Amenazas avanzadas demandan un nuevo abordaje para la seguridad del endpoint

Una nueva onda de malware avanzado está buscando lagunas en las defensas de los endpoints convencionales y nuevas formas de explorarlas. Esos malwares usan técnicas como criptografía y polimorfismo para mascarar su verdadera intención, alcanzando las empresas con ataques de “día-cero”, los cuales las herramientas de seguridad basadas en firma no consiguen identificar.

Esos ataques usan ejecutables ​​sofisticados capaces de reconocer cuando están siendo analizados en herramientas de sandbox ​​y, así, atrasar la ejecución. Ellos también incluyen archivos legítimos y aplicativos que aparecen limpios en la superficie, pero que contienen código malicioso embutido y accionado por gatillos posteriores.

Los responsables por la seguridad en las empresas corren contra el reloj para detectar, contener y remediar las nuevas amenazas y muchas veces no lo consiguen. Cuando varios productos de defensa de endpoint no se comunican unos con los otros, eso exige etapas extras y gran esfuerzo manual de los administradores. Muchos recursos son necesarios para filtrar tantas alertas, generadas por varias soluciones en varios puntos diferentes. Y el tiempo entre la detección y la remediación solo aumenta.

Es necesario pensar en un abordaje de seguridad diferente para aumentar la protección del endpoint. Imagine un sistema unificado, totalmente integrado, con varias capas de defensa que pudiese responder a nuevos eventos inmediatamente, sin intervención humana. En vez de depender de diversas herramientas de seguridad diferentes, usar técnicas de machine learning para parar la mayoría de las amenazas antes que ellas alcancen los endpoints.

Para contener amenazas avanzadas y de día-cero es necesario incluir análisis de estructura y comportamiento de malwares en el sistema de seguridad. Los ciber-criminosos pueden alterar el aspecto del código, pero aún será un malware. Por lo tanto, es probable que comparta muchos atributos con ataques ya conocidos, lo que torna posible analizar el código binario estático para comparar la estructura de los ejecutables sospechosos con las amenazas ya conocidas.

De la misma forma, incluso siendo desconocido, el malware va siempre a seguir cierto comportamiento. Al comparar el comportamiento real del código con perfiles de centenares de millones de muestras de malware es posible identificar y bloquear el archivo si este empieza a comportarse maliciosamente, como sustituir archivos o hacer alteraciones de registro que correspondan al comportamiento de otro malware conocido.

Con esos recursos es posible reducir las etapas manuales e interrumpir la mayoría de las amenazas antes que esas puedan damnificar el endpoint. Al usar defensas integradas y automatizadas, el resultado es un modelo en constante evolución, cada nueva amenaza detectada mejora las defensas de la organización como un todo.

 

*Bruno Zani es gerente de ingeniería de sistemas de McAfee en Brasil

Leave a Comment

seventeen − 15 =