El enigma del «día cero» | Blogs de McAfee


En mi último site hablé sobre cómo deberíamos definir «día cero» y los muchos usos incorrectos que, en mi opinión, enturbian las aguas, lo que hace que sea aún más difícil abordar el problema genuine. En caso de que se haya perdido esa, puede leerla AQUÍ (agregar enlace), o simplemente puede aceptar la premisa de que las amenazas de día cero son muy raras.

De cualquier manera, acepto absolutamente que no debemos dejar de preocuparnos por las amenazas de día cero por completo, pero sí creo que debemos ponerlas en contexto y enfocar nuestros recursos en consecuencia. La gran mayoría de malware que enfrentamos no es día cero y, de hecho, está explotando vulnerabilidades que se conocen y tienen parches disponibles para que sean ineficaces.

Enfocar sus recursos en consecuencia dependerá, por supuesto, de cuántos recursos tenga y cuán habilidosos sean, por lo que debe adaptar la lista a continuación para que se ajuste a su situación, pero como regla common aquí es cómo priorizaría las cosas:

  • La aplicación de nuevos parches es una parte clave de su defensa. Hay momentos (y lugares) en los que los parches no se pueden implementar de inmediato, pero si puede hacerlo, debe hacerlo, y hacerlo lo más rápido posible.
  • No pase por alto la importancia de la educación del usuario. Una proporción significativa de malware se entrega a través de ataques de phishing y una mejor capacitación reduciría la cantidad de veces que se activan estos enlaces, lo que resulta en menos ataques que sus otras defensas necesitan identificar y bloquear (y, por supuesto, menos pueden fallar).
  • La defensa en profundidad es el único enfoque sensato. A medida que los creadores de malware se vuelven más expertos en engañar a los usuarios y la tecnología por igual, poner todos sus huevos en una sola canasta parece ser un enfoque cada vez más desactualizado. Una solución de seguridad de punto last que aprovecha múltiples métodos de protección tiene una mayor probabilidad de ser efectiva.
        • El método más rápido y menos intensivo en recursos para atrapar malware es a través de firmas. Puede sonar un poco &#39el siglo pasado&#39 y es cierto que las firmas solo pueden atrapar malware que ya se ha visto en otros lugares (e incluso puede estar pensando en ese número de 725,000 que mencioné en mi blog site anterior), pero tenga en cuenta que incluso si esto El método no detectará el malware más nuevo, sigue siendo la mejor manera de identificar los otros 925 millones de archivos de malware en la foundation de datos. Filtrar los archivos defectuosos conocidos sin sobrecargar su Laptop permite más ciclos de CPU para otras tareas, a saber, los métodos de aprendizaje automático en los siguientes 2 puntos, pero aún más importante, ¡ejecutar las aplicaciones para las que realmente encendió la Computer system!
        • Una vez que haya filtrado una gran proporción del malware malicioso conocido, debe pensar en cómo protegerse contra el pequeño porcentaje para el que no existen firmas, y eso nos lleva de vuelta al aprendizaje automático mencionado anteriormente. Para comprender más sobre el aprendizaje automático en common, intente leer este website escrito por uno de mis colegas. Pero, para los propósitos de este website, y en el contexto de anti-malware, el aprendizaje automático viene en 2 sabores fundamentales Aprendizaje automático previo a la ejecución y aprendizaje automático posterior a la ejecución (o análisis de comportamiento asistido por aprendizaje automático). El sabor de pre-ejecución hace exactamente lo que dice en la lata … examina un archivo antes de permitir que se ejecute y lo prueba con un modelo de malware. Si considera que el archivo es estadísticamente possible que sea malware, entonces lo bloquea – críticamente antes de se le permite ejecutar y, por lo tanto, antes de que pueda hacer daño alguno. El aprendizaje automático posterior a la ejecución requiere que el archivo se ejecute y luego, en lugar de examinar el archivo estático en busca de indicios de malicia, observa el comportamiento actual de los procesos. Una vez que estos datos de rastreo están disponibles, se pueden comparar con un tipo diferente de modelo y nuevamente se puede hacer una estimación de si es possible que sea malicioso o no. Ambas variantes tienen valor y se complementan entre sí, por lo que al igual que debería estar buscando la detección basada en firma y sin firma, también debería estar buscando versiones de aprendizaje automático antes y después de la ejecución.
        • El escenario descrito anteriormente donde se requiere el escaneo posterior a la ejecución (porque el escaneo previo a la ejecución no ha identificado algo que es malicioso y le permite ejecutarse) es un claro seguimiento del valor de la contención de la aplicación. Este concepto, presentado por McAfee en 2017, está diseñado para minimizar el daño que un proceso malicioso puede lograr incluso cuando las defensas del punto final han sido engañadas. Esto es de specific importancia dada la prevalencia precise de cripto-malware, por lo que incluso si el análisis de comportamiento identifica el malware que se ejecuta en su sistema, es posible que ya haya eliminado puntos de restauración, datos cifrados y archivos fuente sobrescritos. Dynamic Software Containment identificará si un archivo no tiene reputación y si no lo tiene (por lo que no se conoce como bueno o malo), y asumiendo que el escaneo previo a la ejecución sugiere que es seguro, permitirá que se ejecute pero contendrá al mismo tiempo Esto significa que si posteriormente resulta ser malicioso, se evitará que, por ejemplo, sobrescriba los datos del usuario, modifique el registro, acceda a los recursos compartidos de la pink y a una gran cantidad de otras cosas que no queremos que hagan los malos.
  • En algunos entornos, también puede considerar el handle de aplicaciones como una forma de garantizar que el código malicioso no pueda aprovechar las vulnerabilidades que puedan existir. Este es un enfoque de tipo de lista blanca que permite al departamento de TI predefinir un conjunto de aplicaciones y código que se permite ejecutar y simplemente bloquea todo lo demás. Dado que el código malicioso no estará en la lista blanca, nunca podrá ejecutarse, entonces, ¿por qué no es esta la posición predeterminada de todas las empresas del mundo? Respuesta: porque tiende a provocar que el departamento de TI se vea invadido por usuarios furiosos que intentan hacer el trabajo y descubren que solo funcionará un conjunto limitado de aplicaciones. Una persona es amante de un navegador world wide web diferente, pero no puede usar esa aplicación. Otra persona tiene un dispositivo personal y quiere cargar el application relevante para conectarlo, pero no pueden. Una tercera persona quiere usar su nuevo y excelente clicker de presentación solo para descubrir que necesita su propio software program, y eso no está permitido. La lista continúa … y los usuarios se enojan más.
  • Algunas soluciones de seguridad de punto closing son mejores que otras, pero vale la pena tener en cuenta que nunca ha habido, ni habrá alguna que sea 100% perfecta. Ningún proveedor puede garantizar que el malware o los piratas informáticos nunca lleguen a su entorno y es por eso que existe un mercado creciente para las soluciones de detección y respuesta de punto closing (EDR). Estas soluciones están diseñadas para analizar e interrogar continuamente su infraestructura para detectar actividades maliciosas de bajo nivel que otros sistemas de defensa no identifican y luego le permiten reaccionar ante esas amenazas, aislar los sistemas infectados, reparar el daño y restaurar el servicio normal tan rápido como sea posible.

En resumen, las amenazas de día cero son un camino bastante largo en la lista de cosas que creo que las empresas deberían centrarse en abordar. Eso no quiere decir que deberían ignorarse, pero hay cosas más fáciles de solucionar y que probablemente tengan un impacto más positivo. Mi consejo sería esperar hasta que el parche esté completamente bajo control, los usuarios sepan cómo actuar como su primera línea de defensa y tenga instalada una solución antimalware de buena calidad (aprovechando tanto las firmas como el aprendizaje automático). ¡Solo entonces debería centrar su atención en los peligros del «día cero»!





Enlace a la noticia initial