El mundo del malware evoluciona de forma constante y violenta: las amenazas son cada vez más complejas y muchas de ellas —las que mayor daño le pueden causar a tu empresa— pasan desapercibidas. Existen muchas soluciones que permiten que tus dispositivos se encuentren seguros ante un panorama cada vez más complejo y si bien, muchas de estas herramientas te permitirán detectar amenazas avanzadas, solo AMP for Endpoints de Cisco te permitirá encontrar, además, el 1% que suele permanecer en las sombras. Este software de seguridad te ayudará a evitar brechas, bloquear malware desde su punto de acceso y monitorear de forma continua los archivos, procesos y actividades de cada punto final, con el fin de detectar, contener y remediar amenazas que evaden las primeras líneas de defensa.
Los cuatro enfoques de AMP for Endpoints
1. Prevención
AMP for Endpoints implementa herramientas y tecnologías preventivas sumamente robustas, con el fin de detener malware en tiempo real. Esto asegura que cada punto final sufrirá el menor daño posible.
Reputación de archivos: contiene una amplia base de datos para cada archivo, dando como resultado que cada malware conocido sea identificado de inmediato.
Antivirus: las definiciones de antivirus que son parte de AMP for endpoints son actualizadas de forma constante. Dado que la base de datos que utiliza se encuentra almacenada de forma local, AMP asegura el bienestar de tus equipos sin importar s, a partir de la distinción de firmas del malware, estén o no conectados a internet. AMP tiene la capacidad de detectar malware polimórfico a través de herramientas de comparación entre el código mutado y las variables conocidas de malware.
Análisis basado en inteligencia artificial: el motor de AMP ha sido entrenado a partir de algoritmos que le han permitido aprender a identificar archivos maliciosos y actividades atribuibles a malware. Esto es gracias a la inteligencia provista por Cisco Talos™.
Prevención de vulnerabilidades: la capacidad de prevención de AMP está pensada para prevenir, de forma eficaz y proactiva aquellos ataques generados por la explotación de vulnerabilidades específicas, como las de día cero o los ataques de memoria —los cuales ejecutan códigos maliciosos al interior de procesos autorizados.
Protección de scripts: muchos de los malware actuales utilizan scripts para ejecutarse. Una de las funciones más robustas de AMP es el prevenir la carga de ciertas librerías dinámicas (DLLs) que permiten ejecutar programas automatizados comunes para realzar ataques sin malware.
Visión de comportamientos: AMP cuenta con capacidades mejoradas y ampliadas de análisis de comportamientos, con el fin de protegerte de comportamientos maliciosos en tiempo real.
2. Detección
Ejemplo: si un archivo de ransomware acaba de penetrar tu sistema, AMP bloquea los procesos ofensivos automatizados del malware, para evitar el cifrado de tu información y tu dispositivo.
Protección contra actividad maliciosa: AMP for Endpoints monitorea de forma continua toda la actividad en las terminales, proviendo detección y bloqueo de actividades sospechosas en tiempo real.
Indicadores de compromiso basados en la nube: utilizando Talos, la herramienta de inteligencia de Cisco basada en la nube, AMP for Endpoints tiene una constante fuente de información sobre nuevos indicadores de compromiso basados en el análisis de comportamiento y tendencias de malware emergentes.
Indicadores de compromiso locales: los administradores de TI pueden establecer sus propios protocolos de indicadores de compromiso con el fin de potenciar su proceso de respuesta a incidentes.
Vulnerabilidades: AMP tiene la capacidad de analizar de forma granular cada uno de tus dispositivos, para encontrar software que pueda ser potencialmente peligroso y así reducir tu superficie de ataque. Para este análisis, AMP for Endpoints utiliza la lista de Common Vulnerabilities and Exposures (Vulnerabilidades y superficies de exposición comunes), creada por la industria de Ciberseguridad.
Baja prevalencia: muchas de las amenazas complejas actuales utilizan una baja presencia dentro del equipo para evitar ser detectadas. AMP detecta incluso el 1% de amenazas que suelen pasar por debajo del radar.
3. Cacería de amenazas
SecureX: La cacería de amenazas es una acción analítica proactiva que sirve para detectar las vulnerabilidades más avanzadas. En su rango Premier, AMP ofrece SecureX, una herramienta que permitirá a los equipos de respuesta a incidentes el poder acotar su búsqueda, entendiendo de dónde surgió y cómo se desarrolló un ciberataque.
4. Respuesta
Herramientas forenses: AMP cuenta con herramientas sumamente potentes, como historial de dispositivos y archivos que, en conjunto con el análisis continuo, muestran una visión completa de la amenaza: identifica el punto de entrada, el método de ataque, el paciente cero de la infección y la ruta que los atacantes están tomando al interior de tu red.
Análisis dinámico: AMP inlcluye herramientas robustas de sandbox, que analizan de forma individual archivos sospechosos. Este análisis te da como resultado la información del archivo, su comportamiento, el nombre del archivo, pruebas de la ejecución del malware y etc.
Seguridad retrospectiva: AMP compara actividades recientes con tu historial de comportamientos. Esto ayuda a poner archivos en cuarentena de forma automática al momento de comenzar a ejecutar acciones sospechosas.
Visibilidad en la línea de comandos: utilizando argumentos de línea de comandos, se puede determinar si hay alguna aplicación legítima que está siendo usada con fines maliciosos.
Aislamiento de dispositivos: una de las acciones de remediación fundamentales es el aislamiento de dispositivos, con el fin de que aquellos puntos finales comprometidos no tengan acceso a su servidor de comando y control, en tanto AMP analiza la información de la terminal.
Visibilidad granular en cada dispositivo
AMP for Endpoints posee las herramientas más avanzadas para prevenir y potenciar los procesos de Respuesta a Incidentes, con el fin de remediar ataques y brechas de forma efectiva y eficiente, con múltiples capacidades de análisis, búsqueda y detección.
La cantidad y la variedad de amenazas avanzadas crece día con día, y están diseñadas para evadir las medidas de seguridad más robustas.