Los ataques zero-day aprovechan las vulnerabilidades de los nuevos programas creados por los desarrolladores que no son capaces de prever las múltiples combinaciones posibles de los usuarios en su código, explica Intel Security, por lo que no existe vacuna o parche que pueda controlarlos.
Actualizar una aplicación utilizada diariamente en una empresa —para aprovechar las nuevas funcionalidades de un programa y mejorar la productividad—, puede conducir a que, horas más tarde, la red de la compañía sea comprometida con un malware de los llamados zero-day o día cero, para los cuales no hay ninguna descripción, firma o parche.
Según un estudio de McAfee labs, un 40 por ciento de los ataques se dirigen a vulnerabilidades de Adobe Flash y Reader, mientras que otro 40 por ciento ataca programas de Microsoft como Windows, Office y Explorer.
La detección del código malicioso zero-day que ingresa a la red empresarial es uno de los principales retos que enfrentan las áreas de seguridad junto con la cantidad de operaciones que implican la protección de la red interna que consumen esfuerzos y tiempo.
La detección de amenazas se realiza usualmente mediante un análisis dinámico en un entorno controlado, es decir, con base en el comportamiento de los archivos; sin embargo, con este procedimiento podría no detectarse al malware capaz de activarse después de pasar por un sandbox.
Una solución de seguridad que sólo detecte amenazas ya no es competitiva. Evalúa soluciones de detección de amenazas avanzadas que te ofrezcan:
Análisis estático que vaya más allá de observar sólo el header de un archivo y que examine a fondo el código ejecutable para realizar un análisis integral de los archivos que pasan por un sandbox y que podrían evadirlo si sólo se aplicara un análisis dinámico.
Localización del código malicioso avanzado mediante la filtración por varias capas, como: AV, heurística, filtrado web, la emulación, y, al final, sandboxing.
Generación automática de firmas, al igual que conjuntos de reglas para gateways y servidores de seguridad con las que se bloquearán ataques parecidos en un futuro.
