Cuando se trata de anti-malware, ¿es suficiente la detección?
Benjamin Franklin dijo que «una onza de prevención vale una libra de cura». En términos de ciberseguridad, reemplace la palabra «cura» con «detección», y verá rápidamente por qué el adagio de Franklin aún es cierto más de 230 años después. Es de conocimiento común que la remediación es mucho más costosa que la prevención, sin embargo, muchas soluciones antimalware que se basan solo en la detección finalmente apuestan exactamente por esto.
En esta publicación, profundizaremos en el tema de detección versus prevención, y por qué la prevención es mucho más efectiva y rentable.
El problema con la detección: malware originado en archivos
Los archivos introducidos en la red por usuarios de confianza son uno de los vectores de entrega de malware más comunes y peligrosos. Estos archivos parecen completamente inocuos, como los archivos de Word que lanzaron un ataque reciente, pero pueden contener malware altamente sofisticado que es extremadamente difícil de detectar. ¡Otro ejemplo es el malware Dark Tequila Añejo que se detectó solo después de 5 años de actividad maliciosa!
Y aquí está el quid de la cuestión. La detección es difícil. Realmente difícil. ¿Por qué? Porque las tecnologías de detección utilizadas por las principales herramientas antimalware y las tecnologías de seguridad de punto final (como los motores antivirus, EPP, EDR y otros) solo pueden detectar amenazas y archivos conocidos con una firma de malware conocida. Estas soluciones heredadas no pueden manejar nuevas amenazas ni ataques dirigidos. Y con cientos de miles de nuevos códigos de malware publicados cada día, el hecho es que muchos ataques son completamente desconocidos.
Para tratar de enfrentar el desafío de detectar amenazas desconocidas, se introdujeron soluciones basadas en sandbox hace varios años. Esta tecnología abre y ejecuta archivos entrantes en un entorno aislado y comprueba si se comportan de manera anormal. La mayoría de las soluciones de sandbox pueden incluso emular fechas futuras para detectar posibles ataques de día cero. Desafortunadamente, hacia fines de 2017, numerosos ataques de malware lograron eludir por completo las soluciones de sandbox, dejando a las organizaciones expuestas a un riesgo cibernético masivo. Además, se descubrió que la latencia de escaneo relativamente larga de la tecnología sandbox ralentiza los procesos organizacionales e impacta negativamente el flujo de trabajo.
La próxima generación de antimalware: prevención
En 2016, la tecnología CDR (Content Disarm & Reconstruction) hizo el cambio de sus orígenes militares al mercado comercial. CDR fue diseñado desde cero para evitar ataques de malware, no solo detectarlos. CDR fue ampliamente elogiado y bien recibido. InformationAge informó que «… en lugar de depender de sandboxes, las empresas deberían probar nuevas ideas, como desarmar y reconstruir contenido (CDR). En un informe reciente, Gartner dijo que los sistemas CDR instalados en las puertas de enlace de correo para capturar mensajes cargados de malware antes de que se envíen a los usuarios pueden ser un complemento importante, o incluso un reemplazo, para los sandboxes tradicionales «.
La tecnología CDR funciona manipulando los tipos de archivos compatibles para cambiar la estructura del código malicioso oculto y hacer que sea inofensivo. En su implementación más simple, la tecnología CDR convierte archivos en diferentes formatos (DOCX a RTF, XLS a CSV, o incluso convertir los documentos en archivos PDF). La idea era que dicha conversión desactivaría el malware incrustado, y este fue el caso, hasta que los hackers aprendieron a evitarlo. Además, los archivos manipulados a menudo se modificaron significativamente, lo que dificulta mucho más a los usuarios finales trabajar con ellos de manera productiva.
Prevención 2.0: CDR verdadero
La próxima generación de tecnología CDR elimina la necesidad de conversiones de formato de archivo torpes. Estas soluciones avanzadas no necesitan convertir formatos porque en realidad desarman y reconstruyen todos y cada uno de los archivos entrantes desde cero. Esto se conoce como «desinfección de archivos» y es el disruptor clave en la tecnología CDR de próxima generación (como la de ODI).
Totalmente transparente para los usuarios finales, el verdadero proceso de desinfección de CDR identifica primero el tipo de archivo, luego aplica un algoritmo de formato específico que penetra el formato y extrae los datos relevantes, incluidos los archivos adjuntos o incrustados. Finalmente, el usuario final recibe una copia del archivo original completamente segura, totalmente funcional y completamente utilizable.
La línea de fondo
Al final, no hay realmente una pregunta sobre si la detección o prevención es preferible para mitigar el riesgo cibernético y mejorar la seguridad cibernética. Al eliminar las amenazas antes de que sean reconocidas como amenazas, las soluciones avanzadas de CDR como las de ODI son realmente la «onza de prevención» de Benjamin Franklin.
No puede detectar amenazas indetectables.
Pero puedes protegerte contra ellos. Protege tus archivos con ODIX!
Lee este artículo en odi-x.com