¿Qué es el antivirus de nueva generación (NGAV)?

Las soluciones antivirus de nueva generación evitan todo tipo de ataques, conocidos o desconocidos, mediante la supervisión y la respuesta a las tácticas, técnicas y procedimientos (TTP) de los atacantes.

Definición de «antivirus de nueva generación» (NGAV)

El antivirus de nueva generación eleva el software antivirus tradicional a un nuevo nivel avanzado de protección de la seguridad para terminales. Va más allá de la información heurística y las firmas de programas maliciosos conocidos y basados en archivos, ya que se trata de un enfoque centrado en el sistema y basado en la nube. Utiliza técnicas de análisis predictivo basadas en el aprendizaje automático y la inteligencia artificial, y se combina con la inteligencia para la detección de amenazas con los fines siguientes:

Detectar y evitar los ataques sin programas maliciosos y sin archivos y los ataques de programas maliciosos.
Identificar comportamientos maliciosos y TTP de fuentes desconocidas.
Recopilar y analizar datos completos de los terminales para determinar las causas principales.
Responder a las amenazas nuevas y emergentes que antes no se detectaban.

Persecución de amenazas y respuesta a incidentes para implementaciones híbridas

MÁS INFORMACIÓN

Aspectos generales sobre la seguridad de VMware

VER AHORA

Por qué el software antivirus tradicional ya no funciona

Los atacantes de hoy en día saben exactamente dónde encontrar deficiencias y puntos débiles en la seguridad del perímetro de red de una organización, y conocen formas de aprovecharlos que eluden fácilmente el software antivirus tradicional. Estos atacantes utilizan herramientas de diseño sofisticado para sacar partido a las vulnerabilidades, que acaban provocando las acciones siguientes:

Ataques basados en la memoria
Lenguaje de scripts de PowerShell
Inicios de sesión remotos
Ataques basados en macros

Además, debido a que el antivirus tradicional solo se centra en las amenazas basadas en archivos de firmas o en definiciones, no logra proteger ninguno de estos entornos de las amenazas modernas que no introducen archivos nuevos en el sistema.

Sin embargo, los NGAV se centran en los eventos (archivos, procesos, aplicaciones y conexiones de red) para ver qué relaciones existen entre las acciones o los flujos de eventos en cada una de estas áreas. El análisis de los flujos de eventos puede ayudar a identificar intenciones, comportamientos y actividades maliciosos para, una vez identificados, poder bloquear a los atacantes.

Este tipo de enfoque cada vez tiene más importancia en la actualidad, ya que algunas de las organizaciones deportivas más importantes (como las grandes ligas estadounidenses de béisbol o hockey) han detectado un aumento continuo en el número de atacantes que se fijan en sus redes individuales. Los ataques están personalizados, constan de múltiples etapas y suponen un riesgo significativamente mayor. Sin embargo, las soluciones antivirus no tienen ninguna posibilidad de detenerlos.

EDR: componente fundamental de los NGAV

Gartner, según afirma en su guía «Market Guide for Endpoint Detection and Response Solutions» de 2017, ya considera la detección y respuesta en los terminales (EDR) una función de seguridad fundamental. Al combinarla con los NGAV, las empresas pueden identificar con mayor precisión las actividades sospechosas y no autorizadas, lo que evita muchos de estos comportamientos y permite que las funciones respondan a las amenazas maliciosas avanzadas y las corrijan más rápido y mejor que nunca.

Para ayudar a las soluciones NGAV a identificar las amenazas que burlan el antivirus tradicional, la EDR proporciona un enfoque integral para la recopilación de datos que, a su vez, impulsa el aprendizaje automático, el análisis predictivo y la supervisión del comportamiento con una visión completa del entorno. Juntas, estas tecnologías ayudan a las empresas a supervisar los eventos e identificar patrones sospechosos, convirtiéndolos en visualizaciones de ataques que los administradores y los equipos de respuesta pueden utilizar fácilmente.

La EDR puede ayudar a detectar hasta los cambios más insignificantes en archivos, registros y redes. Una tarea que ayuda a los equipos de seguridad a desenmascarar actividades maliciosas ocultas a plena luz del día. Llegado este punto, la EDR ayuda a los equipos de respuesta a contener las amenazas identificadas y a bloquear los ataques emergentes nunca antes vistos que, de otro modo, podrían eludir la mayoría de las soluciones NGAV.
Tasa de crecimiento del 328 % en ciberataques al mes en 2017.

Panorama del sector: ha empezado la carrera entre los atacantes y las soluciones de seguridad

Según el informe «State of Endpoint Security Risk» de Ponemon Institute:

Las empresas de software antivirus no solo compiten con los proveedores que ofrecen productos similares, sino que también compiten directamente con los atacantes. En este enfrentamiento, los atacantes tienen la ventaja.

El informe también señala que, de las organizaciones que sufrieron un ataque en los terminales que puso en peligro a su empresa, el 77 % por ciento dijeron que se trató de una vulneración o un ataque sin archivos.

Sin duda, el software antivirus no está ganando la carrera.

La respuesta: NGAV + EDR en la nube

Para dar rienda suelta a las soluciones NGAV y EDR, las empresas deben aprovechar la nube y su inmenso poder computacional, su escalabilidad ilimitada y su facilidad de gestión. Migrar la seguridad de los terminales a la nube garantiza un enfoque proactivo, en vez de reactivo, que combina macrodatos con potentes análisis que ayudan a anticiparse a los ataques emergentes más recientes y peligrosos.

Por ejemplo, la nube permite el análisis de transmisiones, con el que se puede supervisar la actividad normal y anómala de un terminal, y compararla con los datos históricos sin filtrar del terminal. Al analizar estos flujos de eventos y compararlos con los que parecen normales, la nube crea un sistema de vigilancia de amenazas global que no solo detecta los ataques, sino que predice nuevos ataques nunca vistos. Este potente enfoque no es posible con las soluciones antivirus tradicionales.

Las soluciones NGAV en la nube también ofrecen comunicación bidireccional con los terminales, de manera que todos los datos sin filtrar de los terminales se pueden supervisar y convertir en análisis predictivos que protegen de forma proactiva a las empresas ante ataques sofisticados.

Además, la nube ofrece las ventajas de infraestructura que la mayoría de las empresas ya están disfrutando con otro software empresarial: operaciones simplificadas y menos costosas, implementación más rápida y la tecnología más reciente e innovadora.

El 73 % de las empresas actuales usan dos o más nubes públicas. El entorno multinube acelera la transformación digital, pero supone más complejidad y riesgo.

VMware Cross-Cloud™ Services permite a las empresas lograr entornos multinube con seguridad y flexibilidad empresariales.

Anywhere Workspace

Plataforma de aplicaciones

Infraestructura de nube y perimetral

Gestión de la nube

Hipervisor de escritorio

Red y seguridad

Ejecute VMware en cualquier nube, entorno y lugar

En nubes híbridas y públicas

En la nube privada y la HCI

Soluciones

Por sector

Gestione su entorno multinube

Para los clientes

Para los partners

Colabore con partners en beneficio de los clientes

Herramientas y formación

Servicios

Soporte

Marketplace

Blogs y comunidades

Clientes

Eventos

Persecución de amenazas y respuesta a incidentes para implementaciones híbridas

Aspectos generales sobre la seguridad de VMware

Solo el 31 % de las organizaciones creen que las soluciones antivirus pueden detener las amenazas maliciosas

Productos y soluciones relacionados