Cuando se detectan los ataques de software malicioso, los investigadores de seguridad se ponen en marcha a través de una serie de metodologías que emplean con el fin de atajar cuanto antes los mismos, así como para evitar que se produzcan en el futuro, entre otras tareas.
En primer lugar quieren saber cómo los atacantes entraron en lo que se suponía era un sistema seguro, algo que es cada vez más común y que afecta a todo tipo de empresas y usuarios en todo el mundo. Esta es una carrera en la que a medida que los defensores y analistas mejoran sus métodos, los atacantes también intensifican sus ataques. Hoy día, hasta el 80% de los creadores de malware incluyen elementos que tratan específicamente de «derrotar» el software de protección. Por lo tanto, cuando se descubre un ataque, los analistas obtienen una copia del software que se esté instalando en los equipos de destino y comienzan a examinarlo para saber la manera de cómo el malware entró en una red o sistema informático. A menudo se descubren agujeros de seguridad en los sistemas operativos o aplicaciones, lo que se utiliza para revelar a los desarrolladores de los programas afectados cómo solucionar estos defectos.
Por otro lado se trata de de averiguar lo que ese malware hace, cómo viaja a través del equipo o la red, las acciones que se llevan a a cabo, la extracción de datos, ejecución de programas o la instalación de otro software que ayude en el ataque. Esto es de gran ayuda para que las herramientas de detección de malware sea capaz de detectar futuros ataques antes de que puedan hacer daño.
También se intenta determinar los equipos y archivos manipulados para que puedan ser reparados, de hecho esta acción puede ayudar a identificar a los atacantes, o al menos sus objetivos principales y así preparar las defensas contra posibles nuevos ciberataques futuros.
Ejecución de los propios ataques
Para conocer el malware que forma parte del ataque, lo más efectivo es ejecutarlo en los propios sistemas de los investigadores de seguridad, aunque para evitar problemas, esto se hace sobre máquinas virtuales. De este modo se logra observar todas las acciones que el código malicioso lleva a cabo in situ y sin que más sistemas resulten dañados.
La mayoría de las herramientas de análisis se centran en diferentes tipos de ataques, de alto o bajo nivel, por ejemplo, por lo que con cada elemento se deben emplear diferente software de investigación, aunque los expertos ya empiezan a disponer de soluciones más completas que aceleran en gran medida estos procesos de detección, análisis y reparación. Sin embargo los atacantes cada vez emplean métodos más efectivos y peligrosos, por lo que el trabajo de ambos bandos no cesa en ningún momento, unos para atacar, otros para defender a los usuarios, es decir, a todos nosotros.
Fuente: TheNextWeb | softzone
