This post is also available in: Français (Francés) Deutsch (Alemán)
Las soluciones puntuales en materia de seguridad son exactamente eso, puntuales: se centran en un único punto de intervención durante el ciclo de vida de los ataques. Aunque el porcentaje de éxito de la solución de seguridad pueda ser del 90 %, sigue habiendo una posibilidad de 1 entre 10 de que no pueda detener un ataque una vez pasado ese punto. Para mejorar las posibilidades de detener ciberataques y evitar que prosperen, las organizaciones no pueden depender de soluciones puntuales, sino que deben contar con capas de defensas que abarquen diversos puntos de interceptación. Combinar técnicas eficaces aumenta la efectividad global de las soluciones de seguridad, lo que proporciona la oportunidad de romper el ciclo de vida de los ataques en varios puntos.
A continuación, se describen tres métodos de identificación de amenazas que, usados conjuntamente, pueden evitar que los ciberataques consigan sus objetivos.
Análisis dinámico
La única herramienta que puede detectar una amenaza de día cero
El análisis dinámico permite detonar un archivo sospechoso en una máquina virtual, como un entorno de análisis de malware, y analizarlo para ver sus efectos. En lugar de confiar en las firmas para la identificación de amenazas, el archivo se califica según el efecto que provoca o su comportamiento al ejecutarlo. De este modo, el análisis dinámico puede identificar amenazas que sean distintas a lo que se haya visto hasta el momento.
Para que los resultados sean lo más precisos posible, la muestra debe tener acceso completo a Internet, igual que un endpoint normal en una red corporativa, ya que las amenazas suelen necesitar comando y control para desplegarse completamente. Como mecanismo de prevención, el análisis de malware puede prohibir el acceso a Internet y falseará llamadas de respuesta para intentar engañar a la amenaza para que dé la cara, pero este método puede ser poco fiable y no es un sustituto válido del acceso a Internet.
Los entornos de análisis de malware son identificables y el proceso es largo
Para eludir la detección, los atacantes intentarán identificar si el ataque se está llevando a cabo en un entorno de análisis de malware elaborando un perfil de la red. Buscarán indicadores que confirmen que el malware está en un entorno virtual como, por ejemplo, detonaciones a horas parecidas o realizadas por las mismas direcciones IP, ausencia de actividad de un usuario válido como pulsaciones del teclado o movimiento del ratón, o tecnología de virtualización que requiere una gran cantidad de espacio en disco. Si el atacante determina que se está ejecutando en un entorno de análisis de malware, detendrá el ataque. Esto significa que hay probabilidades de que los resultados del análisis no sean correctos. Por ejemplo, si la muestra llama al origen durante el proceso de detonación, pero se cancela la operación porque el atacante ha detectado el análisis de malware, la muestra no realizará ninguna actividad maliciosa y el análisis no identificará ninguna amenaza. Del mismo modo, si la amenaza necesita que se ejecute una versión concreta de un fragmento específico de software, no llevará a cabo ninguna actividad maliciosa en el entorno de análisis de malware.
El proceso de poner en marcha una máquina virtual, soltar el archivo en él, ver su comportamiento, anular la máquina y analizar los resultados puede tardar varios minutos. Aunque el análisis dinámico es el más caro y el que requiere más tiempo, también es la única herramienta que puede detectar de forma eficaz las amenazas de día cero.
Análisis estático
Resultados rápidos sin requisitos previos para el análisis
A diferencia del análisis dinámico, el análisis estático examina el contenido de un archivo concreto tal y como está en el disco, en lugar de detonarlo. Analiza los datos, extrae patrones, atributos y artefactos, y señala anomalías.
El análisis estático tiene mayor solidez ante los problemas que presenta el análisis dinámico. Es sumamente eficaz (solo tarda una fracción de segundo) y mucho más económico. El análisis estático sirve para cualquier archivo porque, para realizar el análisis, no existen requisitos especiales, no hay que adaptar ningún entorno ni es necesario que el archivo realice comunicaciones salientes.
Pérdida de visibilidad de los archivos comprimidos
Sin embargo, resulta bastante fácil eludir el análisis estático si el archivo está comprimido. Aunque no haya problema con los archivos comprimidos en el análisis dinámico, la visibilidad del archivo real se pierde durante el análisis estático ya que, al volver a comprimir la muestra, todo el archivo se convierte en ruido. Por tanto, apenas se obtienen resultados válidos de forma estática.
Aprendizaje automático
Nuevas versiones de amenazas agrupadas con amenazas conocidas basadas en el comportamiento
En lugar de establecer una correspondencia de patrones o detonar un archivo, el aprendizaje automático analiza el archivo y extrae miles de características. Estas características se pasan por un clasificador, también denominado vector de características, para identificar si el archivo es benigno o malicioso según identificadores conocidos. En lugar de buscar algo concreto, si una característica del archivo se comporta como algún grupo de archivos evaluado anteriormente, la máquina marcará dicho archivo como parte del grupo. Para que el aprendizaje automático sea adecuado, es necesario entrenar con grupos de veredictos positivos y negativos, y añadir datos o características nuevas mejorará el proceso y reducirá el porcentaje de falsos positivos.
El aprendizaje automático compensa las carencias de los análisis dinámico y estático. Una muestra que esté inerte, no se detone, esté inutilizada por un dispositivo de compresión, no tenga comando y control o no sea fiable seguirá siendo identificada como maliciosa por el aprendizaje automático. Si se han visto diversas versiones de una amenaza determinada y se han agrupado, y existe una muestra con características similares a las del grupo, la máquina dará por supuesto que la muestra pertenece al grupo y la marcará como maliciosa en cuestión de segundos.
Solo se pueden detectar amenazas conocidas
A diferencia de los otros dos métodos, el aprendizaje automático debe considerarse una herramienta con muchas ventajas, pero con ciertas desventajas. Es decir, el aprendizaje automático entrena el modelo basándose únicamente en identificadores conocidos. A diferencia del análisis dinámico, el aprendizaje automático nunca detectará ninguna amenaza totalmente nueva o desconocida. Si se encuentra una amenaza que no se parezca a ninguna que haya visto antes, la máquina no la señalará porque solo está entrenada para buscar más amenazas como las conocidas.
Técnicas en capas en una plataforma
Para frustrar cualquier ataque que pueda recibir, necesita más de una pieza del rompecabezas: necesita técnicas en capas, un concepto que solía ser una solución de varios proveedores. Aunque una defensa en profundidad siga siendo apropiada y pertinente, es preciso pasar de soluciones puntuales de varios proveedores a una plataforma que integre el análisis estático, el análisis dinámico y el aprendizaje automático. Estos tres métodos pueden llevar a cabo una defensa en profundidad mediante capas de soluciones integradas.
La plataforma Security Operating Platform de Palo Alto Networks se integra con WildFire, el servicio de análisis de amenazas basado en la nube, para proporcionar a los componentes una inteligencia contextual y útil sobre amenazas, lo que facilita una habilitación segura en la red, el endpoint y la nube. WildFire combina un motor personalizado de análisis dinámico, análisis estático, aprendizaje automático y análisis de hardware para proporcionar técnicas de prevención de amenazas avanzadas. Aunque muchos entornos de análisis de malware aprovechan la tecnología de código abierto, WildFire ha eliminado toda la virtualización de código abierto incluida en el motor de análisis dinámico y la ha sustituido por un entorno virtual creado desde cero. Para eludir la detección en WildFire, los atacantes deberán crear amenazas totalmente singulares, distintas de las técnicas empleadas contra otros proveedores de ciberseguridad. En el caso del pequeño porcentaje de ataques que podrían escapar a las primeras tres capas de defensa de WildFire (análisis dinámico, estático y aprendizaje automático), los archivos que muestren un comportamiento evasivo se llevarán a un entorno vacío para una ejecución de hardware completa.
Dentro de la plataforma, estas técnicas funcionan conjuntamente de forma no lineal. Si una técnica identifica un archivo como malicioso, se señala como tal en toda la plataforma para un enfoque de varias capas que mejore la seguridad de todas las demás funciones.