Para ir directo al grano, el ransomware ha aumentado 200% desde enero de 2015 y por supuesto que se va a acrecentar aún más en 2017, es un negocio deDINERO RÁPIDO y pocas, muy pocas empresas están preparadas para hacerle frente.
La campaña de Ransomware en solo en el primer semestre 2016 generó ganancias de alrededor de 94 millones de dólares para los atacantes en USA y Canada principalmente, es más que suficiente motivación para que cada vez más hackers se enfoquen en este tipo de ataques y planifiquen nuevos objetivos: Hospitales, manufactura, colegios, ONGs, federaciones, entre muchos otros, no podemos decir “este sector no es de interés” es cuestión de tiempo para que encuentren una vía lucrativa para cada sector, en el caso de México, son muchas las medianas y pequeñas empresas, así como entes de gobierno federal estadal que han sufrido estos ataques y a todos los toman desprevenidos, y a pesar que se han realizado grandes esfuerzos para contrarrestarlo, aun quedan puntos débiles por donde vuelven a ser atacados.
¿Cómo me preparo?
Prevención es el mejor enfoque contra el ransomware, hay que cambiar el paradigma, “dejar de correr detrás de la cola”, las soluciones actuales han agregado más capas de seguridad (mayor complejidad) a la arquitectura tecnológica, estas capas se han definido:
- Antivirusy antimalware, esta capa no resuelve el ransonware, no está diseñada para detectar malware avanzado, el antivirus trabaja sobre “lo bueno conocido y lo malo conocido” pero y ¿Qué pasa con lo desconocido?
- Para lo desconocido se ha agregado otra capa, una con capacidad de consultar y compartir con otros entes (BD de malware en la nube por ejemplo), a ver si alguien en el mundo ya ha sido afectado e identificado para compartir esta información. ¿Qué pasa si nadie lo ha identificado?
- Para ello se ha incluido una tercera capa “Sandbox” hardware dedicado en sitio o en la nube con la capacidad de ejecutar el archivo desconocido, interactuar con él para detectar comportamiento anormal o hurgar dentro de su código enBUSCA de “alguna pieza de código malicioso conocido” esto también es conocido como análisis dinámico y análisis estático, pero ¿Cuánto tarda este proceso? Que hago mientras esto ocurre? Si el archivo desconocido es benigno o propietario. ¿Cuándo lo puedo ejecutar? Si el ataque es enfocado con técnicas evasivas y avanzadas como segmentar el código en varias piezas ¿Cómo un sandbox lo puede detectar?
- En vista de que tendremos que tener el “paciente cero” o la primera infección para efectivamente saber que un código es malicioso, luego debemos removerlo de todos los dispositivos donde se encuentre, para ello se agrega otra capa conocida como EDR “Endpoint Detection and Response”. finalmente debemos analizar el origen y volver al punto 3 para nuevo análisis.
Hemos descrito 4 capas de seguridad para el endpoint que implican costos adicionales de licenciamiento para atacar la problemática del malware avanzado (sin mencionar las listas blancas, DLP, cifrado, que apunta a otros casos de uso como el robo de información) con técnicas de detección. Cuando la solución puede ser simple en el enfoque, aunque no tan obvio en la implantación.
Y ahora ¿Quién puede ayudarnos?
Como comenté anteriormente, la prevención vuelve a la palestra como una solución mucho más efectiva contra el malware avanzado que la detección. Ahora bien, como toda estrategia debemos siempre involucrar a los tres pilares de toda organización: Personas, procesos y tecnología. Un plan de conciencia en seguridad para incrementar el nivel de sensibilidad en seguridad de las personas, procesos vivos, ágiles y efectivos que aumente la inteligencia organizacional y por último (y mi enfoque) la tecnología correcta, insisto el antivirus convencional no es la solución contra el malware avanzado, si alguien está recomendando algún antivirus a su cliente para resolver este punto, sugiero reevalúe y amplíe su propuesta.
De nuevo, la tecnología correcta, dos conceptos: Inteligencia artificial e Inteligencia de máquina oCOMPUTACIÓN cognitiva, ya existe en el mercado una solución que trabaja en base a Inteligencia artificial y computación cognitiva cuyos resultados han sido asombrosos contra el malware avanzado, las estadísticas de detección son superiores versus las soluciones de endpoint protection tradicionales, incluyendo las cuatro (4) capas antes mencionadas, no se trata de una moda, o de algo pasajero, en los próximos años empresas de seguridad que no apliquen algoritmos de Inteligencia Artificial en la lucha contra el malware avanzado se quedarán rezagadas, la inteligencia artificial no es nueva, lo novedoso es su aplicación contra la prevención de malware avanzado, estos algoritmos aprenden luego de analizar cientos de millones de muestras de malware de todo tipo y logran definir modelos matemáticos, estos modelos son aplicados a los archivos nuevos o desconocidos dando como resultado un nivel de riesgo del archivo y en base a este riesgo se toman acciones.
Recomendación
Aplicar un enfoque holístico en la estrategia de prevención: Personas, procesos y tecnología, seleccionar la tecnología correcta que use Inteligencia artificial e inteligencia de máquina, esto nos permitirá ganar tiempo y tener una barrera efectiva mientras las personas y los procesos se equilibran.
En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a las amenazas de malware avanzado, que es y será el principal reto a resolver por todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.
Fuente:
blog.adv-ic.com