Columbia, Maryland, 22 de agosto del 2013.— Con los años, todos hemos oído afirmaciones sobre soluciones bala de plata para resolver los problemas de seguridad. Una de las declaraciones más recientes ha sido en torno al uso de la Tecnología Sandboxing (aislamiento de procesos) para luchar contra el malware avanzado y las amenazas dirigidas.
La idea del Sandboxing es que se limite el impacto que puede tener el malware, aislando un archivo desconocido o no confiable, que lo restringe a ejecutarse en un entorno muy controlado y observarlo por comportamiento sospechoso o malicioso. La Tecnología Sandbox puede mitigar el riesgo, pero no lo elimina por completo.
Uno de los desafíos de la implementación del Sandbox como solución única para hacer frente a malware es que los atacantes, lo están haciendo su trabajo para comprender las tecnologías de seguridad, cómo funcionan, en donde se implementan y cómo explotar sus debilidades. Esto incluye la detección de Sandbox.
La cadena de ataque, una versión simplificada de la cyber kill chain (la cadena de acontecimientos que conduce hacia y através de las fases de un ataque) ilustra cómo confiar en una solución antimalware de Sandbox-único puede crear una falsa sensación de seguridad.
- Evaluar: Los atacantes comienzan con la vigilancia del malware para tener una imagen completa de su entorno. Esto abarca la red extendida que incluye también los endpoints, dispositivos móviles, escritorios virtuales, centros de datos, así como las tecnologías de seguridad implementadas, tales como el Sandboxing.
- Escribir: Con base en esta información, los atacantes crean el malware dirigido y sensible al contexto.
- Probar: Se muestra que el malware funciona como está previsto, recreando su entorno para asegurarse de que el malware evade satisfactoriamente las herramientas de seguridad colocadas anteriormente; por ejemplo detectando si se encuentra en un Sandbox y actuando de manera diferente que en un sistema de usuario o no ejecutándolo en absoluto.
- Ejecutar: Los atacantes luego navegan a través de su extensa red, ambientalmente conscientes, evadiendo la detección y moviéndose lateralmente hasta llegar a la meta.
- Cumplir con la misión: Ya sea para reunir o destruir datos, el atacante se posiciona para maximizar el éxito de la misión.
Dada la cadena de ataques, podemos ver rápidamente que los atacantes motivados y sofisticados pueden derrotar incluso varias capas de tecnologías de detección. De hecho, en las Investigaciones de Violaciones de Datos del Informe de Verizon del 2012, se encontró que en más de la mitad de los incidentes investigados tomó meses —e incluso años— para una infracción en ser descubierta. Eso es más que tiempo suficiente para que el atacante lleve a cabo la misión, elimine las evidencias y establezca un cabeza de playa para ataques posteriores.
La detección siempre será importante, pero estas tecnologías sólo escanean los archivos una vez en el punto inicial en el tiempo para determinar si son maliciosos. Si el archivo no es capturado o si evoluciona y se convierte en dañino inmediatamente después de entrar en su entorno, las tecnologías de detección dejan de ser un factor en las actividades de seguimiento del atacante.
Frustrar los ataques no puede ser sólo de detección, sino también mitigar el impacto una vez que el atacante consigue entrar. Usted necesita tomar una postura proactiva para comprender el alcance de los daños, contener el suceso, remediar y llevarlo de vuelta a las operaciones normales. Las tecnologías que permiten también el análisis continuo y la seguridad retrospectiva son ahora esenciales para derrotar el malware.
- El análisis continuo utiliza análisis de datos grandes para reunir y analizar constantemente los archivos que han entrado en la red. Si un archivo pasa a través de lo que se cree que es seguro pero más tarde demuestra un comportamiento malicioso, automáticamente usted puede ser alertado para tomar medidas.
- La seguridad retroactiva utiliza esta inteligencia de seguridad en tiempo real para determinar la magnitud de los daños, contenerla y remediar el malware. Los compromisos que hubieran pasado inadvertidos durante semanas o meses pueden ser identificados, alcanzados, contenidos y limpiados rápidamente.
Cuando se trata de defender nuestras redes de hoy en día, está claro que las soluciones mágicas e infalibles no existen. No hay día que pase que no leamos acerca de otra infracción exitosa. Los atacantes están pensando fuera del Sandbox y así debemos hacerlo también.