¿Por qué necesita el análisis estático, el análisis dinámico y el aprendizaje automático?

A continuación se exponen los tres métodos de identificación de amenazas que, trabajando conjuntamente, pueden evitar el éxito de los ciberataques:

Análisis dinámico

La única herramienta capaz de detectar una amenaza de día cero

Con el análisis dinámico, un archivo sospechoso se detona en una máquina virtual, como un entorno de análisis de malware, y se analiza para ver qué hace. El archivo se califica en función de lo que hace al ejecutarse, en lugar de basarse en firmas para la identificación de amenazas. Esto permite un análisis dinámico para identificar amenazas que no se parecen a nada que se haya visto antes.

Para obtener los resultados más precisos, la muestra debe tener acceso total a Internet, como lo tendría un endpoint medio de una red corporativa, ya que las amenazas suelen requerir mando y control para desenvolverse por completo. Como mecanismo de prevención, el análisis de malware puede prohibir el acceso a Internet y fingirá llamadas de respuesta para intentar engañar a la amenaza para que se revele, pero esto puede ser poco fiable y no es un verdadero sustituto del acceso a Internet.

Los entornos de análisis de malware son reconocibles y el proceso lleva mucho tiempo

Para eludir la detección, los atacantes intentarán identificar si el ataque se está ejecutando en un entorno de análisis de malware mediante el perfilado de la red. Buscarán indicadores de que el malware se encuentra en un entorno virtual, como que se detone a horas similares o por las mismas direcciones IP, falta de actividad válida del usuario como pulsaciones de teclado o movimientos del ratón, o tecnología de virtualización como cantidades inusualmente grandes de espacio en disco. Si se determina que se está ejecutando en un entorno de análisis de malware, el atacante dejará de ejecutar el ataque. Esto significa que los resultados son susceptibles de cualquier fallo en el análisis. Por ejemplo, si la muestra llama a casa durante el proceso de detonación, pero la operación está parada porque el atacante identificó el análisis de malware, la muestra no hará nada malicioso y el análisis no identificará ninguna amenaza. Del mismo modo, si la amenaza requiere una versión específica de un software concreto para ejecutarse, no hará nada identificablemente malicioso en el entorno de análisis de malware.

Puede llevar varios minutos poner en marcha una máquina virtual, soltar el archivo en ella, ver lo que hace, desmontar la máquina y analizar los resultados. Aunque el análisis dinámico es el método más caro y que más tiempo consume, también es la única herramienta que puede detectar eficazmente las amenazas desconocidas o de día cero.

Análisis estático

Resultados rápidos y sin requisitos para el análisis

A diferencia del análisis dinámico, el análisis estático examina el contenido de un archivo específico tal y como existe en un disco, y no tal y como se detona. Analiza los datos, extrayendo patrones, atributos y artefactos, y señala las anomalías.

El análisis estático es resistente a los problemas que presenta el análisis dinámico. Es extremadamente eficaz -sólo tarda una fracción de segundo- y mucho más rentable. El análisis estático también puede funcionar para cualquier archivo porque no hay requisitos específicos, entornos que deban adaptarse o comunicaciones salientes necesarias desde el archivo para que se produzca el análisis.

Los archivos empaquetados provocan una pérdida de visibilidad

Sin embargo, el análisis estático puede eludirse con relativa facilidad si el archivo está empaquetado. Mientras que los archivos empaquetados funcionan bien en el análisis dinámico, la visibilidad del archivo real se pierde durante el análisis estático, ya que el reempaquetado de la muestra convierte todo el archivo en ruido. Lo que se puede extraer estáticamente es casi nada.

Aprendizaje automático

Nuevas versiones de amenazas agrupadas con amenazas conocidas en función de su comportamiento

En lugar de realizar un cotejo de patrones específicos o detonar un archivo, el aprendizaje automático analiza el archivo y extrae miles de características. Estas características se ejecutan a través de un clasificador, también llamado vector de características, para identificar si el archivo es bueno o malo basándose en identificadores conocidos. En lugar de buscar algo específico, si una característica del archivo se comporta como cualquier agrupación de archivos evaluada previamente, la máquina marcará ese archivo como parte de la agrupación. Para un buen aprendizaje automático, se necesitan conjuntos de entrenamiento de veredictos buenos y malos, y la adición de nuevos datos o características mejorará el proceso y reducirá las tasas de falsos positivos.

El aprendizaje automático compensa lo que le falta al análisis dinámico y estático. Una muestra que sea inerte, que no detone, que esté inutilizada por un empaquetador, que tenga el mando y el control desactivados o que no sea fiable aún puede ser identificada como maliciosa con el aprendizaje automático. Si se han visto numerosas versiones de una amenaza determinada y se han agrupado, y una muestra tiene características como las del grupo, la máquina asumirá que la muestra pertenece al grupo y la marcará como maliciosa en cuestión de segundos.

Sólo es capaz de encontrar más de lo que ya se sabe

Al igual que los otros dos métodos, el aprendizaje automático debe considerarse una herramienta con muchas ventajas, pero también algunos inconvenientes. Es decir, el aprendizaje automático entrena el modelo basándose únicamente en identificadores conocidos. A diferencia del análisis dinámico, el aprendizaje automático nunca encontrará nada realmente original o desconocido. Si se topa con una amenaza que no se parece en nada a nada que haya visto antes, la máquina no la marcará, ya que sólo está entrenada para encontrar más de lo que ya se conoce.

Técnicas por capas en una plataforma

Para desbaratar todo lo que los adversarios avanzados puedan lanzarle, necesita más de una pieza del rompecabezas. Necesita técnicas por capas, un concepto que solía ser una solución multivendedor. Aunque la defensa en profundidad sigue siendo apropiada y relevante, necesita progresar más allá de las soluciones puntuales de varios proveedores hacia una plataforma que integre el análisis estático, el análisis dinámico y el aprendizaje automático. Los tres trabajando juntos pueden actualizar la defensa en profundidad a través de capas de soluciones integradas.

La plataforma de seguridad de próxima generación de Palo Alto Networks se integra con el servicio de análisis de amenazas basado en la nube WildFire^® para alimentar componentes con inteligencia de amenazas contextual y procesable, proporcionando una habilitación segura en toda la red, endpoint y nube. WildFire combina un motor de análisis dinámico personalizado, análisis estático, aprendizaje automático y análisis bare metal para obtener técnicas avanzadas de prevención de amenazas. Mientras que muchos entornos de análisis de malware aprovechan la tecnología de código abierto, WildFire ha eliminado toda virtualización de código abierto dentro del motor de análisis dinámico y lo ha sustituido por un entorno virtual construido desde cero. Los atacantes deben crear amenazas totalmente únicas para eludir la detección en WildFire, distintas de las técnicas utilizadas contra otros proveedores de ciberseguridad. Para el pequeño porcentaje de ataques que podrían evadir las tres primeras capas de defensas de WildFire -análisis dinámico, análisis estático y aprendizaje automático- los archivos que muestran un comportamiento evasivo se dirigen dinámicamente a un entorno de metal desnudo para su ejecución completa en hardware.

Dentro de la plataforma, estas técnicas trabajan juntas de forma no lineal. Si una técnica identifica un archivo como malicioso, se señala como tal en toda la plataforma para un enfoque multicapa que mejore la seguridad de todas las demás funciones.