Se aplica a: WatchGuard EPDR, WatchGuard EDR
En los ajustes de Advanced Protection de un perfil de ajustes de estaciones y servidores, puedes habilitar la protección anti-exploit. La protección anti-exploit está habilitada como Bloquear de forma predeterminada.
La tecnología anti-exploit no está disponible en los sistemas ARM de Windows. Las funcionalidades disponibles varían para cada plataforma. Para obtener más información, consulta Advanced Protection para Dispositivos en Plataformas Windows, Linux y macOS.
Bloqueo y Detección de Exploits
La protección anti-exploit bloquea automáticamente los intentos de aprovechar las vulnerabilidades encontradas en los procesos activos en los equipos de los usuarios.
Los equipos de la red pueden ejecutar procesos de confianza que incluyen errores. Aunque sean legítimos, estos procesos son vulnerables porque a veces no interpretan correctamente los datos recibidos de los usuarios u otros procesos. Si un proceso vulnerable recibe datos maliciosos de un hacker, se puede producir un fallo que le permita inyectar un código malicioso en áreas de la memoria que el proceso vulnerable administra. El código inyectado puede hacer que el proceso en riesgo ejecute acciones para las que no fue programado y poner en riesgo la seguridad del equipo.
La protección anti-exploit incluida en WatchGuard Endpoint Security detecta los intentos de inyectar códigos maliciosos en los procesos vulnerables ejecutados por los usuarios y los neutraliza según el exploit detectado.
Bloqueo de Exploits
WatchGuard Endpoint Security detecta el intento de inyección mientras aún está en curso. Debido a que el proceso de inyección no se completa, no se compromete el proceso de destino y no hay riesgos para el equipo. El exploit se neutraliza sin necesidad de cerrar el proceso afectado o reiniciar el equipo, y no se producen filtraciones de datos del proceso afectado. El usuario del equipo de destino recibe una notificación de bloqueo, según los ajustes configurados por el administrador.
Detección de Exploits
WatchGuard Endpoint Security detecta la inyección una vez que se ha realizado. Debido a que el proceso vulnerable ya contiene un código malicioso, WatchGuard Endpoint Security debe cerrar el proceso antes de realizar acciones que puedan poner en riesgo la seguridad del equipo. Independientemente del tiempo entre la detección de exploits y el cierre del proceso que está en riesgo, WatchGuard Endpoint Security informa que el equipo estaba en riesgo. El nivel de riesgo depende del tiempo que transcurra antes de que se detenga el proceso y del tipo de malware.
WatchGuard Endpoint Security puede cerrar automáticamente un proceso que está en riesgo para minimizar los efectos negativos de un ataque o solicitar al usuario que cierre el proceso y lo elimine de la memoria. Esto permite al usuario guardar trabajo o información críticos antes de que el proceso en riesgo se cierre o el equipo se reinicie. Si no es posible cerrar un proceso que está en riesgo, se solicita al usuario que reinicie el equipo.