Software para proteger sistemas
Informes
Como no hay herramientas que hagan que los sistemas sean infalibles a ataques cibernéticos, los usuarios siempre están vulnerables, por eso es importante ajustar las medidas de seguridad y minimizar los riesgos. A continuación se presentan varias recomendaciones destinadas a proteger los dispositivos:
Antivirus
Los antivirus son capaces de detectar un amplio espectro de software malicioso, conocido como malware que tiene la conjunción de dos términos: “malicioso” y “software”. Además pueden estar combinados con otras tecnologías de seguridad como la detección de spam, phising, spyware, entre otros.
Los antivirus tienen la capacidad de detectar malware realizando análisis estáticos y dinámicos. El análisis estático consiste en analizar el código de aplicaciones para detectar malware identificado con antelación o detectar patrones de programación que son típicos de estos. El análisis dinámico consiste en monitorear el comportamiento de las aplicaciones de un dispositivo mientras están siendo utilizadas, detectando comportamientos anómalos.
Algunas sistemas de antivirus utilizan el análisis heurístico para diagnosticar un archivo que pueda ser potencialmente ofensivo. El l motor analítico chequea mensajes que podrían indican posibles malware, asignando cierto puntaje cuando localiza una amenaza. Si el puntaje iguala o supera un puntaje determinado, el archivo es detectado como sospechoso y es procesado acorde a ello, usualmente los sistemas de antivirus también nos informan de que se detectaron este tipo de amenzas y las elimina.
Endpoint Detection and Response
El Endpoint Detection and Response (EDR) es una herramienta que monitorea y analiza contínuamente cualquier dispositivo informático conectado a una red.
Su objetivo es identificar, detectar y prevenir amenazas avanzadas con mayor facilidad, utiliza un tipo de tecnología que permite detectar ataques que los antivirus no identifican. Monitorea y evalúa todas las actividades de la red (eventos de los usuarios, archivos, procesos, registros, memoria y red).
El EDR utiliza una serie de técnicas:
Aprendizaje automático es una disciplina del campo de la inteligencia artificial (IA) que, a través de algoritmos, le da a los dispositivos la capacidad de identificar patrones en datos masivos y elaborar predicciones y analítica.
Sandboxing, es una medida de prevención para detectar aquellas amenazas que los endpoints no son capaces de localizar porque no fueron configurados para ello.
Alertas generadas por sistemas externos (IOC o indicadores de compromiso).
Investigación de los incidentes desde el punto de vista histórico: se rastrea el origen y evolución del malware para tomar medidas preventiva y así evitar futuros ataques.
Herramientas de remediación para eliminar los archivos infectados, poner en cuarentena y volver al estado anterior a la infección.
Extended Detection Response
Extended Detection Response (EDR) recopila y correlaciona automáticamente datos en múltiples capas de seguridad: correos electrónicos, endpoint, servidores, tanto en la nube como en la red local. Esto permite una detección más rápida de las amenazas, una mejor investigación y mejores tiempos de respuesta mediante un análisis de seguridad.
Debido a que los sistemas XDR examinan grandes franjas de datos procedentes de distintos orígenes (identidades, puntos de conexión, correos electrónicos, datos, redes, almacenamiento, internet de las cosas y aplicaciones) un análisis potente es esencial para comprender la actividad de las amenazas. Los análisis de XDR brindan visibilidad a la línea de tiempo de amenazas y ayudan a los analistas a encontrar con más facilidad amenazas que podrían pasar inadvertidas.
XDR identifica, evalúa y corrige de forma automática amenazas conocidas en tiempo real, reduciendo y simplificando la carga de trabajo de la organización y encontrando aquellas difíciles de detectar.
Adicionalmente, aplica aprendizaje automático e IA, lo que crea escalabilidad y eficacia. Desde detección de comportamiento, alertas así como investigación y corrección. Una XDR utiliza IA para supervisar comportamientos amenazadores, responder automáticamente a ellos y mitigar posibles ataques. El aprendizaje automático le permite a XDR crear perfiles de comportamiento sospechoso y marcarlos para que un analista los examine.
Vuelve aquellos dispositivos afectados a un estado seguro llevando a cabo acciones reparadoras como detener procesos maliciosos, eliminar reglas de reenvío maliciosas e identificar usuarios comprometidos en una organización.
Antispam
Las técnicas Antispam son herramientas que permiten a los usuarios prevenir o acotar la entrega de correos no deseados (spam). Analizan automáticamente todos los correos electrónicos entrantes enviados a un buzón de correo.
Algunos antivirus y firewalls tienen incorporadas herramientas antispam. El principal objetivo de una herramienta de este tipo es lograr un buen porcentaje de filtrado de correos no deseados.
Las herramientas antispam utilizan múltiples técnicas para detectar el correo no deseado. Algunas utilizan un diccionario propio para detectar palabras que suelen aparecer en estos correos. Ese diccionario puede ser "armado" con palabras que el propio usuario identifica como spam manualmente o también puede ser confeccionado de forma inteligente por la aplicación, cuando el usuario selecciona qué es deseado y qué es no deseado de su bandeja de entrada.
Una técnica no local, es la que utilizan las herramientas que se conectan a servidores remotos, su función es analizar cada uno de los correos electrónicos que llegan a un usuario, para identificar si son o no spam. Para ello utilizan grandes bases de datos con información (direcciones IP, nombres, textos, etc.) que permiten identificar estos correos.
Antiphising
¿Qué es el phising?
Es un tipo de ataque informático. Consiste en un conjunto de técnicas que tienen como objetivo engañar a una persona, imitando la identidad de un tercero de confianza, como podría ser un banco, una institución pública, empresa o red social, con el fin de manipularla y lograr que brinde información sensible (por ejemplo, usuarios y contraseñas, datos personales, entre otros).
Las herramientas antiphishing vigilan el tráfico de aplicaciones para detectar intentos de obtener información privada provenientes de entidades aparentemente fiables.
El antiphishing consiste en identificar el contenido de phishing en sitios web, correos electrónicos o medios solicitantes de acceder a datos, para luego, bloquear el contenido, generalmente con una advertencia para el usuario.
En algunos casos se integra con navegadores web y sistemas de correo electrónico para evitar que los sitios web fraudulentos se hagan pasar por otros sitios web legítimos.
Firewalls
Un firewall es una pieza de hardware o software que actúa como barrera entre una red y un dispositivo específico, por ejemplo, entre la red privada e internet, a fin de evitar que se establezcan comunicaciones no permitidas entre ambos puntos.
Existen varios tipos de firewall: filtrado de paquetes, proxy, NAT, aplicaciones web (WAF), próxima generación (NGFW) y de base de datos, los cuales se diferencian por la capa de red del modelo OSI que inspeccionan.
También se encuentran los firewall as a Service (firewall como servicio, también llamado FwaaS) que se incluyen como un servicio para la nube y tienen la capacidad de ampliar rápidamente los recursos necesarios así como de implementarse en más de una ubicación.
Intrusion Detection System
Intrusion Detection System (IDS) es un sistema de detección de intrusiones que detecta los accesos no autorizados a un equipo o una red.
Los IDS tienen sensores virtuales para la obtención de datos externos, detecta ciertas anomalías que pueden dar indicio de ataques o falsas alarmas.
El funcionamiento de estas herramientas se basa en el análisis del tráfico de red, ya que al ser analizados, se comparan con firmas de ataques conocidos, o comportamientos sospechosos, como el escaneo de puertos de red, paquetes malformados, etc. No solo analizan el tipo de tráfico, sino que también revisan el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El IDS es incapaz de detener los ataques por sí solo.
Host-based Intrusion Detection System
Los Host-based Intrusion Detection System (IDS) son sistemas de detección de intrusos de red, buscan detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host) y en la red. Las funciones de estos tipos de software son muy similares a las que tienen los IDS.
Intrusion Prevention System
Los Intrusion Prevention System (IPS) tienen como objetivo prevenir ataques de red y proteger vulnerabilidades de seguridad. Las tecnologías IPS vigilan los flujos de paquetes y se pueden usar para hacer cumplir el uso de protocolos seguros y denegar el uso de protocolos inseguros, como versiones anteriores de SSL o protocolos que utilizan cifrados débiles. Tienen una vista más amplia de toda la red, se pueden implementar fuera o dentro de una red y ya están incluídos en los Next Generation Firewall (NGFW) o dispositivos con Unified Threat Management (UTM)
Sandbox
Un sandbox es un entorno de prueba aislado que permite ejecutar programas o abrir archivos sin afectar a la aplicación, el sistema o la plataforma en la que se ejecutan.
Los desarrolladores de software usan sandbox para probar nuevos códigos de programación. Los profesionales de la ciberseguridad lo utilizan para probar software potencialmente malicioso. Sin esta herramienta el software o las aplicaciones podrían tener un acceso potencialmente ilimitado a todos los datos del usuario y a los recursos del sistema en una red.
Los sandboxes también se utilizan para ejecutar código malicioso de forma segura para evitar dañar el dispositivo host, la red u otros dispositivos conectados. El uso de un espacio aislado para detectar malware ofrece una capa adicional de protección contra las amenazas de seguridad, como ataques sigilosos y exploits que usan vulnerabilidades.
Sistema de gestión de eventos e información de seguridad
También llamados Security Information and Event Management (SIEM): es una software híbrido centralizado que engloba la gestión de información de seguridad (Security Information Management) y la gestión de eventos (Security Event Manager).
La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por los distintos dispositivos de hardware y software de la red.
Obtiene los registros de actividad (logs) de los distintos sistemas, los relaciona y detecta eventos de seguridad, es decir que detecta actividades sospechosas o inesperadas que pueden suponer el inicio de un incidente, descartando los resultados anómalos, también conocidos como falsos positivos.
Genera respuestas acordes en base a los informes y evaluaciones que registra, es decir, es una herramienta en la que se centraliza la información y se integra con otras herramientas de detección de amenazas.
Gestión Unificada de Amenazas
También llamada Unified Threat Management (UTM), gestionan de una forma centralizada la mayoría de las amenazas que pueden afectar a una organización.
Las principales funcionalidades que incorporan son:
Antivirus
Firewall
IDS/IPS.
Antiphishing
Antispam
Redes privadas virtuales o VPN
Sistemas de protección de redes inalámbricas wifi
Filtrado de contenido
Los UTM son elementos de seguridad perimetral. Deben estar ubicados en un punto entre internet y los dispositivos de la red interna de la organización. Su labor principal es inspeccionar toda la información que se transmite desde y hacia Internet.
Referencia sobre productos de seguridad
Para la obtención de una referencia sobre los productos líderes en seguridad se puede consultar a: Gartner, AV-TEST, CyberRantings.org, entre otros.
El Cuadrante Mágico de Gartner permite a las empresas que contratan servicios y soluciones en tecnologías de la información, de tener una visión conjunta de una determinada área de productos o servicios tecnológicos, y así poder tomar mejores decisiones en sus procesos de transformación digital. Basado en la investigación de un mercado específico, proporciona una visión panorámica de las posiciones relativas de sus competidores.
AV-TEST es una organización independiente que evalúa y califica el software de seguridad y antivirus para los sistemas operativos Microsoft Windows y Android, de acuerdo con una variedad de criterios.
CyberRatings.org es una organización miembro independiente sin fines de lucro que brinda transparencia y orientación experta sobre el riesgo cibernético a través de sus programas de investigación y prueba.
Referencias
- Microsoft – XDR
- Incibe – UTM
- Incibe - IDS, IPS y SIEM
- Incibe – AntiFraude
- Gartner – Magic Quadrant
- AV-TEST - Antivirus
- CyberRatings