Según un estudio de Kaspersky realizado entre responsables de decisiones de TI, el 47% de las pymes y el 51% de las grandes empresas afirman que es cada vez más difícil diferenciar entre ataques genéricos y avanzados. Por esta razón, los analistas de seguridad tienen que desviar recursos y horas a la evaluación de un gran número de archivos sospechosos restando tiempo para investigar y responder a las amenazas más críticas. Esta situación, unida a la escasez de profesionales especializados en seguridad de las TI en las pymes supone que la responsabilidad de gestionar la seguridad en este tipo de compañías recaiga casi exclusivamente en los departamentos de TI, que no cuentan con los conocimientos necesarios para responder a este reto y, sin embargo, se enfrentan a amenazas similares a las de las grandes empresas, entre ellas los ataques avanzados.
Para poder detectar si un objeto en concreto es de carácter malicioso, Kaspersky Sandbox analiza su comportamiento, recoge y analiza todos los artefactos, y en el caso de que el objeto realice acciones maliciosas, tales como la encriptación o la descarga de un objeto malicioso mediante un exploit de día cero, la Sandbox lo clasifica como malware e informa a la solución de protección endpoint para que se tomen acciones adicionales. En concreto, Kaspersky Endpoint Security for Business permite la automatización de acciones que incluyen: cuarentena de objetos, notificaciones al usuario, escaneo de áreas críticas del sistema operativo o la búsqueda en otras máquinas del objeto detectado para evitar su propagación dentro de la empresa.
El 47% de las pymes y el 51% de las grandes empresas afirman que es cada vez más difícil diferenciar entre ataques genéricos y avanzados
Por otra parte, Kaspersky Sandbox almacena en el cache operativo de su servidor la decisión sobre si un objeto es o no una amenaza. De esta forma, si otro endpoint dentro de la misma red gestionada solicita los datos del análisis de un archivo que ya se ha ejecutado en la Sandbox, la solución endpoint obtiene la respuesta de esta base de conocimientos compartida sin tener que volver escanear el archivo. De este modo, se reduce el tiempo de respuesta y la carga de trabajo en los servidores de las máquinas virtuales.