Hay mucho de qué hablar en la industria de seguridad y entre las organizaciones sobre las amenazas que enfrentamos – malware, amenazas persistentes avanzadas, cero días, ataques dirigidos, virus, troyanos, ataques de denegación de servicio, gusanos, phishing… y la lista puede continuar. Pero no importa cómo se analice, todo se reduce a las amenazas. En concreto, hay dos tipos fundamentales de las amenazas: conocidas y desconocidas.
Las amenazas conocidas son las que sus herramientas de seguridad están diseñadas para detectar y proteger. Sin embargo, los ataques exitosos por las amenazas conocidas ocurren, y hay espacio para una mayor protección. Históricamente las defensas estáticas pierden rápidamente contacto con el medio ambiente que está destinado a proteger, lo que reduce su eficacia.
La mayoría carece de visibilidad de la red en tiempo real para estar al tanto de los cambios en el entorno de TI y ajustar defensas consecuentes, la capacidad de detectar los archivos polimórficos que cambian lo suficiente para engañar a los motores de la firma y la capacidad de compartir información con otras herramientas de seguridad.
Las amenazas desconocidas representan un reto aún mayor para los defensores. Estas amenazas sofisticadas evaden sigilosamente las detecciones, moviéndose a través de un medio para alcanzar el objetivo y establecer una ‘cabeza de playa’ para ataques posteriores. Las herramientas tradicionales de detección de punto en el tiempo, como el sandboxing que analiza los archivos en un entorno muy controlado, pueden mitigar algunos riesgos, pero simplemente no pueden – continuar rastreando los archivos para detectar retrospectivamente, entender y detener las amenazas que aparecen inicialmente para estar seguros, pero más tarde muestran un comportamiento malicioso.
Como profesional de la seguridad informática es su trabajo proteger a su organización contra los dos tipos de amenazas. Si bien es un reto, no es insuperable. Tres tecnologías avanzadas pueden hacer que los sistemas de prevención de intrusiones (IPS) sean más inteligentes y tengan una protección más eficaz contra malware: La conciencia contextual, análisis de grandes volúmenes de datos e inteligencia de seguridad colectiva – todos trabajando juntos.
• Conciencia contextual. Las redes extendidas actuales incluyen los puntos finales, dispositivos móviles y entornos virtuales y centros de datos. Los atacantes a menudo saben más sobre estas redes que los propietarios de la red y lo utilizan para su propio beneficio. Para que las herramientas de seguridad sean eficaces, deben tener plena conciencia contextual del entorno dinámico que protegen. Considere las tecnologías que ofrecen visibilidad continua y total en todos los dispositivos, las aplicaciones y los usuarios en una red, así como un mapa de la red hasta al último minuto, incluyendo perfiles en las aplicaciones de cliente, sistemas operativos, dispositivos móviles e infraestructura de red – física y virtual. Algunas soluciones inteligentes de seguridad utilizan los datos relacionados con su entorno y la automatización específica para ayudarle a tomar decisiones de seguridad más informadas y oportunas. La visibilidad de actividad de los archivos es igualmente importante – conociendo la herencia del archivo, el comportamiento, y la trayectoria de red proporciona un contexto adicional, o como indicador del compromiso, que ayudan a determinar las intenciones maliciosas, el impacto y acelerar la recuperación.
• Análisis de Grandes Datos. La seguridad se ha convertido en un problema de grandes datos. Usted necesita tecnologías que aprovechen el poder de la nube y sofisticados análisis de grandes conjuntos de datos para ofrecer la información que necesita para identificar las más avanzadas amenazas muy concretas. El almacenamiento rentable prácticamente ilimitado y poder de procesamiento de la nube le permite almacenar y controlar la información sobre los archivos desconocidos y sospechosos en toda su entorno de TI y más allá. Herramientas de seguridad que utilizan un modelo de telemetría para recopilar continuamente datos a través de la red extendida y luego aprovechar los análisis de datos grandes que le ayudan a detectar y detener el comportamiento malicioso, incluso después de que una amenaza ha pasado por las primeras líneas de defensa. Este nivel más profundo de análisis identifica las amenazas basadas en lo que hace el archivo, no es lo que parece, lo que permite la detección de nuevos tipos de ataques desconocidos.
• Inteligencia de Seguridad Colectiva. Para identificar las amenazas más ocultas, hay fuerza en los números. Los archivos individuales no deben analizarse en un vacío – se requiere inteligencia de seguridad colectiva habilitada por la nube. Busque las tecnologías de seguridad que se pueden extraer de una amplia comunidad de usuarios para recolectar millones de muestras de archivos y separar archivos benignos y la actividad de red de maliciosos basados en la última información sobre las amenazas y los síntomas se correlacionan de compromiso. Yendo un paso más allá, esta inteligencia colectiva se puede convertir en la inmunidad colectiva al compartir las últimas informaciones y protecciones en toda la base de usuarios.
Los atacantes han aprendido a buscar y anticipar las lagunas en la protección y evadir la detección. Con una visibilidad en tiempo real, análisis de grandes datos e inteligencia de la comunidad para conectar tecnologías tradicionalmente dispares es lo que se necesita para defender las redes modernas de los ataques modernos.
Para proteger más eficazmente a su organización contra amenazas conocidas y desconocidas IPS y la protección de malware deben trabajar juntos, de una manera continua, para asegurar las redes, puntos finales, las máquinas virtuales y los dispositivos móviles.
– Rafael Chávez
Rafael Chávez, Regional Sales Manager de Sourcefire de Cisco México.
