Los objetos en el espejo son más dañinos de lo que parecen
Por: Por: Josué Hernández, Security Architect en Sourcefire México
Prácticamente todos los vehículos en estos días vienen equipados con un espejo retrovisor y espejos laterales, y por una buena razón. Imagine los problemas de seguridad sin visibilidad. ¿Cómo saber si hay un peatón caminando mientras que usted va saliendo del estacionamiento? ¿O un vehículo de la policía, de bomberos o de rescate que viene por detrás, en respuesta a una llamada? ¿U otro conductor intentando rebasarlo? ¡Hablemos del punto ciego!
Sin embargo, no siempre fue así. Durante los primeros 30 años los automóviles impulsados por gas funcionaron sin espejos. Los espejos ni si quieran eran considerados. Sin tránsito y a baja velocidad, los conductores podrían centrarse en la carretera, evitar peligros obvios y permanecer seguros. Pero a medida que el automóvil se hizo más popular y más potente, surgieron nuevos peligros y la falta de visibilidad se convirtió en un desafío. Se desarrollaron los espejos traseros y laterales, volviéndose rápidamente ‘imprescindibles’.
Estamos en un punto de inflexión similar en la industria de la seguridad informática. Cuando aparecieron los primeros virus de PC hace casi 25 años, los defensores podían proteger contra ellos mediante la detección y bloqueo de archivos en su intento de entrar a la red. Pero ahora, las amenazas han evolucionado y son más astutos que todos los que hemos experimentado anteriormente – capaces de disfrazarse como seguros, para pasar a través de las defensas desapercibido, no ser detectados y posteriormente mostrar un comportamiento malicioso. Centrándose únicamente en lo que viene (es decir, análisis de archivos una vez en el punto inicial en el momento de determinar si son maliciosos) ya no es suficiente. Una vez que los archivos entran en una red, la mayoría de los profesionales de seguridad no tienen manera de mirar hacia atrás. Sin «espejos» no pueden seguir vigilando los archivos y tomar cartas en el asunto en caso de que los archivos más tarde lleguen a ser dañinos.
Entonces, ¿cómo puede usted ganar visibilidad y control después de que un archivo desconocido o sospechoso ha entrado en la red? La seguridad retrospectiva sirve como esos ‘espejos’, que permiten un nuevo nivel de eficacia en la seguridad que combina la detección retrospectiva y la remediación con protección hasta al último minuto. El personal de seguridad de TI puede continuar monitoreando, analizar y ser alertado de archivos previamente clasificados como seguros, pero posteriormente identificados como malware y luego entrar en acción para poner en cuarentena los archivos, reparar y crear protecciones para evitar el riesgo de una reinfección.
Las tecnologías clave han avanzado para habilitar la seguridad retrospectiva.
El primero es el análisis de datos grandes. Surgidos con el crecimiento explosivo de los datos, el almacenamiento y la potencia de procesamiento, los grandes datos es un término utilizado para caracterizar de forma masiva grandes conjuntos de datos que van en terabytes o petabytes. La Seguridad Retrospectiva accede a grandes volúmenes de datos y los convierte en información para acciones automatizadas, así como de inteligencia procesable que los equipos de seguridad de TI pueden utilizar para tomar decisiones oportunas de seguridad después de un ataque.
La computación en la nube es otra nueva y poderosa herramienta para activar la seguridad retrospectiva. Aprovechando la casi ilimitada, el almacenamiento rentable y el poder de procesamiento de la nube, la seguridad retrospectiva aplica grandes datos para realizar un seguimiento continuo y almacenar la información del archivo a través de una comunidad amplia, y analizar cómo estos archivos se comportan frente a la última amenaza inteligente almacenada en la nube.
Preparado con esta información, el personal de seguridad de TI puede identificar rápidamente un archivo que empieza a actuar maliciosamente, y así actuar con rapidez para entender el alcance de los daños, detener la amenaza, remediar y regresar las operaciones a la normalidad. También pueden seguir adelante con la seguridad más eficaz actualizando automáticamente las protecciones e implementando normas integradas en la puerta de enlace de seguridad perimetral, en dispositivos de seguridad de protección de redes internas y en los puntos finales para detectar y bloquear el mismo ataque.
Las nuevas amenazas y las nuevas tecnologías se unen para traer una nueva perspectiva a la seguridad. De la misma forma en que se incorporaron los espejos retrovisores y laterales de los automóviles cuando era el momento adecuado, el momento es ahora para la seguridad de TI para incluir la seguridad retrospectiva.
