¿Cómo atacan los cibercriminales a las estaciones de trabajo? Normalmente se aprovechan de vulnerabilidades en los programas que se utilizan frecuentemente o funciones potencialmente peligrosas en software legítimo. Evidentemente, hay otras formas, pero estas son las más comunes. Por tanto, puede parecer lógico restringir el uso de ese software. ¿Pero cómo puedes hacerlo sin perjudicar los procesos empresariales? Bloquear el software puede causar un gran daño a la empresa, debes tener en cuenta las diferencias entre las funciones de los empleados. Nuestra estrategia ha consistido en reducir la superficie de ataque mediante un control de anomalías adaptable con el uso de las técnicas de aprendizaje automático.
Durante muchos años, MS Office ha tenido la dudosa distinción de ser el número uno en vulnerabilidades explotadas. Pero eso no significa que el software sea malo. Las vulnerabilidades están en todas partes. El problema se debe a que los cibercriminales se han centrado más en Office que en la competencia, ya que es el más utilizado. Pero, aunque tu empresa esté dispuesta a gastar dinero en volver a formar a los empleados para que utilicen una alternativa, esta no sería una solución, ya que, en el momento en el que otro paquete de productividad gane popularidad, Office quedará fuera de la cima.
Algunos productos cuentan con funciones que son claramente peligrosas. Por ejemplo, las macros en el mismo Office se pueden utilizar para ejecutar código malicioso. Pero una prohibición general no sería práctica, ya que los analistas financieros y los contadores necesitan esas herramientas en sus operaciones diarias.
La clave está en supervisar estos programas e intervenir únicamente cuando se detecte actividad anormal. Pero hay un problema.
¿Cómo definirías anormal?
La esencia de la actividad del ciberdelincuente es que los sistemas de seguridad lo identifiquen como legítimo. Pero ¿cómo puede un sistema de ciberseguridad determinar si un mensaje que recibió un empleado contiene un documento importante con una macro o un troyano? ¿Enviaron un archivo .js con fines laborales o un virus?
Se podría, al menos en teoría, analizar manualmente el trabajo de cada empleado, confirmar qué herramientas necesitan y cuáles no y, conforme a esa información, construir un modelo de amenazas y bloquear ciertas funciones de programas.
Y ahí es justo donde surgen las complicaciones. En primer lugar, cuanto más grande es la compañía, más complicado es elaborar un modelo adaptado a cada empleado. En segundo lugar, incluso en las pequeñas empresas, la configuración manual requiere una gran cantidad de tiempo y esfuerzo por parte de los administradores. Y, tercero, el proceso debería repetirse siempre que la infraestructura o las herramientas corporativas cambien.
Para conservar la cordura de los administradores y de los directivos de seguridad informática, la única opción está en automatizar el proceso de las restricciones de la configuración.
Control adaptable
Hemos implementado el proceso de automatización de la siguiente forma: primero, los sistemas elaborados con principios de aprendizaje de máquinas examinaron nuestras bases de datos de amenazas y generaron criterios estándar de actividad potencialmente maliciosa. Entonces, implementamos el bloqueo preciso de estos patrones en cada estación de trabajo específica.
En segundo lugar, creamos un modo de adaptación automática (llamado Smart) para analizar la actividad del usuario y determinar qué reglas se pueden aplicar y qué interferiría con la actividad normal. El procedimiento es el siguiente: el sistema recopila las estadísticas sobre la activación de las reglas de control durante un tiempo determinado en el modo de aprendizaje y, entonces, crea un modelo de la operativa normal del usuario o del grupo (escenario legítimo). Después, se desactiva el modo de aprendizaje y se activan las normas de control que bloquean las acciones anormales.
En el caso de que se modifique el modelo de trabajo del usuario, el sistema puede volver al módulo de aprendizaje y adaptarse a la nueva situación. Además, existe una opción mucho más concreta en caso de que haya que añadir exclusiones.
No es la panacea, pero reduce considerablemente la superficie de posibles ataques.
El módulo de Control de anomalías adaptable forma parte de la solución actualizada Kaspersky Endpoint Security for Business Advanced, que se ha presentado recientemente al público. Haz clic en el banner para descargar la versión de prueba del producto de seguridad con esta tecnología.