Por qué Legacy AV es un blanco fácil para los atacantes

El software antivirus heredado no es rival para los adversarios de hoy. La seguridad moderna para endpoints se mantiene por delante de las amenazas en evolución.

Por eso en este blog analizaremos el por qué Legacy AV se convierte en un punto fácil para los ciberdelincuentes.

¿Por qué no funciona el AV heredado?

Los adversarios de hoy son impecables. Si bien muchos actores de amenazas han adoptado técnicas más nuevas, como la extorsión de datos, las amenazas basadas en la identidad y los ataques en la memoria para lograr sus objetivos, algunos continúan dependiendo de amenazas probadas y comprobadas, y el software heredado no es rival para ninguno de los dos.

Los datos de ESG muestran que incluso cuando surgen nuevas amenazas, el ransomware en particular sigue siendo un problema grave para muchas organizaciones. En “Preparación contra ransomware: conocimientos de profesionales de TI y ciberseguridad”, 620 profesionales de TI y ciberseguridad de organizaciones medianas y empresariales respondieron a la encuesta:

• El 79% había sido atacado por el ransomware en el mes anterior
• 1 de cada 3 fue golpeado varias veces
• Más de la mitad admitió haber pagado un rescate, pero sólo 1 de cada 7 recibió la restauración completa de los datos

Las organizaciones deben aceptar dos verdades inmutables cuando se trata de ciberataques modernos:

1. Cada organización, independientemente de su tamaño, se enfrenta a amenazas persistentes y que evolucionan rápidamente
2. Para proteger su patrimonio, sus defensas deben adaptarse a un ritmo que iguale o supere la velocidad de evolución de los adversarios.

Muchas tecnologías de seguridad heredadas luchan por mantenerse al día. Esto es especialmente cierto para el software antivirus (AV), que es notoriamente lento debido a su excesiva dependencia de firmas, de hardware y la necesidad de implementar nuevos agentes para aumentar las capacidades defensivas.

Legacy AV utiliza cadenas de caracteres llamadas firmas que están asociadas con tipos específicos de malware. Al utilizar estas firmas, el software antivirus puede detectar y prevenir ataques que aprovechan diferentes formas de malware. Sin embargo, este enfoque se está volviendo obsoleto a medida que atacantes sofisticados han encontrado formas de evadir las defensas antivirus heredadas, como la adopción de ataques sin archivo, que ahora comprenden la gran mayoría de los ciberataques.

La seguridad AV heredada también deja a las organizaciones atrapadas en un modo reactivo, solo capaces de defenderse contra malware y virus conocidos catalogados en la base de datos del proveedor AV. Cuando se introdujeron las firmas por primera vez, este enfoque era lo último en tecnología. Pero hoy en día, con el tiempo promedio de fuga del adversario reducido a solo 79 minutos, una defensa reactiva que depende de análisis o actualizaciones de firmas que requieren mucho tiempo coloca a las organizaciones detrás de muchos atacantes.

Para empeorar las cosas, el software AV heredado también se retrasa en el tiempo de obtención de valor, y la implementación promedio demora tres meses. Este plazo es necesario porque los AV antiguos a menudo dependen de que el hardware se instale en las instalaciones. Además, una vez instaladas, la mayoría de las soluciones heredadas requieren bastante ajustes y configuraciones manuales para ser completamente funcionales, lo que aumenta la carga operativa de administrar y actualizar las herramientas de seguridad heredadas.

Incluso una vez en funcionamiento, la huella del AV heredado en el endpoint puede ser significativa debido a la continua adición de capacidades de seguridad que sobrecargan a los agentes e incluyen enfoques de escaneo de memoria que consumen muchos recursos, los cuales impactan negativamente el rendimiento del endpoint. La dependencia de las firmas significa que las bases de datos de firmas deben actualizarse constantemente para incluir las últimas incorporaciones.

Estas actualizaciones consumen una gran cantidad de recursos y tiempo. Lo peor de todo es que, en el momento en que se completa una actualización, a menudo ya está desactualizada.

Si necesitas una solución para migrar a una plataforma de seguridad de endpoints moderna, contáctanos.

Fuente: Crowdstrike