Publicado: 20 de diciembre de 2021
Colaboradores: Gregg Lindemulder, Amber Forrest
El antivirus de última generación, o NGAV, es una tecnología basada en la nube que utiliza inteligencia artificial, machine learning y análisis de comportamiento para proteger los endpoints contra malware y otros tipos de amenazas cibernéticas.
A diferencia del software antivirus tradicional, que se basa en la detección por firmas para identificar amenazas conocidas, NGAV puede detectar malware desconocido y comportamientos maliciosos casi en tiempo real. Esto proporciona un método más eficaz para hacer frente a amenazas modernas como el ransomware, los ataques de secuencias de comandos, el malware sin archivos y las vulnerabilidades de día cero.
Suscribirse a actualizaciones de temas de seguridad de IBM
Las soluciones antivirus heredadas utilizan una base de datos de firmas de malware y heurística para detectar virus en endpoints como ordenadores de sobremesa, ordenadores portátiles, tablets y teléfonos inteligentes. Estas firmas son, de hecho, cadenas de caracteres en un archivo que indican la posible presencia de un virus.
Este enfoque deja a los endpoints vulnerables a posibles amenazas que aún no han sido identificadas y catalogadas en la base de datos de firmas. Aunque las firmas se actualicen con frecuencia, un archivo malicioso nuevo o desconocido puede pasar desapercibido.
Por otro lado, las soluciones antivirus de nueva generación utilizan la detección de comportamientos para identificar las tácticas, técnicas y procedimientos asociados a los ciberataques. Los algoritmos de machine learning supervisan constantemente eventos, procesos, archivos y aplicaciones para detectar comportamientos maliciosos.
Si se ataca por primera vez una vulnerabilidad desconocida en un ataque de día cero, el NGAV puede detectar y bloquear el intento. El NGAV también puede impedir los ataques sin archivos, como los que aprovechan Windows PowerShell y las macros de documentos, o los correos electrónicos de phishing que persuaden a los usuarios para que hagan clic en enlaces que ejecutan malware sin archivos.
Como tecnología en la nube, NGAV también es más rápida, fácil y rentable de implementar y gestionar que las soluciones antivirus tradicionales. Gracias a su capacidad para supervisar la actividad de los endpoints y ofrecer una respuesta inmediata a los incidentes, puede bloquear muchos de los vectores de ataque utilizados por los hackers para penetrar en los sistemas.
El NGAV basado en la nube puede implementarse, actualizarse y gestionarse de forma mucho más rápida y sencilla, y requiere menos recursos audiovisuales tradicionales. No hay hardware ni software adicional que instalar y configurar, no es necesario administrar continuamente las actualizaciones de firmas y el impacto en el rendimiento de los endpoints es mínimo o nulo.
El software antivirus heredado sólo es capaz de detectar firmas de malware conocidas que hayan sido previamente identificadas e introducidas en una base de datos. NGAV supervisa y analiza el comportamiento de los endpoints casi en tiempo real para detectar y bloquear amenazas conocidas y desconocidas, incluidos los ataques de día cero.
El NGAV permite a los equipos de seguridad defenderse de forma proactiva contra amenazas avanzadas o en rápida evolución. Con el tiempo, los algoritmos de machine learning se vuelven más eficaces a la hora de identificar los comportamientos normales de los endpoints y los que indican la probabilidad de un ciberataque.
Aunque las capacidades difieren entre proveedores, la mayoría de las soluciones NGAV ofrecen las siguientes capacidades:
Aunque un NGAV es más eficaz que un software antivirus tradicional, no es infalible. A veces puede dar un falso positivo. También puede no detectar un virus. Los ciberdelincuentes y los piratas informáticos crean y prueban constantemente nuevas formas de eludir las últimas tecnologías de protección antivirus.
Si se vulneran las defensas NGAV en un endpoint, las empresas suelen recurrir a otras tecnologías, como la detección y respuesta de endpoints (EDR), la gestión unificada de endpoints (UEM) o la gestión de eventos e información de seguridad (SIEM). Estas soluciones de seguridad ofrecen un enfoque más amplio, que abarca todo el sistema, para prevenir y mitigar las ciberamenazas en muchos endpoints diferentes.
Implemente sin problemas soluciones avanzadas de defensa frente a amenazas móviles (MTD) para proteger todo su entorno móvil frente a ciberamenazas y riesgos basados en el usuario.
Registre, gestione y proteja todos los dispositivos, corporativos y personales, in situ y a distancia, desde una única consola.
Detecte amenazas casi en tiempo real: analice millones de eventos utilizando miles de casos prácticos predefinidos, análisis de comportamiento de usuarios y redes, datos de vulnerabilidad de aplicaciones y X-Force Threat Intelligence.
La UEM permite a los equipos de TI y seguridad monitorizar, gestionar y proteger todos los dispositivos de los usuarios finales en la red de manera consistente, utilizando una herramienta.
SIEM ayuda a los equipos de seguridad a detectar anomalías en el comportamiento de los usuarios y a utilizar la IA para automatizar los procesos manuales asociados a la detección de amenazas y la respuesta ante incidentes.
Primera línea de defensa de la ciberseguridad de la red, la seguridad de los endpoints protege a los usuarios y dispositivos (ordenadores de sobremesa, portátiles, dispositivos móviles, servidores) contra los ciberataques.