Guía de Buenas Prácticas para la Puesta en Marcha de Advanced EPDR/EDR

Identifica los equipos y dispositivos físicos y virtuales de macOS, Android, iOS, Windows o Linux que quieres proteger con Advanced EPDR/EDR.

• Asegúrate de que los equipos y dispositivos que quieres proteger cumplen los requisitos mínimos de instalación. Para obtener información sobre los requisitos, consulta Requisitos de instalación.
• Cytomic requiere acceso a varios recursos alojados en Internet. Debes asegurarte de que estas URLs y Puertos están abiertos para permitir la comunicación con los servidores de Cytomic.

Cuando el software cliente se instala en el equipo o dispositivo, se le aplica la configuración de seguridad del grupo al que pertenece. Durante la instalación, se selecciona un grupo de destino para el equipo con la configuración de red necesaria.

¡IMPORTANTE!

• No se puede modificar la configuración por defecto.
• Puedes copiar la configuración por defecto y modificarla o crear una nueva que se adapte a tus necesidades específicas.
• Las configuraciones se heredan a todos los dispositivos dentro de un grupo, pero también puedes configurar excepciones para dispositivos específicos o subgrupos.
  Más información aquí.
• Los ajustes varían para Cytomic EDPR/EDR. Si no ves una configuración en la interfaz web, no es compatible con tu producto.

Te recomendamos que configures la organización de los grupos y que definas las políticas y ajustes que desees antes de desplegar el software cliente.

1. Grupos
   Define la estructura de grupos de su red, por ejemplo, por departamento o ubicación, configure las políticas necesarias y establezca si desea utilizar el árbol de Active Directory o si prefiere tener grupos estáticos. Para más información sobre los diferentes tipos de grupos, e instrucciones específicas, consulta Cómo crear grupos de equipos y dispositivos.
2. Configuración de red
   Configura las opciones de red necesarias para especificar el idioma del software Cytomic instalado en los ordenadores y dispositivos o para definir el tipo de conexión a Cytomic Cloud con proxies y añadir ordenadores caché que actúen como repositorios de archivos de firmas y otros componentes. Para más información, consulta cómo configurar las opciones de proxy de red y caché.
3. Ajustes por equipo
   • Actualizaciones
     Te recomendamos que dejes activadas las actualizaciones automáticas. También puedes configurar las actualizaciones en intervalos de tiempo y establecer el reinicio.
     Cytomic despliega por fases la última versión disponible para clientes y partners, pero puedes ponerte en contacto con tu representante de ventas para solicitar una actualización de la versión.
     NOTA 1: Desde la consola web de Cytomic, selecciona el icono de la tuerca y abre las Novedades de Cytomic EPDR para encontrar la última versión disponible. Existen diferentes números de versión: Versión del producto Cytomic, Versión de la protección por plataforma y Versión del agente por plataforma.
     NOTA 2: Para saber qué versión de Cytomic tienes instalada, desde la consola web, selecciona el icono de la tuerca, y selecciona Acerca de. Puedes ver la versión instalada en cada equipo desde la pestaña Equipos.
     NOTA 3: Ponte en contacto con tu representante de ventas para solicitar una actualización de versión. Sin embargo, si lo prefieres, puedes planificar y ejecutar el proceso de actualización gradualmente en tu red. A continuación se indican algunas pautas:
     • Crea un nuevo perfil por ordenador con la opción Actualizar automáticamente Cytomic activada y asígnalo a un grupo que contenga equipos representativos de tu entorno.
     • Supervisa la actualización durante un par de semanas para asegurarte de que el proceso ha sido exitoso y las aplicaciones funcionan como se espera.
     • Realiza el despliegue de las actualizaciones del software cliente de tu red de forma progresiva. El proceso puede realizarse en 2 ó 3 fases, dependiendo de las características de tu red.
       Para más información, consulta el artículo de Buenas Prácticas para las Actualizaciones.
   • Seguridad frente a manipulaciones no deseadas
     Configura la seguridad contra manipulaciones no deseadas para asegurarte de que sólo los usuarios autorizados pueden desinstalar, desactivar o desinstalar Cytomic. Para más información, consulta Configuración de manipulación.
4. Estaciones de trabajo y servidores
   • Actualizaciones automáticas del conocimiento
     Configura las actualizaciones automáticas de los archivos de firmas. Cytomic utiliza los archivos de firmas para identificar las amenazas. El agente cliente de Cytomic descarga archivos de firmas (actualizaciones de conocimiento) para ayudar a identificar las amenazas de seguridad más recientes.
     Te recomendamos que no desactives las actualizaciones automáticas. Un equipo con firmas desactualizadas se vuelve más vulnerable al malware y a las amenazas avanzadas con el paso del tiempo. Para obtener más información, consulte Configurar las actualizaciones del conocimiento.
   • Desinstalar otros productos de seguridad
     Si quieres instalar Cytomic en un ordenador que ya tiene una solución antivirus de otro proveedor, puedes eliminar la solución actual e instalarlo.
     También puedes optar por no eliminar la solución actual, de modo que Cytomic y los productos de terceros coexistan en el ordenador. Cuando desinstales un producto antivirus de terceros, es posible que tengas que reiniciar el ordenador.
     Para ver una lista de los productos de seguridad de terceros que Cytomic desinstala automáticamente, consulta Programas desinstalados automáticamente por Cytomic.
   • Protección Avanzada
     En la configuración de Protección Avanzada de un perfil de configuración de estaciones de trabajo y servidores, puedes configurar Cytomic para detectar y bloquear programas maliciosos. Hay tres modos de funcionamiento disponibles: Audit, Hardening y Lock o modo Bloqueo. Para obtener la máxima seguridad y eficacia, recomendamos combinar la Protección Avanzada en modo Lock junto con las reglas de Software Autorizado (ver más adelante). Inicialmente, puedes configurar la Protección Avanzada en modo Hardening para poner en marcha el proceso de aprendizaje y clasificación del Zero-Trust Application Service. Después de un par de semanas, puedes cambiar el modo a modo Lock. En el modo Lock, se impide la ejecución de todo el software que esté en proceso de clasificación o que ya esté clasificado como malware.
   • Software Autorizado
     Configura los ajustes para autorizar el software o una familia de software que desees permitir que se ejecute antes de que se clasifique. Si el programa representa una amenaza, Cytomic lo bloqueará independientemente de que haya sido autorizado en la configuración. Para más información, consulta Software Autorizado.
   • Anti-exploit
     Activa la protección Anti-exploit para bloquear automáticamente los intentos de explotar las vulnerabilidades encontradas en los procesos activos en los equipos de los usuarios. Para obtener más información, consulta Configuración Anti-exploit.
5. Indicadores de Ataque
   Configura los ajustes avanzados para Informar y Bloquear RDP o Solo Informar según tus necesidades.

Revisa los artículos de la Base de Conocimiento de Cytomic para encontrar problemas conocidos y sus soluciones o workarounds antes de desplegar el software cliente.

Comprueba el estado de seguridad de la red durante un período determinado mediante paneles y listas detalladas. Puedes utilizar esta información para supervisar las amenazas a los ordenadores y dispositivos de tu red.

• Consulta el panel de control
  El panel de control de Advanced EPDR/EDR muestra una visión general del estado de seguridad de la red durante un periodo específico. Varios paneles muestran información importante y proporcionan enlaces a listados con más detalle.
• Utiliza las listas
  Los ciberdelincuentes se aprovechan de un solo equipo o dispositivo vulnerable para realizar movimientos laterales que pueden comprometer la seguridad de toda la red, por lo que es fundamental asegurarse de que todos los equipos están protegidos. La sección Mis Listas de la página Estado proporciona enlaces rápidos a listas detalladas filtradas por información específica que te ayudan a supervisar la salud y la seguridad de su red. La mayoría de los paneles tienen una lista asociada, por lo que puedes ver rápidamente la información de forma gráfica y luego obtener más detalles de la lista. Te recomendamos utilizar listas predefinidas o crear nuevas listas para supervisar los equipos desprotegidos o con protección desactualizada para prevenir ataques. He aquí algunos ejemplos de listas:
  • Protección desactualizada
  • Última conexión de equipos
  • Parches críticos pendientes
  • Errores de instalación
  • Equipos con Programas en End-of-Life

También puedes configurar los ajustes para reducir la superficie de ataque, por ejemplo:

• Restringir el acceso a determinadas categorías de sitios web
  Configura las categorías de sitios web accesibles a los usuarios para reducir el número de sitios dudosos, páginas con publicidad y portales de descarga de aspecto inocente pero peligroso (libros electrónicos, software pirata, etc.) que pueden infectar los equipos de los usuarios. Más información aquí.
• Bloquea el acceso a los pendrives y otros dispositivos externos
  Otro vector de infección muy utilizado son las memorias USB y los módems de los usuarios. Limitar o bloquear totalmente el acceso a estos dispositivos impedirá las infecciones de malware a través de estos medios. Para más información, haga clic aquí.
• Restringir las comunicaciones (cortafuegos e IDS)
  Un cortafuegos es una herramienta diseñada para minimizar la exposición a las amenazas impidiendo las comunicaciones hacia y desde programas que no son de naturaleza maliciosa pero que pueden dejar la puerta abierta al malware. Si se detecta un malware que ha infectado la red a través de una aplicación de chat o P2P, la configuración correcta de las reglas del cortafuegos puede impedir que esos programas se comuniquen con el exterior.

Refuerza la seguridad de tu red siguiendo estas recomendaciones:

• Refuerza los métodos de autenticación
  Aplica métodos de autenticación en dos pasos y fomenta el uso de contraseñas robustas en toda tu red.
  Más información aquí.
• Parchea los sistemas vulnerables y actualiza las aplicaciones obsoletas
  Actualiza los sistemas vulnerables y las aplicaciones desactualizadas con Cytomic Patch para evitar los ataques que buscan aprovechar los agujeros de seguridad. Más información aquí.
• Desinstala o actualiza los programas en fase EOL (End-Of-Life)
  El software EOL es más probable que tenga vulnerabilidades sin parchear que podrían ser explotadas por el malware. Utiliza las listas para ver los equipos en EOL o cerca de EOL y planifica la eliminación o actualización del software. Selecciona la pestaña Estado y, en el menú izquierdo Mis listas, haz clic en Añadir y selecciona las listas de programas en fase de fin de vida para gestionar el proceso de actualización.
• Cifra la información de los dispositivos de almacenamiento interno de los ordenadores
  Utiliza Cytomic Encryption para minimizar la exposición de datos almacenados en los equipos de la empresa en caso de pérdida o robo y evita el acceso a los datos confidenciales con herramientas de recuperación de archivos de las unidades eliminadas. Más información, aquí.
  Además, se recomienda utilizar el módulo TPM incluido en las placas base de los equipos o bien, actualizar su hardware para que sea compatible con esta herramienta. El módulo TPM permite evitar que los discos duros se utilicen en equipos distintos a los utilizados para cifrarlos y detectar cambios en la secuencia de arranque de un ordenador.
• Aisla los ordenadores y dispositivos en riesgo
  Puedes aislar un equipo en riesgo para bloquear la comunicación hacia y desde el ordenador. Cuando aíslas un equipo, Cytomic bloquea todas las comunicaciones, excepto las necesarias. En la pestaña Estado, selecciona Gestión de parches en el menú de la izquierda, haz clic en Ver todos los parches disponibles, selecciona un ordenador concreto, por ejemplo, y selecciona la opción Instalar o Aislar el ordenador.
• Limita las conexiones RDP
  Identifica los equipos que requieren conexión RDP y restringe su uso al mínimo.
• Programar análisis
  Puedes configurar las tareas para que se ejecuten inmediatamente o más tarde. Las tareas pueden ejecutarse una vez o repetidamente a través de intervalos de tiempo especificados. Selecciona la pestaña Tareas, haz clic en el botón Añadir tarea y selecciona la opción Análisis programado.

Configura alertas, informes y gráficos para estar al tanto del estado de seguridad de su red.

• Habilita alertas
  Configura las alertas para que se envíen al administrador de la red por correo electrónico. Define las alertas para cada usuario desde la interfaz web. El contenido de un correo electrónico de alerta varía en función de los equipos gestionados que son visibles para el destinatario. Selecciona la pestaña Configuración y haz clic en Mis alertas, en el menú de la izquierda.
• Programa informes
  Puedes enviar por correo electrónico un informe con la información de seguridad de los equipos protegidos por Cytomic. Puedes programar los informes para que se envíen diariamente, semanalmente o mensualmente en días y horas concretas. Esta opción te permite controlar de cerca el estado de la seguridad sin necesidad de que los administradores accedan a la interfaz web. Selecciona la pestaña Estado y haz clic en Informes programados en el menú de la izquierda.
• Audita las acciones de los usuarios
  Puedes ver la información de registro de las sesiones y acciones de los usuarios, así como los eventos del sistema. Selecciona la pestaña Configuración, selecciona Usuarios en el menú de la izquierda y haz clic en la pestaña Actividad.