WIXLIB

INFORME EJECUTIVO:POR QUÉ SE REQUIERE UN SANDBOXINGDE RED PARA DETENER EL RANSOMWAREPor qué debe utilizar sandboxing además de firmas y heurísticaResumenLos firewalls de próxima generación aprovechan de maneramuy eficaz las firmas y la heurística. Pero ya no son suficientespara defenderse contra los ataques maliciosos actuales. Losdesafíos de ataques específicos y amenazas de día cero hacenque la adición de sandboxing sea imprescindible para unposicionamiento efectivo de la seguridad.Comprender el desafío real (y cómo tratarlo)El crecimiento de las amenazas externas en la actualidades sorprendente. Los atacantes combinan la naturalezaoportunista de la automatización con la mentalidad de losproveedores de software para desarrollar continuamentesus amenazas (con el afán de tener el mayor alcance posiblesin ser detectados). Y, dado el impacto negativo que tienecualquier empresa que sufre una filtración de datos o un ataquede ransomware, detectar un código malicioso antes de queafecte su red es fundamental para las empresas de TI.El desafío real no es el ransomware que ya se ha diseminadopor Internet, sino los ataques específicos y las amenazas de díacero. Los ataques específicos implican un código nunca antesvisto para la empresa que recibe el ataque, mientras que lasamenazas de día cero explotan vulnerabilidades recientementedescubiertas para las cuales los proveedores aún no hanemitido parches. Las empresas deben preocuparse más poreste tipo de ataques, que generalmente tienen más éxito quelos antiguos ataques similares. Por lo tanto, ¿cuál es la mejormanera de evitar que una amenaza provenga de su propia red?Tiene algunas opciones en cuanto a dónde elija tratar losataques maliciosos y cómo detectarlos y eliminarlos. El objetivoes detectar y eliminar el código malicioso lo más cerca posibledel origen del ataque. En cuanto a dónde tratar un ataque, lasempresas generalmente se dividen en dos campos: el campode seguridad de los endpoints, en el cual el código maliciosologra llegar a un endpoint y luego se lo detecta y destruye,y el campo de sandboxing, en el cual se identifica y destruyeal código malicioso antes de que ingrese a la red. Hasta que

El código malicioso actuales tan avanzado que ladetección requiere unenfoque multifacético. Sinembargo, tanto las firmascomo la heurística tienenlimitaciones.haya una solución 100 % efectiva,posiblemente ambas tecnologíascontinúen siendo importantes capas dedefensa. Sandboxes pueden proporcionaruna ventaja preventiva, si se implementande la manera correcta.Impedir la entrada del código maliciosoSi piensa que su red es como un castillo,no hay un lugar mejor para detener elataque que la puerta: un punto estrechoen el cual se puede inspeccionar acualquier persona o cosa antes depermitirle la entrada. Si implementauna solución que pueda detectar uncódigo malicioso dentro de su firewall depróxima generación (NGFW), colocaráun guardia en la puerta del castillo.Nada entrará sin que el guardia lo sepa.A medida que ingresen los datos, seanalizarán los datos de tráfico mediantediversos métodos para detectar códigosmaliciosos: FirmasMediante el uso de una base de datosde firmas digitales maliciosas, seanaliza el tráfico para buscar cualquierdato que coincida con una firma. Si seencuentra una coincidencia, el códigose marcará como malicioso. HeurísticaA diferencia de las firmas, que buscancoincidencias específicas dentrode una base de datos, el análisisbasado en la heurística utiliza reglasy algoritmos para detectar un códigoque pueda tener intención maliciosa. SandboxingEn lugar de intentar revisar el códigopara encontrar firmas o intencionesmaliciosas, la solución de sandboxingpermite la detonación, o ejecuciónsegún lo previsto, del código ymonitorea el comportamiento paradetectar actividad maliciosa. Esteproceso se logra en un entornodiseñado con un objetivo particular,o sandbox, en donde no se puedehacer daño.El uso de esta combinación de tácticas esmás eficiente y eficaz, ya que los objetivosque están más al alcance se puedenlograr con tecnologías tradicionales másrápidas y que requieren un menor uso derecursos. Esto permite que el sandbox seconcentre en el contenido restante que,en realidad, requiere su nivel de análisis.2Por qué las firmas y la heurística no sonlo suficientemente buenasLa detección basada en firmas no esmejor que la base de datos que utilizapara identificar un código malicioso.Aun si su base de datos está actualizada,podría pasar por alto un ataque debidoa que lleva tiempo que los proveedoresde antivirus identifiquen malware,actualicen su base de datos y se ladistribuyan a usted. Además, aquellosque escriben códigos maliciosos conocenla detección basada en firmas y utilizanun código que la evita.La heurística también puede serimprecisa. Una parte del código podríasimplemente ser tráfico que no encajacon el patrón esperado, lo cual producefalsos positivos. Algunas veces el códigomalicioso inicialmente no parece serdañino hasta que se reensambla en elback-end, lo cual hace que la heurísticasea ineficaz.Tomemos el ransomware, por ejemplo.El código descargado inicialmente noes dañino. El código se convierte en unarma cuando se conecta a un comandoy servidor de control (C2) y descargaun código adicional. Otro ejemplo esuna macro dentro de un documento deMicrosoft Word. A menos que la macromaliciosa utilice un método de ataquesospechoso o conocido, ni las firmas nila heurística podrán indicar si la macroes buena o mala.Utilizar firmas o heurística para realizarun análisis pasivo del tráfico tiene suslimitaciones. El análisis no brinda alcódigo la oportunidad de activarse, ylos atacantes son expertos en ofuscar sucódigo malo (desde una perspectiva deanálisis) dentro del código "bueno". Porlo tanto, la forma más eficaz de detectarun código malicioso es interactuar conuna versión completamente convertidaen arma.Jugar con fuegoLa única manera de atrapar un códigomalicioso avanzado es "detonarlo".El proceso de detonación es muydiferente de tan solo analizar el código.Es similar a hacer un cultivo de unmicrobio peligroso en un laboratorio decontención de peligro biológico o hacerestallar una bomba en una cámara decontención. El sandbox proporciona

un lugar seguro para permitir que losdatos interceptados se abran y sigan sucurso en observación. Si se confirmaun comportamiento sospechoso omalicioso, el archivo y la amenaza quecontiene pueden ser eliminados.Sandboxes intentan detonar cada tipode archivo: Archivos de contenido activoEstos archivos incluyen ejecutables,scripts y DLL. Se permite que losarchivos se ejecuten e interactúencon el sandbox de forma normal,lo monitoreen para detectar accionesmaliciosas, como modificar laconfiguración de firewall del sistemaoperativo o establecer las conexionessalientes en Internet. Archivos de contenido pasivoEstos archivos incluyen cualquiertipo de documento, PDF, archivoscomprimidos (p. ej., ZIP, JZIP, RAR)e incluso archivos de imagen. Estosarchivos se analizan con su aplicaciónpredeterminada para monitorear lapresencia de actividad maliciosa,como una macro de Word que intentedescargar un código adicional deInternet. Si no se tiene cada parte delsoftware disponible en un sandbox,es imposible analizar cada archivopasivo. Finalmente, deberá configurar3su sandbox con la capacidad deinspeccionar la mayor cantidad detipos de archivos posible.Malware en una imagenPodría preguntarse por qué los archivosde imagen se deben examinar, ya querepresentan uno de los tipos de datosaparentemente más benignos. Pero losarchivos de imagen pueden contenerdatos de carga maliciosos. Tomemosel ejemplo de un ataque reciente enBrasil, en el cual un PDF adjunto incluíaun enlace a un archivo ZIP. Dentro deese archivo ZIP había un ejecutable yun archivo de Gráficos de red portátiles(PNG). El PNG era pequeño (menos de64 píxeles cuadrados) pero tenía untamaño de archivo de más de 1 MB.Luego de la inspección del ejecutableadyacente, fue evidente que el códigoestaba diseñado para extraer y ejecutarun binario malicioso oculto dentrodel PNG.Mejorar las firmas con el sandboxComo se mencionó anteriormente,un enfoque multifacético es la mejorforma de detectar un código malicioso.Mejorar cualquiera de los métodos deanálisis pasivo puede ayudar a hacerque el proceso de detección sea máseficiente, ya que la verificación frente

Las medidas exhaustivasque se toman para ofuscarel código malicioso realdemuestran la necesidadde un sandbox y el intentode detonación de todoslos archivos que ingresana su red.a una base de datos de firmas requieremuchos menos ciclos de CPU quegenerar y mantener un sandbox capazde detonar un solo caso de códigomalicioso.Además de la detonación, los sandboxesse pueden utilizar para crear firmascuando se determina que un códigoserá malicioso (después de todo, seránlos primeros en ejecutar el códigomalicioso). Cuando se identifica uncódigo malicioso, se crea una firma yse puede actualizar una base de datosde firmas, lo cual mejora la velocidady precisión de una futura detección decódigos maliciosos.Aún así, las técnicas de análisis pasivotienen sus deficiencias en cuanto ala detección. De modo que es justopreguntar si un sandbox es más exitosoo no.Cómo trabaja un sandboxEl sandbox actúa como un entorno de"chivo expiatorio", en donde se monitoreaun código malicioso y su interaccióncon el sistema operativo. Los sandboxesbuscan lo siguiente. Llamadas de sistema operativo:Incluidas las llamadas del sistema demonitoreo y las funciones de API. Cambios del sistema de archivo:Cualquier clase de acción, incluidala creación, modificación, eliminacióny cifrado de archivos. Cambios de red: Cualquier clasede establecimiento anormal deconexiones salientes. Cambios de registro: Cualquiermodificación para establecer lapersistencia o cambios en losajustes de seguridad o redes. Entre tanto y más allá: El monitoreode las instrucciones que ejecutaun programa entre las llamadas delsistema operativo, para complementarel contexto de otras observaciones.4¿Es eficaz un sandbox?La detección basada en firmas esperfecta para detectar el códigomalicioso de ayer, pero no hace nadapara detener los ataques de día cero olos ataques que simplemente mutaron(es decir, malware específico queno coincide con la firma debido a lamutación). La heurística hace avanzar ala detección un paso hacia la direccióncorrecta, en busca de patronesanormales en el código. Pero como sedemostró con el uso de un archivo deimagen para entregar una carga, losarchivos iniciales (p. ej., un PDF con unenlace a un archivo ZIP externo) no danninguna señal de alarma.Este problema es el motivo por el queel sandbox es un método de deteccióntan eficaz. Aun con ataques de día ceroque tienen firmas y códigos que no sehayan visto antes, el sandbox es el únicométodo que detecta un comportamientomalicioso. Después de todo, el códigomalicioso realiza una cantidad limitadade acciones, como hacer una conexiónexterna, descargar cargas adicionales,conectarse a un servidor C2 eintentar realizar cambios en el sistemaoperativo. Ninguna de estas acciones esnecesariamente normal en los archivosrelacionados con el trabajo.ConclusiónHay varias maneras de proteger a suempresa contra códigos maliciosos. Sibien la protección de los endpoints esimportante, puede exponer a la empresaa un riesgo aún mayor al permitir que uncódigo malicioso ingrese a la red. Unasolución de sandboxing proporcionan unmedio para detener las amenazas antesde que ingresen a la red.Más información. Descubra losdiferenciadores clave que debeconsiderar en su estrategia desandboxing. Lea nuestro informe desoluciones: "Implementación de unaestrategia sólida de sandboxing".