Seguridad Endpoint/Server
LA REVOLUCIÓN DE LA PROTECCIÓN
En base a la experiencia de Antimalwares en sistemas de proteccion para Endpoint y Servidores, consideramos que la Inteligencia Artificial basada en el comportamiento de amenazas frente a la proteccion tradicional, juega un papel fundamental para la aplicación práctica de la estrategia de seguridad proactiva gobernada
por inteligencia definida por una organización moderna.
A medida que el escenario de amenazas evoluciona, los endpoints y los servidores deben ser capaces de
detectar y responder frente a nuevas amenazas más efectivamente, algo que los sistemas de
prevención tradicionales no son capaces de realizar por sí mismos.
La solución no pasa por eliminar estos sistemas de seguridad tradicional (EPP), ya que siguen
siendo necesarios para prevenir amenazas básicas, sino evolucionarlos para
que incorporen técnicas más avanzadas de prevención, y complementarlos con estrategias
adicionales de Detección y Respuesta (EDR).
EPP – Técnicas Avanzadas de Prevención
Las técnicas tradicionales de prevención basadas en firmas se han demostrado obsoletas y
poco eficientes frente a determinado tipo de ataques más sofisticados. Siendo aún necesarias,
las técnicas preventivas deben evolucionar hacia modelos basados en comportamiento.
Existen nuevas técnicas avanzadas que aumentan en gran medida la capacidad de
prevención, pero, aunque la mejor solución de prevención llegase a un 99% de eficacia, ese
porcentaje en el entorno de amenazas actual haría que una gran cantidad de ataques
pudiesen superar esta barrera.
EDR – Detección y Respuesta
Independientemente de cómo evolucionen las tecnologías de prevención (EPP), mejorando
las capacidades de los antivirus tradicionales (NGAV: Next Generation AntiVirus), las
organizaciones tienen que asumir que la brecha de seguridad es inevitable y sucederá tarde o
temprano. El problema real tiene que ser reconocido y afrontado: es imprescindible ser
capaces de detectar y responder ágil y efectivamente frente a ataques críticos que superen
la barrera preventiva (EPP), para minimizar el impacto y las consecuencias de la brecha.
«Los líderes de seguridad y gestión de riesgos en grandes empresas con equipos de
operaciones de seguridad dedicados que quieran conocer las tecnologías más eficaces para
proteger el endpoint y administrar la seguridad del endpoint deben invertir en soluciones EDR”
Las organizaciones más maduras deberían invertir en
soluciones EDR con capacidades escalables de gestión y búsqueda de datos, APIs para
integraciones y workflow. Sólo aquellas organizaciones menos maduras deberían considerar
herramientas EPP con capacidades básicas o suficientes de EDR.
ELEMENTOS PRINCIPALES QUE DEBE TENER LA PROTECCION EDR
La detección (proactiva o reactiva) de comportamientos y/o indicadores (no
necesariamente malware) que permitan la asociación a TTPs (Técnicas, herramientas y
procedimientos) de atacantes. Por ejemplo, detección de actividad maliciosa sin
ficheros, que use memory-exploits y aproveche herramientas legítimas de Windows
como PowerShell.
Contención del incidente en el endpoint. Asegura que el tráfico de red o la ejecución
de un proceso puede ser controlado remotamente aislando el sistema comprometido
del resto de la red corporativa.
Investigación de incidentes. Las funcionalidades de investigación deben incluir un
timeline de los eventos principales en los endpoints monitorizados para determinar
cambios que hayan ocurrido a nivel técnico además del efecto en el negocio
(exfiltración de información, fraude, etc…)..
Remediación. Idealmente, las soluciones deberían incorporar la capacidad de
restaurar el estado original del endpoint. Como mínimo deberían proporcionar
recomendaciones de remediación.
Idealmente, cualquier solución de detección utilizará una combinación de técnicas (IoCs, file
inspection, comportamiento, exploit detection, etc..) para mejorar la fiabilidad. Cada motor
de detección informará al siguiente y se incrementará así la precisión del resultado final.
Es importante destacar que las capacidades de detección de una herramienta EDR no sólo
dependerán de los mecanismos de detección por comportamiento, sino también por la
calidad de las fuentes de inteligencia que utilice (integradas o de terceros). La fortaleza de
una herramienta EDR se basa en la calidad de sus fuentes de inteligencia.
Asimismo, las capacidades de investigación vendrán determinadas por la visibilidad que la
herramienta proporcione del endpoint sin alertar al atacante y sin alterar evidencias en el
sistema.
Inteligencia Artificial frente a la Protección "Antivirus" tradicional.
La respuesta a la protección contra amenazas avanzadas es la prevención basada en inteligencia artificial (IA). La prevención logra todo lo que la detección no puede. El tiempo y los costos involucrados con los antivirus tradicionales (AV) son exorbitantes y prohibitivos. Además, la fricción de estos controles, el impacto a los recursos y la productividad, a través de la tecnología en capas es asombroso. ¿Depende de la nube? Entonces no puede proteger en un entorno desconectado.
Cuando pasa al 100 % de predicción, ahorra tiempo, dinero y recursos. Ya no es necesario comprar y mantener varias tecnologías de seguridad que no pueden seguir el ritmo de los ataques empresariales personalizados que inundan las defensas de una organización. No tiene que preocuparse por el tráfico de la red, el uso de la memoria, la sobrecarga de la CPU y el costo de re-imagen de las computadoras o realizar escaneos en la red.
¿Puede darse el lujo de ser victima de una brecha exitosa?
¿Puede permitirse no saber que está ocurriendo en su red?
Desde Antimalwares guiamos a todos nuestros clientes con el problema de la seguridad tradicional y sus infecciones,las soluciones radicalmente innovadoras y la gran cantidad de beneficios alcanzables que le ofrecemos con la protección de Inteligencia Artificial.
La evolución de las amenazas cibernéticas: Malware mecanizado
El Antivirus (AV) tradicional ya no es efectivo. El mundo de la ciberseguridad ha cambiado. Las soluciones basadas en firmas, listas blancas, controles de aplicaciones y heurística fallan en el moderno panorama de amenazas. ¿Por qué? Los atacantes han aprendido a automatizar el código malicioso y modificarlo para inundar una empresa hasta que se produzca una brecha. Y la realidad es que muchas empresas, desde organizaciones medianas hasta marcas multinacionales, probablemente hayan sido infiltradas sin ser detectadas.
Durante décadas, los proveedores de AV tradicionales operaron usando el mismo modelo: detectar y responder. En Antimalwares, presentamos un nuevo paradigma: aplicar la inteligencia artificial para localizar a los cibercriminales en su red, evitar el malware y otras amenazas y protegerse contra ataques conocidos y desconocidos.Estudiamos su red para implantarle las mejores soluciones de IA para proteger su entorno.
PREDECIR
PREVENIR
PROTEGER
Cuando protege mediante predicción y prevención basadas en inteligencia artificial, permite que la seguridad cibernética pase de ser un inhibidor empresarial a un habilitador comercial. Esto significa que usted eleva la protección contra amenazas de un objetivo táctico a una misión estratégica mediante el suministro de:
Operaciones simplificadas: Elimine la necesidad de firewalls EPP, controles de dispositivos, host IPS, prevención de pérdida de datos y encriptación, mientras detiene malware no detectado y evita el ransomware con una solución simple de servidor o punto final.
Disminuir incidentes y priorizar: Transforme su TI de reaccionar a los eventos para proteger proactivamente su entorno. Elimine tareas mundanas que se interponen en proyectos estratégicos como la virtualización, la seguridad en la nube y la automatización de TI.
Mejore la continuidad del negocio: Fortalezca su infraestructura frente a los ataques empresariales para vulnerar su red, robar credenciales y filtrar datos. Evite ser parte de el próximo titular de noticias, mientras asegura el servicio a los clientes.
Mejore el cumplimiento: Cumpla con las reglamentaciones gubernamentales, desde el sector sanitario hasta las industrias de infraestructura crítica y financiera, así como sus políticas de seguridad interna, con una mayor eficacia de protección.
IA cambia el juego de implementación
Haga la seguridad simple
La IA no solo mejora la eficacia, sino que también cambia el modelo de implementación y hace que el despliegue y operación de seguridad cibernética sea un proceso fluido y sin problemas. Debido a las características avanzadas del aprendizaje automático, ya no utiliza la tecnología AV tradicional y las tácticas, que incluyen:
Almacenamiento incremental
Escáners
Dispositivos de recreación de imágenes
Además, puede eliminar los agentes de punto final grandes que crean fricción en el rendimiento para los usuarios empresariales. También elimina lo tedioso de sacar las máquinas fuera de línea durante escaneos semanales.
¿Por qué predicción y prevención?
La IA y el aprendizaje automático proporcionan:
Una evaluación integral usando ciencia y análisis de big data•
Mayor ROI que elimina decenas de miles de tickets de soporte tecnico•
Predicción y prevención de amenazas en pre-ejecución sin una conexión a la nube y pérdida de tiempo en actualizaciones diarias
Un enfoque simplificado que elimina capas de tecnología y herramientas de respuesta a incidentes redundantes
Utilizar recursos mínimos del sistema (uso de CPU de 1-2 % y 40-50 MB de memoria)
Prevenir ataques con velocidades altas (en milisegundos)
Reemplazar las herramientas de AV tradicionales ineficaces (o incrementar la seguridad existente)
Lograr tasas de eficacia de más del 99 % (en comparación con el 50-60 % con AV anticuado basado en firmas)
Simple
Las organizaciones pueden proteger los puntos finales con menos recursos del sistema y reducir el impacto de la red y del usuario. Cuando cambian su enfoque de seguridad cibernética a preejecución, comienzan a eliminar capas de tecnología. Por lo tanto, los costos se reducen significativamente y comienzan a descubrir formas de consolidar la infraestructura. Es fácil de implementar y asegurar toda su empresa, ya sean 100 o 100.000 puntos finales.
Silencioso
Puede reducir las alertas, los tickets de soporte tecnico, las solicitudes de nuevas imágenes y el impacto en los usuarios cuando potencia sus puntos finales con seguridad basada en la inteligencia artificial. También disminuye la respuesta a incidentes porque elimina la amenaza antes de que se manifieste. Reforzar la seguridad de su punto final mediante el uso de una consola web intuitiva y una integración simple de SIEM,sin necesidad de actualizaciones inconvenientes de firmas o escaneos.
Fluido
Puede predecir y proteger a través de plataformas, sistemas operativos, tipos de archivos y dispositivos con IA y aprendizaje automático. Se integra fácilmente en las plataformas SIEM existentes y funciona en OEM y dispositivos integrados. Además, proporciona protección continua para la seguridad contra ataques basados en sistemas y memoria, documentos maliciosos, malware de día cero, escalada de privilegios, scripts y programas potencialmente no deseados (PUP).
CASO DE EXITO AL IMPLANTAR INTELIGENCIA ARTIFICIAL EN SUS ENDPOINTS Y SERVIDORES
LA SITUACION Y EL RESULTADO
Durante el despliegue de 8.000 máquinas virtuales, un importante proveedor de servicios de salud se dio cuenta de que la solución antivirus tradicional de la compañía, que era provista por un AV de nivel uno, era un drenaje en los recursos del sistema y no apoyaría los objetivos de rendimiento. Los equipos de TI y seguridad necesitaban protección de punto final para cumplir con los requisitos y querían una solución liviana de próxima generación. El equipo también quería una solución que fuera transparente para los empleados a la vez que mitigaba las amenazas planteadas por el ransomware, ataques de día cero y otras vulnerabilidades.
Al implementar el producto de seguridad con Inteligencia Artificial, el equipo de seguridad logró su objetivo de lograr una protección de punto final que es transparente para el usuario mientras permite una transición exitosa. Después de implementar la solucion, el equipo de seguridad obtuvo beneficios sustanciales, que incluyen:
1-Cuarentena inmediata de casi 1.000 elementos, incluidos adware y PUP, que no fueron detectados por su producto AV de primer nivel
2-Reducción en las llamadas al servicio de asistencia técnica relacionadas con AV.
3-Eliminación de máquinas fuera de línea debido a restauración de imágenes,
Una evaluación basada en inteligencia artificial proporciona la información que necesitan los ejecutivos, los miembros de la junta directiva, el personal directivo superior y el personal de TI. El enfoque único se remonta en el tiempo hasta el momento en que se instaló cada sistema operativo y se implementó el punto final. Si bien utiliza indicadores, no es el único mecanismo para encontrar información valiosa y perspicaz. Realiza análisis de correlación e interrogación profunda de datos, incluido todo el historial de logs de dispositivos, para que pueda descubrir todo tipo de exfiltración posible y obtener una clasificación precisa de archivos buenos y malos. La evaluación no afecta a la empresa y no es detectada por los ciberdelincuentes posiblemente presentes en su entorno. Una evaluación de compromiso basada en la IA es superior a otros enfoques porque es:
•Dos veces más rápido
•La mitad del coste
•Dos veces más efectivo
Haga las preguntas correctas
A medida que más proveedores de ciberseguridad hacen reclamos de inteligencia artificial y aprendizaje automático, ¿cómo se puede navegar por las opciones y tomar la decisión correcta? Comience por preguntar
¿Evita la ejecución de código malicioso en un sistema?
¿Cuán extenso es el modelo matemático y cuántos años ha sido probado en entornos del mundo real?
¿Está diseñado para ser útil en entornos conectados y desconectados?
¿Puede funcionar en milisegundos, con poco impacto en el uso de la CPU?
Solo verdaderas soluciones de inteligencia artificial y aprendizaje automático proporcionarán estos beneficios. Las soluciones basadas en firmas, heurísticas y de comportamiento que simplemente pretenden aplicar la IA y el aprendizaje automático no pueden
Conclusiónes
Puede alcanzar un nivel de seguridad y protección de punto final que anteriormente no estaba disponible cuando emplea la prevención basada en la inteligencia artificial. Además, puede lograr una evaluación superior, ROI y eficacia. La IA y el aprendizaje automático han reinventado la protección de puntos finales al proporcionar seguridad predictiva y preventiva que detiene los ataques de forma proactiva antes de que afecten a los sistemas críticos. El antivirus tradicional requiere capas de tecnología y una primera víctima, y no pueden evitar amenazas nunca antes vistas o desconocidas. La IA y el aprendizaje automático predicen y protegen en pre-ejecución a los sistemas, antes de que ocurra un ataque, y sin un paciente cero. Con menos capas de seguridad, tráfico de red y uso de memoria, puede alcanzar una efectividad superior al 99 % frente a los ataques, a la vez que ahorra tiempo, dinero y recursos.