…ya no es lo que era…
…ya no es lo que era…
A pesar que no pasaron tantos años, muy lejos estamos de los viejos y tradicionales antivirus.
Muy lejos de la época en que era suficiente tener un buen antivirus actualizado en las estaciones de trabajo para tener un nivel de protección adecuado.
Hoy el nivel de amenazas es tan sofisticado, que los antiguos antivirus ya no funcionan y los sistemas de protección se vieron obligados a evolucionar. De hecho, hoy evolucionaron también los conceptos, y ya no protegemos estaciones de trabajo o servidores, protegemos endpoints.
Y qué es un “endpoint“? es cualquier dispositivo con capacidad conectarse, emitir y recibir paquetes en una red TCP/IP. El término puede referirse a servidores, desktops, laptops, teléfonos inteligentes, tablets, thin clients, impresoras o cualquier otro hardware especializado, como terminales POS, ATMs, ATSs, dispositivos IoT.
El objetivo de la mayor parte de los ataques a los sistemas es comprometer al blanco y obtener accesos que, finalmente, resulten en la pérdida o exposición de un recurso o un conjunto de datos. A pesar de los múltiples niveles de protección, los atacantes tienen a su disposición una gran cantidad de técnicas y herramientas que les permiten pasar desapercibidos y obtener el acceso que buscan.
Un atacante que quiere ingresar a un sistema de forma indebida, debe completar una secuencia de eventos para robar información o ejecutar malware. Casi todos los ataques se basan en comprometer un endpoint. Aquí es donde el viejo antivirus se ve reemplazado por la Protección Avanzada de Endpoints (AEP), cuyo objetivo es el de interrumpir un ataque antes de que pueda comprometer al endpoint. Hoy en día, los mejores AEP combinan múltiples métodos de prevención como el aprendizaje automático, la inteligencia artificial, el reconocimiento de patrones o algoritmos predictivos para detectar y bloquear malware y para contener actividades sospechosas.
Si bien cada vendor hace sus propias definiciones, se puede decir que los sistemas AEP se pueden dividir en tres tipos:
EDR
Endpoint Detect and Response (Detección y respuesta en endpoints)
Esta tecnología está diseñada para desarrollar funciones de monitoreo continuo y respuesta a amenazas avanzadas.
Los sistemas EDR se diferencian de otras plataformas de protección, como antivirus y anti-malware, en que el objetivo principal, al contrario que sus abuelos… es detener las amenazas en la fase de pre-infección. Los EDR se centran en proveer visibilidad completa de los endpoints. De esta forma, brindan la información necesaria para ayudar a los analistas de seguridad a descubrir, investigar y responder a las amenazas más avanzadas. También ayudan en las campañas de ataque más amplias que se extienden a través de múltiples endpoints. Los EDR más avanzados poseen componentes de inteligencia artificial que les permiten tomar decisiones en forma automática disminuyendo la intervención humana y, por lo tanto, los riesgos, los errores y un nuevo problema fundamental presente en muchos operadores de diversos tipos de sistemas: la Alert Fatigue o Fatiga al recibir alertas en forma constante.
Las características que incluyen la mayoría de las soluciones EDR son:
- Capacidad de detectar y prevenir procesos de exploit ocultos que son más complejos que una simple firma o patrón y evaden el AV tradicional.
- Inteligencia en amenazas
- Visibilidad en todos los endpoints, incluidas aplicaciones, procesos y comunicaciones, para detectar actividades maliciosas y simplificar la respuesta a incidentes.
- Automatización de alertas, así como respuestas defensivas o desactivación de procesos específicos cuando se detecta un ataque.
- Capacidades forenses, ya que una vez que el atacante está adentro, se necesita la habilidad de investigar detalladamente sus actividades para poder entender sus movimientos y minimizar el impacto de la intrusión.
- Recolección de datos para construir un repositorio utilizado para el análisis
EPP
Endpoint Protection Platform (Plataforma de Protección de Endpoints)
Según la definición de Gartner, una EPP es una solución distribuida sobre múltiples dispositivos endpoints para prevenir ataques de malware basados en archivos, detectar actividades maliciosas y proporcionar capacidades de investigación y reparación necesarias para responder a incidentes de seguridad y alertas dinámicas.
Las capacidades de detección pueden variar, pero las soluciones avanzadas utilizan múltiples técnicas de detección, desde IOCs (Indicators Of Compromise=Indicadores de Compromiso) estáticos hasta análisis de comportamiento.
Una característica distintiva es que la mayoría de las soluciones de EPP se gestionan principalmente en la nube. Esto permite la supervisión y recopilación continuas de datos. junto con la capacidad de realizar acciones de reparación remotas. Esto es posible tanto si el endpoint se encuentra en la red corporativa como fuera de la oficina. Además, estas soluciones están asistidas por datos en la nube, lo que significa que el agente del endpoint no tiene que mantener una base de datos local de todos los IOCs conocidos, sino que busca en la nube para encontrar los datos sobre objetos sospechosos que no puede clasificar.
NGAV
Next Generation AntVirus (Antivirus de Próxima Generación)
Estos productos son, como su nombre lo indica, una generación avanzada de antivirus. Es decir que a las características y funciones que contienen los antivirus actuales, agregan funcionalidades avanzadas. Tal como está descripto en ese artículo, las funciones que los NGAV agregan a los AV tradicionales son:
- Contención de exploits de modo de evitar que un exploit se ejecute en el endpoint.
- Inteligencia en amenazas
- Creación y mantenimiento de listas blancas de aplicaciones permitiendo solo a ciertas aplicaciones aprobadas ser ejecutadas en el sistema.
- Utilización de la característica de micro virtualización de los procesadores Intel para evitar que el proceso se ejecute directamente.
- Inteligencia artificial que adapta al agente o conjunto de agentes en una red a adaptarse a los cambios del mismo modo que lo haría una persona.
- Recolección de información forense para efectuar análisis post-infecciones.
Si bien estas nuevas características son muy avanzadas, la simple inclusión de éstas dentro de los motores antivirus tradicionales no agregan mejoras considerables al sistema final de protección.
Dado que todas estas características son en cierto modo similares y se encuentran mezcladas, en la siguiente tabla se puede ver un comparativo de los tres grupos de soluciones, comparadas con el antivirus tradicional:
La empresa NSS Labs, una de las empresas independientes más confiables a la hora de analizar productos de ciberseguridad, creó el grupo de pruebas de AEP y presentó sus resultados en la conferencia RSA de 2018. Allí es posible observar las conclusiones de las mediciones y pruebas de algunos de los productos del mercado.
Mucho han evolucionado los sistemas de protección desde los viejos antivirus. El cambio se produjo tan rápido, que mucha gente todavía no tomó conciencia de su existencia. Por eso, tal vez, sea muy curioso escuchar todavía hablar a reconocidos expertos en los medios, recomendando a la gente respecto a que una de las principales medidas de seguridad a la hora de proteger nuestros sistemas es la de: “tener un buen antivirus”…
Pero como acabamos de ver… mi viejo antivirus ya no es lo que era…
Nota por Carlos Benitez