Fecha de publicación: 20 de diciembre de 2021
Colaboradores: Gregg Lindemulder, Amber Forrest
El antivirus de próxima generación o NGAV es una tecnología basada en la nube que utiliza inteligencia artificial, aprendizaje automático y análisis de comportamiento para proteger los endpoints contra el malware y otros tipos de amenazas cibernéticas.
A diferencia del software antivirus tradicional, que depende de la detección basada en firmas para identificar amenazas conocidas anteriormente, NGAV puede detectar amenazas de malware y comportamientos maliciosos desconocidas a medida que ocurren casi en tiempo real. De esta manera, ofrece un método más eficaz para hacer frente a amenazas modernas como el ransomware, los ataques de script, el malware sin archivos y las vulnerabilidades de día cero.
Suscríbase para recibir actualizaciones sobre temas de IBM Security
Las soluciones AV heredadas aprovechan una base de datos de firmas de malware y heurísticas para detectar virus en dispositivos endpoint como computadoras de escritorio, computadoras portátiles, tabletas y teléfonos inteligentes. Estas firmas son en realidad cadenas de caracteres dentro de un archivo que indican que puede haber un virus presente.
Este enfoque deja los endpoints vulnerables a las amenazas potenciales que aún no se han identificado y catalogado en la base de datos de firmas. Incluso con actualizaciones frecuentes de firmas, un archivo malicioso nuevo o desconocido podría pasar desapercibido.
Por el contrario, las soluciones antivirus de próxima generación utilizan la detección de comportamiento para identificar las tácticas, técnicas y procedimientos (TTP) asociados con los ataques cibernéticos. Los algoritmos de aprendizaje automático monitorean continuamente eventos, procesos, archivos y aplicaciones para detectar comportamientos maliciosos.
Si una vulnerabilidad desconocida es atacada por primera vez en un ataque de día cero, NGAV puede detectar y bloquear el intento. NGAV también puede prevenir ataques sin archivos, como aquellos que explotan Windows PowerShell y macros de documentos, o correos electrónicos de phishing que persuadan a los usuarios a hacer clic en enlaces que ejecutan malware sin archivos.
Como tecnología basada en la nube, NGAV también es más rápido, fácil y rentable desplegar y administrar que las soluciones antivirus tradicionales. Con su capacidad para supervisar la actividad de los endpoints y proporcionar una respuesta inmediata a los incidentes, puede bloquear muchos de los vectores de ataque que utilizan los piratas informáticos para penetrar en los sistemas.
NGAV basado en la nube se puede desplegar, actualizar y administrar mucho más rápido, fácil y con menos recursos que el AV tradicional. No hay hardware ni software adicional para instalar y configurar, no es necesario administrar continuamente las actualizaciones de firmas y hay poco o ningún impacto en el rendimiento de los endpoints.
El antivirus heredado puede detectar solo firmas de malware conocidas que se hayan identificado previamente e ingresado en una base de datos. NGAV monitorea y analiza los comportamientos de los endpoints casi en tiempo real para detectar y bloquear amenazas conocidas y desconocidas, incluidos los ataques de día cero.
NGAV ofrece a los equipos de seguridad la capacidad de defenderse de forma proactiva contra amenazas avanzadas y en rápida evolución. Con el tiempo, los algoritmos de aprendizaje automático se vuelven más efectivos para identificar qué comportamientos de endpoints son normales y cuáles indican la probabilidad de un ataque cibernético.
Si bien las capacidades difieren entre los proveedores, la mayoría de las soluciones NGAV ofrecen las siguientes capacidades:
- Algoritmos de aprendizaje automático: NGAV puede examinar miles de características de archivo y actividades de endpoints casi en tiempo real, e identificar anomalías y acciones inesperadas que pueden ayudar a detectar y bloquear amenazas conocidas y desconocidas.
- Análisis de comportamiento: al analizar comportamientos de usuarios, dispositivos, aplicaciones y sistemas, NGAV establece comportamientos iniciales e identifica comportamientos sospechosos que indican actividad maliciosa o un ataque cibernético en curso.
- Inteligencia de amenazas: Muchas soluciones NGAV pueden integrar la inteligencia de amenazas más reciente en las fuentes, tácticas e impactos de ataques específicos de malware, para ayudar a detectarlos y bloquearlos de manera más rápida y efectiva.
- Analytics predictivos: NGAV puede alimentar la enorme cantidad de datos que recopila en modelos predictivos que pueden detectar la presencia probable de malware o un posible ataque cibernético antes de que ocurra, y luego tomar medidas para prevenir o minimizar los daños.
Aunque NGAV es más eficaz que el software antivirus tradicional, no es infalible. En ocasiones, puede arrojar un falso positivo. O no detectar un virus. Los delincuentes y piratas cibernéticos están creando y probando continuamente nuevos métodos para evadir las últimas tecnologías de protección antivirus.
En el caso de que se violen las defensas del NGAV en un dispositivo de endpoint, las organizaciones a menudo confían en otras tecnologías, como la detección y respuesta de endpoints (EDR), la gestión unificada endpoint (UEM) o la gestión de eventos e información de seguridad (SIEM). Estas soluciones de seguridad ofrecen un enfoque más amplio y que abarca todo el sistema para prevenir y mitigar amenazas cibernéticas en muchos endpoints diferentes.
Despliegue sin problemas soluciones avanzadas de defensa contra amenazas móviles (MTD) para proteger todo su entorno móvil contra amenazas cibernéticas y riesgos basados en el usuario.
Inscríbase, gestione y proteja todos los dispositivos, tanto corporativos como personales, in situ y remotos, desde una sola consola.
Detecte amenazas casi en tiempo real: analice millones de eventos utilizando miles de casos de uso prediseñados, analytics de comportamiento de usuarios y redes, datos de vulnerabilidad de aplicaciones y X-Force® Threat Intelligence.
La UEM permite a los equipos de TI y seguridad supervisar, gestionar y proteger todos los dispositivos de los usuarios finales en la red de forma coherente, utilizando una sola herramienta.
SIEM ayuda a los equipos de seguridad a detectar anomalías de comportamiento de los usuarios y a utilizar la IA para automatizar los procesos manuales asociados con la detección de amenazas y la respuesta ante incidentes.
La seguridad endpoint, primera línea de defensa de la ciberseguridad de una red, protege a los usuarios y dispositivos (computadoras de escritorio, computadoras portátiles, dispositivos móviles, servidores) contra ataques cibernéticos.