¿Cómo detecta FireEye potenciales cero días?

Un exploit de día cero, en esencia, es una falla simple. Una falla en el software o hardware que, aunque simple, puede crear problemas complicados mucho antes de que alguien se dé cuenta de que algo está mal. De hecho, un exploit de día cero NO deja ninguna oportunidad de detección … al principio.

Un ataque de día cero ocurre una vez que ese defecto, o la vulnerabilidad de software / hardware se explota, y los atacantes liberan malware antes de que un desarrollador tenga la oportunidad de crear un parche para corregir la vulnerabilidad, por lo tanto, “día cero”. Analicemos los pasos de la ventana de vulnerabilidad:

  • Los desarrolladores de una empresa crean software, pero sin que ellos lo sepan, incluye una vulnerabilidad
  • El actor de amenaza detecta esa vulnerabilidad antes de que lo haga el desarrollador o actúa sobre ella antes de que el desarrollador tenga la oportunidad de corregirla
  • El atacante escribe e implementa código de explotación mientras la vulnerabilidad aún está abierta y disponible
  • Después de liberar el exploit, el público lo reconoce en forma de robo de identidad o información, o el desarrollador lo detecta y crea un parche para detener el sangrado cibernético.

Una vez que se escribe y utiliza un parche, el exploit ya no se llama exploit de día cero. Estos ataques rara vez se descubren de inmediato. De hecho, a menudo toma no solo días, sino meses y, a veces, años antes de que un desarrollador se entere de la vulnerabilidad que provocó un ataque.

FireEye detecta más de estos que cualquier otra tecnología de seguridad debido a la aplicación adecuada de tecnología, inteligencia y experiencia. Por ejemplo, FireEye se enfoca en el flujo de comunicación y no solo en los objetos (como lo hace una caja de arena): el exploit a menudo se puede detectar a través de su comportamiento de flujo (a menudo bidireccional). Esto es parte de lo que FireEye está analizando, lo que potencialmente conduce a la detección y a alertas o bloqueos, dependiendo de cómo haya configurado la solución.

Related Content

¿Cuáles son algunas formas de mejorar la seguridad de la red en la industria de la subcontratación?

¿Por qué se supone que los sistemas Linux están libres de virus?

Si se conecta accidentalmente a una red wi-fi desconocida utilizando un dispositivo iOS, ¿debería cambiar alguna de sus contraseñas?

¿Qué hacker sería el mejor maestro de piratería?

Cómo evitar que mi sistema ransomware

La metodología central es un secreto.

Sin embargo, los proveedores de seguridad de la próxima generación hicieron el cambio de la detección basada en Firma a un enfoque más basado en el comportamiento.

Utilizando millones de puntos de datos, su motor de detección de amenazas puede analizar el comportamiento de cualquier pieza de software para determinar indicadores de intenciones maliciosas.

Monitorean las actividades clave de propagación de software utilizando inteligencia artificial y otros métodos basados ​​en heurística.

El objetivo final es ser mayormente correcto versus precisamente incorrecto. Esto ayuda a reducir la cantidad de falsos positivos / falsos negativos. La velocidad de detección es un factor determinante clave en la industria de la seguridad. El dinero a menudo va al vendedor con la solución de seguridad más rápida. Si puede detectar actividades maliciosas antes de que causen estragos, los clientes lo ven como un rey.

Esta velocidad también está integrada en el motor de Fireeye para ayudar a diferenciar su producto de sus competidores.

La parte difícil de los cero días es el hecho de que son nuevos. Los analistas de seguridad no saben nada de ellos hasta que atacan.

Freddy Mangum

Como Freddy Magnum ya mencionó en la discusión, los usuarios reales en nuestro sitio, IT Central Station, han comentado sobre la detección de día cero en FireEye: “Es uno de los mejores productos en función de sus características como la detección de casi todos los tipos de malware, APT, virus y ataques de día cero, informes y su integración con otros productos FireEye como CMS, IPS, etc. ” Puedes leer más: Revisión de FireEye por un usuario real

¡Espero que ayude!

Freddy Mangum

FireEye tiene su enfoque para el sandboxing, pero hay otros que tienen sus propios pros y contras. Este enlace puede ser útil: la caja de arena de próxima generación ofrece detección integral de malware avanzado

Freddy Mangum

More Interesting

¿Cuáles son algunas buenas universidades internacionales para la ciberseguridad? ¿Tienes alguna sugerencia para un postgrado en ciberseguridad?

He estado viendo tutoriales de pruebas de lápiz y piratería ética, pero a veces no puedo entender lo que están haciendo y usando porque soy un principiante y no estoy muy familiarizado con este mundo. ¿Qué tengo que hacer?

Tecnología: ¿Cuáles son algunas de las tendencias tecnológicas (tanto generales como específicas) que ve pero que la mayoría de las personas que lo rodean no ven, o al menos cree que no?

¿Dónde obtengo el sistema operativo Windows permanentemente libre sin virus?

¿Cuánto ganan los profesionales de seguridad?

¿Qué es el ransomware Bad Rabbit?

¿Qué keylogger es gratis por 30 días?

¿Puede el administrador de red ver la contraseña del cliente?

¿Cómo deshacerse de un virus de Facebook? ¿Cómo puedes contraer un virus a través de Facebook?

Cómo ingresar / trabajar en el campo de la seguridad de la información

¿Qué antivirus es el mejor para una PC, ya sea Kaspersky Anti-Virus o Kaspersky Internet Security?

¿Por qué debería buscar un programa antimalware?

¿Qué es un algoritmo de ejemplo simple para explicarle a alguien cómo funciona el cifrado de clave pública?

¿Cuál es el mejor antivirus móvil para Windows?

¿Cuáles son las diferencias y similitudes entre la aplicación web y la ingeniería inversa binaria?