¿Qué es una firma basada en la carga útil?
Las firmas basadas en la carga útil detectan patrones en el contenido del archivo en lugar de atributos, como un hash, lo que les permite identificar y bloquear el malware alterado.
Las herramientas de seguridad suelen utilizar firmas basadas en variables fácilmente modificables como el hash, el nombre del archivo o las URL para identificar y evitar que el malware conocido infecte los sistemas. Con este tipo de firma, la identificación de amenazas requiere esencialmente una coincidencia uno a uno con las variables específicas que busca la firma.
Aunque en su día fue un medio eficaz para identificar el malware, en la actualidad es una práctica endeble, ya que los atacantes han adoptado medios más sofisticados para eludir la detección. Los autores de malware pueden ahora crear fácilmente miles de variantes del malware existente, que sólo contienen ligeros cambios, con el fin de eludir la coincidencia de firmas. Como las firmas heredadas requieren una coincidencia estática uno a uno para cada archivo único, estos ligeros cambios permiten que el malware pase desapercibido.
A medida que los atacantes han evolucionado, también lo han hecho las protecciones, y las organizaciones deberían considerar la utilización de protecciones de seguridad que aprovechen las firmas basadas en la carga útil, que detectan patrones en el contenido real del archivo en lugar de un simple atributo como el hash. Si una pieza de malware conocido ha sido alterada de alguna manera, dando lugar a un hash completamente nuevo u otro pequeño cambio, las firmas basadas en la carga útil seguirían siendo capaces de identificar y bloquear lo que de otro modo habría sido tratado como una nueva amenaza desconocida.
Aunque las firmas basadas en la carga útil requieren más pruebas y mayores conjuntos de datos para producirlas, los equipos de seguridad tienen en última instancia menos firmas que crear e implementar, ya que cada firma es más eficaz para bloquear variantes y malware polimórfico y proporciona una red de protección más amplia. Con las firmas basadas en la carga útil, una firma puede bloquear decenas de miles de variantes de la misma familia de malware. El resultado es una detección de malware de uno a muchos, con una prevención significativamente más rápida y exitosa.
Palo Alto Networks Next-Generation Security Platform aprovecha la nube de inteligencia de amenazas, incluida la detección de amenazas desconocidas a través de WildFire, así como la aplicación de la suscripción a Threat Prevention , para distribuir automáticamente firmas basadas en cargas útiles por toda la organización. La plataforma puede prevenir de forma única múltiples variantes de malware, así como el tráfico de comando y control, con la alta fidelidad de su formato propietario basado en firmas.
