Por Edgar Vásquez Cruz
Actualizar la aplicación utilizada diariamente en una empresa es una actividad que un usuario —o tal vez el administrador— de la red empresarial decide realizar en algún momento para aprovechar las nuevas funcionalidades de la versión reciente de algún programa que seguramente mejorará la productividad, sin embargo, horas más tarde la red de la compañía ha sido comprometida con un malware de los llamados zero-day o día cero, para los cuales no hay ninguna descripción, firma o parche.
El malware zero-day aprovecha las vulnerabilidades que pueden existir en los nuevos programas creados por los desarrolladores que no son capaces de prever las múltiples combinaciones posibles de los usuarios de su código.
De acuerdo con el Informe sobre predicciones y amenazas para 2016 de McAfee Labs, estos son los resultados de los ataques zero-day ocurridos en 2014-2015:
Fuente: Informe sobre predicciones y amenazas para 2016 de McAfee Labs
De acuerdo con el mismo informe, existe peligro en entornos empresariales donde se utiliza la tecnología de vinculación e incrustación de objetos (OLE)1, los cuales podrían ser introducidos en una red empresarial de manera cifrada para evadir la detección de amenazas.
Además, los código zero-day tienen una tendencia a ser usados en otros sistemas, como los sistemas incrustados, el Internet de las cosas (IoT, por sus siglas en inglés) y el software de infraestructuras. Los sistemas en los que podrían lanzarse esos ataques son variantes de UNIX, plataformas populares para teléfonos inteligentes, IoT (Project Brillo y Tizen), además de bibliotecas y componentes básicos subyacentes (Glibc y OpenSSL entre otros). En otras palabras las herramientas de código abierto no son completamente seguras como deberían serlo.
La detección del código malicioso zero-day que ingresa a la red empresarial es uno de los principales retos que enfrentan las áreas de seguridad de cualquier compañía junto con la cantidad de operaciones que implica la protección de la red interna que consumen esfuerzos y tiempo.
La detección de amenazas se realiza usualmente mediante un análisis dinámico en un entorno controlado, es decir con base en el comportamiento de los archivos, sin embargo con este procedimiento podría no detectarse al malware capaz de activarse después de pasar por un sandbox.
Una solución de seguridad que sólo detecte amenazas ya no es competitiva, evalué soluciones de detección de amenazas avanzadas que le ofrezcan:
- Análisis estático. Que vaya más allá de observar sólo el header de un archivo y que examine a fondo el código ejecutable para realizar un análisis integral de los archivos que pasan por un sandbox y que podrían evadirlo si sólo se aplicara un análisis dinámico.
- Localización. Del código malicioso avanzado mediante la filtración por varias capas, como: AV, heurística, filtrado web, la emulación, y, al final, sandboxing.
- Generación automática de firmas. Al igual que conjuntos de reglas para gateways y servidores de seguridad con las que se bloquearán ataques parecidos en un futuro.
La solución de Intel Security, McAfee Advanced Threat Defense (ATD) es capaz de realizar, además de lo anterior, también el “arreglo” de los equipos comprometidos, en conjunto con McAfee ePolicy Orchestrator®. ATD no sólo resuelve problemas, sino que permite el ahorro de tiempo a los administradores al facilitarles la operaciones de TI, al tiempo que mantiene a salvo la red de su empresa.
Para obtener más información sobre vulnerabilidades en entornos empresariales, visite: http://www.intel.es/content/www/es/es/architecture-and-technology/authenticate/intel-2016-security-threats-report.html
1 Comúnmente en los documentos creados con la plataforma Microsoft Office.
Acerca de McAfee Labs
McAfee Labs es la división de investigación de amenazas de Intel Security y una de las principales fuentes del mundo para investigación de amenazas, inteligencia de amenazas y liderazgo de opinión con respecto a la ciberseguridad. El equipo de McAfee Labs de más de 400 investigadores recolecta datos de amenazas de millones de sensores a lo largo de vectores claves de amenazas —archivos, web, mensajes y redes. Posteriormente realiza análisis inter-vectoriales de correlación de amenazas y entrega inteligencia de amenazas en tiempo real al punto final estrechamente integrado de McAfee, así como contenido, y productos de seguridad de red a través de sus servicios basados en nube McAfee Global Threat Intelligence. McAfee Labs también desarrolla tecnologías centrales de detección de amenazas —como elaboración de perfiles de aplicaciones, y gestión de graylist— que se incorporan en el más amplio portafolio de productos de seguridad de la industria.
Acerca de Intel Security
McAfee Labs ahora forma parte de Intel Security. Con su estrategia de Security Connected, abordaje innovador hacia la seguridad del hardware mejorada, y su McAfee Global Threat Intelligence único, Intel Security se enfoca intensamente en desarrollar soluciones y servicios de seguridad proactivos y comprobados que protegen sistemas, redes, y dispositivos móviles de uso de negocios y personal en todo el mundo. Intel Security combina la experiencia y pericias de McAfee con la innovación y desempeño comprobado de Intel para hacer de la seguridad un ingrediente esencial en cada arquitectura y en cada plataforma de cómputo. La misión de Intel Security es la de brindar a todos la confianza a vivir y trabajar con seguridad en el mundo digital. www.intelsecurity.com.
Ningún sistema de cómputo puede ser absolutamente seguro.
Nota: Intel, Intel Security, el logotipo de Intel, McAfee y el logotipo de McAfee son marcas registradas de Intel Corporation en los Estados Unidos y en otros países.
*Otros nombres y marcas pueden ser reclamados como propiedad de otros.