Cuando apareció el malware informático por primera vez a finales de los años 80, sobre todo el infame Morris Worm, el daño infligido dio lugar al nacimiento de la industria de la seguridad cibernética. En aquellos primeros días, la seguridad cibernética significaba bastante un software antivirus (AV).

Desde su debut, AV se ha basado principalmente en la detección de firmas de malware ya identificado para evitar que los archivos mal conocidos se ejecuten..

En los últimos 25 años, el software antivirus fue la primera y, a veces, la única defensa utilizada por muchas empresas en un esfuerzo por proteger sus computadoras y la información crítica sobre ellas de los efectos cada vez más devastadores del malware..

AV funciona al realizar exploraciones periódicas de puntos en el tiempo en puntos finales específicos o componentes del sistema. Lo mejor que la mayoría de estas soluciones pueden ofrecer es una visión parcial, y generalmente ex post facto, de lo que ya ha ocurrido..

Sin embargo, el tiempo es un factor crítico para detectar y prevenir amenazas avanzadas. Con un sistema basado en escaneo, hay un "tiempo de permanencia" significativo durante el cual el malware es residente y activo. Incluso si una exploración lo detecta, la pregunta es cuánto tiempo ha estado en el sistema y qué ha estado haciendo desde que llegó.?

Incluso si el tiempo de permanencia no es largo, a menudo es lo suficientemente largo para que un ataque cibernético avanzado tenga consecuencias peligrosas. Todo lo que necesita el atacante es tiempo suficiente para marcar y obtener instrucciones sobre cómo llegar a otro lugar dentro de su sistema, mientras implementa estrategias que le impiden detectar el malware..

Entonces, el problema con el método antivirus basado en escaneo es que los creadores de malware avanzado en realidad no usan el software existente con firmas conocidas para desatar su caos..

Sofisticados actores de amenazas.

Estos sofisticados actores de amenazas emplean a algunos de los desarrolladores de software más talentosos del planeta para llevar a cabo ataques cibernéticos y su misión es alcanzar sus objetivos con un software único que nunca se ha visto antes de los ataques de día cero: interrumpir a las empresas y los gobiernos mediante el robo dinero, datos y otra información confidencial y, en general, causando estragos.

Para combatir de manera efectiva los ataques avanzados de hoy en día, las empresas necesitan visibilidad en tiempo real en cada punto final y servidor que está "siempre encendido" con un monitoreo continuo que le permite ver cada evento a medida que ocurre. Los análisis y las instantáneas en un momento dado crean brechas en la visibilidad que lo dejan vulnerable.

Debe ver los eventos sospechosos en el contexto de lo que está sucediendo en todos sus puntos finales, en lugar de como casos aislados en puntos finales individuales. Para hacer eso, necesita una solución que pueda monitorear:

  • La llegada y ejecución de cada archivo con código ejecutable (programas, scripts, etc.)
  • Todos los recursos críticos del sistema (memoria, procesos, etc.)
  • Cambios en el registro del sistema
  • Dispositivos USB
  • Archivos críticos

Y para ser efectiva, la visibilidad debe ser en tiempo real y continua, ya que la mayoría de los programas maliciosos hacen su daño en menos de un cuarto de hora y luego se transforman o eliminan. Necesitas saber que es residente y correr ahora mismo..

Por ejemplo, si Adobe Acrobat o Microsoft Excel generan un ejecutable desconocido en su computadora, es probable que sea malicioso. Los archivos ejecutables no deben tener extensiones JPEG o PDF, y los procesos nunca deben quedarse sin su papelera de reciclaje.

Visibilidad en tiempo real y monitoreo continuo

Una de las principales deficiencias de los enfoques de seguridad tradicionales es que la mayoría de las víctimas solo saben que han sido violadas y que se han dañado o robado datos valiosos después de que el perpetrador abandonó el edificio virtual.

Entonces, en lugar de trabajar para prevenir ataques empleando visibilidad en tiempo real y monitoreo continuo para prevenir ataques, las empresas que confían en el antivirus tradicional como su principal método de seguridad pasan la mayor parte de su tiempo tratando de determinar la magnitud del daño causado por un ataque y averiguar cómo remediarlo.

La conclusión es que los ataques ocurren en tiempo real. Así que la seguridad también tiene que suceder en tiempo real. La seguridad debe ser invertida y ser proactiva en lugar de reactiva..

Si no es así, las empresas quedarán atrapadas para siempre en su propia versión de la película Groundhog Day, reviviendo el dolor causado por los ataques de día cero y dirigidos que evitan fácilmente las soluciones de seguridad tradicionales una y otra vez. Y otra vez.

  • Harry Sverdlove, Director de Tecnología de Bit9, se basa en casi dos décadas de diseño y análisis de aplicaciones con empresas de TI líderes en la industria para agregar una nueva capa de experiencia técnica y visión estratégica a la Plataforma de seguridad basada en Trust de Bit9.