Olvídese de todo. El mundo ha cambiado y ya nada volverá a ser como antes. En nuestra vida personal y en nuestro entorno profesional. Incluso si profundizamos un poco, los modelos de ciberseguridad que se aplican ahora mismo en la mayoría de las organizaciones no sirven para proteger el mundo en el que vivimos.
Gran parte de las soluciones tradicionales de ciberseguridad se centra en detener los ataques de malware, pero las amenazas que sufren las empresas ahora mismo son muy variadas. De hecho, más de la mitad de los ataques sufridos por empresas en 2019 no tenía nada que ver con malware (51% frente a 49% de malware), sino con actividades maliciosas que normalmente una solución de antivirus ni siquiera detecta como peligrosas. Pero incluso en los ataques de malware se utilizan técnicas sin archivos de forma combinada que hacen muy difícil –y en ocasiones imposible- que las soluciones tradicionales sean efectivas en su mitigación.
En un estudio realizado por CrowdStrike sobre amenazas globales, se observa claramente cómo los ataques que no tienen relación con el malware se han convertido uno de los arsenales más poderosos de los cibercriminales. Sin embargo, seguimos observando cómo la mayoría de los equipos de seguridad de las empresas no están preparados para combatir ataques desconocidos y responder de forma efectiva.
Los denominados ataques no-malware pueden provenir de diferentes fuentes, en distintos formatos y en diversos tamaños. Pueden ser ataques que comprometen el sistema a partir de un proceso legítimo, secuestrando los activos de la organización y provocando que realicen tareas perversas. Este tipo de ataques sucede a partir del uso de herramientas disponibles en el sistema operativo, como PowerShell o alguna otra similar. Si toma el control de la herramienta de script, el atacante puede llevar a cabo diferentes acciones de reconocimiento y de persistencia para centrarse después en su verdadera meta, ya sea la destrucción o la extracción de datos sensibles. Precisamente por esto, es muy importante que este tipo de ataques se detecte y remedie antes de que se conviertan en un incidente grave.
Los enfoques tradicionales ya no sirven
Si echamos un vistazo a las soluciones tradicionales de ciberseguridad, los antivirus, se diseñaron para comparar archivos sospechosos con las firmas de malware conocido. Hoy en día, es muy fácil que el malware que llega a nuestro dispositivo no esté en ningún fichero de firmas. Además, está más que demostrado que la mayoría de las soluciones estándar de antivirus reduce el rendimiento de las máquinas y encima no detecta muchas de las intrusiones que llegan.
Las listas blancas o el control de aplicaciones son también enfoques muy extendidos en los que, por una parte, se incorporan en un listado todos los procesos correctos para evitar que se ejecuten procesos desconocidos y, por otra, se asegura que solamente se ejecutan las versiones autorizadas de las aplicaciones necesarias. Las técnicas de ataque libres de malware se centran en comprometer precisamente programas legítimos, por lo que estas estrategias de seguridad poco pueden hacer para evitarlos. Además, si pensamos que algunas organizaciones utilizan miles de versiones de cientos de aplicaciones, controlar mediante listas blancas la seguridad de la organización puede convertirse en una tarea demasiado ardua.
Algunas empresas confían solamente en indicadores de compromiso, algo completamente desaconsejable porque esta metodología solo rastrea archivos maliciosos conocidos, de igual manera que los antivirus. Los indicadores se comparten una vez que se descubre un incidente, pero los ciberdelincuentes suelen modificar sus armas de manera frecuente justo para evitar ser detectados tan fácilmente. Aunque funcionan de manera similar, los indicadores de ataque son mucho más efectivos, ya que detectan los intentos del delincuente sin importar el tipo de malware o exploit utilizado.
Finalmente otro de los enfoques tradicionales en la seguridad corporativa involucra al sandboxing, que puede tomar diferentes formas como detonación basada en la red o microvirtualización. El problema en este caso es que los ciberdelincuentes atacan a procesos legítimos, por lo que las técnicas de sandboxing ignorarán las acciones del atacante.