Detener amenazas nuevas y evasivas es uno de los mayores desafíos en ciberseguridad. Esta es una de las principales razones por las que los ataques aumentaron dramáticamente en el último año una vez más, a pesar de los 172.000 millones de dólares gastados en ciberseguridad mundial en 2022.
Armados con herramientas basadas en la nube y respaldados por sofisticadas redes de afiliados, los actores de amenazas pueden desarrollar malware nuevo y evasivo más rápido de lo que las organizaciones pueden actualizar sus protecciones.
Confiar en firmas de malware y listas de bloqueo contra estos ataques que cambian rápidamente se ha vuelto inútil. Como resultado, el conjunto de herramientas SOC ahora gira en gran medida en torno a la detección e investigación de amenazas. Si un atacante puede eludir sus bloqueos iniciales, espera que sus herramientas los detecten en algún punto de la cadena de ataque. La arquitectura digital de cada organización ahora está sembrada con controles de seguridad que registran cualquier cosa potencialmente maliciosa. Los analistas de seguridad examinan minuciosamente estos registros y determinan qué investigar más a fondo.
¿Esto funciona? Veamos los números:
- El 76% de los equipos de seguridad dicen que no pueden alcanzar sus objetivos porque no tienen suficiente personal.
- El 56 % de los ataques tardan meses, o más, en descubrirse
- Los ataques siguen creciendo: se espera que el costo global del cibercrimen alcance los 10,5 billones de dólares para 2025
Está claro que algo tiene que cambiar. Las tecnologías de detección tienen un propósito importante e invertir en ellas no es equivocadopero ciertamente se ha enfatizado demasiado.
Las organizaciones deben volver a priorizar la prevención de amenazas ante todo, y esto proviene de el líder en confianza ceroun modelo que básicamente asume que sus controles de prevención ya han fallado y que están siendo violados activamente en un momento dado.
El punto final es solo el punto de partida.
Aunque muchas categorías de seguridad ejemplifican las brechas en las estrategias de seguridad de detección primero, veamos una categoría popular en particular: detección y respuesta de punto final (EDR).
La adopción de EDR ha crecido como un reguero de pólvora. Ya es una industria de $ 2 mil millones, es creciendo a una CAGR de 25.3%. Tiene sentido: la mayoría de los ataques comienzan en el punto final y, si los detecta temprano en la cadena de ataque, minimiza el impacto. Una buena solución de EDR también proporciona telemetría de punto final enriquecida para ayudar con las investigaciones, el cumplimiento y la búsqueda y cierre de vulnerabilidades.
La seguridad de endpoints es un área valiosa en la que invertir, y un componente crítico de la confianza cero—pero no es el cuadro completo. A pesar de las afirmaciones de los proveedores de detección y respuesta «extendidas» que unen datos en toda la empresa, las soluciones XDR no brindan una defensa en profundidad por sí solas. Los EDR tienen antivirus para detener el malware conocido, pero por lo general permiten que pase el resto del tráfico, contando con análisis para detectar eventualmente lo que el AV no detectó.
Todas las herramientas tienen sus defectos, y EDR no es una excepción, porque:
No todos los ataques comienzan en el punto final. Internet es la nueva red y la mayoría de las organizaciones tienen una amplia gama de datos y aplicaciones almacenados en varias nubes. También utilizan con frecuencia dispositivos como VPN y cortafuegos que se pueden enrutar desde Internet. Cualquier cosa que esté expuesta es objeto de un ataque. Zscaler ThreatLabz descubrió que el 30 % de los ataques basados en SSL se ocultan en servicios de intercambio de archivos basados en la nube, como AWS, Google Drive, OneDrive y Dropbox.
No se gestionan todos los puntos finales. EDR se basa en agentes que están instalados en todos los dispositivos administrados por TI, pero eso no tiene en cuenta la miríada de escenarios en los que los puntos finales no administrados pueden tocar sus datos o redes: dispositivos IoT y OT, puntos finales personales (BYOD) utilizados para el trabajo, terceros -socios y contratistas de fiestas con acceso a datos, fusiones o adquisiciones recientes, incluso invitados que vienen a su oficina para usar Wi-Fi.
EDR se puede omitir. Todas las herramientas de seguridad tienen sus debilidades, y EDR ha demostrado ser bastante fácil de evadir utilizando varias técnicas comunes, como la explotación de llamadas al sistema. Los atacantes utilizan técnicas de encriptación y ofuscación para generar automáticamente nuevos PDF, documentos de Microsoft 365 y otros archivos que pueden alterar la huella digital del malware y eludir los modelos tradicionales de ciberseguridad sin ser detectados.
Las amenazas modernas se mueven muy rápido. Las cepas de ransomware actuales, casi todas disponible para comprar en la dark web para cualquier posible ciberdelincuente, puede cifrar datos demasiado rápido para que las tecnologías basadas en la detección sean útiles. LockBit v3.0 puede cifrar 25.000 archivos en un minuto y es ni siquiera el ransomware más rápido que existe. Por el contrario, el tiempo promedio para detectar y mitigar una brecha se ha medido en 280 días. Eso es tiempo suficiente para que LockBit cifre más de 10 mil millones de archivos.
Pon tu seguridad en línea
Es cierto que las tecnologías antivirus basadas en firmas ya no son suficientes para detener ataques sofisticados. Pero también es cierto que los mismos análisis impulsados por IA detrás de las tecnologías de detección pueden (¡y deben!) usarse para la prevención, no solo para la detección, si se entregan en línea. Esta estrategia de prevención debe tener en cuenta toda su infraestructura, no solo sus terminales o cualquier otra parte de su arquitectura.
Un sandbox es un ejemplo clave de una herramienta de seguridad que se puede implementar de esta manera. Los sandbox brindan protección en tiempo real contra amenazas sofisticadas y desconocidas mediante el análisis de archivos y URL sospechosos en un entorno seguro y aislado. Implementarlos en línea (en lugar de como transferencia) significa que un archivo no puede continuar hasta que la solución emita un veredicto.
La plataforma Zscaler Zero Trust Exchange incluye un proxy nativo de la nube que inspecciona todo el tráfico, cifrado o no, para permitir un acceso seguro. Como proxy, los controles en capas de la plataforma, incluido el sandbox avanzado integrado, se entregan en línea con un enfoque de prevención primero.
Complementar sus tecnologías de detección con el sandbox en línea nativo en la nube de Zscaler le brinda:
Protección en tiempo real impulsada por IA contra amenazas de día cero
Zscaler utiliza algoritmos de aprendizaje automático avanzados que la nube de seguridad más grande del mundo refina continuamente, que procesa más de 300 000 millones de transacciones por día. Estos algoritmos analizan archivos y URL sospechosos en tiempo real, detectando y bloqueando amenazas potenciales antes de que puedan causar daños.
Esto comienza con un análisis de filtrado previo que compara el contenido del archivo con más de 40 fuentes de amenazas, firmas de antivirus, listas de bloqueo de hash y reglas YARA para indicadores conocidos de compromiso (IOC). Al reducir la cantidad de archivos necesarios para un análisis más profundo, los modelos AI/ML funcionan de manera más efectiva. Cuando un archivo sigue siendo desconocido o sospechoso después de la clasificación inicial, Zscaler Sandbox lo detona para realizar un análisis secundario, dinámico y estático sólido, incluido el código y el análisis de carga útil secundaria que detecta técnicas de evasión avanzadas. Una vez completado, se genera un informe con un puntaje de amenaza y un veredicto procesable, bloqueando archivos maliciosos y sospechosos según las configuraciones de la política.
Escalabilidad
Uno de los puntos de venta más importantes de la nube es la capacidad de escalar hacia arriba o hacia abajo rápidamente para satisfacer las necesidades de organizaciones de todos los tamaños. Los controles de seguridad implementados en la nube son naturalmente más fáciles de aprovisionar y administrar, lo que brinda a su organización la flexibilidad necesaria para adaptarse a las cambiantes necesidades de seguridad.
Costos reducidos
El costo es una de las entradas principales que definen muchas estrategias de seguridad y se presenta de muchas formas: productividad del usuario, eficiencia operativa, costos de hardware, etc. Pero el mayor costo a tener en cuenta es el costo de ser violado. Al prevenir los ataques, elimina el tiempo de inactividad, el daño a la reputación, la pérdida de negocios y los costos de remediación, todo lo cual puede sumar fácilmente hasta siete cifras por un solo ataque. ESG descubrió que la organización promedio que usa Zero Trust Exchange experimenta una reducción del 65 % en el malware, una reducción del 85 % en el ransomware y una reducción del 27 % en las filtraciones de datos, lo que contribuye a un ROI general del 139 %.
Protección integral contra amenazas
Zero Trust Exchange ofrece capacidades integrales de prevención, detección y análisis de amenazas, proporcionando a las organizaciones una estrategia de control de seguridad uniforme en todas las ubicaciones, usuarios y dispositivos. Zscaler Sandbox puede analizar archivos en cualquier lugar, no solo en el punto final, y está integrado con una variedad de capacidades adicionales, como seguridad de DNS, aislamiento del navegador (para ataques sin archivos), prevención de pérdida de datos, seguridad de aplicaciones y cargas de trabajo, engaño y muchos otros. Esto proporciona una visión completa de la postura de seguridad de su organización y la defensa en profundidad por la que se esfuerzan los equipos de seguridad.
La prevención es lo primero
En la carrera armamentista contra los atacantes, los equipos de seguridad deben priorizar los controles de seguridad en línea sobre las tecnologías de detección de paso. No se debe permitir que los archivos ingresen a puntos finales o redes a menos que esté seguro de que son benignos, porque si resultan ser maliciosos, es probable que no los descubra hasta después de que el daño esté hecho.
Si desea obtener más información sobre Zscaler Zero Trust Exchange, visite zscaler.com.