211service.com
La piratería dirigida genera una nueva realidad en las empresas antivirus
Cuando el New York Times reveló este mes que los piratas informáticos habían violado recientemente sus redes, lo que llamó la atención de los expertos en seguridad no fue que los ataques hubieran ocurrido. Fue la admisión inusualmente franca de una de las principales compañías de antivirus sobre los límites de su propia tecnología.
Symantec se puso a la defensiva porque su software solo una vez detectó y puso en cuarentena cualquiera de las 45 piezas de malware personalizado que los piratas informáticos habían utilizado para atacar el New York Times y descubrir los correos electrónicos de ciertos reporteros, un atraco al propio periódico informó en un artículo de noticias. De acuerdo a un Veces portavoz, el periódico tenía el último software antivirus en todas las computadoras de su red; pero para protegerse contra las llamadas amenazas persistentes avanzadas, el software antivirus por sí solo no es suficiente, leer la declaración de Symantec .
El hecho de que su producto principal fuera esencialmente inútil contra el ataque, supuestamente patrocinado por el gobierno chino, no sorprendió a los que lo sabían. Pero la franca admisión apunta a un panorama de seguridad informática que cambia rápidamente y una creciente amenaza para el negocio de $ 6.7 mil millones al año de Symantec. Un estudio reciente de Imperva , una startup de seguridad de datos de California, descubrió que los productos antivirus de los principales proveedores detectaban menos del 5 por ciento de más de 80 nuevos virus probados.
A medida que los ataques se vuelven más específicos y personalizados (consulte La era de los antivirus ha terminado), las empresas emergentes se están posicionando como alternativas a los proveedores de antivirus convencionales. Algunos defienden que los gerentes de seguridad, especialmente aquellos con un presupuesto limitado, utilicen software antivirus gratuito o de bajo presupuesto para detectar virus simples y comunes, e inviertan en servicios especializados para proteger mejor los activos clave.
Ashar Aziz, director de información de una startup que vende tecnología para protegerse de una nueva generación de ciberataques, argumenta que la suposición errónea de que el software antivirus es eficaz contra las ciberamenazas actuales ha creado un vacío amplio y enorme en todas las arquitecturas de seguridad que existen. Todavía tengo que entrar en una organización y descubrir que están completamente limpias. Nunca ha sucedido, dice Aziz.
En lugar de utilizar una lista negra para bloquear amenazas conocidas (el método convencional empleado por el software antivirus) FireEye funciona asumiendo que todo es sospechoso y probando programas en una caja de arena segura antes de permitir que se ejecuten en una máquina. En noviembre, el director ejecutivo del principal proveedor de seguridad McAfee se fue para unirse a FireEye, que afirma que casi el 30 por ciento de Fortuna 500 empresas son sus clientes y ha recaudado más de $ 100 millones en fondos de capital riesgo.
FireEye está lejos de ser la única startup que está ganando terreno a medida que el malware se vuelve más selectivo y los métodos más recientes de los piratas informáticos más sofisticados se democratizan y difunden más rápidamente.
Y aunque la industria establecida es claramente consciente de las deficiencias de sus enfoques defensivos de larga data, es posible que haya tardado en adoptar nuevos métodos. El director de estrategia de seguridad de Imperva, Rob Rachwald, cree que la industria ha invertido menos esfuerzo en mantenerse a la vanguardia en protección y más en desarrollar paneles de control geniales para impresionar a los clientes. Aziz, que ahora trabaja codo a codo con el ex director ejecutivo de McAfee, dice que los grandes proveedores ahora están compitiendo para ponerse al día donde comenzó FireEye en 2004.
Desde la perspectiva de Liam O’Murchu, gerente de operaciones de respuesta de seguridad de Symantec, estas opiniones de que los productos de su empresa no se mantienen al día ya están desactualizadas.
La empresa con sede en California ahora vende métodos de detección avanzados e incluye algunos en sus programas antivirus estándar. Estos incluyen programas que puntúan enlaces enviados por correo electrónico o mensajería instantánea y aplicaciones basadas en la reputación de su fuente, analizan en busca de patrones de comportamiento sospechosos y buscan predecir el comportamiento de un archivo en sí. En desarrollo, dice O'Murchu, hay tecnologías diseñadas específicamente para proteger contra los llamados ataques de día cero, llamados así porque los fabricantes de software aún no los conocen y, por lo tanto, no han tenido tiempo de reaccionar. Este es el tipo de ataques que es más probable que utilicen las organizaciones delictivas o los gobiernos bien financiados (consulte Bienvenido al Complejo Industrial de Malware).
La forma en que las empresas abordan la seguridad probablemente cambiará, al igual que los servicios que compran, dice Nicolas Christin , investigador de seguridad de la Universidad Carnegie Mellon, aunque también señala que algunos enfoques alternativos pueden ser menos efectivos de lo que muchos vendedores de seguridad hacen parecer. Por ejemplo, dice, incluso un motor de detección de comportamiento todavía requiere una definición de cómo se ve el mal comportamiento, y eso no siempre es obvio.
De acuerdo a una encuesta de las 670 empresas realizadas por el Ponemon Institute, las amenazas persistentes avanzadas y el hactivismo fueron los mayores dolores de cabeza para los departamentos de TI el año pasado, y muchos culparon al malware de los mayores gastos operativos de TI.
Las experiencias de Mandiant, la empresa de seguridad que trabajó con el New York Times para responder y erradicar el ataque a sus redes, corrobora esto. Solía ser que solo un gran banco de Wall Street tenía que preocuparse por el malware dirigido, dice el director de servicios Marshall Heilman. Ahora, no solo se apunta a los pequeños bancos regionales y comunitarios, sino también a los procesadores de pagos. Si es una empresa de éxito, probablemente esté haciendo algo interesante que podría atraer a los piratas informáticos, dice. Una cuenta detallada de cómo Mandiant rastreó un ataque contra el Departamento de Ingresos de Carolina del Sur en noviembre pasado muestra la facilidad con la que estos ataques pueden ocurrir y cuánto tiempo pueden pasar desapercibidos.
El Veces , por su parte, aún no se ha rendido con su compañía de antivirus. Por ahora, seguimos usando Symantec, dice la portavoz Eileen Murphy.