Tabla de contenido:
Las amenazas cibernéticas y toda la naturaleza de la seguridad de TI se están moviendo a un ritmo vertiginoso. A medida que los ataques se vuelven más sofisticados y específicos, algunas defensas previamente efectivas no son lo que eran, o se han vuelto completamente ineficaces contra los ataques. Aquí hay tres métodos obsoletos de protección y por qué ya no son suficientes. (Para leer los antecedentes, consulte The New Face of 21st Century Cyberwarfare).
Cortafuegos de próxima generación (NGFW)
Históricamente, los firewalls de próxima generación (NGFW) utilizan un enfoque centrado en las aplicaciones para clasificar el tráfico de red en un esfuerzo por detener el malware y otros ataques. Sin embargo, los NGFW han demostrado ser ineficaces contra ataques avanzados. Esto se debe a que el corazón de la tecnología NGFW es una configuración básica de firmas IPS, software antivirus, listas negras de URL y análisis de reputación. Cada uno de estos es de naturaleza reactiva y ha demostrado ser incapaz de detener las amenazas avanzadas.
Los creadores de la tecnología NGFW están reforzando sus productos con adiciones como binarios basados en la nube y análisis de DLL, así como actualizaciones por hora en el conjunto de firmas del firewall. El problema es que estas opciones aún dejan mucho tiempo para que el malware cause daños.
Software antivirus
Frente a los ataques de día cero y de amenaza persistente avanzada (APT) que explotan vulnerabilidades desconocidas, el antivirus es prácticamente inútil para prevenir las amenazas cibernéticas modernas. Algunas investigaciones sugieren que el 90 por ciento de los archivos binarios en malware se transforman en una hora, lo que le permite escabullirse del software antivirus que se basa en la detección basada en firmas y actualizaciones que se retrasan por horas, días o semanas, dependiendo de la frecuencia de actualización.
Este tiempo de retraso representa una oportunidad de oro para que el malware se propague desde los sistemas iniciales que infecta. Esta ventana también es lo suficientemente larga como para que el malware instale otras infecciones que pueden incluir descifradores de contraseñas y keyloggers que se integran profundamente en su sistema host comprometido.
En este punto, la eliminación se vuelve cada vez más difícil. Entonces, ¿por qué los profesionales de seguridad de TI mantienen el software antivirus como una parte confiable de la seguridad general? En estos días, el antivirus a menudo se usa como un sistema complementario, o una "primera línea" de defensa, junto con sistemas más grandes y más avanzados. El antivirus captura la "fruta baja", que incluye firmas de virus más antiguas, mientras que los sistemas de protección de malware más robustos capturan el malware avanzado que se pierde.
Pasarelas web
La industria de la ciberseguridad nos ha dado un legado de coincidencia de patrones que alguna vez tuvo la intención de aumentar el bloqueo basado en puertos y eliminar los límites de los productos de seguridad basados en firmas y listas. Las puertas de enlace web emplean estas mismas tecnologías.
La tecnología de puerta de enlace web utiliza bases de datos y listas de URL "malas" conocidas, pero no tiene en cuenta las amenazas actuales y evolutivas actuales. La aplicación de políticas y la seguridad de bajo nivel son el único valor que las puertas de enlace web aportan a la tabla de seguridad a medida que los ataques cibernéticos han evolucionado para hacer que las puertas de enlace sean ineficaces. La naturaleza dinámica de la entrega y comunicación de malware hace obsoletas las listas de sitios web y URL "malos".
Irónicamente, a medida que las puertas de enlace web obtuvieron una adopción mundial, se volvieron algo obsoletas en términos de seguridad. La tecnología de puerta de enlace web todavía tiene algún uso al imponer reglas corporativas que limitan o restringen la navegación web, pero cuando se trata de proteger contra ataques sofisticados, las puertas de enlace web tienen un papel marginal en el mejor de los casos.
De mayor a menor
Si bien no se puede negar que estas tres tecnologías juegan un papel actual en la protección de las redes contra las amenazas cibernéticas, los ataques evolucionados de la próxima generación que vemos hoy las han convertido en partes menores de las defensas más avanzadas.
Una tecnología que es efectiva en la protección contra malware avanzado son los firewalls con estado, que son algo así como un cruce entre un filtro de paquetes y la inteligencia de nivel de aplicación obtenida a través de un proxy. Esta es solo una de una serie de tecnologías que han reemplazado o recogido la holgura de algunas de las tecnologías más antiguas, al menos por ahora. Por supuesto, las amenazas cibernéticas continúan evolucionando, lo que significa que los intentos de protección deben evolucionar junto con ellas.