Enfoque multicapa para la seguridad

¿Cómo se protegen las empresas contra las APT?

Las amenazas avanzadas persistentes (APT) son campañas sofisticadas, a largo plazo y generalmente muy bien preparadas, diseñadas para burlar la protección de una sola capa.

El objetivo principal de una solución anti-APT/antiataques selectivos es aumentar el costo de montar un ataque hasta el punto en que tal acción ya no sea factible o económicamente viable. Lo logran mediante la aplicación de varias técnicas: cuantas más capas diferentes de detección se puedan aplicar y cuantos más puntos de entrada de ataque potenciales se supervisen, mayor será la probabilidad de que se descubra un ataque, sin que importe el tiempo y dinero que el atacante esté dispuesto a dedicarle.

Debido a que los ciberataques más recientes y sofisticados tratan de superar la protección existente, es fundamental montar defensas en capas que cubran diferentes niveles de infraestructura y apliquen múltiples capas de protección de naturaleza variada a cada recurso protegido. Esto permite ofrecer una protección eficaz contra diferentes tipos de malware, a la vez que hace que el sistema esté muy bien defendido ante la mayoría de los atacantes. En la imagen anterior, se muestra cómo se bloquean las amenazas con varias capas del antivirus de archivos.

La primera capa constituye una tecnología ultrarápida y confiable que detecta malware mediante máscaras y hashes.

La segunda capa utiliza emulación, que ejecuta códigos sospechosos en un ambiente aislado. Se emulan tanto los elementos binarios como los scripts, lo que es fundamental para la protección ante amenazas web.

La tercera capa es una rutina de detección clásica. Es una herramienta que permite a los expertos de Kaspersky crear un código y entregarlo directamente al usuario en las bases de datos. Esta tecnología es verdaderamente irremplazable; complementa la solución con descifradores de ransomware y descompresores de compresores legítimos.

La cuarta capa constituye el uso de modelos de aprendizaje automático en el extremo del cliente. La alta capacidad de generalización de los modelos ayuda a prevenir la pérdida de calidad en la detección de amenazas desconocidas, incluso si una actualización de bases de datos no estuviera disponible durante más de dos meses.

La quinta capa es la detección en la nube mediante el uso de macrodatos. Aprovecha los análisis de amenazas de todos los endpoints en Kaspersky Security Network, los cuales, a su vez, permiten una reacción sin precedentes ante nuevas amenazas y minimizan los falsos positivos.

La sexta capa se basa en la heurística de los registros de ejecución. No existe una manera más segura de capturar a un criminal que atrapándolo en el acto. Ofrece respaldo instantáneo de los datos afectados por un proceso sospechoso y reversión automática que neutraliza los malware en el momento en que se detectan.

La séptima capa implica la recopilación de información de comportamiento en tiempo real sobre los archivos para crear modelos de aprendizaje profundo. El modelo puede detectar la naturaleza maliciosa de un archivo mientras analiza una cantidad mínima de instrucciones, lo cual ayuda a minimizar la persistencia de las amenazas. El aprendizaje automático proporciona altos índices de detección, incluso cuando la actualización del modelo no está disponible durante mucho tiempo.

Como puede ver, el uso del aprendizaje automático en varias capas de un subsistema antivirus de archivos es, en esencia, una prueba del enfoque de protección multicapa de última generación de Kaspersky. Internamente, esto se conoce como "aprendizaje automático multicapa". Utilizamos el mismo enfoque cuando elaboramos otras soluciones de seguridad.