La mayoría de los CISOs de las empresas no se preguntan si su empresa será o no víctima de un ataque avanzado de malware, ellos se preguntan ¿cuándo sucederá y cómo les afectará?  En el caso de los AntiVirus tradicionales ocurre algo similar, la cuestión no es si serán o no obsoletos, sino cuándo ocurrirá o si ya está ocurriendo.

El panorama se vislumbra complicado para los AntiVirus tradicionales, según el AV-TEST Institute, se registran 390,000 muestras nuevas de malware cada día

[1].

El panorama actual de los Antivirus

Tan solo en los últimos 10 años se han detectado más de 583 millones muestras malware, los AV tradicionales tienen el importante reto de comparar una gran cantidad de firmas digitales de malware en tiempo real y decirle al endpoint si un archivo es o no malicioso.  Y, ¿qué ocurre cuando no se tiene registrada en las Bases de Datos de los AV la firma digital de una nueva muestra de malware?, en este caso los AV tradicionales recurren a técnicas de Sandboxing y Microvirtualización que en esencia buscan la ejecución del malware en un ambiente aislado (contenedor virtual) del resto del sistema, desde el cual controlan los recursos que solicita el malware como memoria, espacio de disco, permisos, librerías, etc.

Esto le permite al AV tradicional discernir si un “archivo” es o no malicioso para el sistema. La situación se complica cuando el malware es tan sofisticado que es programado para detectar este tipo de ambientes y pasar desapercibido o simplemente no ejecutarse para evitar su análisis y futura detección.

[1] Malware (2017) https://www.av-test.org/en/statistics/malware/

 

Fuente: Last 10 years, https://www.av-test.org/en/statistics/malware/

Los AV tradicionales complementan las técnicas de análisis de malware de sandboxing y microvirtualización con heurística, esta tecnología se basa en desensamblar o descompilar el código para inferir que hará el programa si se ejecutará en el sistema, en respuesta a esto, los desarrolladores de malware mejoran sus técnicas de ofuscación de código quitándole a los AV tradicionales la oportunidad de aplicar una heurística adecuada.

Una vez que fallan las técnicas de detección de malware antes mencionadas, los AV tradicionales juegan su última carta del juego y permiten la ejecución de archivos sospechosos en el endpoint con la esperanza de poder detectar a tiempo un comportamiento malicioso y detenerlo. Estas técnicas tradicionales de detección de malware de los AV, han permitido el éxito y auge de ataques masivos de ransomware y cryptolocker, etc.

Es tiempo de romper paradigmas

Ante el actual panorama del malware, es necesario abordar el problema desde una perspectiva de seguridad diferente, “Rompiendo paradigmas” en torno a la seguridad, dejar de pensar erróneamente que por hecho tener un AV con “N” capas de protección mi sistema estará más seguro.

Lo sé… es reconfortante irse a dormir pensando que mi empresa posee un AV basado en firmas, que todos los días se conecta a Internet para “ponerse al día”, que posee capacidad de sandboxing, microvirtualización, heurística, análisis de comportamiento, firewall de host, IDS, IPS, protección de correo, detección de sitios Web maliciosos y por si esto fuera poco, en caso de alguna infección por malware, tener un módulo de EDP (Endpoint Detection and Response), pero todo esto a veces no es suficiente, tendríamos que preguntarles a las víctimas de ransomware que tan útil fue contar con todo lo antes mencionado…

Ahora bien, si un fabricante de AV nos dice que no necesitamos contar con las “N” capas de seguridad con las que cuentan los AV tradicionales que en promedio según un estudio de helpnetsecurity[1] detectan 19% del malware de día cero (este porcentaje después de 30 días se eleva al 62%) y que en vez de estas “N” capas de seguridad necesitamos sólo una, la cual tiene la única función de prevenir y predecir comportamientos maliciosos en el sistema mediante el uso de Artificial Intelligence (AI) y Machine Learning (ML) con un porcentaje de detección de malware cercano al 100%, ¿es difícil de creer cierto?, por más de 20 años hemos pensado que un AV debe tener  “N” capaz de seguridad para ser más eficiente y eficaz.

¿Inteligencia Artificial para la protección de nuestros Endpoints?

A eso me refiero con romper paradigmas, debemos darle la oportunidad y el beneficio de la duda a empresas como Cylance, Javelin Networks y Wedge Networks que plantean el uso de la AI y ML para resolver problemas de seguridad informática desde una perspectiva diferente, innovadora y futurista.

Tal es el caso de DELL, quien desde el año 2015 comenzó a creer en el poder de la AI y ML e hizo un convenio con  Cylance para integrar su Cylance Advanced Threat Protection Technology con su Endpoint Security Suite Enterprise[2] para la protección de endpoints de usuario final ante Amenazas Persistentes Avanzadas (Advanced Persistent Threat por sus siglas en inglés APT), malware de Día cero y cualquier actividad maliciosa conocida o no, que represente un riesgo para la seguridad del sistema con un porcentaje de detección por encima del 98%, ¿difícil de creer verdad?

Pues es momento de comenzar a romper paradigmas…

 

Colaboración de: Alejandro Reyes

[1] AV vendors detect on average 19% of malware attacks (2010) https://www.helpnetsecurity.com/2010/08/04/av-vendors-detect-on-average-19-of-malware-attacks/
[2] Dell Takes Endpoint Security to a New Level with Cylance Advanced Threat Protection Technology (2015) http://www.dell.com/learn/us/en/ph/press-releases/2015-11-17-dell-and-cylance-collaborate