Amenaza de día cero

Una amenaza de día cero (también conocida como amenaza de hora cero) es aquella que no se ha detectado antes y no coincide con ninguna firma de malware conocida. Esto hace que sea imposible detectarlo mediante soluciones tradicionales de coincidencia de firmas. Puede explotar una vulnerabilidad de software previamente desconocida (a veces llamada vulnerabilidad de día cero) o puede ser una nueva variante de malware entregada por medios tradicionales.

En los días en que la coincidencia de firmas era la única estrategia disponible para detectar malware, cada nueva amenaza de día cero se cobraba al menos una víctima (y a menudo muchas más). Una vez que un malware había penetrado con éxito en una red y la había afectado, las organizaciones de seguridad recopilaban una muestra, la analizaban para crear un archivo de firmas y luego distribuían una actualización para que los productos antivirus pudieran identificarlo.

El número de nuevas ciberamenazas está aumentando continuamente, con docenas de nuevas amenazas de día cero que se originan cada día. Para proteger su red, aplicaciones y datos, debe contar con un sistema avanzado de prevención de amenazas que pueda probar archivos, enlaces y correos electrónicos no confiables antes de que lleguen a su red.​

Hoy en día, sin embargo, aunque la coincidencia de firmas sigue siendo una herramienta de importancia crítica, hay técnicas más avanzadas disponibles para detectar amenazas de día cero antes de que puedan causar daño o infectar a víctimas. Una técnica común es el sandboxing, o análisis de espacio aislado, en el que los correos electrónicos y archivos sospechosos pueden "detonarse" en un entorno de prueba aislado para asegurarse de que están seguros antes de que lleguen a su red.

Por desgracia, el sandboxing consume relativamente recursos y tiempo. Dirigir todo el tráfico a través del análisis de sandbox es poco práctico. Un enfoque más exitoso y viable consiste en utilizar múltiples técnicas analíticas secuenciales para prefiltrar el tráfico, de modo que solo se analice un porcentaje muy pequeño de archivos en un entorno de sandbox.

Barracuda Advanced Threat Protection es un servicio alojado en la nube disponible como suscripción adicional para varios productos y servicios de seguridad de Barracuda. Utiliza la coincidencia de firmas, el análisis heurístico y de comportamiento, y el análisis de código estático para prefiltrar el tráfico e identificar la gran mayoría de las amenazas. Por último, envía los archivos sospechosos restantes a un entorno de CPU-Emulation Sandboxing para identificar definitivamente las amenazas de día cero e impedir que lleguen a su red. La protección frente a amenazas avanzadas se puede añadir a los siguientes productos de Barracuda:

• Barracuda Email Security Gateway
• Barracuda Email Protection
• Barracuda Web Security Gateway
• Barracuda CloudGen Firewall
• Barracuda Web Application Firewall