¿Por qué el análisis retrospectivo es más efectivo para detectar y bloquear amenzas?

Actualizado: 9 de nov de 2020





A mediados de junio de 2020 se informó sobre distintos ataques informáticos que sufrieron Google Chrome y Linkedin. Mientras en Chrome 111, extensiones con dominios de una empresa israelí ocasionaron que un software maligno de espionaje se descargara 33 millones de veces; en Linkedin una oferta de trabajo falsa que enviaba malware oculto en un archivo de PDF atacó instituciones militares y organizaciones espaciales.

Esos son solo dos casos dados a conocer en la última semana.


Vivimos en un contexto en el que ya no se trata de si un usuario o empresa va a sufrir una brecha en la seguridad o no, sino más bien de cuándo la va a sufrir. El malware avanzado es sigiloso, por lo que las soluciones de detección centradas en un momento específico nunca son eficaces al 100% para localizar y bloquear una amenaza. Hay que cambiar de estrategia y el análisis retrospectivo es una muy buena opción.


¿Está buscando soluciones de seguridad para la nube? Podemos ayudarle.


El análisis y la detección continua y la seguridad retrospectiva permiten registrar la actividad de cada archivo presente en el sistema y en el momento en que un archivo “bueno” se convierte en “malo”, es posible detectarlo y rebobinar el historial para ver el origen de la amenaza y el comportamiento que ha tenido. Posteriormente se ponen en práctica funciones de remediación o parcheo para eliminar la amenaza.

Así es como funciona Cisco AMP for Endpoints. Esta solución analiza co


ntinuamente los archivos y el tráfico incluso después de la inspección inicial, y registra todas las actividades de los archivos y las comunicaciones en los terminales, los dispositivos móviles y la red para determinar comportamientos sospechosos. Al mínimo síntoma de riesgo, avisa retrospectivamente a los equipos de seguridad y proporciona información detallada sobre la amenaza.

Además, como AMP ya tiene localizado el archivo y el curso que ha tenido, puede retirarlo de la memoria y ponerlo en cuarentena para los demás usuarios, de forma que no pueda seguir esparciéndose. Los datos recopilados sobre el comportamiento de los archivos son registrados en la base de datos de inteligencia de amenazas de AMP para que tanto ese archivo como otros parecidos no puedan eludir la detección inicial de nuevo.

¿Cómo seleccionar la mejor herramienta de seguridad para sus necesidades?


AMP proporciona una protección completa para las organizaciones antes, durante y después del ataque de la siguiente forma:


  • Antes del ataque: Utiliza la inteligencia de amenazas global Collective Security Intelligence de Cisco, el Security Intelligence and Research Group de Talos, así como fuentes de información sobre inteligencia de amenazas de AMP Threat Grid, para reforzar las defensas frente a amenazas conocidas y emergentes.


  • Durante el ataque: Combina la inteligencia junto con las firmas conocidas de archivo y la tecnología de análisis dinámico de malware AMP Threat Grid de Cisco para identificar y bloquear los archivos maliciosos que intentan infiltrarse en la red.


  • Después del ataque: Supervisa y analiza de manera continua toda la actividad y el tráfico de los archivos, buscando cualquier indicio de comportamiento malicioso. En caso de ser un archivo “malo”, establece dónde se originó el malware, qué sistemas ha afectado y qué está haciendo; y ofrece los controles para responder. Adicionalmente, brinda a los investigadores la capacidad de determinar el fire trayectory, es decir, la huella del ataque por horas y minutos, así como su movimiento. Esta posibilidad de monitoreo constante es lo que hace que el análisis sea más rápido y efectivo.

En la sección de Seguridad de Vinet puede indagar más sobre las soluciones de seguridad de Cisco y sus integraciones o bien puede escribirnos (enlace a formulario /correo) para realizar una demo gratuita de las herramientas del portafolio de Cisco.