Seguridad Integral

Guía para la adquisición de Server Protection

Brenda Facundo


Posted in Monitoreo de redes, Seguridad de endpoints, Seguridad Firewall Perimetral, Sophos Intercept X on Oct 06, 2020

Las ciberamenazas contra los servidores siguen evolucionando tanto en complejidad como en virulencia a un ritmo alarmante. Los devastadores ataques de ransomware como el WannaCry y el NoPetya han puesto de relieve la necesidad de contar con funciones antiransomware potentes.

Las vulnerabilidades sistémicas explotadas por ataques como el Spectre y el Meltdown demostraron que el control antiexploits y de aplicaciones y los instrumentos de investigación
como la EDR son clave en cualquier plan de seguridad para servidores.

Los servidores suelen ser los endpoints más valiosos de cualquier organización, por lo que es apremiante para los directores de TI seleccionar una protección altamente efectiva. Por ello el objetivo de este blog es ofrecerle asesoramiento práctico sobre funciones y características clave que debe considerar al seleccionar un producto de seguridad para sus servidores.

Entornos de servidor

En función de las necesidades de su empresa, puede que esté ejecutando servidores propios localmente, alojando sus datos en la nube pública, como Amazon Web Services (AWS), Microsoft Azure o la nube de Google, o utilizando una combinación de estas opciones. Lo que necesita como mínimo es una solución de seguridad que le permita gestionar fácilmente estos distintos despliegues de manera integrada.

Lo ideal es una solución que ofrezca ventajas añadidas, como una implementación de políticas uniforme en todos los servidores que se pueda gestionar de forma centralizada. El despliegue automatizado (por ejemplo, a través de scripts) de la protección de servidores en la nube es fundamental para que pueda incrementarse (o disminuirse) su rendimiento cuando sea necesario para ajustarse a la demanda, sin que tenga que intervenir el administrador del servidor.

Funciones y características claves del producto

La seguridad para servidores de hoy día ha evolucionado para anticiparse a las amenazas cada vez más avanzadas. Para mantener seguros sus servidores, ya sea localmente o en la nube, busque una serie de funciones que le protejan de amenazas desconocidas, ransomware, exploits y hackers:

  • Antiransomware: algunas soluciones incluyen técnicas diseñadas específicamente para impedir el cifrado malicioso de datos por parte del ransomware. A menudo, las técnicas que son específicamente antiransomware también corrigen los archivos afectados revirtiéndolos a un estado normal, por ejemplo. Las soluciones antiransomware no solo deben detener el ansomware dirigido contra archivos, sino también el ransomware de discos utilizado en los destructivos ataques wiper que manipulan el registro de arranque maestro. Y en particular en el caso de los servidores, es necesario impedir que endpoints remotos o no autorizados cifren archivos en recursos compartidos de red u otros servidores conectados.
  • Bloqueo de servidor/listas blancas/denegación por defecto: impida que aplicaciones no autorizadas se ejecuten en sus servidores creando listas blancas de aplicaciones permitidas. Los compradores deben buscar una solución que pueda identificar automáticamente las aplicaciones de confianza y que también permita la personalización por parte del usuario a fin de minimizar el tiempo y el esfuerzo requeridos para crear un conjunto de reglas seguro. Asimismo, el bloqueo y desbloqueo de un servidor no deberían implicar ningún tiempo de inactividad.
  • Antiexploits: la tecnología antiexploits está diseñada para repeler a los atacantes bloqueando las herramientas y las técnicas de las que dependen en la cadena de ataque. Por ejemplo, exploits como el EternalBlue y el DoublePulsar se utilizaron para ejecutar el ransomware NotPetya y WannaCry. La tecnología antiexploits detiene el conjunto relativamente pequeño de técnicas utilizadas para propagar el malware y perpetrar ataques, lo que rechaza muchos ataques de día cero sin haberlos visto previamente y sin necesidad de firmas. La prevención de exploits exhaustiva también ofrece protección para servidores a los que no se puede aplicar parches de seguridad rápidamente, e incluso cuando no hay parches disponibles.
  • Machine Learning: existen diversos tipos de métodos de Machine Learning, como las redes neuronales de Deep Learning, bosques aleatorios, análisis bayesianos y agrupación en clústeres. Independientemente de la metodología, los motores de detección de malware con Machine Learning deben diseñarse para detectar malware tanto conocido como desconocido sin depender de firmas. La ventajas del Machine Learning es que puede detectar malware nunca antes visto, lo que incrementa de forma óptima la tasa general de detección de malware. Las organizaciones deben evaluar la tasa de detección, el índice de falsos positivos y el impacto sobre el rendimiento de las soluciones basadas en Machine Learning.
  • Monitorización de integridad de archivos: debe proteger los datos y archivos críticos del sistema de cualquier cambio no intencionado y, de manera opcional, supervisar las ubicaciones clave de las aplicaciones. Sophos Central Server Protection supervisa y realiza un seguimiento continuo de los cambios imprevistos e inesperados para ayudar a identificar posibles infracciones de seguridad del estándar PCI DSS.
  • Control de aplicaciones: ofrece control sobre qué aplicaciones tienen permiso para ejecutarse en el servidor a fin de reducir la superficie de ataque. Lo ideal es que el proveedor filtre las aplicaciones por categoría para simplificar y acelerar la configuración.
  • Gestión centralizada: la consola debe hacer posible una gestión y una visibilidad sencillas de los entornos de servidor mixtos; por ejemplo, que permita el filtrado de todas las alertas, eventos e informes en una única vista de fácil acceso y fácil de entender.


A medida que evolucionan las ciberamenazas tanto en complejidad como en virulencia, es sumamente importante tener implementada una protección efectiva en sus servidores. Entender las amenazas y las tecnologías de seguridad clave necesarias para detenerlas le permitirá elegir la mejor protección posible para los servidores de su organización. Y esta protección debe estar diseñada con las cargas de trabajo de los servidores en mente: no basta con ejecutar una protección para endpoints que no se ha adaptado a entornos de servidor.


Déjanos un comentario: