Recursos > Glosario de términos de seguridad > ¿Qué es la protección contra amenazas avanzadas?

¿Qué es la protección contra amenazas avanzadas?

Definición de protección frente a amenazas avanzadas

La protección contra amenazas avanzadas (ATP) es un subconjunto de soluciones de seguridad diseñadas para proteger los datos confidenciales frente a ataques cibernéticos complejos, incluidos el malware, las campañas de phishing y mucho más. La tecnología ATP suele combinar la seguridad en la nube, la seguridad del correo electrónico y la seguridad de los puntos finales, entre otros, para aumentar las defensas de su organización en medio del cambiante panorama de las amenazas, lo que le permite anticiparse mejor y evitar costosas infracciones de seguridad.

Los métodos y tácticas de ataque de los ciberdelincuentes son cada vez más sofisticados. Además, a medida que los datos continúan trasladándose a la nube, las superficies de ataque se están ampliando y los nuevos vectores de ataque están aumentando en importancia. Afortunadamente, la tecnología de ciberseguridad ha evolucionado, alejándose de cortafuegos y seguridad de red tradicional para superar estas nuevas vías y tipos de amenazas cibernéticas.

 

¿Cuáles son las ventajas de la protección frente a amenazas avanzadas?

En el panorama moderno de amenazas, ATP le permite combatir el fuego con fuego. A diferencia de los productos de seguridad tradicionales, que tienden a ser soluciones desconectadas de un solo propósito, las herramientas más eficaces de hoy en día trabajan conjuntamente para ofrecerle:

  • Visibilidad de amenazas en tiempo real: el alto volumen de amenazas de hoy en día no le permite esperar a que se realicen análisis programados para ver si está protegido. La protección eficaz frente a las amenazas avanzadas supervisa todo el tráfico, todo el tiempo, a diferencia de las soluciones antivirus tradicionales.
  • Inteligencia de la nube compartida: revisar su protección es algo incómodo, en el mejor de los casos, e imposible en el peor de ellos. Con la inteligencia de amenazas entregada en la nube, tan pronto como una solución determinada detiene una nueva amenaza en cualquier lugar, puede detenerla en todas partes.
  • Contexto y correlación centralizados: las medidas de seguridad reactivas, en tiempo real y predictivas impulsadas por IA avanzada presentan a su equipo de seguridad el panorama completo, lo que implica una detección, prevención y reparación de amenazas más rápidas.

¿Qué hace que una amenaza sea "avanzada"?

Una amenaza puede ganarse esta etiqueta por diferentes razones. Por ejemplo, una amenaza puede ser avanzada si:

  • Sus responsables tienen recursos o herramientas ilimitados para llevar a cabo un ataque y mantener el acceso a una red.
  • Los atacantes tienen acceso a financiación para adaptar un ataque según sea necesario.
  • El ataque se ha diseñado para dirigirse a una organización específica.

Pongamos un poco más de contexto en torno a las amenazas avanzadas en sus diversas formas.

 

Amenazas persistentes avanzadas

Una amenaza persistente avanzada (APT, no confundir con ATP) es un ataque en el que un atacante obtiene sigilosamente acceso a la red de una organización y establece un punto de apoyo, lo que le permite permanecer en ella sin ser detectado durante un período prolongado. Las APT a menudo se dirigen a una empresa específica y tienden a utilizar malware avanzado que puede omitir o evitar las medidas de seguridad comunes. Son ataques sofisticados a los que hay que responder con una defensa igualmente sofisticada.

Una vez que un atacante obtiene acceso a una red objetivo, generalmente a través de ataques de malware o de phishing de credenciales, puede ser capaz de acceder a cualquier cosa, desde datos de la empresa hasta conversaciones privadas y otro material confidencial. Si no se detectan durante mucho tiempo (semanas, meses o quizás incluso años), pueden recopilar grandes cantidades de datos para usarlos con fines maliciosos.

 

¿Cuáles son los métodos de ataque avanzados más comunes?

Los ataques avanzados comparten algunas técnicas básicas que con mayor frecuencia llevan a los malintencionados a donde quieren ir. Los más frecuentes son:

  • El phishing atrae a un usuario para que haga clic en un enlace de una fuente aparentemente fiable para acceder a credenciales o información de la empresa. Este es el método más común que usan los atacantes de APT para obtener acceso a una red interna.
  • La instalación de malware ayuda a los ciberatacantes a adentrarse en la red una vez que han conseguido el acceso, lo que les permite vigilar la actividad y recopilar datos de la empresa. Esto se hace muy a menudo a través del phishing.
  • El descifrado de contraseñas permite a los atacantes obtener acceso administrativo y tener acceso libre dentro de una red.
  • La creación de una puerta trasera asegura una forma de volver a la red si un atacante necesita salir.

[Una encuesta de Ponemon reveló] una reducción significativa del 71 por ciento de encuestados que creían que sus organizaciones mitigaban riesgos, vulnerabilidades y ataques en toda la empresa de forma eficaz antes de la COVID-19, a solo el 44 por ciento de los encuestados durante la COVID-19.

Ponemon Institute, “Ciberseguridad en la era del trabajo remoto"

Los costes de filtración de datos aumentaron de 3,86 millones de dólares estadounidenses en 2020 a 4,24 millones en 2021, el coste total promedio más alto en los 17 años de historia de este informe.

IBM, “Informe del coste de una filtración de datos 2021"

¿Cómo funciona la protección frente a amenazas avanzadas?

Las soluciones de protección frente a amenazas avanzadas están diseñadas para detectar y responder a amenazas avanzadas antes de que causen pérdida de datos o perjudiquen a su organización. Aunque las ofertas de los diferentes proveedores de servicios varían ampliamente en sus funciones principales, las soluciones ATP a menudo incluyen:

  • Análisis de tráfico de red para supervisar su red en busca de anomalías de seguridad y funcionamiento.
  • Intercambio de inteligencia sobre amenazas para ofrecer a todos los clientes de un determinado proveedor la misma protección.
  • Sandboxing para detectar y aislar los archivos sospechosos para su análisis y respuesta.

 

Las deficiencias de las soluciones heredadas de sandboxing

A medida que el panorama ha evolucionado (con los avances en el aprendizaje automático y la automatización que hacen que la ATP sea más rápida y precisa), el sandboxing sigue siendo una herramienta crucial de seguridad avanzada. Sin embargo, los enfoques heredados de sandboxing tienen tres deficiencias clave en los entornos actuales:

  1. Los sandboxes heredados dependen del retorno de los datos (es decir, forzar los datos a través de una red central) porque están vinculados al hardware en un centro de datos, lo que los hace demasiado lentos para proteger eficazmente a un personal remoto en aumento.

  2. Los sandboxes heredados utilizan el modo de punto de acceso terminal (TAP) para inspeccionar los archivos sospechosos, realizando el análisis mientras los archivos viajan a un destino. El sandbox envía una alerta si detecta una amenaza, pero debido a que la inspección de TAP no bloquea archivos, a menudo es demasiado tarde.

  3. Los sandboxes heredados no pueden inspeccionar eficazmente el tráfico cifrado sin ralentizarlo. La mayoría de los programas maliciosos se distribuyen hoy en día a través de canales cifrados, y algunas organizaciones necesitarían ocho veces más dispositivos de sandbox para obtener suficiente potencia de procesamiento.

Zscaler Advanced Threat Protection

Zscaler Cloud Sandbox es un motor de prevención de malware basado en la nube, IA y ML diseñado para detener las amenazas emergentes y proteger a todos sus empleados, estén donde estén. En lugar de trabajar en modo TAP, funciona en línea, inspeccionando todo el tráfico (incluido el cifrado) antes de reenviar cualquier archivo sospechoso. Con protección de día cero siempre activa, protección contra ransomware y visibilidad en tiempo real del comportamiento del malware, detecta y bloquea continuamente las amenazas nuevas y en evolución a medida que surgen.

Zscaler Cloud Sandbox es una capacidad totalmente integrada de Zscaler Internet Access™, que forma parte de Zscaler Zero Trust Exchange™. La plataforma se ofrece como un servicio en la nube y, sin necesidad de comprar hardware ni gestionar software, eliminará la complejidad y estará en funcionamiento en cuestión de minutos.

Más información sobre la protección contra amenazas avanzadas de Zscaler.