Diálogo IT - Check Point analiza las nuevas amenazas de ciberseguridad
- Content Marketing
Eusebio Nieva, Director Técnico de Check Point, detalla a nuestras cámaras las nuevas amenazas de seguridad a las que se enfrentan las organizaciones.
PDF: Descarga este texto y llévatelo donde quieras |
Nueva ciberseguridad para nuevas amenazas
Las amenazas han cambiado y, por tanto, la seguridad debe transformarse para dar respuesta a los nuevos retos a los que se enfrentan los negocios y los usuarios. Y este cambio debe basarse en la creación de una respuesta global y en la aplicación de inteligencia a cualquiera de los elementos que la componen.
Movilidad, un nuevo campo de batalla
Los smartphones y tabletas ofrecen acceso sin precedentes a la información crítica del negocio que necesitamos para trabajar con mayor rapidez y precisión. El poder ofrecer a los empleados acceso a toda esta información desde sus dispositivos móviles tiene muchas ventajas, pero también supone un riesgo para el negocio. Estos dispositivos y los sistemas empresariales en los que confía para administrarlos no pueden protegerlos frente a las amenazas móviles avanzadas. Como consecuencia, la información sensible, descargada y almacenada en los dispositivos, puede quedar vulnerable ante los ciberdelincuentes.
Descubre todos los detalles del Cyber Day 2016
Las políticas estáticas, contenedores, PIN y contraseñas, ofrecen escasa protección frente a las sofisticadas ciberamenazas actuales, hasta el punto de que son incapaces de informar correctamente de cuándo se está produciendo un ataque. Una tecnología de detección de amenazas inteligente, como la de Check Point Mobile Threat Prevention, monitoriza más de un vector de ataque. Analiza todo un dispositivo al completo en su contexto, incluyendo su entorno, un componente clave de cualquier estrategia de seguridad móvil que se precie.
Su motor de riesgo de comportamientos (BRE - Behavioral Risk Engine), basado en la nube, aplica algoritmos propios, sandboxing y análisis estadísticos para detectar y establecer prioridades en las amenazas. Evalúa el comportamiento, metadatos y firmas de dispositivos, apps y redes, analizando cualquier violación o exploit en los sistemas operativos, roots y jailbreaks, así como configuraciones maliciosas para determinar el verdadero nivel de riesgo de un dispositivo. BRE emplea esta información para determinar las respuestas adecuadas que aseguren la protección de los datos y dispositivos hasta la eliminación de la amenaza. Toda esta inteligencia puede exportarse a otros sistemas de empresa para ampliar su valor y mejorar los tiempos de respuesta ante incidencias.
Análisis avanzado de apps
Un administrador puede confiar en sus empleados para que accedan a la información sensible de la empresa, ¿pero puede confiar de igual forma en sus apps? Esta solución intercepta las apps al descargarse en los dispositivos, enviándolas al BRE para descompilarse y ser examinadas. Allí cada app se ejecuta en un entorno virtual basado en la nube para analizar el comportamiento antes de ser aprobada o marcarse como peligrosa, lo que evita su instalación en el dispositivo. Además, los informes de análisis, exportables y de fácil comprensión, proporcionan a los profesionales de seguridad la información que necesitan para asegurar que las apps que utilizan los empleados, tanto para el trabajo como para el ocio, son seguras.
Ataques basados en la red
Los lugares públicos suelen estar repletos de redes Wi-Fi abiertas, lo cual hace difícil saber qué redes son seguras y cuáles no. Los cibercriminales pueden servirse de estas redes para secuestrar smartphones y tabletas, asumiendo el control de los dispositivos y obteniendo valiosos datos como mensajes, archivos y credenciales de red. Esta solución detecta comportamientos y condiciones maliciosas de la red, desactivando automáticamente redes sospechosas para salvaguardar la seguridad de los dispositivos y los datos.
Al mismo tiempo, los ciberdelincuentes tratan de sondear los puntos débiles de seguridad antes de actuar. Esto incluye a menudo debilidades tanto de sistemas operativos como de apps, que otras soluciones de seguridad pueden no detectar. Check Point Mobile Threat Prevention analiza continuamente los dispositivos para descubrir vulnerabilidades y comportamientos utilizados por los cibercriminales para atacar a los dispositivos y robar la información. Con una mejor visibilidad de las amenazas a las que se enfrentan los dispositivos móviles, puede reducir su superficie de ataque general y su riesgo.
Respuesta dinámica a cada amenaza
Cada amenaza es diferente, por lo que es importante una reacción a medida si se quiere mantener la seguridad de dispositivos y datos. Check Point Mobile Threat Prevention ejecuta respuestas calculadas para amenazas conocidas y desconocidas, para impedir que los dispositivos comprometidos tengan acceso a las redes de la organización. Con la flexibilidad para crear políticas para diferentes umbrales, o para distintos individuos o grupos de usuarios, estará preparado para cumplir cualquier requisito.
Cuando se identifica una amenaza, la solución controla automáticamente cualquier riesgo hasta que se elimine la misma. Si puede eliminarse inmediatamente una amenaza en un dispositivo, se notifica a los usuarios y se pide aplicar una acción, como eliminar las apps maliciosas o desconectarse de redes hostiles. La integración con su MDM (Mobile Device Management) permite a la solución restringir el acceso al contenedor seguro, o aplicar en tiempo real, ajustes de políticas basados en riesgos en los dispositivos comprometidos, que los MDM no pueden aplicar por su cuenta. Check Point Mobile Threat Prevention puede también activar túneles VPN bajo demanda y preservar el tráfico de datos de los cibercriminales evitando la extracción de los datos mientras los usuarios siguen conectados.
Inteligencia integrada con los sistemas existentes
El análisis de amenazas genera un flujo de inteligencia en tiempo real sobre la estrategia de seguridad de los dispositivos móviles soportados, la cual puede alimentar sistemas de empresa existentes, como las plataformas de información de seguridad y gestión de eventos (SIEM). Esto incluye registros detallados y otros indicadores de compromiso, que pueden filtrarse para desencadenar acciones de respuesta, que ayuden al equipo de seguridad a aplicar correcciones rápidamente para controlar y neutralizar el riesgo.
Asimismo, se integra con los sistemas empresariales existentes para proporcionar sin esfuerzo seguridad avanzada para los dispositivos móviles. El diseño está pensado también para no resultar intrusivo, facilitando a los usuarios la posibilidad de mantener los datos del trabajo seguros sin tener que preocuparse de la privacidad.
Independientemente del número de dispositivos, integrar la solución con un MDM es rápido y sencillo. La implementación y gestión pueden efectuarse automáticamente, directamente desde el MDM, acelerando la adopción y reduciendo en su conjunto los costes operativos. La solución crece con el MDM, protegiendo a la perfección los dispositivos móviles que incorpora y eliminando las funciones de aquellos que elimina. El resultado es que puede descansar tranquilo sabiendo que dispone de las capas de seguridad necesarias, tanto para gestionar como para proteger dispositivos móviles, incluso en un entorno altamente dinámico.
Check Point Sandblast Zero-Day Protection
Se trata de una solución que detecta y bloquea malware no conocido, llevando la defensa contra amenazas a un nuevo nivel, dando una respuesta a otra de las tendencias en el mundo de la ciberseguridad.
Y es que la ciberguerra sigue en auge, y los cibercriminales modifican continuamente sus estrategias y técnicas para evitar ser detectados y conseguir sus objetivos. Dentro del ecosistema hacker de hoy en día, los ciberdelincuentes pueden compartir fácilmente código de exploits, vulnerabilidades identificadas recientemente e incluso el propio talento y conocimientos con sus cómplices. Incluso los ciberdelincuentes más novatos pueden aprovechar estos recursos para identificar vulnerabilidades y organizaciones susceptibles de ser atacadas, y crear fácilmente ataques de día cero desconocidos usando variantes personalizadas del malware ya existente.
Los antivirus, los cortafuegos de nueva generación (Next Generation Firewalls), y otras soluciones de seguridad se centran únicamente en las amenazas conocidas, aquellas que tienen ya firmas o perfiles bien conocidos. Pero cada hora aparecen 106 nuevas formas de malware, así que ¿cómo puede protegerse frente a algo que desconoce?
Las soluciones de sandbox tradicionales identifican malware "nuevo" que es desconocido, pero tardan en hacerlo, poniendo en serio riesgo la red frente a una infección antes de que se produzca su detección y bloqueo. Desgraciadamente, también son vulnerables a las técnicas de evasión, que son capaces de superar la tecnología de detección de los sandboxes tradicionales.
Frente a esto, Check Point SandBlast Zero-Day Protection emplea las funcionalidades de Threat Emulation y Threat Extraction para elevar la defensa frente a amenazas a un nuevo nivel, con la capacidad de detectar malware que utilice técnicas avanzadas de evasión y una protección completa contra los ataques más peligrosos, garantizando al mismo tiempo la entrega rápida de contenido seguro a sus usuarios.
Threat Emulation realiza una inspección en profundidad a nivel de CPU, deteniendo incluso los ataques más peligrosos antes de que el malware tenga una oportunidad para desplegarse y evitar la detección. SandBlast Threat Emulation usa la inspección a nivel de SO para analizar una gran variedad de tipos de archivos, incluyendo ejecutables y archivos de datos. Con estas funciones de inspección únicas, SandBlast Threat Emulation proporciona la mejor tasa de captura posible de amenazas, y es prácticamente inmune a las técnicas de evasión de los atacantes.
SandBlast Threat Extraction complementa esta solución entregando rápidamente contenido seguro, o versiones limpias y reconstruidas de archivos potencialmente maliciosos, manteniendo de esta forma el flujo de trabajo ininterrumpido. Gracias a la eliminación de los retrasos inaceptables que producen los sandboxes tradicionales, Threat Extraction hace posible la implementación de un sistema de prevención del mundo real, no solo generando alarmas, sino bloqueando el contenido malicioso para que nunca llegue a los usuarios. Check Point SandBlast Zero-Day Protection proporciona detección completa, inspección y protección frente a los peligrosos ataques dirigidos y de día cero.
Al contrario que otras soluciones, Check Point SandBlast ZeroDay Protection usa una tecnología exclusiva que realiza la inspección a nivel de CPU para detener los ataques antes de que tengan oportunidad de iniciarse.
Existen miles de vulnerabilidades y millones de implementaciones de malware, pero hay muy pocos métodos que los ciberdelincuentes utilizan para aprovechar estas vulnerabilidades. El motor de Check Point SandBlast Threat Emulation monitoriza el flujo de instrucciones de la CPU en busca de exploits que intenten superar los controles de seguridad del hardware y el sistema operativo.
Al detectar los intentos de aprovechar una vulnerabilidad en la etapa de pre-infección, el sandboxing de Check Point SandBlast Threat Emulation detiene los ataques antes de que tengan posibilidad de evadir la detección del sandbox.
Reconocer e identificar más amenazas
Check Point SandBlast Zero-Day Protection lleva a cabo una investigación más profunda con la emulación de amenazas a nivel de SO interceptando y filtrando los archivos entrantes y ejecutándolos en un entorno virtual. El comportamiento de los archivos es inspeccionado simultáneamente en múltiples sistemas operativos y versiones. Los archivos que aparecen involucrados en actividades sospechosas, habitualmente asociadas con el malware, como por ejemplo la modificación del registro, las conexiones de red y la creación de archivos nuevos, son marcados y analizados más en profundidad. De esta forma se evita que los archivos maliciosos penetren en su red.
Por cada archivo que se emula y resulta malicioso se genera un informe detallado. El informe, de fácil comprensión, incluye detalles del archivo e información sobre cualquier intento de actividad anormal o maliciosa originada al ejecutar el archivo. Además, proporciona capturas reales del entorno mientras se ejecuta el archivo en todos los sistemas operativos en los que se ejecute la simulación.
Ecosistema ThreatCloud
Las nuevas amenazas descubiertas se envían a la base de datos de inteligencia de ThreatCloud y se distribuye al ecosistema para proteger otros gateways de Check Point conectados. Esto permite que los gateways conectados puedan bloquear la nueva amenaza antes de que pueda extenderse. Esta colaboración constante hace de ThreatCloud la red de inteligencia contra amenazas más actualizada y avanzada disponible.
Facilidad de instalación
Check Point SandBlast Threat Extraction se instala como un Software Blade adicional en el gateway, y puede aplicarse en toda la organización o implementarse únicamente para personas, dominios o departamentos específicos. Los administradores pueden configurar los usuarios y grupos incluidos basándose en sus propias necesidades, facilitando de una forma sencilla su implementación gradual en la organización.