Fecha de publicación: 20 de diciembre de 2021
Colaboradores: Gregg Lindemulder, Amber Forrest
El antivirus de próxima generación o NGAV es una tecnología basada en la nube que utiliza inteligencia artificial, aprendizaje automático y análisis de comportamiento para proteger los endpoints contra el malware y otros tipos de amenazas cibernéticas.
A diferencia del software antivirus tradicional que utiliza la detección basada en firmas para identificar amenazas previamente conocidas, NGAV puede detectar amenazas de malware desconocidas y comportamientos maliciosos a medida que ocurren casi en tiempo real. De esta manera, ofrece un método más eficaz para hacer frente a amenazas modernas, como el ransomware, los ataques de script, el malware sin archivos y las vulnerabilidades de día cero.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.
Regístrese para obtener el Índice X-Force Threat Intelligence
Las soluciones AV heredadas aprovechan una base de datos de firmas de malware y heurísticas para detectar virus en dispositivos endpoint, como computadoras de escritorio y portátiles, tabletas y teléfonos inteligentes. Estas firmas son cadenas de caracteres dentro de un archivo que indican que podría haber un virus presente.
Este enfoque deja los endpoints vulnerables a las amenazas potenciales que aún no se han identificado y catalogado en la base de datos de firmas. Incluso con actualizaciones frecuentes de firmas, un archivo malicioso nuevo o desconocido podría pasar desapercibido.
Por el contrario, las soluciones NGAV utilizan la detección de comportamiento para identificar las tácticas, técnicas y procedimientos asociados con los ataques cibernéticos. Los algoritmos de aprendizaje automático monitorean continuamente eventos, procesos, archivos y aplicaciones para detectar comportamientos maliciosos.
Si una vulnerabilidad desconocida es atacada por primera vez en un ataque de día cero, NGAV puede detectar y bloquear el intento. NGAV también puede prevenir ataques sin archivos, como aquellos que explotan Windows PowerShell y macros de documentos, o correos electrónicos de phishing que persuadan a los usuarios a hacer clic en enlaces que ejecutan malware sin archivos.
Como tecnología basada en la nube, NGAV también es más rápido, fácil y rentable de desplegar y administrar que sus contrapartes tradicionales. Con su capacidad para supervisar la actividad de los endpoints y proporcionar una respuesta inmediata a los incidentes, puede bloquear muchos de los vectores de ataque que utilizan los hackers para penetrar en los sistemas.
NGAV basado en la nube se puede desplegar, actualizar y administrar mucho más rápido, fácil y con menos recursos que el AV tradicional. No hay hardware o software adicional para instalar y configurar, no hay actualizaciones de firmas para gestionar continuamente y tiene poco o nulo impacto en el rendimiento del endpoint.
El antivirus heredado puede detectar solo firmas de malware conocidas que se hayan identificado previamente e ingresado en una base de datos. NGAV monitorea y analiza los comportamientos de los endpoints casi en tiempo real para detectar y bloquear amenazas conocidas y desconocidas, incluidos los ataques de día cero.
NGAV ofrece a los equipos de seguridad la capacidad de defenderse de forma proactiva contra amenazas avanzadas y en rápida evolución. Con el tiempo, los algoritmos de aprendizaje automático se vuelven más eficaces para distinguir los comportamientos normales de los endpoints de aquellos que aumentan el riesgo de un ciberataque.
Si bien las capacidades difieren entre los proveedores, la mayoría de las soluciones NGAV ofrecen las siguientes capacidades:
- Algoritmos de aprendizaje automático: NGAV puede examinar miles de características de archivo y actividades de endpoints casi en tiempo real, e identificar anomalías y acciones inesperadas que pueden ayudar a detener amenazas conocidas y desconocidas.
- Análisis de comportamiento: NGAV establece comportamientos de referencia e identifica comportamientos sospechosos que indican actividad maliciosa o ciberataque a través del análisis de usuarios, dispositivos, aplicaciones y sistemas.
- Inteligencia de amenazas: muchas soluciones NGAV pueden integrar la inteligencia de amenazas más reciente en las fuentes, tácticas e impactos de ataques específicos de malware para ayudar a detectarlos y bloquearlos de manera más rápida y efectiva.
- Analytics predictivos: NGAV puede alimentar la enorme cantidad de datos que recopila en modelos predictivos que pueden detectar la presencia probable de malware o un posible ataque cibernético antes de que ocurra, y luego tomar medidas para prevenir o minimizar los daños.
Aunque NGAV es más eficaz que el software antivirus tradicional, no es infalible. Ocasionalmente, puede arrojar un falso positivo o no detectar un virus. Los delincuentes cibernéticos y los hackers siguen creando y probando nuevos métodos para evadir las últimas tecnologías de protección antivirus.
En el caso de que se violen las defensas del NGAV en un dispositivo de endpoint, las organizaciones a menudo confían en otras tecnologías, como la detección y respuesta de endpoints (EDR), la gestión unificada endpoint (UEM) o la gestión de eventos e información de seguridad (SIEM). Estas soluciones de seguridad ofrecen un enfoque más amplio y que abarca todo el sistema para prevenir y mitigar amenazas cibernéticas en muchos endpoints diferentes.
Despliegue sin problemas soluciones avanzadas de defensa contra amenazas móviles (MTD) para proteger todo su entorno móvil contra amenazas cibernéticas y riesgos basados en el usuario.
Inscríbase, gestione y proteja todos los dispositivos, tanto corporativos como personales, in situ y remotos, desde una sola consola.
La UEM permite a los equipos de TI y seguridad supervisar, gestionar y proteger todos los dispositivos de los usuarios finales en la red de forma coherente, utilizando una sola herramienta.
SIEM ayuda a los equipos de seguridad a detectar anomalías de comportamiento de los usuarios y a utilizar la IA para automatizar los procesos manuales asociados con la detección de amenazas y la respuesta ante incidentes.
La seguridad endpoint, primera línea de defensa de la ciberseguridad de una red, protege a los usuarios y dispositivos (computadoras de escritorio, computadoras portátiles, dispositivos móviles, servidores) contra ataques cibernéticos.