Las soluciones antivirus de nueva generación evitan todo tipo de ataques, conocidos o desconocidos, mediante la supervisión y la respuesta a las tácticas, técnicas y procedimientos (TTP) de los atacantes.

Definición de «antivirus de nueva generación» (NGAV)

El antivirus de nueva generación eleva el software antivirus tradicional a un nuevo nivel avanzado de protección de la seguridad para terminales. Va más allá de la información heurística y las firmas de programas maliciosos conocidos y basados en archivos, ya que se trata de un enfoque centrado en el sistema y basado en la nube. Utiliza técnicas de análisis predictivo basadas en el aprendizaje automático y la inteligencia artificial, y se combina con la inteligencia para la detección de amenazas con los fines siguientes:

• Detectar y evitar los ataques sin programas maliciosos y sin archivos y los ataques de programas maliciosos.
• Identificar comportamientos maliciosos y TTP de fuentes desconocidas.
• Recopilar y analizar datos completos de los terminales para determinar las causas principales.
• Responder a las amenazas nuevas y emergentes que antes no se detectaban.
  

Los atacantes de hoy en día saben exactamente dónde encontrar deficiencias y puntos débiles en la seguridad del perímetro de red de una organización, y conocen formas de aprovecharlos que eluden fácilmente el software antivirus tradicional. Estos atacantes utilizan herramientas de diseño sofisticado para sacar partido a las vulnerabilidades, que acaban provocando las acciones siguientes:

• Ataques basados en la memoria
• Lenguaje de scripts de PowerShell
• Inicios de sesión remotos
• Ataques basados en macros

Además, debido a que el antivirus tradicional solo se centra en las amenazas basadas en archivos de firmas o en definiciones, no logra proteger ninguno de estos entornos de las amenazas modernas que no introducen archivos nuevos en el sistema.

Sin embargo, los NGAV se centran en los eventos (archivos, procesos, aplicaciones y conexiones de red) para ver qué relaciones existen entre las acciones o los flujos de eventos en cada una de estas áreas. El análisis de los flujos de eventos puede ayudar a identificar intenciones, comportamientos y actividades maliciosos para, una vez identificados, poder bloquear a los atacantes.

Este tipo de enfoque cada vez tiene más importancia en la actualidad, ya que algunas de las organizaciones deportivas más importantes (como las grandes ligas estadounidenses de béisbol o hockey) han detectado un aumento continuo en el número de atacantes que se fijan en sus redes individuales. Los ataques están personalizados, constan de múltiples etapas y suponen un riesgo significativamente mayor. Sin embargo, las soluciones antivirus no tienen ninguna posibilidad de detenerlos.

Gartner, según afirma en su guía «Market Guide for Endpoint Detection and Response Solutions» de 2017, ya considera la detección y respuesta en los terminales (EDR) una función de seguridad fundamental. Al combinarla con los NGAV, las empresas pueden identificar con mayor precisión las actividades sospechosas y no autorizadas, lo que evita muchos de estos comportamientos y permite que las funciones respondan a las amenazas maliciosas avanzadas y las corrijan más rápido y mejor que nunca.

Para ayudar a las soluciones NGAV a identificar las amenazas que burlan el antivirus tradicional, la EDR proporciona un enfoque integral para la recopilación de datos que, a su vez, impulsa el aprendizaje automático, el análisis predictivo y la supervisión del comportamiento con una visión completa del entorno. Juntas, estas tecnologías ayudan a las empresas a supervisar los eventos e identificar patrones sospechosos, convirtiéndolos en visualizaciones de ataques que los administradores y los equipos de respuesta pueden utilizar fácilmente.

La EDR puede ayudar a detectar hasta los cambios más insignificantes en archivos, registros y redes. Una tarea que ayuda a los equipos de seguridad a desenmascarar actividades maliciosas ocultas a plena luz del día. Llegado este punto, la EDR ayuda a los equipos de respuesta a contener las amenazas identificadas y a bloquear los ataques emergentes nunca antes vistos que, de otro modo, podrían eludir la mayoría de las soluciones NGAV.
Tasa de crecimiento del 328 % en ciberataques al mes en 2017.

Según el informe «State of Endpoint Security Risk» de Ponemon Institute:

Las empresas de software antivirus no solo compiten con los proveedores que ofrecen productos similares, sino que también compiten directamente con los atacantes. En este enfrentamiento, los atacantes tienen la ventaja.

El informe también señala que, de las organizaciones que sufrieron un ataque en los terminales que puso en peligro a su empresa, el 77 % por ciento dijeron que se trató de una vulneración o un ataque sin archivos.

Sin duda, el software antivirus no está ganando la carrera.