Los antivirus se han convertido en uno de los elementos más indispensables; sin embargo, muchos no conocen todas las funciones que ofrecen estos programas. En este artículo te resumimos las 5 principales herramientas de protección de endpoints.
¿Cómo funciona un antivirus?
Un antivirus está diseñado para evitar el acceso no autorizado a su ordenador de software malicioso como virus, gusanos y troyanos. También ayuda a detectar y eliminar este tipo de programas de su ordenador. El software antivirus puede instalarse en el ordenador o ejecutarse como un servicio en un servidor de Internet.
Un virus es un tipo de código malicioso que se replica adhiriéndose a otros archivos o programas para propagarse por Internet. Un gusano es similar a un virus en el sentido de que se replica adjuntándose a otros archivos o programas; sin embargo, los gusanos no requieren la interacción del usuario para propagarse por Internet. Un troyano se disfraza de software útil, pero en realidad contiene código malicioso que intentará tomar el control de su computadora (endpoint) cuando se ejecuta abriendo archivos adjuntos o haciendo clic en enlaces de correos electrónicos enviados desde fuentes desconocidas (como el spam).
¿Qué es la firma de los virus?
Una firma es una pequeña secuencia de bytes que utiliza el software antivirus para reconocer el software malicioso. Esto significa que tienes que mantener tus firmas actualizadas si quieres estar protegido contra nuevas amenazas.
Hay dos tipos principales de firmas: estáticas y dinámicas. Las firmas estáticas se pueden utilizar para detectar malware conocido en el disco o en la memoria, mientras que las firmas dinámicas se pueden utilizar para detectar código malicioso en tiempo real a medida que se ejecuta.
¿Cómo funciona la detección de virus basado en firmas?
Los antivirus basados en firmas o Antivirus Legacy escanean un archivo y lo comparan con una base de datos de firmas conocidas; si hay una coincidencia, se clasifica como malicioso. Este método tiene la ventaja de que es poco probable que se produzcan falsos positivos, pero tiene la desventaja de que sólo puede detectar ataques con malware conocido. En otras palabras, los archivos sin firmas conocidas y los ataques que no utilizan archivos no pueden detectarse.
Además, los antivirus tradicionales no disponen de funciones para hacer frente a las amenazas que han eludido la detección, ya que se trata de una solución especializada en la detección de amenazas. Si el malware que ha eludido la detección del antivirus legacy infecta el endpoint, no es posible investigar qué ha hecho el malware ni poner el dispositivo en cuarentena para evitar la propagación de la infección.
Evolución de la protección del endpoint
Hoy en día los programas antivirus ofrecen más herramientas para complementar la detección de malware. Atrás quedaron aquellos antivirus que solo realizaban la búsqueda semanal de amenazas a través de un escaneo del disco duro. Ahora los fabricantes han agregado funcionalidades de Monitoreo del Sistema y Machine Learning para detectar comportamientos atípicos del usuario y del sistema, buscando resover la detección de amenazas de día cero (zero-day malware) y de malware basado en memoria que no vive en el disco (Fileless malware)
En la evolución de las protección del endpoint podemos hablar de cinco etapas considerando sus capacidades y su enfoque para la detección, investigación y respuesta ante amenazas, estas etapas son:
- Antivirus Legacy (AV) se refiere al software de detección de virus a base de firmas.
- Next Generation Antivirus (NGAV) adiciona herramientas de análisis para encontrar patrones de comportamiento anómalos tanto del usuario como del sistema los cuales utiliza como posibles indicadores de Malware.
- Endpoint protection platform (EPP) utiliza múltiples esquemas de detección incluyendo análisis de comportamiento a través de un monitoreo continuo. Estas soluciones incorporan una conexión a la nube que refuerza las capacidades de detección.
- Endpoint Detection and Response (EDR) recopila datos de los endpoints y proporciona medidas avanzadas para detectar amenazas reforzando las capacidades de investigación y respuesta automatizada.
- Extended detection and response (XEDR) estas herramientas amplían el enfoque de análisis pasando del monitoreo del endpoint al análisis de toda la red.
¿Qué es un antivirus legacy?
Un antivirus legacy, también llamado Antivirus Heredado o Antivirus tradicional se refiere a una solución de ciberseguridad para el endpoint que detecta malware comparando cada archivo con una base de datos de amenazas conocidas, una base de datos repleta de bytecodes y valores hash. Esta solución realiza la detección de virus basada en archivos con el llamado método de comparación de firmas. El antivirus busca cualquier virus o malware en los archivos y aplicaciones del ordenador. Si encuentra alguno, lo pone en cuarentena o lo elimina.
Debido a que las amenazas modernas no introducen archivos nuevos en el sistema y dado que los antivirus tradicionales sólo se centra en amenazas basadas en firmas de virus conocidos, los antivirus legacy no pueden detectar las nuevas amenazas como son los ataques de día cero, ransomware y ataques de phishing. Para hacerlo se requiere una protección más avanzada como los antivirus de nueva generación (NGAV).
¿Qué es un Antivirus de Nueva Generación?
VMWARE define los Next-Generation Antivirus (NGAV) como una solución de seguridad para endpoints que va más allá del escaneo por firmas y que utiliza análisis predictivos e inteligencia artificial para detectar y prevenir amenazas antes de que estas causen daños.
Los NGAV combina la inteligencia sobre amenazas con el aprendizaje automático para detectar malware desconocido, ataques de día cero, ransomware y ataques de phishing.
Los NGAV se centra en los eventos, analizando archivos, procesos, aplicaciones y conexiones de red, para ver cómo se relacionan las acciones o flujos de eventos en cada una de estas áreas. El análisis de los flujos de eventos puede ayudar a identificar intenciones, comportamientos y actividades maliciosas – y una vez identificados, los atacantes pueden ser bloqueados.
Que es Endpoint protection platform (EPP)
De acuerdo a Gardner, las plataformas de protección de endpoints (EPP) son una solución que se instala en dispositivos endpoint para prevenir ataques de malware basados en archivos, detectan actividades maliciosas y proporcionar capacidades de investigación y reparación para responder a incidentes y alertas de seguridad.
A menudo las soluciones de EPP se gestionan en la nube, lo que permite la supervisión continua y la recopilación de datos junto con acciones de corrección remotas, tanto si el endpoint está en la red corporativa como fuera de la oficina. Además, estas soluciones están asistidas por datos en la nube; por lo que no necesitan mantener una base de datos local con todas las amenazas conocidas, sino que pueden consultar un recurso en la nube para conocer los últimos veredictos sobre objetos que no pueden clasificar por sí mismas.
Cisco menciona que un EPP puede describirse a menudo como una solución antivirus tradiciona y aunque el despliegue de una solución de este tipo mejora la seguridad de primera línea, no protege los endpoints de amenazas más sofisticadas que pueden encontrar otra forma de entrar en la red. Las soluciones de seguridad para endpoints deben tener capacidades de plataforma de protección de endpoints, pero también deben tener las capacidades de una solución de detección y respuesta de endpoints como lo ofrecen las soluciones de Endpoint Detection and Response o EDR.
¿Qué es Endpoint Detection and Response o EDR?
Gartner lo define como una clase de sistemas de seguridad que detectan e investigan actividades sospechosas tanto en hosts como en endpoints. Este sistemas recopila datos continuamente de todos los endpoints de la red: ordenadores de sobremesa y portátiles, servidores, dispositivos móviles, dispositivos IoT (Internet de las cosas) entre otros. Analiza estos datos en tiempo real en busca de pruebas de ciberamenazas conocidas o sospechosas, y puede responder automáticamente para prevenir o minimizar los daños de las amenazas que identifica.
Los sistemas de detección y respuesta (EDR) ofrecen cinco funciones principales:
- Supervisar continuamente los endpoints y recopilar datos de actividad que puedan indicar una amenaza.
- Realizar análisis de los datos recopilados para identificar cualquier patrón de amenaza conocido
- Generar una respuesta automática a todas las amenazas identificadas para eliminarlas o contenerlas.
- Notificar automáticamente al personal de seguridad que se ha detectado una amenaza.
- Ofrece herramientas para realizar threat hunting (Caza de amenazas).
¿Qué es XEDR?
De acuerdo a Palo Alto, Los XDR son una evolución de EDR en la cual se amplía la protección más allá del endpoint mediante el análisis de múltiples fuentes de telemetría para proteger y detectar diversas técnicas de ataque, combinando las capacidades asociadas a herramientas SIEM, UEBA, NDR y EDR independientes. XDR correlaciona y une esta gran cantidad de datos en una interfaz de usuario consolidada para simplificar la investigación y la respuesta.
En resumen la XDR adopta una visión más amplia que el EDR, integrando la seguridad en los endpoints, la computación en la nube, el correo electrónico y otras soluciones.
