¿Qué es un antivirus de nueva generación (NGAV)?

Un antivirus de nueva generación (NGAV, Next-Generation Antivirus) utiliza una combinación de inteligencia artificial, detección basada en el comportamiento, algoritmos de aprendizaje automático y mitigación de exploits, de modo que las amenazas conocidas y desconocidas se puedan prever y prevenir de inmediato. Las soluciones de NGAV se basan en la nube, lo cual permite implementarlas en horas en lugar de meses y elimina la carga de mantenimiento de software, gestión de infraestructura y actualización de bases de datos de firmas.

El NGAV es el siguiente nivel de protección de endpoints: aplica un enfoque sin firmas para ofrecer una seguridad de endpoints más completa y eficaz que la que ofrecen los antivirus tradicionales.

Comparación entre antivirus tradicionales y de nueva generación

Detección de amenazas conocidas y desconocidas

Los antivirus tradicionales usan cadenas de caracteres llamadas "firmas" que están asociadas a distintos tipos de malware para detectar y prevenir más ataques de tipos similares. Este enfoque está quedando obsoleto, puesto que los ciberdelincuentes sofisticados han hallado la manera de sortear las defensas de los antivirus tradicionales; por ejemplo, perpetrando ataques sin archivos que usan macros, motores de scripts, memoria, ejecución, etc. para lograr sus objetivos.

Los antivirus tradicionales atrapan a las organizaciones en un modelo reactivo, de forma que solo se pueden defender del malware conocido y de los virus catalogados en las bases de datos del proveedor de la solución. Dicho enfoque era el mejor que había antes; pero ahora que las amenazas desconocidas deben abordarse con el mismo rigor que las conocidas es sumamente insuficiente. En una encuesta de Ponemon, el 80 % de los encuestados cuya seguridad se había visto comprometida afirmaron que el ataque era nuevo o de día cero. Solo el 19 % de los encuestados en esa situación afirmaron que el origen del compromiso había sido una amenaza conocida.

El NGAV carece de estas deficiencias, ya que no dependen exclusivamente de firmas para detectar la actividad maliciosa, sino que integra métodos de prevención más sofisticados, como el aprendizaje automático, la detección basada en el comportamiento y la inteligencia artificial. El NGAV protege frente a las amenazas tanto conocidas como desconocidas, lo cual es cada vez más importante a medida que aumenta el uso de ataques sin archivos por parte de los ciberdelincuentes. El NGAV permite detectar ambos tipos de amenazas casi en tiempo real, y ayuda a las organizaciones a bloquear estas amenazas de forma mucho más eficaz y veloz que en el pasado.

Rentabilización

Los antivirus tradicionales también van a la zaga en materia de rentabilización, pues la una implementación típica tarda tres meses. Este periodo es necesario porque, para usar un antivirus tradicional, suele ser necesario instalarlo en el hardware de una ubicación física. Además, una vez instaladas, la mayoría de las soluciones tradicionales se deben ajustar y configurar antes de estar completamente operativas.

Sin embargo, la implementación de una solución NGAV nativa de la nube no es ni mucho menos tan farragosa, y se puede realizar por completo en pocas horas. Como NGAV se basa en la nube, no es necesario adquirir hardware o software adicional, no hay infraestructura que implementar, no es necesario diseñar una nueva solución y se eliminan los problemas de mantenimiento continuo y actualizaciones de firmas.

Impacto en el endpoint

Una vez activo y en ejecución, un antivirus tradicional puede tener un impacto considerable en el endpoint debido a la adición ineficiente de capacidades de seguridad a lo largo del tiempo que saturan los agentes y afectan negativamente al rendimiento. Además, como estos antivirus dependen de las firmas, las bases de datos de firmas deben actualizarse constantemente para incluir las novedades. Dichas actualizaciones consumen muchos recursos y tiempo, y para cuando la actualización ha acabado puede que ya esté obsoleta.

Las soluciones de NGAV están diseñadas para usar un solo agente ligero que sea discreto y tenga un impacto mínimo en el endpoint.

¿Qué debe ofrecer una solución de NGAV?

Una solución de NGAV eficaz debe usar tecnologías innovadoras para prevenir las cambiantes tácticas, técnicas y procedimientos (TTP) que usan los adversarios para acceder a las organizaciones, como malware básico y de día cero, e incluso ataques avanzados sin malware. La solución debe tener las siguientes funcionalidades:

1. Prevención de malware conocido y desconocido

a. Protección frente a malware sin firma

La protección frente a malware sin firmas usa algoritmos de aprendizaje automático para determinar la probabilidad de que un archivo sea malicioso. Las nuevas amenazas se bloquean de inmediato, y el tiempo hasta la rentabilización se reduce a cero.

b. Aprendizaje automático

El aprendizaje automático puede detectar y prevenir malware conocido y desconocido en los endpoints que estén tanto dentro como fuera de la red. Posibilita una detección más rápida y completa de indicadores de ataque, elimina el ransomware y aborda las carencias de los antivirus tradicionales.

2. Prevención de ataques sin malware

a. Indicadores de ataque (IOA)

Los IOA correlacionan los eventos que se producen en los endpoints para detectar actividades silenciosas que pueden indicar acciones maliciosas. Una solución que use el análisis retrospectivo offline para detectar IOA no podrá seguir el ritmo de las amenazas emergentes y su gestión acaparará muchos recursos. Los algoritmos online que usan aprendizaje automático y no necesitan un conjunto de datos completo para realizar un análisis útil son más rápidos, eficientes y eficaces.

b. Bloqueo de exploits

El malware no siempre se recibe a través de un archivo. Cada vez circulan más ataques que usan macros, ejecución, memoria y otras técnicas sin archivos. El bloqueo de exploits detecta y frustra estos ataques en el momento.

3. Integración de inteligencia sobre amenazas

La inteligencia sobre amenazas integrada posibilita la evaluación inmediata de los orígenes, el impacto y la gravedad de las amenazas del entorno, y ofrece recomendaciones sobre cómo responder y corregirlas de la mejor manera.

4. Naturaleza nativa de la nube

La arquitectura de nube es el componente vital para ofrecer un verdadero NGAV. El NGAV basado en la nube puede empezar a estar operativo en cuestión de segundos, sin reinicios, actualizaciones de firmas, configuración ni compra de infraestructura. Los algoritmos pueden procesar la actividad de los endpoints conforme se produce para detectar archivos maliciosos y comportamientos sospechosos casi en tiempo real sin degradar el rendimiento del endpoint.

¿Cómo funciona el NGAV?

El NGAV usa nuevas tecnologías para ofrecer una protección de endpoints cuya base es totalmente diferente de la de los antivirus tradicionales. Al usar algoritmos de aprendizaje automático en una arquitectura basada en la nube, el NGAV puede detener las cambiantes amenazas que están tan en auge.

Así es cómo funciona:

1. Un solo agente ligero

La arquitectura basada en la nube y un único agente ligero no tienen casi ningún impacto en el endpoint. El rendimiento no tiene por qué sacrificarse en aras de la seguridad.

2. Prevención de vanguardia

Un verdadero NGAV debe utilizar herramientas y métodos de prevención sofisticados que no solo bloqueen el malware, sino que también frustren los ataques sin malware, independientemente de las tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelincuentes. Algunos de estos métodos y herramientas son el aprendizaje automático, el bloqueo de exploits, las listas blancas y negras personalizadas, IOA basados en comportamientos, atribución de ataques y bloqueo de adware.

3. Sin necesidad de actualizaciones de firmas

El aprendizaje automático puede ayudar a emplear algoritmos sofisticados para analizar en tiempo real millones de características de un archivo para determinar si es malicioso. La tecnología sin firma permite que soluciones de NGAV como CrowdStrike Falcon® detecten y bloqueen malware conocido y desconocido, incluso cuando el endpoint no está conectado a la nube.

4. Prevención online y offline

El agente inteligente de CrowdStrike Falcon® ofrece prevención tanto online como offline, y facilita el procesamiento de datos y la toma de decisiones en el endpoint. Esto no solo facilita una detección y prevención extremadamente precisas, sino que también protege el endpoint en cualquier lugar, tanto si está conectado a la red como si no.

5. Rentabilización inmediata

Las soluciones de NGAV deben implementarse y ponerse en funcionamiento en cuestión de horas, sin necesidad de hardware o software adicional, ni de ajustes o configuraciones. Hay clientes que afirman haber instalado hasta 70 000 agentes en un solo día.

6. Sin carga de gestión

Las soluciones de NGAV están diseñadas para integrarse de forma óptima en los entornos sin incrementar la complejidad. No requieren ningún tipo de infraestructura de gestión local.

7. Integración

Las soluciones de NGAV se integran fácilmente con los sistemas SIEM existentes. El sensor de CrowdStrike Falcon extrae eventos obtenidos de endpoints, y las API de Falcon se integran con indicadores de compromiso (IOC) e inteligencia de terceros previos para que las organizaciones puedan sacar el máximo partido de todas sus inversiones en seguridad.

Sustituye tu antivirus desfasado

CrowdStrike Falcon Prevent es el nuevo estándar de prevención y proporciona una protección de primera frente a malware, exploits, intrusiones sin malware y amenazas persistentes avanzadas. Las organizaciones obtienen un nivel de visibilidad sin precedentes de los intentos de ataque en un árbol de procesos de lectura fácil que proporciona los detalles y el contexto necesarios para comprender lo que ocurre en el endpoint y cómo corregirlo de manera eficaz.

Falcon Prevent no tiene prácticamente ningún impacto en los endpoints, y puede empezar a funcionar completamente en decenas de miles de endpoints en cuestión de horas. Una vez implementado, la gestión y el mantenimiento se realizan a través de la nube, lo cual también facilita la integración con los SIEM existentes.