¿Qué comportamientos indican una actividad maliciosa?

Algunos de los indicios de actividad maliciosa en un entorno son la sincronización inusual de eventos, secuencias anómalas de acciones o un aumento del traslado de datos. A continuación se muestran algunos ejemplos concretos de comportamientos que no son muy normales y pueden llevar a detectar un ataque en curso.

• Un enlace de un archivo que parece auténtico se carga en la memoria y después carga de forma remota un script para buscar datos confidenciales que se envían al atacante.
  
  
• Se inyecta código malicioso en aplicaciones ya instaladas, como Microsoft Word, Flash, Adobe PDF Reader, un navegador web o JavaScript, para detectar vulnerabilidades que permitan ejecutar código malicioso.
  
  
• Las herramientas nativas del sistema, como Instrumental de administración de Microsoft Windows (WMI) y los lenguajes de scripting como Microsoft PowerShell, que normalmente se considerarían muy fiables, se convierten en objetivos para ejecutar scripts de forma remota.

Panorama del sector: el análisis del comportamiento es ahora imprescindible

A principios de 2016, el Instituto SANS reconoció la importancia del análisis del comportamiento en un documento técnico, «Using Analytics to Predict Future Attacks and Breaches». El autor señala en la conclusión, que «el uso de plataformas de análisis de datos más avanzadas para incorporar nuevos tipos de datos, y más tipos de datos, que se centren en una mayor visibilidad de las amenazas de red y en automatizar las acciones de detección y respuesta, puede ayudar a los equipos de seguridad ahora y en el futuro a medida que evolucionan para poder hacer frente a estos desafíos».

El futuro ya ha llegado y, en 2018, el análisis del comportamiento es esencialmente un requisito básico para la seguridad avanzada de los terminales. De hecho, en el informe del Cuadrante mágico de Gartner sobre plataforma de protección de los terminales, se consideran el aprendizaje automático y la supervisión del comportamiento como puntos fuertes de los visionarios y los líderes. El informe también señala que «los proveedores más visionarios y punteros en 2018 y 2019 serán los que utilicen los datos recopilados a través de sus medios de [detección y respuesta en los terminales] para proporcionar orientación y asesoramiento prácticos que se adapten a sus clientes».

El 17 % de las vulneraciones de 2017 se debieron a errores humanos (no a ataques maliciosos intencionados).

La respuesta: pensar en la nube

Para dar rienda suelta al análisis del comportamiento, las empresas deben aprovechar la nube y su inmenso poder computacional, su escalabilidad ilimitada y su facilidad de gestión. La nube proporciona un enfoque proactivo que combina macrodatos con potentes análisis que ayudan a adelantarse a los ataques emergentes más recientes y peligrosos.

Por ejemplo, la nube permite el análisis de transmisiones, con el que se puede supervisar la actividad normal y anómala de un terminal, y compararla con los datos históricos sin filtrar del terminal. Al analizar estos flujos de eventos y compararlos con lo que parecen normales, la nube crea un sistema de vigilancia de amenazas global que no solo detecta los ataques, sino que predice nuevos ataques nunca vistos.

Este poderoso enfoque no es posible con las soluciones de antivirus tradicionales, que se basan en firmas, pero sí lo es con el software antivirus de nueva generación (NGAV).

NGAV en la nube ofrece comunicación bidireccional con los terminales, de manera que todos los datos sin filtrar de los terminales se pueden supervisar y convertir en análisis predictivos que protegen de forma proactiva a las empresas ante ataques sofisticados.

Además, la nube ofrece las ventajas de infraestructura que la mayoría de las empresas ya están disfrutando con otro software empresarial: operaciones simplificadas y menos costosas, implementación más rápida y la tecnología más reciente e innovadora.