Es probable que estés familiarizado con la prevención proactiva y la visibilidad de las mismas, pero las amenazas actuales a menudo son capaces de sortear las soluciones de seguridad tradicionales contra el malware, enmascarando su actividad. Para detectar mejor estas amenazas, los profesionales de seguridad están implementando tecnologías avanzadas de detección y protección, incluyendo, a menudo, sandboxes virtuales que analizan el comportamiento de los archivos sospechosos y revelan el malware oculto. Sin embargo, las amenazas son cada vez más inteligentes, y muchas de las técnicas de sandboxing que se utilizan, simplemente no han podido mantener el ritmo al que ha avanzado el malware. En este sentido, existen cinco áreas en las que algunas técnicas de sandboxing fallan.
Las amenazas avanzadas persistentes (APT) son una serie de procesos maliciosos, desarrollados por criminales que tienen como objetivo a una empresa o entidad específica. Estas, a menudo incluyen malware desconocido o indocumentado, incluyendo las amenazas zero-day, que están diseñadas para ser evolutivas, polimórficas y dinámicas. Además, tienen como objetivo extraer o comprometer los datos sensibles de las entidades objetivo, incluyendo la identidad, los accesos y la información de control. A pesar de que estos ataques son menos comunes que los provocados por amenazas automatizadas que tienen un objetivo más amplio, las amenazas avanzadas persistentes son un problema cada vez más serio. Así que la pregunta que la mayoría se plantean es, ¿en qué debería fijarme a la hora de seleccionar un proveedor de seguridad para ayudarme a estar a la última, pero sin necesidad de incurrir en gastos o sin incrementar la complejidad?
En primer lugar, es necesario entender la importancia del análisis previo a la infiltración.
En primer lugar, es necesario entender la importancia del análisis previo a la infiltración. Algunas soluciones de sandboxing no muestran un veredicto del análisis hasta que ya es demasiado tarde, cuando los archivos potencialmente peligrosos ya han penetrado en el perímetro de la red. Por eso, hay que asegurarse de que el sandbox permita capturar el código sospechoso y analizar su comportamiento de forma simultánea con múltiples motores, y bloquearlo hasta que haya un veredicto. Esto ofrece una visibilidad completa sobre la actividad sospechosa, al tiempo que evita las tácticas evasivas y maximiza la detección de las amenazas zero-day.
El segundo reto se refiere a la limitación en el análisis de archivos. Algunas soluciones de sandboxing están limitadas por el tipo de archivos o por el tipo de sistema operativo que son capaces de analizar. Esta es una gran preocupación ya que los atacantes utilizan archivos cada vez más sofisticados para penetrar en las redes. Algunas soluciones de sandboxing solo pueden hacer frente a las amenazas específicas para un único entorno o sistema, y a día de hoy la mayoría de las empresas y organizaciones operan con múltiples sistemas operativos como Windows, Android y Mac OSX. A la hora de buscar una nueva solución de seguridad de sandboxing es necesario asegurarse de que ésta se alinea perfectamente con el entorno de la compañía y que no está limitado a la hora de analizar archivos, sean del tipo que sean.
En tercer lugar, hay que tener muy en cuenta que las soluciones de sandboxing simples de motor único no son las adecuadas. En el pasado, eran capaces de detectar y eliminar el riesgo de un ataque, pero a día de hoy el malware está diseñado para descubrir si hay o no una sandbox virtual en el sistema y evitar así su detección, por lo que la primera generación de tecnologías de sandboxing ha quedado obsoleta. Los sistemas con soluciones de sandboxing de motor único son el objetivo principal para los atacantes y representan un blanco fácil para aquellos que usan técnicas de evasión. Además, esas soluciones de motor único crean agujeros en los sistemas de análisis. Por ejemplo, los análisis que buscan llamadas entre las aplicaciones y el sistema operativo, pueden ser menos granulares que aquellos análisis que examinan las llamadas entre el hardware y el sistema operativo, por la simple razón de que muchas de esas llamadas están ocultas entre las capas de aplicación. Muchos responsables de TI buscan evitar esta trampa desplegando múltiples tecnologías de sandboxing. Pero esto, incrementa de forma significativa la complejidad de la configuración, así como los costes y las gestiones administrativas. De hecho, una técnica mucho más efectiva es integrar capas de sandboxing multi-motor, más que desarrollar múltiples tecnologías de sandboxing.
Una técnica mucho más efectiva es integrar capas de sandboxing multi-motor, más que desarrollar múltiples tecnologías de sandboxing
El cuarto aspecto a tener en cuenta son las tecnologías de encriptación. Durante muchos años, las instituciones financieras y otras compañías que manejan información sensible han optado por el protocolo HTTPS que encripta la información que se comparte. Ahora, muchas webs como Google, Facebook, Twitter y muchas otras, están adoptando estas prácticas en respuesta a una demanda creciente de seguridad y privacidad por parte de los usuarios. A pesar de que hay muchos beneficios al usar la encriptación en Internet, también surge una tendencia que es menos positiva, ya que los hackers pueden usar esa encriptación para “esconder” malware en el tráfico cifrado que muchos firewalls corporativos no revisan.
Usando la tecnología de encriptación (SSL/TLS), o tráfico Secure Shell (SSH), los atacantes más hábiles pueden cifrar comunicaciones, controles y códigos maliciosos para evitar los sistemas de prevención de intrusiones (IPS) y los sistemas de inspección anti-malware. Estos ataques pueden ser extremadamente efectivos, simplemente porque muchas compañías no tienen la infraestructura correcta para detectarlos. Las soluciones de seguridad de red más antiguas no suelen tener la habilidad de inspeccionar el tráfico cifrado SSL/TLS, o su rendimiento es tan pobre que no resulta efectivo cuando se ejecuta la inspección.
Para terminar, las tecnologías avanzadas de detección de amenazas a menudo solo informan sobre la presencia y el comportamiento del malware. Incluso si la técnica de sandbox identifica de forma efectiva una nueva amenaza en un punto específico, puede que la empresa u organización no tenga claro como remediarla. Ya que puede no tener una forma simple y eficiente de actualizar las firmas de su firewall en toda su red. Una vez que se descubre el malware, normalmente después de que un equipo se haya infectado, el remedio recae en el equipo de TI, dejando al departamento con la ardua tarea de rastrear y erradicar el malware y solucionar los daños en los sistemas infectados. Este equipo de TI necesitará, además, crear y desplegar rápidamente nuevas firmas de malware en toda la organización para evitar ataques adicionales.
Aunque las sandboxes más antiguas tienen varios defectos potenciales, el principio en el que se basan sigue siendo válido. Con el fin de proteger a las organizaciones contra las amenazas persistentes, éstas deben asegurarse de que estas cinco deficiencias se tienen en cuenta para que la tecnología de sandboxing usada siga siendo eficaz. Esto puede implicar desarrollar una serie de acciones como aplicar un análisis basado en la nube a los archivos sospechosos, para detectar y bloquear las amenazas desconocidas fuera de la red hasta que se determine un veredicto. Las tecnologías sandbox de las empresas deben ser capaces de analizar una amplia gama de tipos de archivos en diferentes entornos operativos, independientemente del tamaño o del tipo de archivo. Además, el integrar varios motores de sandbox permitirá a las organizaciones resistir mejor las amenazas persistentes actuales, al tiempo que se reducen los costes y la complejidad.
