Si todavía no sabes que un antivirus tradicional no es suficiente, es porque no conoces las diferencias entre estos y los nuevos sistemas de vigilancia y protección EDR.
El antivirus de protección tradicional (EPP) que conocíamos hasta el día de hoy es un sistema basado en listas negras. Ello implica que, cuando ejecutamos un fichero, el antivirus comprueba si se encuentra o no en la lista negra. Si no lo está, ejecutará el fichero, sea o no un archivo malicioso. Por lo tanto, debemos tener claro que el EPP es solo para lo malo conocido.
El EPP se basa en la detección aislada de procesos maliciosos conocidos. Esto supone:
- Que toda la actividad maliciosa debe ser investigada caso por caso.
- Que se permiten los procesos desconocidos. Ese es el motivo de que los hackers consigan evitar estos sistemas tan fácilmente y que tengan un índice de éxito tan alto.
Y es que el 98% del ramsonware puede mutar en menos de 48 horas. Por ello, es muy difícil que la lista negra contemple todas las mutaciones de cada uno de los malware en tiempo real. Es decir: si nos ataca una mutación del malware, en vez del original, no estaremos protegidos.
¿Existe entonces alguna manera de estar totalmente protegidos?
Como os podéis imaginar, nadie puede garantizarnos una protección del 100%. Pero sí existen nuevos sistemas de vigilancia que minimizan drásticamente los riesgos.
Hemos comentado que, con los antivirus tradicionales, solo podemos bloquear el malware conocido. Sin embargo, con los EDR bloqueamos el 98,8% de cualquier malware que esté en el mercado.
Ello es posible gracias a que es un sistema basado en la clasificación de todos los procesos ejecutados en la red.
- Realiza un seguimiento y análisis en tiempo real de la actividad de todos los programas.
- El servicio gestionado se encarga de comprobar todos los comportamientos. El administrador no tiene que investigar nada.
Y esto da como resultado un máximo nivel de protección, menor esfuerzo y riesgo mínimo.
Es decir, cuando ejecutamos el fichero, el EDR vigila todo lo que desencadena esa acción. Ve que se ha conectado a una base de datos, que consulta una página web, que se ha descargado un fichero, etc. Cada uno de esos pasos lo va monitorizando y, por tanto, bloqueará aquella acción que no sea confiable.
¿Cómo funciona el EDR?
Esto solo es posible con un servicio de clasificación del 100% de procesos que funciona de la siguiente manera:
Todos los procesos que se ejecutan se correlacionan con el Big Data, que establece si está clasificado como malware conocido o fichero confiable. Si no lo podemos categorizar dentro de ninguna de esta clasificación y, por tanto, se trata de un fichero desconocido, se pasa a una clasificación automática. En caso de que no se pueda hacer de forma automática, porque sea un proceso complejo, se pasaría a un equipo de ciber-analistas expertos encargado de revisarlo y hacer una clasificación manual.
Este proceso que parece tan complejo se realiza de forma transparente para el cliente sin intervenir en su día a día. Nosotros no nos enteramos de ningún punto de este proceso.
¿Cómo puedo conseguir esta protección EDR?
Atlantic, como partner oficial de Watchguard, puede implantar en tu organización todos los sistemas y productos disponibles en el mercado para minimizar cualquier riesgo de seguridad. Del mismo modo, puedes contar con nosotros para analizar e interpretar toda la información que estas herramientas nos facilitan para abordar las amenazas y combatirlas en pro de tu seguridad.
Por menos de un café al mes tendrás toda tu red monitorizada, te enviaremos informes con el estado de tu red, analizaremos todas las alertas, tendrás un soporte de vigilancia 24 horas y conocerás todas las posibilidades de mejoras. ¿Quieres que te contemos más? ¡Consúltanos!
