Los límites de los sistemas antivirus tradicionales: por qué ya no son suficientes

Un poco de historia

Se siguió el nacimiento de las computadoras, ¡casi de inmediato! – por el de los virus en la primera mitad de los años ochenta. En la mayoría de los casos se difundieron a través de disquetes que en ese momento representaban el principal medio de intercambio de datos.

Fue Fred Cohen quien, en su “Virus informáticos -Teoría y Experimentos” de 1984, dio por primera vez la definición del concepto de “virus informático”.
Se considera que el inventor del antivirus es G DATA Software AG. En 1987 la empresa, fundada por Bohum en 1985, desarrolló el primer programa comercial para combatir los virus informáticos. Poco después, John McAfee que repartió su antivirus y empresa, fue adquirido por Intel en 2011. Otros antivirus conocidos y difundidos son Avira, Avast, Bitdefender, Eset, F-Secure, Kaspersky, Panda, Security, Sophos, Symantec, Webroot.

A lo largo de los años, tanto los virus como los antivirus han evolucionado enormemente. Sin embargo, cada vez está más claro que quien perpetra un ataque suele tener ventaja sobre quien debe defenderse.
Hoy en día se suele preferir la palabra antimalware a antivirus, que es básicamente un sinónimo ya que la palabra malware (abreviatura de “malicious software” (software malicioso)) incluye de forma extensa todo tipo de software perjudicial, entre los que también se encuentra los virus.

Los antivirus y antimalware son, por tanto, softwares destinados a detectar y luego eliminar varios tipos de códigos maliciosos.

La inversión en seguridad informática es esencial para garantizar el funcionamiento continuo de empresas, organizaciones, instituciones y escuelas.

Business Cyber Attack Protect you with DNSfilter-


>> Flashstart está totalmente basado en Cloud y es fácil de configurar → ¡Pruébelo ahora!


Cómo funcionan los antimalware y por qué ya no son suficientes

Para comprender los límites de los antimalware, que hoy en día son cada vez más evidentes, es útil comprender cómo funcionan estos softwares. Entonces quedará claro que ya no podemos considerarlos una protección suficiente para nuestros dispositivos.
Los primeros antivirus solían realizar comprobaciones de una forma esencialmente “mecánica“ basada en la comprobación de la firma (de hecho, se denominan “basados en firmas”). La firma se generó mediante un algoritmo hash y, debido a su singularidad, era comparable a una huella dactilar que identifica un archivo de forma única.
Trabajando así, solo podían detectar virus conocidos, que ya estaban presentes en su base de datos de definiciones de virus, pero no podían detectar nuevos ataques porque aún no habían sido clasificados.
Cada nuevo virus debe identificarse y analizarse primero para determinar la firma y luego agregarse a una lista de virus conocidos. Las actualizaciones de las bases de datos de firmas se envían a los usuarios con una frecuencia que, según el proveedor, puede ser diaria o incluso varias veces.
Las bases de datos se actualizan a diario, pero hay un período de tiempo durante el cual la amenaza ya existe, pero aún no forma parte de la base de datos del antivirus porque el proveedor del antivirus debe: identificar el agente malintencionado, agregarlo a la base de datos del antivirus, poner a disposición para descargar a los clientes que deben actualizar las firmas.

Por tanto, es evidente que este procedimiento “archivo” siempre e inevitablemente se retrasará un poco, ya que siempre habrá un lapso de tiempo (aunque sea un día…) en el que el antivirus no podrá reconocer el malware que acaba de ser creado.

¿Qué es el polimorfismo?

Los hackers, que desarrollan sus técnicas mediante procesos de “investigación y desarrollo” similares a los de las empresas reales (ya que hoy son así), han aprendido a explotar esta debilidad de los antimalware. Lo logran mediante el llamado “polimorfismo”: para engañar al sistema antimalware utilizan un código desconocido. Pero todo esto se puede hacer de una manera muy sencilla: no es necesario crear un nuevo malware, lo único que tienen que hacer es cambiar la firma existente.

Un malware es una secuencia de líneas de código. Este código, una vez creado, tendrá una huella digital única, que es el hash calculado mediante un algoritmo de hash. El hash es lo que está controlado por antimalware basados en firmas.

Por lo tanto, el atacante creará un malware polimórfico: este es capaz de codificar su propia firma cada vez de una manera diferente, para que parezca diferente en cada ataque. En la práctica, el malware convierte un bloque de código en otro bloque de código con las mismas funciones que el anterior, pero con una huella diferente. Destacaremos que, dadas las peculiaridades de los algoritmos de hash, incluso el más mínimo cambio conducirá a un hash completamente diferente (lo que se define como el “efecto avalancha” del hash)

La generación de n virus polimórfico requiere solo unos segundos y es una técnica cada vez más extendida: hoy en día, la mayoría de los agentes maliciosos son polimórficos. En otras palabras, casi todos los ataques utilizan un malware recién generado que aún no se conoce, al menos hasta que se actualice la base de datos de firmas.

Debido al polimorfismo, la eficacia del antivirus disminuye drásticamente: según algunas investigaciones de Malwarebytes (2’17), un antivirus tradicional no puede proteger al usuario de casi el 40% de los ataques de malware.
Además, estos antivirus no podrán responder de manera eficiente a los ataques de “día 02, lo que significa que no podrán identificar las nuevas amenazas que aún no están presentes en las bases de datos de los proveedores.

En conclusión: la detección de amenazas basada en la firma es útil, pero tiene una eficacia limitada. Por esta razón, el antimalware moderno utiliza también los métodos más innovadores, que se centran en el análisis de comportamientos peligrosos. De esta forma, logran identificar ataques que aún no se conocen. Esta técnica se conoce como análisis heurístico.

La seguridad informática es la prioridad absoluta en la agenda 2021 de al menos el 61% de los CIO entrevistados (Chief Information Officer).

Cybersecurity top priority - told CIO


>> Flashstart es líder en competitividad → ¡Solicite precios!


Análisis heurístico

La palabra “heurística” define el conjunto de estrategias, técnicas y procedimientos inventivos para buscar un tema, concepto o teoría útil para resolver un nuevo problema. En lo que a antivirus se refiere, es una función a utilizar además de la basada en firmas: se escanea un archivo ejecutable, observan su estructura, comportamiento y atributos.

De esta forma, se selecciona y examina su código fuente. Si el código muestra instrucciones típicas de malware o si un porcentaje determinado del código fuente corresponde a algo que ya ha sido identificado como malicioso, el código se marcará como una amenaza potencial.
Es decir, comparando los antivirus con una investigación policial, los tradicionales identifican al delincuente porque tienen sus huellas dactilares, mientras que los heurísticos pueden entender que es un delincuente, aunque nunca lo hayan visto antes porque ven su capacidad para realizar acciones sospechosas.

Esta técnica utiliza la lógica del análisis de comportamiento para identificar características sospechosas presentes en virus nuevos y desconocidos y en las versiones modificadas (polimórficas) de amenazas existentes.

Por tanto, el análisis heurístico es más eficaz para tener una protección preventiva de las amenazas desconocidas, ya que es capaz de identificar virus polimórficos.
En algunos casos, para los antimalware más avanzados, también se realiza un análisis heurístico dinámico: el archivo sospechoso se ejecuta en un sandbox, denominado en IT como un entorno de prueba, aislado del principal para determinar sin riesgo si un programa está seguro o no. La ejecución en sandbox permite comprender el comportamiento del software y las amenazas a las que podría conducir, «detonándolo» en un entorno aislado del sistema principal.
Aunque van un paso por delante, también los softwares de análisis heurístico sin firma han demostrado ser insuficientes para contener ciber amenazas cada vez más avanzadas, por lo que los antimalware han tenido que evolucionar más, convirtiéndose en verdaderos “programas de seguridad”, que no pueden definirse como simples antivirus nunca más.

Con la seguridad de la nube de Internet, los usuarios no tienen que descargar actualizaciones largas y reiniciar sus sistemas, ¡todos los cambios son adoptados automáticamente por el sistema!

Cloud Security - photo of Sebastian Voortman da Pexels


>> Flashstart e totalmente en la nube e facile da attivare¡Pruébelo ahora!


 

Sistemas EDR (Detección y Respuesta de puntos finales)

La nueva frontera está representada por la Inteligencia Artificial (IA) y el Aprendizaje Automático (aprendizaje automático, ML).
La IA no solo realiza una serie de comprobaciones, también analiza comportamientos específicos y detecta anomalías para identificar un ataque, por ejemplo, un ransomware.
Con el aprendizaje automático es posible reconocer nuevos comportamientos y patrones y clasificarlos para “enseñarlos” al sistema de defensa, que por lo tanto evolucionará cada vez más.

Estas tecnologías se implementan a través de EDR (Endpoint Detection and Response) o también XDR (existe principalmente una diferencia comercial entre los dos), que representan el futuro (en realidad, a estas alturas el presente) y son la mejor solución para la ciberseguridad, sobre todo porque los métodos basados ​​en firma u otros métodos menos evolucionados no son capaces de gestionar la evolución de las amenazas actuales.

Por supuesto, EDR incluye un antivirus basado en firmas, pero este es solo uno de los componentes del sistema, como veremos. En la práctica, cada endpoint requiere la instalación de un agente (como en el sistema antivirus tradicional), que sea capaz de realizar un seguimiento en tiempo real y de recopilar datos sobre los endpoints mediante técnicas de inteligencia de amenazas (detección de amenazas).

El agente recopila datos de comportamiento del endpoint (como procesos, conexiones, volumen de actividad y transferencias de datos), los examina y los compara con los patrones de comportamiento esperados, los analiza y relaciona, observa sus anomalías y los envía a un tablero centralizado donde el administrador del sistema puede detectar las amenazas y decidir las actividades de respuesta.

Esta actividad hace uso del aprendizaje automático (ML): el agente aprende a reconocer los comportamientos típicos del usuario del punto final y, después de una fase de aprendizaje (que suele durar de 1 a 2 semanas), podrá utilizar esta información para reconocer comportamientos anormales. que podría indicar un ataque en el punto final.
Este modo también se define como «Análisis de comportamiento del usuario» (UBA) y, a continuación, informamos la definición proporcionada por el Informe Clusit:
“UBA: Tecnología que aprende el comportamiento “normal” de los usuarios de un sistema de TI específico a través del análisis de cantidades relevantes de datos (log, …), y luego señala actividades anormales habilitadas por los usuarios”.

Dado que todos los ataques tienen comportamientos típicos, que han sido estudiados y traducidos en modelos matemáticos, los sistemas de protección EDR combinan dichos modelos matemáticos (“patrones de comportamiento”) y son capaces de reconocer y bloquear estos ataques, sin necesidad de conocerlos ex ante.
Además, gracias al ML e IA que el sistema de inteligencia de amenazas que ha proporcionado el proveedor de EDR, logran agrupar millones de archivos y sus comportamientos típicos.
Otra ventaja de los sistemas EDR avanzados es que se comunican con los sistemas del proveedor que mantiene una base de datos construida sobre los casos de ciberataques que ya han tenido lugar.
Por lo tanto, al correlacionar el evento informado al EDR con su propia base de datos (usando IA), el proveedor de servicios puede reconocer ataques que aún son desconocidos. Otra fuente útil de inteligencia sobre las amenazas es el proyecto Adversarial Tactics, Techniques and Common Knowledge (ATT & CK) de MITRE, un grupo de investigación sin fines de lucro que trabaja con el gobierno de EE. UU. ATT & CK es una base de conocimientos y un marco basado en el estudio de millones de ciberataques en el mundo real.
ATT & CK categoriza las ciber amenazas en función de varios factores, como las técnicas utilizadas para infiltrarse en un sistema de IT, el tipo de vulnerabilidad del sistema explotada, las herramientas de malware utilizadas y los grupos delictivos asociados con el ataque. El quid del trabajo es identificar modelos y características que permanecen iguales independientemente de los cambios menores en un exploit.

En resumen, las principales funciones de un sistema EDR suelen ser:

»  monitorear y recopilar datos que podrían indicar una amenaza de las actividades de los terminales;
»  analizar dichos datos para identificar patrones de amenazas utilizando reglas establecidas por el proveedor y / o por el administrador del sistema;
»  notificar las amenazas y acciones de respuesta ejecutadas a través de un tablero centralizado, que recopila y correlaciona los datos de todos los endpoints del sistema de la empresa.

 

EDR se puede conectar a un sistema SIEM (Security Information and Event Management), que además de los eventos EDR, recopila y correlaciona también los eventos provenientes de otras fuentes, como firewalls, servidores DNS, IDS (sistema de detección de intrusiones), IPS. (Sistema de prevención de intrusiones), WAF (Web Application Firewall).
SIEM representa una arquitectura de control sobre la seguridad de todo el sistema que necesita ser defendido. Estas arquitecturas (EDR, ISD / IPS, SIEM) representan las soluciones que las empresas de hoy deberían adoptar, repasando las sencillas y ya obsoletas soluciones antivirus.

Según la UE, el coste de la ciberdelincuencia para la economía mundial en 2020 ascendió a 5,5 billones de euros, más del doble que en 2015.


> Flashstart es multi-tenant y fácil de configurar → ¡Pruébelo ahora!


 

El autor
Giorgio Sbaraglia, ingeniero, es consultor y formador en temas de ciberseguridad y privacidad.


 

En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí