Los virus tradicionales, entendidos como ejecutables que se enviaban de forma masiva para provocar una infección a gran escala, están ya controlados por los sistemas de protección (Endpoint Protection Platforms), conocidos popularmente como antivirus, surgidos hace ya muchos años para, como su nombre indica, proteger los equipos de los usuarios. El problema es que los ‘malos’ han evolucionado mucho en sus técnicas de ataque en los últimos años.

Los cibercriminales se reinventan cada día: las amenazas avanzadas están a la orden del día. Ataques dirigidos, ransomware (técnica que secuestra los datos del equipo infectado de la que Cryptolocker es el mejor ejemplo), ataques de zero day, amenazas persistentes… proliferan en el mercado y los usuarios y las empresas para las que trabajan son los grandes afectados, no solo por la pérdida de datos que estos incidentes conllevan, sino también por la de dinero contante y sonante y, en el caso de las organizaciones, de la imagen de marca, que queda absolutamente defenestrada.

Afortunadamente la industria de seguridad está reaccionando y muchos jugadores de este segmento hemos apostado por el desarrollo de plataformas de nuevo cuño que van más allá de la protección, pues permiten detectar las amenazas avanzadas y, al mismo tiempo, dar una respuesta adecuada a los incidentes en el caso de que se produzcan. Hablamos de las plataformas EDR (Endpoint Detection and Response), un término acuñado en 2013 por el analista de Gartner Chuvakin. Una tendencia de la que en Panda Security nos hemos convertido en auténticos abanderados con nuestra solución Adaptive Defense 360.

“La protección que brindan las soluciones de EPP (Endpoint Protection Platform), entre las que se ubican los antivirus tradicionales, no es suficiente”, explica nuestro experto de Panda Security Eduardo Fernández Canga. “Los antivirus siguen siendo necesarios; son productos muy reactivos que protegen frente a las amenazas conocidas. El problema es que los ‘malos’ acaban encontrando una forma de entrar en los sistemas. Además de proteger, es preciso disponer de herramientas que permitan detectar las nuevas amenazas. Hay que asumir que no podemos bloquear todo el malware pero sí detectarlo y responder ante los incidentes de forma adecuada”, añade.

tecnología EDR

Una solución integral y personalizada

Ahí es cuando entra en juego una solución como Adaptive Defense 360, compatible con Windows y, en breve, con dispositivos Android, y en cuyo desarrollo los ingenieros de Panda han trabajando casi un lustro. “Las soluciones de protección siempre que detectan una amenaza generan un identificador y la incluyen en una ‘lista negra’. El problema es que si hay algún ejecutable que no está en esta lista negra asumen que es bueno y no hacen nada contra él. Sin embargo, Adaptive Defense no confía solo en una lista negra. Es más desconfía de todo lo que se ejecuta en el endpoint”, resalta nuestro experto.

¿Cómo funciona la plataforma? Lo primero que hace es instalar un agente en el dispositivo del cliente. Entonces analiza el comportamiento de cada aplicación que se ejecute en el equipo. Para ello, envía información de dicho comportamiento a la nube. Con herramientas de data mining y big data en Panda clasificamos el 95% de las muestran que nos envían, tanto de goodware (software bueno) como de malware (dañino). Y, por supuesto, para cubrir el 5% restante en Panda tenemos a nuestros expertos, que analizan los ejecutables que no se pueden clasificar con la tecnología de correlación automática.

detección

Un importante diferencial, frente a otras soluciones de lista blanca del mercado, es que Adaptive Defense elabora una lista blanca “para el propio cliente, una lista suya, pues analizamos sus ejecutables”, apunta Fernández. Además, la plataforma no solo clasifica estos ejecutables sino que se asegura de que su comportamiento no cambie. “Normalmente las soluciones de lista blanca, cuando han clasificado un ejecutable como goodware no son capaces de detectar si éste cambia. Sin embargo, nosotros generamos un patrón de comportamiento por cada ejecutable, así que si este último se sale del patrón se genera una alerta”, añade nuestro experto.

Este último es un aspecto muy relevante pues permite a los clientes trabajar con aplicaciones vulnerables, es decir, con versiones antiguas de Java, Chrome, Internet Explorer. “Muchas empresas se ven obligadas a trabajar con software heredado que solo funciona con estas aplicaciones. Así que la única forma de que estén protegidos utilizándolas es mediante sistemas como Adaptive Defense”, sentencia Fernández.

Pleno control del flujo de información en la organización

Otra ventaja de Adaptive Defense es que permite al administrador de sistemas o de seguridad de la compañía saber exactamente el daño que el malware ha podido causar en el equipo. Es más, posibilita conocer y controlar quién accede a estos ejecutables dañinos. Por ejemplo, se puede dar el caso de que un empleado acceda a información confidencial y la envíe a otra persona fuera de la empresa. Adaptive Defense, aunque no bloquea estas acciones, sí las detecta e informa de ellas para que los administradores decidan qué hacer.

De hecho, yendo un paso más allá, Adaptive Defense es una herramienta potente precisamente para analizar, entender y visualizar el flujo de información que se produce tanto dentro de nuestra organización como hacia fuera y viceversa. “El administrador puede saber quién, cómo y cuándo se accede a los datos con las ventajas que ello conlleva”, sentencia Fernández Canga.