Por: Carlos Bolivar, Regional Director, Sourcefire LATAM.

Cmo hacer que la prevencin de intrusiones y la proteccin contra malware trabajen juntas para combatir los ataques modernos
Se habla mucho en la industria de la seguridad y entre organizaciones sobre las amenazas que enfrentamos - malware, amenazas avanzadas persistentes, ataques de da-cero, ataques selectivos, virus, troyanos, ataques de denegacin de servicio distribuido, gusanos, phishing la lista contina. Sin embargo, sin importar cmo lo analice, todo se reduce a amenazas. Ms especficamente, dos tipos fundamentales de amenazas: conocidas y desconocidas. Las amenazas conocidas son aquellas que para las que sus herramientas de seguridad estn diseadas; son las que detecta y de las cuales protege. No obstante, los ataques exitosos de amenazas conocidas ocurren y an hay campo para la proteccin mejorada. Las defensas histricamente estticas pierden contacto rpidamente con el ambiente que deberan proteger, reduciendo as su efectividad. La mayora carece de visibilidad de red en tiempo real para estar al tanto de los cambios en el ambiente informtico y ajustar sus defensas segn corresponda, as como la habilidad de detectar archivos polimrficos que cambian apenas lo suficiente para engaar los motores de firmas y la habilidad para compartir inteligencia con otras herramientas de seguridad. Las amenazas desconocidas suponen un reto an mayor para los defensores. Estas amenazas sofisticadas evaden la deteccin sigilosamente, movindose a travs de un ambiente para alcanzar su objetivo y estableciendo un punto de desembarco para futuros ataques. Las herramientas tradicionales de deteccin puntual pueden mitigar el riesgo ligeramente pero no continan ni pueden continuar el seguimiento de archivos para detectar en retrospectiva, comprender y detener amenazas que al principio parecen seguras pero luego exhiben comportamiento malicioso. Como profesional de la seguridad informtica, es su trabajo proteger su organizacin de ambos tipos de amenazas. Aunque esto supone un reto, no es imposible. Hay tres tecnologas avanzadas que pueden hacer los sistemas de prevencin de intrusiones (IPS) ms inteligentes y la proteccin contra malware ms eficiente: vigilancia contextual, anlisis de grandes datos e inteligencia colectiva de seguridad; todas estas trabajando en conjunto. Vigilancia contextual Las redes extendidas de hoy en da incluyen dispositivos de punto final, dispositivos mviles y centros de datos. Los atacantes suelen saber ms sobre estas redes que los dueos de las mismas y usan este conocimiento a su favor. Para que las herramientas de seguridad sean efectivas, estas necesitan una completa vigilancia contextual del ambiente dinmico que protegen. Piense en tecnologas que ofrecen visibilidad continua y total de todos los dispositivos, perfiles de aplicaciones de cliente, sistemas operativos, dispositivos mviles e infraestructura (tanto fsica como virtual). Las soluciones de seguridad ms inteligentes usan los datos relacionados con su ambiente especfico y automatizacin para ayudarle a tomar decisiones de seguridad ms informadas y oportunas. La visibilidad de la actividad de archivos es igualmente importante: conocer la herencia de archivo, el comportamiento y la trayectoria de las redes provee un contexto adicional o indicadores de compromiso, los cuales ayudan a determinar intenciones maliciosas, generar impacto en ellas y acelerar su remediacin. Anlisis de grandes datos La seguridad se ha convertido en un problema de grandes datos. Se necesitan tecnologas que penetren el poder de la nube y los anlisis sofisticados de conjuntos de grandes datos para proporcionar el enfoque

que usted necesita para identificar amenazas ms avanzadas y altamente enfocadas. El almacenamiento virtualmente ilimitado y econmico de la nube, as como su poder de procesamiento, le permiten almacenar y monitorear informacin sobre archivos desconocidos y sospechosos a travs de todo su ambiente informtico y ms all. Las herramientas de seguridad que usan un modelo de telemetra para recoger datos de manera continua a travs de la red extendida y luego impulsar anlisis de grandes datos le ayudan a detectar y detener comportamientos maliciosos an despus de que una amenaza haya atravesado las lneas iniciales de defensa. Este nivel ms profundo de anlisis identifica las amenazas basndose en lo que hace el archivo y no en cmo se ve, habilitando as la detencin de tipos de ataques nuevos y desconocidos. Inteligencia colectiva de seguridad Para identificar amenazas ms ocultas, la fortaleza est en los nmeros. Los archivos individuales no deberan ser analizados de manera aislada: se requiere de inteligencia colectiva de seguridad habilitada por la nube. Busque tecnologas de seguridad que puedan recurrir a una comunidad extendida de usuarios para recolectar millones de muestras de archivos y separar los archivos benignos y la actividad de red de los malignos basndose en la ms reciente inteligencia sobre amenazas y correlacionando sntomas de compromiso. Yendo un paso ms adelante, esta inteligencia colectiva se puede convertir en inmunidad colectiva compartiendo la inteligencia ms reciente y las protecciones a travs de la base de usuarios. Los atacantes han aprendido cmo hallar y anticipar brechas en la proteccin y evadir la deteccin. El uso de la visibilidad en tiempo real, el anlisis de grandes datos y la inteligencia comunitaria para conectar de manera tradicional tecnologas dispares es lo que se necesita para defender las redes modernas de los ataques modernos. Para proteger su organizacin de manera ms efectiva contra amenazas conocidas y desconocidas, el IPS y la proteccin contra malware deben trabajar de la mano, de manera continua, con el fin de asegurar redes, dispositivos de punto final, mquinas virtuales y dispositivos mviles. https://www.securityweek.com/making-intrusion-prevention-and-malwareprotection-work-together-combat-modern-attacks