La frase ‘conoce a tu enemigo como a ti mismo’ se cita a menudo en el mundo de la seguridad de TI. Pero con la cantidad abrupta y complejidad de los ataques cibernéticos, conocer al enemigo es una tarea enorme. Los adversarios que surgen diariamente usan una variedad desconcertante de amenazas de malware para tratar de interrumpir las operaciones o filtrar los datos confidenciales. Y las organizaciones permanecen vulnerables a los ataques de día cero dado el volumen de malware nuevo que se puede esconder a plena vista en archivos insignificantes. Por lo tanto, puede que no sepamos todo sobre todos los enemigos la tecnología de seguridad nueva puede revelar inteligencia vital que se puede usar para identificar y anular los riesgos nuevos que surgen a diario.
El crimen cibernético se ha vuelto un gran negocio y como en cualquier otro negocio, los criminales desean aumentar sus ganancias y su participación de mercado. Para incrementar la posibilidad de éxito, atacan a cientos, incluso miles de empresas. En 2012 se crearon y distribuyeron a diario un promedio de 70 mil a 100 mil pruebas nuevas de malware – más de diez veces al día que en 2011 y cien veces más que en 2006. El reporte de seguridad 2013 de Check Point reveló que 63 por ciento de las organizaciones están infectadas con bots y más de la mitad son infectadas con malware nuevo al menos una vez al día. Mantener el ritmo con este crecimiento masivo es imposible para enfoques antimalware convencionales.
Sin embargo, así como los controles de la frontera de un país usarán varios métodos para observar a la gente que ingresa al país e identificar a aquellos que son una amenaza las técnicas de seguridad nuevas han hecho posible examinar los correos electrónicos, archivos y datos que entran a una red mediante correos o como descargas web en tiempo real. Los archivos maliciosos se pueden aislar en el gateway al borde de la red o en la nube según decida la organización para evitar la infección en primer lugar – brindando una capa externa de protección contra ataques sin impactar el flujo del negocio.
Escanear para detectar malware
En el entorno virtual de la caja de arena (sandboxing), el archivo se abre y monitorea para ver cualquier comportamiento inusual en tiempo real como intentos de hacer cambios anormales de registro o conexiones de red. Si el comportamiento del archivo es sospechoso o malicioso, se bloquea y se pone en cuarentena para prevenir cualquier infección posible antes de que pueda alcanzar a la red y causar daño. En esta fase se pueden tomar más acciones para determinar y clasificar amenazas nuevas con el fin de hacer la identificación más fácil.
Construir la caja de arena
Seleccionar archivos que son sospechosos y que necesitan inspección – por ejemplo, la ruta a la caja de arena – ocurre en línea en los gateways de seguridad de la organización o en la nube, utilizando un agente junto al servidor de correo de la empresa. Se pueden escoger los archivos con tráfico codificado enviado dentro de la organización en túneles SSL y TLS, que de otra manera esquivarían muchas implementaciones de seguridad estándares en la industria.
El proceso de selección se realiza utilizando una combinación de métodos de análisis integrales y de otro tipo. Por ejemplo, si las muestras del propio archivo ya se han almacenado en el gateway o por el agente de correo electrónico, el sistema considera que el archivo puede ser parte de un intento masivo de phishing para varios empleados. Este enfoque optimiza y acelera el análisis al escoger solamente archivos sospechosos para una inspección más profunda. Cuando se escogen los archivos se suben a la caja de arena que contiene el motor de emulación el cual corre en el gateway de seguridad o en la nube.
Todo este proceso ocurre transparentemente para la mayoría de los archivos – que significa que incluso en el raro evento de que un archivo se inspeccione y se compruebe que esta ‘limpio’, el destinatario no notará ninguna pausa en su servicio de correo electrónico. La información acerca de la actividad de archivos detectados esta luego disponible para el equipo de TI en un reporte de amenazas detallado.
– Vicente Amozurrutia, Check Point