El equipo de IT de una importante empresa acababa de instalar en todos los dispositivos corporativos una actualización de un software imprescindible para su trabajo. Con esta nueva versión, tanto ellos como los responsables de la organización se mostraban confiados. ¿Por qué iban a tener sospechas de que pudiera pasar algo? Las actualizaciones son un procedimiento habitual y todos saben que constituyen una práctica que no solo no es insegura, sino que es una recomendación de ciberseguridad en muchos casos.
Sin embargo, desde IT avisan sorprendidos y alarmados: un malware ha superado todas sus medidas de protección y ha infectado a los equipos. ¿Cómo ha ocurrido? El primer diagnóstico señala a esa actualización recién instalada. La investigación apunta a que contenía una vulnerabilidad que nadie, ni mucho menos los desarrolladores del software, había descubierto. Nadie, salvo una persona: el ciberatacante. Ahora este criminal ya es una figura conocida en el entorno hacker de la Deep Web: es el autor de un nuevo ataque de día cero.
La ventana de oportunidad
Encontrar una vulnerabilidad que no ha sido subsanada y atacar por sorpresa constituye uno de los mayores deseos para muchos ciberatacantes, tanto por el reconocimiento que supone para ellos por haber descubierto la brecha, como por el beneficio que pueda obtener con el daño causado con el ataque. Por eso, los ataques de día cero son tan peligrosos.
Es cierto que el tiempo puede correr en contra del ciberatacante, porque solo tiene una ventana de oportunidad para actuar desde que él descubre la vulnerabilidad hasta que los proveedores de ciberseguridad o los desarrolladores la corrigen. Pero no todos los ataques se subsanan rápidamente: si el ciberatacante logra ser lo suficientemente discreto para explotar la vulnerabilidad, las empresas pueden pasar expuestas de manera “persistente” a aquello que desconocen. En este sentido, en anteriores blogposts hemos hablado del riesgo que suponen las Amenazas Persistentes Avanzadas (APT).
Ciberseguridad insuficiente frente a lo desconocido
Ya que la necesidad del ciberatacante de encontrar esa pequeña vulnerabilidad y actuar con rapidez y discreción supone un contexto con muchos condicionantes, algunas organizaciones podrían pensar erróneamente que los ataques de día cero son poco frecuentes. Pero su frecuencia ha cambiado mucho en los últimos años y ahora suponen la mayoría de los incidentes registrados: un estudio llevado a cabo por la consultora Ponemon Research muestra que el 76% de las empresas encuestadas que sufrieron un ciberataque durante el 2018 afirman que era de tipo desconocido o de día cero.
Ese porcentaje también demuestra otro aspecto que confirma el informe: las empresas tienden a preparar sus medidas de ciberseguridad para hacer frente los ataques conocidos, pero su atención es menor para prevenir los desconocidos. Por eso, también según el estudio, un 53% de las empresas dirige más su inversión en seguridad hasta el endpoint hacia los ataques conocidos, frente un 47% que afirma que dedica más recursos a los desconocidos.
Protege tu empresa de los ataques día cero
La concienciación en las empresas es fundamental para poder prevenir los ataques desconocidos, pero también la propia naturaleza de los día cero hace que resulten más complejas las medidas de protección. Frente a las amenazas conocidas, en bastantes ocasiones, podría bastar con las soluciones de ciberseguridad tradicionales que ya han probado con éxito soluciones específicas que las eliminan. Pero, ¿qué pueden hacer las empresas para protegerse frente a un malware que todavía no está identificado? Las organizaciones pueden tomar medidas con tres aspectos de prevención a tener en cuenta:
- Software justo y necesario: las ventanas de oportunidad para los cibertacantes surgen en cada instalación que la empresa haga en los equipos y sistemas. Esto no quiere decir que la empresa deba prescindir de los programas que necesite, pero es recomendable que mantenga una política de control, con revisiones periódicas y desinstalaciones de aquellos que lleve tiempo sin utilizar.
- Pese al riesgo, mejor actualizar siempre: como comentamos, las actualizaciones también pueden contener nuevas vulnerabilidades explotables, pero por su parte, los desarrolladores procuran corregir errores y aplicar nuevas medidas de seguridad en cada versión de sus programas. En este sentido, para la ciberseguridad de la empresa compensa instalar y contar siempre con las últimas versiones actualizadas. Para reducir la complejidad de la gestión de vulnerabilidades y las actualizaciones y parches en sistemas operativos y aplicaciones hemos lanzado recientemente Panda Patch Management. Esta solución facilita la respuesta ante un incidente de seguridad, parcheando todos los equipos vulnerables en tiempo real, con un solo clic, y desde una única consola de seguridad y de gestión.
- Soluciones basadas en análisis de comportamiento: El modelo de seguridad basado en firmas está obsoleto y es ineficaz frente a los día cero, así que la forma de combatir estos ataques desconocidos debe basarse en la detección de comportamientos sospechosos.
Esa es la línea que siguen las soluciones de ciberseguridad más avanzadas como Panda Adaptive Defense. No solo ofrece una seguridad total hasta el endpoint y una protección completa contra el malware conocido, sino que también clasifica el 100% de los procesos mediante técnicas de machine learning, lo que le permite analizar todos los comportamientos sospechosos y así aumentar las posibilidades de detectar cualquier tipo de malware desconocido. Adaptive Defense combina EPP, EDR y servicios de 100% Atestación y Threat Hunting dando lugar a un nuevo modelo de ciberseguridad que reduce a la mínima expresión la superficie de ataque.