Se aplica a: WatchGuard EPDR, WatchGuard EDR
En los ajustes de Protección Avanzada de un perfil de ajustes de estaciones de trabajo y servidores, puede habilitar la protección anti-exploit. La protección anti-exploit está habilitada como Bloquear de forma predeterminada.
La tecnología anti-exploit no está disponible en los sistemas ARM de Windows. Las funciones disponibles varían para cada plataforma. Para obtener más información, consulte Protección Avanzada para Dispositivos en Plataformas Windows, Linux y macOS.
Bloqueo y Detección de Exploits
La protección anti-exploit bloquea automáticamente los intentos de aprovechar las vulnerabilidades encontradas en los procesos activos en las computadoras de los usuarios.
Las computadoras de la red pueden ejecutar procesos confiables que incluyen errores. Aunque sean legítimos, estos procesos son vulnerables porque a veces no interpretan correctamente los datos recibidos de los usuarios u otros procesos. Si un proceso vulnerable recibe datos maliciosos de un hacker, se puede producir una falla que le permite inyectar un código malicioso en áreas de la memoria que el proceso vulnerable administra. El código inyectado puede hacer que el proceso en riesgo ejecute acciones para las que no fue programado, y poner en riesgo la seguridad de la computadora.
La protección anti-exploit incluida en WatchGuard Endpoint Security detecta los intentos de inyectar códigos maliciosos en los procesos vulnerables ejecutados por los usuarios, y los neutraliza según el exploit detectado.
Bloqueo de Exploits
WatchGuard Endpoint Security detecta el intento de inyección mientras aún está en curso. Debido a que el proceso de inyección no se completa, no se compromete el proceso objetivo y no hay riesgos para la computadora. El exploit se neutraliza sin necesidad de cerrar el proceso afectado o reiniciar la computadora, y no se producen filtraciones de datos del proceso afectado. El usuario de la computadora objetivo recibe una notificación de bloqueo, según los ajustes configurados por el administrador.
Detección de Exploits
WatchGuard Endpoint Security detecta la inyección después de que se realiza. Debido a que el proceso vulnerable ya contiene un código malicioso, WatchGuard Endpoint Security debe cerrar el proceso antes de realizar acciones que puedan poner en riesgo la seguridad de la computadora. Independientemente del tiempo entre la detección de exploits y el cierre del proceso que está en riesgo, WatchGuard Endpoint Security informa que la computadora estaba en riesgo. El nivel de riesgo depende del tiempo que transcurra antes de que se detenga el proceso y del tipo de malware.
WatchGuard Endpoint Security puede cerrar automáticamente un proceso que está en riesgo para minimizar los efectos negativos de un ataque, o puede solicitar al usuario que cierre el proceso y lo elimine de la memoria. Esto permite al usuario guardar trabajo o información crítica antes de que el proceso en riesgo se cierre o la computadora se reinicie. Si no es posible cerrar un proceso que está en riesgo, se solicita al usuario que reinicie la computadora.