Si bien los medios de comunicación han cubierto ampliamente el reciente aumento de malware, parece que se ha minimizado cierto aspecto. Lo cierto es que no solo los ciberataques han crecido significativamente durante la pandemia (solo en marzo se violaron 832 millones de registros a través de malware ), sino que su complejidad también ha aumentado visiblemente.
El hecho de que las transacciones comerciales tuvieran que ser realizadas en línea por empleados remotos creó muchas vulnerabilidades que los equipos de respuesta a incidentes no pudieron cubrir a fondo. Esto permitió a los ciberdelincuentes volverse más sofisticados y audaces en sus enfoques.
Clop ransomware ahora puede deshabilitar la seguridad básica del sistema; Gameover Zeus usa redes P2P para transmitir literalmente sus datos, mientras que varios grupos de ciberdelincuentes comenzaron a escribir malware en Golang para evitar la detección convencional. Y si el aumento en los ataques globales a los sistemas de salud no fue una sorpresa, el grupo de ransomware Netwalker dio un paso más y atacó una ciudad austriaca entera con múltiples correos electrónicos de phishing.
Ahora está claro que la era de las infecciones de virus clásicas ha quedado atrás y que las herramientas de detección convencionales son incapaces de abordar el malware avanzado. Entonces, ¿qué puede hacer su equipo de seguridad para asegurarse de que no se les escape ninguna amenaza?
Además de una combinación sólida de detección convencional, seguridad de red e inteligencia de amenazas, debe estar atento a algunas capacidades antimalware al elegir un proveedor.
1. Análisis y análisis eficiente de archivos
El escaneo de archivos es una funcionalidad común a todos los motores antimalware. Aun así, no todos los escáneres de archivos nacen iguales, con analizadores y analizadores de archivos dedicados que diferencian claramente a los líderes de los rezagados.
En general, analizar un archivo significa poder extraer correctamente los diferentes datos presentes en el archivo. En otras palabras, el análisis permite que el motor antimalware escanee todos los datos relevantes de un archivo (como los scripts y las macros de un documento de MS-Office o un archivo .pdf, por ejemplo) y decida si esos datos representan una amenaza.
Esto mejora tanto la velocidad como la precisión de detección y permite la detección de amenazas ocultas (algunos archivos .pdf pueden tener archivos adjuntos adicionales o tener secuencias de comandos incrustadas). Un análisis tolerante a fallas también permite que el motor antimalware analice y escanee archivos dañados o descargados de forma incompleta, que un motor más simple ignoraría. Incluso los archivos incompletos a veces pueden abrirse e infectar al usuario, por lo que esta característica de seguridad es muy importante.
2. Análisis de archivo
Los archivos han sido el vector de ataque favorito de los ciberdelincuentes durante mucho tiempo. Esto se debe a que los archivos archivados se utilizan mucho a nivel empresarial y, por lo general, pueden evitar la detección del servidor de correo electrónico. Además, el término «archivo» cubre una amplia gama de formatos (prácticamente cualquier archivo que contenga otros archivos puede ser uno, como correos electrónicos con archivos adjuntos, imágenes ISO o instaladores de software) y estos formatos no siempre están cubiertos por los motores de escaneo clásicos. .
Si bien el escaneo dentro de los archivos no es una característica nueva, el escaneo a través de múltiples tipos de archivos, así como a través de archivos dañados, debe ser una prioridad en su lista.
3. Análisis del Desempaquetador
Al igual que el análisis de archivos, el análisis del desempaquetador es «imprescindible» para cualquier solución antimalware. A diferencia de los archivos comprimidos, los desempaquetadores se utilizan para desempaquetar el único ejecutable que se ha empaquetado con uno o más empaquetadores/ofuscadores gratuitos o comerciales, por lo que se modifican todos los parámetros binarios (código, tamaño, cadenas de texto, firmas).
Esto hace que los ejecutables empaquetados sean un vehículo común para los troyanos y el malware de puerta trasera. No solo reduce el tamaño del ejecutable, lo que agiliza la descarga de malware, sino que también cambia por completo el binario. Esto significa que cualquier detección dirigida al binario original, incluida la detección de aprendizaje automático, no funcionaría contra el contenido empaquetado a menos que se desempaquetara.
Dado que los desempaquetadores tienden a ser más diversos que los archivos, su proveedor debe ofrecer una forma de desempaquetarlos, ya sea mediante el uso de un desempaquetador relevante o ejecutándolos en un entorno seguro y verificando su contenido, a través de la emulación.
4. Emulación
Hablando de emulación, esta característica es vital cuando se lucha contra el malware polimórfico, ya que cada muestra de este malware es diferente de todas las demás. La capacidad de simular la ejecución del malware es vital a la hora de detectar el malware.
La emulación también puede ser increíblemente útil cuando se trata de archivos cuyos binarios han sido ofuscados (deliberadamente demasiado complejos para que los humanos los entiendan) o simplemente escritos en lenguajes menos comunes (como la amenaza Golang mencionada anteriormente). Con estos archivos, siempre es más rápido ejecutarlos en un entorno controlado, en lugar de tratar de descifrar el código, especialmente cuando el escaneo es sensible al tiempo.
5. Detección basada en heurística
Si bien los algoritmos de detección y las firmas son vitales para cualquier solución exitosa, también se debe incluir el escaneo basado en heurística. En lugar de confiar en la información existente, la heurística se basa en una combinación de comportamiento y análisis de patrones, así como en la emulación, analizando cualquier actividad anormal de software conocido y desconocido.
Las heurísticas eficientes conducen no solo al bloqueo de archivos maliciosos, sino también al descubrimiento de amenazas desconocidas.
6. Algoritmos de aprendizaje automático
Dado que el panorama de amenazas cambia continuamente, los algoritmos de detección también están en constante evolución. El aprendizaje automático garantiza que su solución haya estado y esté constantemente expuesta a una amplia variedad de situaciones que amenazan la seguridad, lo que minimiza los falsos positivos y mejora la respuesta a incidentes.
Las soluciones avanzadas utilizan algoritmos de aprendizaje automático basados en redes más amplios, como redes neuronales y de aprendizaje profundo.
7. Detección basada en la nube
Los filtros locales son su primera línea de defensa, pero su proveedor debe ofrecer acceso a actualizaciones basadas en la nube y a Threat Intelligence para garantizar que las amenazas novedosas se informen en tiempo real.
La principal ventaja de un sistema de este tipo es que permite la detección de nuevas amenazas en segundos, sin descargar actualizaciones del motor.
Aparte de estas características, un conjunto de detección de malware eficiente debe ser independiente de la plataforma y ocupar un espacio reducido, lo que le permite actuar más rápido que las amenazas, independientemente del sistema.
Nuestra solución
El galardonado motor antimalware de Bitdefender ofrece protección contra todo el malware común, desde troyanos y gusanos hasta ransomware y spyware, así como contra enemigos menos comunes, como amenazas persistentes avanzadas, amenazas de día cero y muchos otros.
Con una tasa de detección del 99,9 %, escaneo de alta velocidad y rápida integración en aplicaciones y servicios de socios, nuestra solución antimalware puede adaptarse a cualquier empresa, SOC o MSSP.
Sin embargo, no debe aceptar las propias palabras de ningún proveedor. Nuestros productos han sido probados y premiados constantemente por analistas independientes, hasta el punto de que nuestro motor antimalware ha ganado más premios que cualquier otro producto en la historia de AV-Comparatives. De hecho, acabamos de ganar su premio Producto del año .
Si desea obtener más información sobre lo que nuestra solución puede hacer por su empresa, lea nuestro extenso resumen técnico: Tecnologías utilizadas en el motor antimalware.