{"id":96024,"date":"2019-01-03T01:00:58","date_gmt":"2019-01-03T09:00:58","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=96024"},"modified":"2018-12-17T07:55:20","modified_gmt":"2018-12-17T15:55:20","slug":"defensas-por-capas-por-que-son-necesarios-el-analisis-estatico-el-analisis-dinamico-y-el-aprendizaje-automatico","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2019\/01\/defensas-por-capas-por-que-son-necesarios-el-analisis-estatico-el-analisis-dinamico-y-el-aprendizaje-automatico\/?lang=es","title":{"rendered":"DEFENSAS POR CAPAS: por qu\u00e9 son necesarios el an\u00e1lisis est\u00e1tico, el an\u00e1lisis din\u00e1mico y el aprendizaje autom\u00e1tico"},"content":{"rendered":"

Las soluciones puntuales en materia de seguridad son exactamente eso, puntuales: se centran en un \u00fanico punto de intervenci\u00f3n durante el\u00a0ciclo de vida de los ataques<\/a>. Aunque el porcentaje de \u00e9xito de la soluci\u00f3n de seguridad pueda ser del 90\u00a0%, sigue habiendo una posibilidad de 1 entre 10 de que no pueda detener un ataque una vez pasado ese punto. Para mejorar las posibilidades de detener ciberataques y evitar que prosperen, las organizaciones no pueden depender de soluciones puntuales, sino que deben contar con capas de defensas que abarquen diversos puntos de interceptaci\u00f3n. Combinar t\u00e9cnicas eficaces aumenta la efectividad global de las soluciones de seguridad, lo que proporciona la oportunidad de romper el ciclo de vida de los ataques en varios puntos.<\/p>\n

A continuaci\u00f3n, se describen tres m\u00e9todos de identificaci\u00f3n de amenazas que, usados conjuntamente, pueden evitar que los ciberataques consigan sus objetivos.<\/p>\n

 <\/p>\n

An\u00e1lisis din\u00e1mico<\/h3>\n

La \u00fanica herramienta que puede detectar una amenaza de d\u00eda cero<\/strong><\/p>\n

El an\u00e1lisis din\u00e1mico permite detonar un archivo sospechoso en una m\u00e1quina virtual, como un entorno de an\u00e1lisis de malware, y analizarlo para ver sus efectos. En lugar de confiar en las firmas para la identificaci\u00f3n de amenazas, el archivo se califica seg\u00fan el efecto que provoca o su comportamiento al ejecutarlo. De este modo, el an\u00e1lisis din\u00e1mico puede identificar amenazas que sean distintas a lo que se haya visto hasta el momento.<\/p>\n

Para que los resultados sean lo m\u00e1s precisos posible, la muestra debe tener acceso completo a Internet, igual que un endpoint normal en una red corporativa, ya que las amenazas suelen necesitar comando y control para desplegarse completamente. Como mecanismo de prevenci\u00f3n, el an\u00e1lisis de malware puede prohibir el acceso a Internet y falsear\u00e1 llamadas de respuesta para intentar enga\u00f1ar a la amenaza para que d\u00e9 la cara, pero este m\u00e9todo puede ser poco fiable y no es un sustituto v\u00e1lido del acceso a Internet.<\/p>\n

Los entornos de an\u00e1lisis de malware son identificables y el proceso es largo<\/strong><\/p>\n

Para eludir la detecci\u00f3n, los atacantes intentar\u00e1n identificar si el ataque se est\u00e1 llevando a cabo en un entorno de an\u00e1lisis de malware elaborando un perfil de la red. Buscar\u00e1n indicadores que confirmen que el malware est\u00e1 en un entorno virtual como, por ejemplo, detonaciones a horas parecidas o realizadas por las mismas direcciones IP, ausencia de actividad de un usuario v\u00e1lido como pulsaciones del teclado o movimiento del rat\u00f3n, o tecnolog\u00eda de virtualizaci\u00f3n que requiere una gran cantidad de espacio en disco. Si el atacante determina que se est\u00e1 ejecutando en un entorno de an\u00e1lisis de malware, detendr\u00e1 el ataque. Esto significa que hay probabilidades de que los resultados del an\u00e1lisis no sean correctos. Por ejemplo, si la muestra llama al origen durante el proceso de detonaci\u00f3n, pero se cancela la operaci\u00f3n porque el atacante ha detectado el an\u00e1lisis de malware, la muestra no realizar\u00e1 ninguna actividad maliciosa y el an\u00e1lisis no identificar\u00e1 ninguna amenaza. Del mismo modo, si la amenaza necesita que se ejecute una versi\u00f3n concreta de un fragmento espec\u00edfico de software, no llevar\u00e1 a cabo ninguna actividad maliciosa en el entorno de an\u00e1lisis de malware.<\/p>\n

El proceso de poner en marcha una m\u00e1quina virtual, soltar el archivo en \u00e9l, ver su comportamiento, anular la m\u00e1quina y analizar los resultados puede tardar varios minutos. Aunque el an\u00e1lisis din\u00e1mico es el m\u00e1s caro y el que requiere m\u00e1s tiempo, tambi\u00e9n es la \u00fanica herramienta que puede detectar de forma eficaz las amenazas de d\u00eda cero.<\/p>\n

 <\/p>\n

An\u00e1lisis est\u00e1tico<\/h3>\n

Resultados r\u00e1pidos sin requisitos previos para el an\u00e1lisis<\/strong><\/p>\n

A diferencia del an\u00e1lisis din\u00e1mico, el an\u00e1lisis est\u00e1tico examina el contenido de un archivo concreto tal y como est\u00e1 en el disco, en lugar de detonarlo. Analiza los datos, extrae patrones, atributos y artefactos, y se\u00f1ala anomal\u00edas.<\/p>\n

El an\u00e1lisis est\u00e1tico tiene mayor solidez ante los problemas que presenta el an\u00e1lisis din\u00e1mico. Es sumamente eficaz (solo tarda una fracci\u00f3n de segundo) y mucho m\u00e1s econ\u00f3mico. El an\u00e1lisis est\u00e1tico sirve para cualquier archivo porque, para realizar el an\u00e1lisis, no existen requisitos especiales, no hay que adaptar ning\u00fan entorno ni es necesario que el archivo realice comunicaciones salientes.<\/p>\n

P\u00e9rdida de visibilidad de los archivos comprimidos<\/strong><\/p>\n

Sin embargo, resulta bastante f\u00e1cil eludir el an\u00e1lisis est\u00e1tico si el archivo est\u00e1 comprimido. Aunque no haya problema con los archivos comprimidos en el an\u00e1lisis din\u00e1mico, la visibilidad del archivo real se pierde durante el an\u00e1lisis est\u00e1tico ya que, al volver a comprimir la muestra, todo el archivo se convierte en ruido. Por tanto, apenas se obtienen resultados v\u00e1lidos de forma est\u00e1tica.<\/p>\n

 <\/p>\n

Aprendizaje autom\u00e1tico<\/h3>\n

Nuevas versiones de amenazas agrupadas con amenazas conocidas basadas en el comportamiento<\/strong><\/p>\n

En lugar de establecer una correspondencia de patrones o detonar un archivo, el aprendizaje autom\u00e1tico analiza el archivo y extrae miles de caracter\u00edsticas. Estas caracter\u00edsticas se pasan por un clasificador, tambi\u00e9n denominado vector de caracter\u00edsticas, para identificar si el archivo es benigno o malicioso seg\u00fan identificadores conocidos. En lugar de buscar algo concreto, si una caracter\u00edstica del archivo se comporta como alg\u00fan grupo de archivos evaluado anteriormente, la m\u00e1quina marcar\u00e1 dicho archivo como parte del grupo. Para que el aprendizaje autom\u00e1tico sea adecuado, es necesario entrenar con grupos de veredictos positivos y negativos, y a\u00f1adir datos o caracter\u00edsticas nuevas mejorar\u00e1 el proceso y reducir\u00e1 el porcentaje de falsos positivos.<\/p>\n

El aprendizaje autom\u00e1tico compensa las carencias de los an\u00e1lisis din\u00e1mico y est\u00e1tico. Una muestra que est\u00e9 inerte, no se detone, est\u00e9 inutilizada por un dispositivo de compresi\u00f3n, no tenga comando y control o no sea fiable seguir\u00e1 siendo identificada como maliciosa por el aprendizaje autom\u00e1tico. Si se han visto diversas versiones de una amenaza determinada y se han agrupado, y existe una muestra con caracter\u00edsticas similares a las del grupo, la m\u00e1quina dar\u00e1 por supuesto que la muestra pertenece al grupo y la marcar\u00e1 como maliciosa en cuesti\u00f3n de segundos.<\/p>\n

Solo se pueden detectar amenazas conocidas<\/strong><\/p>\n

A diferencia de los otros dos m\u00e9todos, el aprendizaje autom\u00e1tico debe considerarse una herramienta con muchas ventajas, pero con ciertas desventajas. Es decir, el aprendizaje autom\u00e1tico entrena el modelo bas\u00e1ndose \u00fanicamente en identificadores conocidos. A diferencia del an\u00e1lisis din\u00e1mico, el aprendizaje autom\u00e1tico nunca detectar\u00e1 ninguna amenaza totalmente nueva o desconocida. Si se encuentra una amenaza que no se parezca a ninguna que haya visto antes, la m\u00e1quina no la se\u00f1alar\u00e1 porque solo est\u00e1 entrenada para buscar m\u00e1s amenazas como las conocidas.<\/p>\n

T\u00e9cnicas en capas en una plataforma<\/strong><\/p>\n

Para frustrar cualquier ataque que pueda recibir, necesita m\u00e1s de una pieza del rompecabezas: necesita t\u00e9cnicas en capas, un concepto que sol\u00eda ser una soluci\u00f3n de varios proveedores. Aunque una defensa en profundidad siga siendo apropiada y pertinente, es preciso pasar de soluciones puntuales de varios proveedores a una plataforma que integre el an\u00e1lisis est\u00e1tico, el an\u00e1lisis din\u00e1mico y el aprendizaje autom\u00e1tico. Estos tres m\u00e9todos pueden llevar a cabo una defensa en profundidad mediante capas de soluciones integradas.<\/p>\n

 <\/p>\n

La plataforma Security Operating Platform de Palo Alto Networks<\/a>\u00a0se integra con WildFire, el servicio de an\u00e1lisis de amenazas basado en la nube, para proporcionar a los componentes una inteligencia contextual y \u00fatil sobre amenazas, lo que facilita una habilitaci\u00f3n segura en la red, el endpoint y la nube. WildFire combina un motor personalizado de an\u00e1lisis din\u00e1mico, an\u00e1lisis est\u00e1tico, aprendizaje autom\u00e1tico y an\u00e1lisis de hardware para proporcionar t\u00e9cnicas de prevenci\u00f3n de amenazas avanzadas. Aunque muchos entornos de an\u00e1lisis de malware aprovechan la tecnolog\u00eda de c\u00f3digo abierto, WildFire ha eliminado toda la virtualizaci\u00f3n de c\u00f3digo abierto incluida en el motor de an\u00e1lisis din\u00e1mico y la ha sustituido por un entorno virtual creado desde cero. Para eludir la detecci\u00f3n en WildFire, los atacantes deber\u00e1n crear amenazas totalmente singulares, distintas de las t\u00e9cnicas empleadas contra otros proveedores de ciberseguridad. En el caso del peque\u00f1o porcentaje de ataques que podr\u00edan escapar a las primeras tres capas de defensa de WildFire (an\u00e1lisis din\u00e1mico, est\u00e1tico y aprendizaje autom\u00e1tico), los archivos que muestren un comportamiento evasivo se llevar\u00e1n a un entorno vac\u00edo para una ejecuci\u00f3n de hardware completa.<\/p>\n

Dentro de la plataforma, estas t\u00e9cnicas funcionan conjuntamente de forma no lineal. Si una t\u00e9cnica identifica un archivo como malicioso, se se\u00f1ala como tal en toda la plataforma para un enfoque de varias capas que mejore la seguridad de todas las dem\u00e1s funciones.<\/p>\n","protected":false},"excerpt":{"rendered":"

Las soluciones puntuales en materia de seguridad son exactamente eso, puntuales: se centran en un \u00fanico punto de intervenci\u00f3n durante el\u00a0ciclo de vida de los ataques. Aunque el porcentaje de \u00e9xito de …<\/p>\n","protected":false},"author":40,"featured_media":94617,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5040],"tags":[],"coauthors":[716],"class_list":["post-96024","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categorizar"],"jetpack_featured_media_url":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/04\/Cyberpedia-social-ad-linkedin-520x320.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96024","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=96024"}],"version-history":[{"count":2,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96024\/revisions"}],"predecessor-version":[{"id":96026,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96024\/revisions\/96026"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/94617"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=96024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=96024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=96024"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=96024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}