Menu

El problema son los derechos de administrador, no el antivirus que elijas

admin rights problem

Últimamente se ha hablado mucho en Reddit y otras plataformas sobre lo fácil que es desactivar Windows Defender ATP. Los MSP están recibiendo preguntas de sus clientes sobre este tema.

Pero estas discusiones se centran en el problema equivocado.

Sí, puedes desactivar Defender ATP (pero ese no es el problema real)

Si tienes permisos de administrador en un ordenador, desactivar el antivirus es muy sencillo. Simplemente abre el Centro de Seguridad de Windows y desactívalo.

Obviamente, no es lo ideal, pero, sinceramente, ocurre lo mismo con cualquier solución antivirus.

Lo que falta en las discusiones

Esto es lo que a menudo se pasa por alto en estas conversaciones: cualquier antivirus se puede desactivar con privilegios de administrador. CrowdStrike, SentinelOne, Heimdal, Windows Defender… no importa el proveedor que uses.

En cualquier escenario de ataque, una vez que alguien tiene privilegios de administrador en el equipo, el atacante puede desactivar cualquier protección que tengas activa. Esto no es un problema de Defender. Es un problema de privilegios.

Por qué los derechos de administrador son el verdadero objetivo de los ataques

Fíjese en la reciente filtración de Marks & Spencer. Los atacantes no tuvieron éxito porque encontraron un antivirus débil que desactivar.

Usaron tácticas de ingeniería social para obtener acceso a los usuarios y, con el tiempo, fueron aumentando los privilegios gradualmente.

El patrón de ataque es siempre el mismo:

  1. Comience con una cuenta de usuario no elevada
  2. moverse lateralmente a través de la red
  3. Comprometer cuentas con privilegios elevados

Una vez que tienen derechos de administrador, pueden desactivar herramientas de seguridad, acceder a datos confidenciales e implementar ransomware.

Los derechos de administrador son lo que posibilita cualquier otro ataque. El antivirus específico en ejecución pasa a un segundo plano cuando un atacante obtiene esos privilegios.

La solución que marca la diferencia

La solución es sencilla: asegúrate de que los usuarios no tengan derechos de administrador. Incluso como administrador o fundador, no deberías tenerlos.

Una de las primeras cosas que hicimos al fundar Heimdal fue quitarme mis derechos de administrador.

¿Por qué? Porque tú, el usuario, sueles ser el mayor riesgo.

Soy un objetivo muy valioso como fundador, y si no tengo privilegios elevados, no puedo comprometer todo el sistema accidentalmente (ni mediante ingeniería social).

Si no tienes privilegios, no puedes desactivar la protección. De eso se trata.

Lo que Heimdal realmente hace al respecto

Todos los servicios de Heimdal incorporan la detección de manipulaciones.

Los clientes solo tienen que activarla y configurar las acciones de respuesta adecuadas. Pero la clave está en que, si bien la detección de manipulaciones es útil, la verdadera protección reside en una gestión adecuada de privilegios.

Nuestra solución PEDM (Administración de delegación y elevación de privilegios) aborda la causa raíz: controlar quién tiene derechos de administrador, cuándo los tiene y durante cuánto tiempo.

Se trata de detener la cadena de ataque antes de que el antivirus se convierta en un objetivo.

privileged access management solution 1024x683 1

Qué decirles a sus clientes

Cuando los clientes manifiesten inquietudes sobre la manipulación del antivirus, rediríjalos al problema real:

El problema no es tu elección de antivirus: es tu gestión de privilegios.

Cualquier herramienta de seguridad puede verse comprometida si un atacante obtiene permisos de administrador. La solución es, desde el principio, impedir ese acceso.

Haga las preguntas que importan:

  • ¿Quién en tu organización tiene derechos de administrador actualmente?
  • ¿Por qué los necesitan permanentemente?
  • ¿Cómo sabrías si esos privilegios se están utilizando indebidamente?
  • ¿Cuál es tu plan si un usuario con privilegios se ve comprometido?

Centre la conversación en los derechos de administrador, no en las marcas de antivirus.

Puede tener la protección de puntos finales más costosa y sofisticada disponible, pero si sus usuarios trabajan con privilegios de administrador, seguirá siendo vulnerable a los mismos escenarios de manipulación que preocupan a la gente con Defender.

En resumen: solucione el problema de los derechos de administrador

Las discusiones en línea sobre la manipulación de antivirus están resolviendo el problema equivocado. Debatir qué herramienta de seguridad es más difícil de deshabilitar es completamente irrelevante.

Los derechos de administrador son los que permiten la manipulación de herramientas de seguridad en primer lugar.

Elimine los privilegios innecesarios y los atacantes no podrán desactivar sus protecciones, independientemente del antivirus que utilice.

La conversación debería centrarse en implementar una gestión de privilegios adecuada, supervisar el comportamiento de los usuarios y garantizar que incluso los usuarios comprometidos no puedan acceder al control a nivel de sistema.

Eso es lo que realmente previene la manipulación, no elegir una marca de antivirus diferente.

¿Le preocupa su configuración actual de gestión de privilegios? Hable con su distribuidor para una revisión de la configuración y vea cómo se comparan los entornos de sus clientes con los vectores de ataque modernos.

Te gustaría leer

Aufiero Informática - Logo Transparente
  • Argentina: +54-11-2150-5353
  • Brasil: +55-11 5242 0742
  • Chile: +56-2-2405-3246
  • Colombia: +57 333 033 4470
  • México: +52-55-8526-3019
  • Perú: +51-1-640-9337
  • United States: +1(305)404-5229
  • Uruguay: +598 0004054432
  • ventas@aufieroinformatica.com
  • vendas@aufieroinformatica.com

Aufiero Informática® - Saltos Bajos LLC - © 2024

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle