Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Sistemas de detección de brechas: Modelos de implementación que detectan mejor el malware

Un sistema de detección de brechas (BDS) es una tecnología de seguridad de nivel dos que se distingue por su capacidad para detectar malware.

El malware avanzado ha aumentado la necesidad que tienen las organizaciones de expandir sus mejores prácticas de seguridad para incluir tecnologías de seguridad de nivel dos. Hay muchas tecnologías de seguridad de nivel dos; el valor de un sistema de detección de brechas (BDS), que sirve como una tecnología complementaria de las herramientas de seguridad de nivel uno, es su capacidad para detectar malware. En concreto, la detección de brechas es capaz de identificar tanto la presencia inicial de programas maliciosos en tránsito hacia su activo corporativo, como los resultados después de que ha infectado el sistema o la red.

Modelos de implementación de BDS

Los modelos de implementación de detección de brechas son similares a los sistemas de detección de intrusos o de prevención de intrusos; dependiendo de qué proveedor elija, ellos consisten en lo siguiente:

  • Implementaciones fuera de banda, que utilizan la expansión de puertos en un switch o tap de red que refleja los datos a los BDS;

  • Implementaciones en línea, idénticas a las de los sistemas de prevención de intrusos en la red;

  • Implementaciones de punto final, que usan un cliente instalado en cada activo corporativo.

Hay pros y contras de cada uno de estos escenarios de implementación. Esto depende totalmente  de conocer su superficie de ataque, arquitectura de red, su industria vertical y las leyes de privacidad de datos que rigen los países en los que tiene los datos físicos. El último punto de las leyes de privacidad de datos es importante, ya que algunos proveedores requieren que se envíe a su infraestructura de nube datos obtenidos de su red. Aunque este tipo de preguntas no son técnicas, es necesario preguntarle al proveedor si procesa la analítica en sus instalaciones, o si los datos se envían de vuelta a su nube para el post-procesamiento.

La ventaja de hacer el post-procesamiento en la nube del proveedor es que utiliza el procesamiento paralelo masivo, y escala los recursos según se necesiten por demanda, de manera transparente para usted. Este enfoque ofrece las ventajas de la escalabilidad. Otros proveedores, sin embargo, son capaces de ofrecer este mismo nivel de esfuerzo en sus instalaciones. Al final del día, si todo el procesamiento se realiza en sus instalaciones o en la nube de un proveedor, ambos modelos de implementación inevitablemente llegarán a la misma respuesta: la identificación de malware, desconocido o conocido, con base en muestras previamente conocidas o en algo completamente nuevo.

Comprensión de la superficie de ataque

Conocer y comprender su superficie de ataque es el aspecto más importante de su infraestructura corporativa. Un BDS es altamente exitoso si entiende sus sistemas operativos y aplicaciones aprobadas –en concreto, aquellas aplicaciones que tocan la internet– ya que es el principal vector que utiliza el adversario para la explotación. Esta es una tarea muy importante, ya que la necesita para defenderse contra lo que es relevante para su entorno operativo.

La ruta definitiva hacia su infraestructura es a través de los usuarios que operan dentro de ella, tanto empleados dentro de las instalaciones como aquellos remotos. Es importante desactivar el split tunneling para los usuarios remotos de la VPN; de lo contrario, la inversión que haga para detectar malware será inútil para los trabajadores remotos. Si no es posible deshabilitar el split tunneling, le sugiero que busque proveedores que ofrecen un cliente BDS para punto final.

Esta base debería hacer que empiece con la selección del BDS correcto, y darle una visión de las amenazas a las que es susceptible su organización.

Sobre el autor: John Pirc es el vicepresidente de investigación de NSS Labs Inc. Un experto en inteligencia de seguridad y delitos informáticos, Pirc es co-autor de dos libros: “Blackhatonomics: Una mirada al interior de la economía del cibercrimen”, y “Cibercrimen y espionaje”. Antes de su papel en NSS Labs, Pirc fue director de inteligencia de seguridad en HP Enterprise Security Products, donde dirigió la estrategia de productos de seguridad de siguiente generación. Sígalo en @jopirc.

Este artículo se actualizó por última vez en diciembre 2013

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close