¿Qué son las ciberamenazas desconocidas?
La mayoría de los productos de seguridad tradicionales están diseñados para actuar en función de amenazas conocidas. En cuanto ven algo que se sabe que es malicioso, lo bloquean. Para superar los productos de seguridad que bloquean con éxito las amenazas conocidas, los atacantes se ven obligados a crear algo que nunca se haya visto antes, lo que aumenta el coste de ejecutar un ataque. ¿Cómo lo hacen y qué podemos hacer para prevenir tanto las amenazas conocidas como las desconocidas?
Veamos algunos escenarios:
Amenazas recicladas
Las amenazas recicladas se consideran el método de ataque más rentable, por lo que los atacantes suelen reciclar amenazas existentes utilizando técnicas ya probadas. Lo que hace que estas amenazas recicladas sean "desconocidas" reside en la memoria limitada de los productos de seguridad. Todos los productos de seguridad tienen una memoria limitada, y los equipos de seguridad eligen las amenazas más actualizadas contra las que protegerse, con la esperanza de que bloqueen la mayoría de los ataques entrantes. Si una amenaza más antigua, no rastreada por el producto de seguridad, intenta entrar en la red, podría eludir el producto de seguridad porque no está categorizada como algo visto anteriormente.
Para protegerse contra estas amenazas "desconocidas" recicladas, es fundamental tener acceso a un guardián de memoria de inteligencia de amenazas, a menudo situado en una infraestructura de nube elástica capaz de escalar para hacer frente al volumen de datos sobre amenazas. En caso de que un producto de seguridad no tenga identificada y almacenada una amenaza concreta, el acceso a la base de conocimientos más amplia de inteligencia de amenazas podría ayudar a determinar si algo es malicioso y permitir al producto de seguridad bloquearlo.
Código existente modificado
Este método es algo más caro que las amenazas de reciclaje. Los atacantes toman una amenaza existente y realizan ligeras modificaciones en el código, ya sea de forma manual o automática, mientras la amenaza transita activamente por la red. El resultado es un malware polimórfico o una URL polimórfica. Al igual que un virus, el malware se transforma de forma continua y automática y cambia rápidamente. Si un producto de seguridad identifica la amenaza original como conocida y crea una protección para ella basada en una única variación, cualquier pequeño cambio en el código convertirá esa amenaza en desconocida.
Algunos productos de seguridad cotejan las amenazas utilizando la tecnología hashing, que genera un número totalmente único basado en una cadena de texto de tal forma que resulta imposible obtener dos hashes idénticos. En este contexto, el valor hash sólo coincide con una variación de la amenaza, por lo que cualquier nueva variación de la amenaza se considerará nueva y desconocida.
Para protegerse mejor contra estas amenazas, los productos de seguridad deben utilizar firmas polimórficas. Las firmas polimórficas se crean basándose en el contenido y los patrones del tráfico y los archivos, en lugar de en un hash, y pueden identificar y proteger contra múltiples variaciones de una amenaza conocida. El hecho de centrarse en el comportamiento, más que en la apariencia de una codificación fija, permite detectar patrones en el malware modificado.
Amenazas de nueva creación
Los atacantes más decididos y dispuestos a invertir el dinero crearán una amenaza totalmente nueva con un código puramente nuevo. Todos los aspectos del ciclo de vida de un ciberataque tienen que ser nuevos para que un ataque se considere realmente una amenaza desconocida hasta ahora.
- Enfoque en el comportamiento empresarial
Para protegerse contra estas nuevas amenazas es necesario centrarse en el comportamiento empresarial y los flujos de datos exclusivos de su empresa. A continuación, esta información puede implementarse en las mejores prácticas de ciberseguridad. A modo de ejemplo, aprovechar la segmentación con ID de usuario e ID de aplicación puede ayudar a evitar que las nuevas amenazas se propaguen por su organización y bloquear las descargas de sitios web nuevos, desconocidos y no clasificados. - Utilice la inteligencia colectiva
Ninguna organización experimentará nunca todas las amenazas nuevas, por eso es tan importante poder beneficiarse de la inteligencia de amenazas colectiva. Los ataques selectivos con amenazas desconocidas y nunca vistas pueden conocerse rápidamente gracias al intercambio global de información. Cuando se analiza y detecta una nueva amenaza en una organización, la información sobre la amenaza recién identificada puede distribuirse por toda la comunidad, implementando mitigaciones con antelación para limitar la propagación y la eficacia de los ataques.
Convertir las amenazas desconocidas en amenazas conocidas y prevenir activamente contra ellas ocurre en un entorno combinado. En primer lugar, debe predecir el siguiente paso de ataque y su ubicación. En segundo lugar, debe ser capaz de desarrollar y suministrar protección rápidamente al punto de aplicación para detenerlo.
Automatizar las protecciones
Cuando una amenaza realmente nueva entra en su organización, la primera línea de defensa es contar con las mejores prácticas de ciberseguridad específicas para la organización. Al mismo tiempo, debe enviar archivos y URL desconocidos para su análisis. La eficacia del análisis en entornos aislados depende del tiempo que se tarde en emitir un veredicto preciso sobre una amenaza desconocida y en crear e implementar protecciones en toda la organización, así como de la forma en que su entorno aislado gestione las amenazas evasivas. Su postura de seguridad debe modificarse con la rapidez suficiente para bloquear la amenaza antes de que tenga la capacidad de progresar, es decir, lo antes posible. Y para garantizar que esta amenaza no siga atravesando la red, es necesario crear e implementar automáticamente prevenciones en todos los productos de seguridad más rápido de lo que la amenaza puede propagarse.
Una encuesta reciente de SANS informó de que el 40% de los ataques tienen elementos desconocidos hasta ahora. La capacidad de detectar amenazas desconocidas y prevenir ataques exitosos define la eficacia de su implementación de seguridad. Una verdadera plataforma de seguridad de próxima generación es ágil y convierte rápidamente las amenazas desconocidas en protección y prevención conocidas a nivel global. Compartir automáticamente los nuevos datos sobre amenazas al tiempo que se extienden las nuevas protecciones por toda la organización para detener la propagación de un ataque.
