobar si vuestro sistema sería vulnerable a una infección de ransomware.
