La detección basada en firmas es la tecnología más antigua del rubro, data de la década de 1990, y es muy eficaz en la identificación de las amenazas conocidas, pero ¿qué sucede con lo desconocido que hoy en día son los ataques mas usados incluyendo las diferentes variantes de ransomware? En este post hablaremos del tema.
CÓMO FUNCIONAN Y PORQUE NO SON SUFICIENTES
Cada firma es una cadena de código o patrón de acciones que corresponde a un ataque conocido o código malicioso. El tráfico de red y los archivos se pueden comprobar contra una base de datos de tales firmas para ver si hay alguna amenaza conocida presente; si es así, se emite una alerta y comienzan los procesos de mitigación. El gran problema con esta detección es que no puede identificar código malicioso o eventos que no tienen firmas y el panorama de amenazas hace que sea más difícil mantener listas de dichas firmas actualizadas.
Casi un millón de nuevas amenazas se publican cada día y los desarrolladores de malware pueden cambiar constantemente su código o la forma en que está empaquetado para asegurarse de que no produce la misma firma que las versiones anteriores, la detección de que se puede haber añadido a las listas de firmas existentes de código mal conocido entonces se vuelve inútil. Por ejemplo, la forma en que se escriben las instrucciones en el código se puede cambiar, o la sintaxis se altera mientras se preserva su funcionalidad. El malware metamórfico es aún más sofisticado, ya que es capaz de cambiar a una instancia completamente nueva con cada nueva infección, mientras que el malware polimórfico se cifra cada vez con una clave de cifrado diferente. Esta mutación de código hace que la generación de firmas únicas sea extremadamente difícil.
ALTERNATIVAS DE DEFENSA
Para combatir las deficiencias del enfoque clásico de la detección basada en firmas, la mayoría de los productos antimalware con todas las funciones ahora usan una combinación de técnicas complementarias, incluida la detección de comportamiento basada en anomalías (sandbox) y la exploración heurística. Esto mejora las tasas generales de detección, particularmente de malware o comportamiento desconocido. Las técnicas basadas en el comportamiento observan el comportamiento del programa para determinar si es dañino o no. Las técnicas heurísticas utilizan principalmente algoritmos de aprendizaje automático y métodos de machine learning para identificar indicadores maliciosos integrados en el programa en ejecución.
Los algoritmos de machine learning es tienen la capacidad de aprender y adaptarse cuando se exponen a los datos. Al analizar la actividad de malware conocida, un programa puede desarrollar la capacidad de encontrar y detectar nuevos patrones de amenaza y determinar la probabilidad de que un programa desconocido sea un malware. Otra capa necesaria que complementa la protección es a través de un sandboxing avanzado que inspeccione las acciones de los archivos sospechosos a nivel de CPU para detectar exploits y mediante técnicas de depuración eliminar cualquier código sospechoso (como macros y objetos incrustados) de documentos o imágenes antes de pasarlos al usuario. Esta combinación proporciona la tasa de captura más alta y más rápida para tipos de malware conocidos y desconocidos con una interrupción empresarial mínima.
CONCLUSION
Ningún sistema de seguridad debe basarse en un solo método de detección de código o actividad maliciosa. La seguridad siempre se trata de la defensa en profundidad y la diversidad, y la eficacia general de los controles de seguridad y las técnicas de trabajo en equipo es lo que cuenta. Una combinación de métodos de detección crea la solución antimalware más efectiva. A pesar de las deficiencias, la detección basada en firmas continúa desempeñando un papel integral en mantener las redes y los puntos finales seguros. En forma clásica, son un impedimento directo a las amenazas previamente identificadas. Con una tecnología complementaria como las mencionadas su inteligencia agregada hace que la combinación de ambas sean una línea seria de defensa, incluso contra nuevas amenazas.
CONOCE CÓMO DEFENDERTE DE ESTE TIPO DE ATAQUES Y PRUEBA TECNOLOGÍAS DE PROTECCIÓN QUE NO DEPENDEN DE FIRMAS
DA CLICK A LA IMAGEN Y CONFIRMA TU ASISTENCIA
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Michael Cobb/TechTarget/2017
