Por Edgar Vásquez Cruz
Actualizar la aplicación
utilizada diariamente en una empresa es una actividad que un usuario —o tal vez
el administrador— de la red empresarial decide realizar en algún momento para
aprovechar las nuevas funcionalidades de la versión reciente de algún programa
que seguramente mejorará la productividad, sin embargo, horas más tarde la red
de la compañía ha sido comprometida con un malware de los llamados zero-day o
día cero, para los cuales no hay ninguna
descripción, firma o parche.
El malware zero-day aprovecha
las vulnerabilidades que pueden existir en los nuevos programas creados por los
desarrolladores que no son capaces de prever las múltiples combinaciones
posibles de los usuarios de su código.
Descripción: Descripción:
Ataquez-Zero-Day-2014-2015.jpgDe acuerdo con el Informe sobre predicciones y
amenazas para 2016 de McAfee Labs, estos son los resultados de los ataques
zero-day ocurridos en 2014-2015:
Fuente: Informe sobre
predicciones y amenazas para 2016 de McAfee Labs
De acuerdo con el mismo
informe, existe peligro en entornos empresariales donde se utiliza la
tecnología de vinculación e incrustación de objetos (OLE)1, los cuales podrían
ser introducidos en una red empresarial de manera cifrada para evadir la
detección de amenazas.
Además, los código zero-day
tienen una tendencia a ser usados en otros sistemas, como los sistemas
incrustados, el Internet de las cosas (IoT, por sus siglas en inglés) y el
software de infraestructuras. Los sistemas en los que podrían lanzarse esos
ataques son variantes de UNIX, plataformas populares para teléfonos
inteligentes, IoT (Project Brillo y Tizen), además de bibliotecas y componentes
básicos subyacentes (Glibc y OpenSSL entre otros). En otras palabras las
herramientas de código abierto no son completamente seguras como deberían
serlo.
La detección del código
malicioso zero-day que ingresa a la red empresarial es uno de los principales
retos que enfrentan las áreas de seguridad de cualquier compañía junto con la
cantidad de operaciones que implica la protección de la red interna que
consumen esfuerzos y tiempo.
La detección de amenazas se
realiza usualmente mediante un análisis dinámico en un entorno controlado, es
decir con base en el comportamiento de los archivos, sin embargo con este
procedimiento podría no detectarse al malware capaz de activarse después de
pasar por un sandbox.
Una solución de seguridad que
sólo detecte amenazas ya no es competitiva, evalué soluciones de detección de
amenazas avanzadas que le ofrezcan:
· Análisis estático. Que vaya más allá de observar sólo el header
de un archivo y que examine a fondo el código ejecutable para realizar un
análisis integral de los archivos que pasan por un sandbox y que podrían
evadirlo si sólo se aplicara un análisis dinámico.
· Localización. Del código malicioso
avanzado mediante la filtración por varias capas, como: AV, heurística,
filtrado web, la emulación, y, al final, sandboxing.
· Generación automática de firmas. Al
igual que conjuntos de reglas para gateways y servidores de seguridad con las
que se bloquearán ataques parecidos en un futuro.
La solución de Intel Security,
McAfee Advanced Threat Defense (ATD) es capaz de realizar, además de lo
anterior, también el “arreglo” de los equipos comprometidos, en conjunto con
McAfee ePolicy Orchestrator®. ATD no
sólo resuelve problemas, sino que permite el ahorro de tiempo a los
administradores al facilitarles la operaciones de TI, al tiempo que mantiene a
salvo la red de su empresa.
Para obtener más información sobre
vulnerabilidades en entornos empresariales, visite:
http://www.intel.es/content/www/es/es/architecture-and-technology/authenticate/intel-2016-security-threats-report.html
1 Comúnmente en los documentos
creados con la plataforma Microsoft Office.
Acerca de McAfee Labs
McAfee Labs es la división de
investigación de amenazas de Intel Security y una de las principales fuentes
del mundo para investigación de amenazas, inteligencia de amenazas y liderazgo
de opinión con respecto a la ciberseguridad. El equipo de McAfee Labs de más de
400 investigadores recolecta datos de amenazas de millones de sensores a lo
largo de vectores claves de amenazas —archivos, web, mensajes y redes.
Posteriormente realiza análisis inter-vectoriales de correlación de amenazas y
entrega inteligencia de amenazas en tiempo real al punto final estrechamente
integrado de McAfee, así como contenido, y productos de seguridad de red a
través de sus servicios basados en nube McAfee Global Threat Intelligence.
McAfee Labs también desarrolla tecnologías centrales de detección de amenazas
—como elaboración de perfiles de aplicaciones, y gestión de graylist— que se
incorporan en el más amplio portafolio de productos de seguridad de la
industria.
Acerca de Intel Security
McAfee Labs ahora forma parte
de Intel Security. Con su estrategia de Security Connected, abordaje innovador
hacia la seguridad del hardware mejorada, y su McAfee Global Threat
Intelligence único, Intel Security se enfoca intensamente en desarrollar
soluciones y servicios de seguridad proactivos y comprobados que protegen
sistemas, redes, y dispositivos móviles de uso de negocios y personal en todo
el mundo. Intel Security combina la experiencia y pericias de McAfee con la
innovación y desempeño comprobado de Intel para hacer de la seguridad un
ingrediente esencial en cada arquitectura y en cada plataforma de cómputo. La
misión de Intel Security es la de brindar a todos la confianza a vivir y
trabajar con seguridad en el mundo digital. www.intelsecurity.com.
+++
No hay comentarios:
Publicar un comentario