La seguridad retrospectiva vuelve en el tiempo de la trayectoria de los ataques
2 min read
Los atacantes no se paralizan. Evalúan constantemente los controles de seguridad vigentes y modifican sus tácticas para adelantarse a las defensas.
De hecho, antes de lanzar ataques, la mayoría de los atacantes prueban el malware con los principales productos antimalware. A medida que disminuye la eficiencia de los enfoques que utilizan listas negras, las empresas de seguridad dependen cada vez más de los análisis dinámicos basados en máquinas virtuales (VM) para exponer y estudiar el malware. Los atacantes responden adaptando sus tácticas: optan por no hacer nada o por demorar unas horas (o días) el ataque cuando se ejecuta en una VM. Suponen que el archivo evadirá la detección porque no hizo nada malicioso durante el período de evaluación. Por supuesto, una vez concluido el período de espera, el malware
pone en riesgo el dispositivo.
Lamentablemente, las tecnologías puntuales no pueden volver a analizar un archivo. Cuando un archivo se considera seguro, su estado no cambia aunque las técnicas de detección se hayan optimizado o el archivo manifieste un comportamiento de malware. Y lo que es peor, cuando el malware evade la detección, estos controles no pueden monitorear su propagación por el entorno, proporcionar visibilidad de las causas raíz ni identificar los gateways de
malware posibles (sistemas que repetidamente se infectan con malware o que sirven como ANTES DURANTE disparadores de infecciones más extensas).
El mejor enfoque es suponer que no existen medidas de detección 100% eficaces. Suponer que dichas medidas ofrecerán una protección total sobrestima la capacidad para defender los recursos críticos y subestima las capacidades de los adversarios para atacarlos. Las organizaciones deben suponer que los ataques evadirán sus defensas. Deben tener la capacidad para comprender el alcance y el contexto de una infección, contener rápidamente
el daño, y eliminar la amenaza, las causas raíz y los gateways de malware. Esta funcionalidad requiere seguridad retrospectiva.
Nuestra tecnología de seguridad retrospectiva le permite viajar en el tiempo y determinar cuáles fueron los dispositivos expuestos al malware independientemente de cuándo se identifique el archivo en riesgo. Dos características ofrecen esta funcionalidad: la trayectoria del archivo y los indicadores de riesgo (IoC). La trayectoria del archivo hace un seguimiento de cada archivo que atraviesa la red protegida y le brinda acceso a un historial completo de las acciones de cada dispositivo protegido que quedó expuesto. Los IoC usan la información
de la trayectoria del archivo para crear un patrón de comportamiento que permita buscar malware presente en el sistema pero sin detectar.
Seguridad retrospectiva
El uso de análisis continuos permite examinar constantemente el comportamiento de los archivos y rastrear los procesos, las actividades de los archivos y las comunicaciones en el tiempo a fin de comprender el alcance total de una infección, determinar las causas raíz y corregir el problema. Esto le permite mirar hacia atrás y retroceder el tiempo de los ataques potenciales. La necesidad de seguridad retrospectiva surge cuando se advierte algún indicador de riesgo, como un activador de eventos, un cambio en la disposición de un archivo o un activador de indicadores
de riesgo (IoC).
Para seguir leyendo:
– Cualquier cosa que se conecte a la red la hace vulnerable
– Cisco ha reducido de 46 a 17.5 horas el tiempo de detección de ciberataques
– Retos de la seguridad en la era de IoE/IoT