Los autores que están detrás del malware son inteligentes, pacientes, tienen recursos y se enfrentan a unos adversarios bastante lentos en su capacidad de reacción. No pararán hasta tarde o temprano alcanzar sus objetivos. Si nuestra organización cuenta con datos que les interese, ninguna defensa será suficiente para protegerse de ellos. Si cerramos la puerta entrarán por la ventana. Si cerramos la ventana, no dejemos de observar la chimenea. Si también cerramos la chimenea, no debe extrañarnos que terminen excavando un túnel por debajo de nuestra casa. En la carrera “armamentista” que está teniendo lugar entre atacantes y expertos de seguridad corporativa, las defensas abundan, pero las vulnerabilidades siguen estando ahí.
Si esto es así, ¿qué podemos hacer? Ante todo, debemos dejar a un lado la idea de que todo malware puede ser detenido en tiempo real. No es verdad. Los códigos maliciosos son polimórficos y mutan de manera que es imposible defenderse completamente ante ellos. Y lo que es peor, el malware puede haber hecho ya entrada en nuestros sistemas sin que nos hayamos dado cuenta, y haber infectado nuestros datos poco a poco, comprometiendo nuestros intereses meses o años antes de que hayamos sido capaces de contar con las defensas más adecuadas o de última generación.
Si bien las diferentes defensas existentes pueden llegar a bloquear al “chico malo”, siempre se pueden llegar a producir brechas en la seguridad que den entrada al malware, lo que hará necesario analizar esos archivos y URLs “desconocidos” para determinar sus auténticas características y riesgos, y la mejor manera es hacerlo en un ambiente virtual lo más realista posible. Son las soluciones de “sandboxing” dinámico las que pueden, de forma metódica, desenmascarar los avances del malware revelando sus comportamientos peligrosos en un entorno cerrado, seguro y preparado, lo más parecido a la realidad donde se está produciendo el ataque o infección.
Y esto nos lleva a preguntarnos qué es lo que hace buena a la tecnología de sandboxing. Estamos ante un conjunto de funcionalidades que automatizan el flujo de los procesos de trabajo y genera “información procesable” para los equipos de seguridad. Las organizaciones empresariales que cuentan con un alto volumen de actividad, disponen de unas redes activas que pueden llegar a enfrentarse a decenas de miles de amenazas únicas todos los días, un contrasentido si consideramos los presupuestos planos, o incluso decrecientes, en seguridad en seguridad IT que se están dando en algunas organizaciones.
Hay muchas maneras disponibles para llegar a identificar archivos sospechosos y luego analizarlos, bien mediante algoritmos de análisis de contenidos, perfiles, inspección de archivos fuente, filtrados de protocolos de comunicaciones, o una combinación de factores. La solución de sandbox dinámico debe ser capaz de analizar un alto número de elementos utilizando procesamientos paralelos complementados con puntuación de riesgos automática, emulando el entorno objetivo del ataque de forma más parecida con el real, permitiendo de este modo a la organización priorizar sus esfuerzos y enfocar adecuadamente sus limitados recursos de seguridad hacia las amenazas más urgente.
Es crítico que un entorno definido como el del sandboxing pueda, de manera adecuada capturar aquellos problemas tanto menores (excepciones o fallos de página, por citar algunos) como problemas más importantes (tales como registros, sistemas de archivos, objetos catalogados, redes o sistemas de procesos, por ejemplo) en el preciso momento en el que se suceden. También es necesario que incluyan técnicas anti VM (virtual machine) que ayuden a frustrar el malware evasivo. Más aún, una tendencia creciente dentro de los autores de malware es la de disfrazarlo como si fuera un software legítimo, como muchas veces se observa en ciertos antivirus falsos. Por ello, los programas de instalación deben contar con cuadros de diálogo, generándose de este modo un conocimiento de ese tipo de malware que requiere de la existencia de una interacción para mostrarse.
La introducción de sandboxing dinámico en las infraestructuras de seguridad ofrece unas significativas oportunidades para que las organizaciones puedan mejorar, de forma notable, su posición defensiva y sus capacidades de respuesta. Desde Blue Coat creemos que, utilizadas conjuntamente con defensas avanzadas y las tradicionales de primera línea, esta mejora puede incrementar la habilidad de las empresas para defenderse frente a ataques avanzados persistentes y contra los ataques dirigidos.
