Actualizar la aplicación utilizada diariamente en una empresa es una actividad que un usuario —o tal vez el administrador— de la red empresarial decide realizar en algún momento para aprovechar las nuevas funcionalidades de la versión reciente de algún programa que seguramente mejorará la productividad, sin embargo, horas más tarde la red de la compañía ha sido comprometida con un malware de los llamados zero-day o día cero, para los cuales no hay ninguna descripción, firma o parche.
El malware zero-day aprovecha las vulnerabilidades que pueden existir en los nuevos programas creados por los desarrolladores que no son capaces de prever las múltiples combinaciones posibles de los usuarios de su código.
De acuerdo con el Informe sobre predicciones y amenazas para 2016 de McAfee Labs, estos son los resultados de los ataques zero-day ocurridos en 2014-2015:
Fuente: Informe sobre predicciones y amenazas para 2016 de McAfee Labs
De acuerdo con el mismo informe, existe peligro en entornos empresariales donde se utiliza la tecnología de vinculación e incrustación de objetos (OLE)1, los cuales podrían ser introducidos en una red empresarial de manera cifrada para evadir la detección de amenazas.
Además, los código zero-day tienen una tendencia a ser usados en otros sistemas, como los sistemas incrustados, el Internet de las cosas (IoT, por sus siglas en inglés) y el software de infraestructuras. Los sistemas en los que podrían lanzarse esos ataques son variantes de UNIX, plataformas populares para teléfonos inteligentes, IoT (Project Brillo y Tizen), además de bibliotecas y componentes básicos subyacentes (Glibc y OpenSSL entre otros). En otras palabras las herramientas de código abierto no son completamente seguras como deberían serlo.
La detección del código malicioso zero-day que ingresa a la red empresarial es uno de los principales retos que enfrentan las áreas de seguridad de cualquier compañía junto con la cantidad de operaciones que implica la protección de la red interna que consumen esfuerzos y tiempo.
La detección de amenazas se realiza usualmente mediante un análisis dinámico en un entorno controlado, es decir con base en el comportamiento de los archivos, sin embargo con este procedimiento podría no detectarse al malware capaz de activarse después de pasar por un sandbox.
Una solución de seguridad que sólo detecte amenazas ya no es competitiva, evalué soluciones de detección de amenazas avanzadas que le ofrezcan:
- Análisis estático. Que vaya más allá de observar sólo el header de un archivo y que examine a fondo el código ejecutable para realizar un análisis integral de los archivos que pasan por un sandbox y que podrían evadirlo si sólo se aplicara un análisis dinámico.
- Localización. Del código malicioso avanzado mediante la filtración por varias capas, como: AV, heurística, filtrado web, la emulación, y, al final, sandboxing.
- Generación automática de firmas. Al igual que conjuntos de reglas para gateways y servidores de seguridad con las que se bloquearán ataques parecidos en un futuro.
1 Comúnmente en los documentos creados con la plataforma Microsoft Office.
Columnista Invitado: Edgar Vásquez Cruz, Intel Security