Esta entrada del blog es la quinta de una serie de formación sobre ciberseguridad patrocinada por OPSWAT , en la que se analizan las tecnologías y los procesos necesarios para diseñar, implementar y gestionar un programa de protección de infraestructuras críticas.
El malware es peligroso, pero no a simple vista. Si fuera fácil de detectar, todos los correos electrónicos, redes y sistemas de intercambio de archivos contarían con una protección total. A medida que evolucionan las herramientas de ciberseguridad, también debería hacerlo la facilidad con la que se bloquean todo tipo de contenidos maliciosos. Sin embargo, en 2020, el Centro de Estudios Estratégicos e Internacionales de McAfee informó de unas pérdidas globales récord de algo menos de un billón de dólares. Entonces, ¿por qué sigue siendo el malware tan eficaz en la era moderna de la ciberseguridad?
Diseñado para pasar desapercibido y confundirse con lo que esperamos encontrar, algunos programas maliciosos logran eludir hábilmente las auditorías y las herramientas de análisis. Un correo electrónico, un sitio web o unas herramientas en línea gratuitas que parecen normales pueden servir de puerta de entrada para que los delincuentes introduzcan código, programas o procesos maliciosos con el fin de alcanzar sus objetivos.
La intención maliciosa disfrazada para aprovecharse de la bondad de las personas siempre ha sido una estrategia eficaz. A modo de analogía, en las zonas de conflicto armado se utilizan minas terrestres para convertir una carretera inocente en una trampa peligrosa. Podemos pensar en el malware evasivo de manera muy similar.
Si observamos la carretera y vemos un trozo de tierra removida o un detector de metales que emite un pitido, podemos determinar qué hemos encontrado y así garantizar que el camino sea seguro para circular. Pero a veces no lo sabemos. Las minas terrestres pueden estar enterradas con cuidado o estar fabricadas con componentes no metálicos, lo que frustra de hecho nuestros intentos por detectarlas.
La forma más segura de pasar es abrirnos paso con explosivos.
Ya en la Segunda Guerra Mundial, se acoplaban enormes mayales giratorios a grandes vehículos blindados para golpear el suelo y detonar las minas, con el fin de abrir un camino seguro a través de los campos de minas. Hoy en día se siguen utilizando vehículos de diseño similar. Este método es violento y costoso, pero está controlado, es calculado y resulta extremadamente eficaz.
Las herramientas modernas de ciberseguridad, como Sandbox , nos permiten «detonar» el malware de forma muy similar. Las muestras de programas y archivos se cargan en entornos virtuales aislados y protegidos, donde el malware puede ejecutarse sin causar daño alguno a ningún sistema externo. La muestra de malware es nuestra mina terrestre, y el Sandbox mayal fuertemente blindado.
Mediante la ejecución del código, podemos analizar todos los aspectos del contenido y verificar su finalidad. El archivo puede ser seguro, o bien intentar conectarse a fuentes externas no verificadas, modificar claves del Registro o escanear el sistema de archivos local. La ejecución de malware en un entorno aislado para analizar su comportamiento se conoce como «análisis dinámico».
A diferencia de nuestro sistema de detección, que se basa en una clasificación binaria (seguro o inseguro), debemos tener en cuenta la complejidad de la finalidad de un archivo. Muchos programas legítimos realizan acciones que pueden considerarse potencialmente maliciosas. No todos Sandbox iguales, y lo que distingue a un buen producto son los métodos y cálculos que utiliza para ofrecer la mayor certeza posible al analizar la actividad de un archivo.
OPSWAT MetaDefender Cloud, una herramienta que cualquiera puede probar de forma gratuita, ofrece una potente Sandbox que permite evaluar los archivos subidos mediante un sólido sistema de ponderación. La capacidad de ejecutar un archivo de forma segura proporciona información que, de otro modo, podría eludir las técnicas tradicionales de análisis estático. Los entornos de pruebas ofrecen una excelente defensa contra los ataques de día cero, en los que las definiciones de los archivos aún no se han añadido a las bases de datos de las empresas de antivirus. De hecho, muchas empresas de antivirus utilizan los entornos de pruebas como base para saber qué archivos añadir a sus firmas de malware.
Sin embargo, el sandboxing no es una solución definitiva contra el malware. Para no contaminar los resultados, cada archivo debe analizarse de forma individual. El procesamiento de un solo archivo PDF, instalador, ejecutable, etc., requiere una cantidad considerable de tiempo y recursos de hardware, lo que puede provocar cuellos de botella en los sistemas de seguridad cuando se gestionan grandes cantidades de archivos. Saber cuándo y en qué circunstancias utilizar un Sandbox es fundamental para que esta tecnología resulte verdaderamente eficaz.
¿Quieres saber más? OPSWAT ofrece varios cursos de formación en ciberseguridad que profundizan en el sandboxing y otras tecnologías de seguridad OPSWAT . ¡Entra enopswatacademy.com y regístrate gratis hoy mismo!
