¿Cuán efectivos son los programas antivirus
para proteger sus sistemas? Al parecer no mucho, si nos guiamos por la opinión
de Brian Dye, Vicepresidente de Symantec. El alto ejecutivo de la empresa
declaró en una reciente entrevista
al periódico Wall Street Journal que la industria del antivirus “ha muerto”.
Symantec, la primera compañía en comercializar
soluciones antivirus hace más de 20 años y reconocida mundialmente por su
programa Norton AntiVirus, ha decidido aplicar un nuevo enfoque al combate al
crimen cibernético. Symantec ahora comenzará a enfocarse en minimizar los daños
causados por las intrusiones, en identificar los atacantesy en reconocer la
forma en que los ataques funcionan. En lugar de combatir a las amenazas con
programas de antivirus, que efectivamente solo pueden encontrar amenazas
previamente reconocidas en sus listas negras, este nuevo enfoque trata de no
solo borrar software malicioso previamente reconocido, sino también en entender
el proceso de acción del malware para minimizar el daño que ocasiona y entender
cómo es que el daño fue ocasionado, permitiendo corregir la falla y evitando
que algún otro malware que actúe de forma similarpueda producir daño.
Antiguamente, las organizaciones solo debían
preocuparse de protegerse de malware distribuido ampliamente que no cambiaba de
forma cuando infectaba nuevos sistemas. Este tipo de malware podía ser
capturado fácilmente, ya que su presencia era común, en cualquier punto de
infecciónde cualquier organización.Al crearse una firma digital de la instancia
del malware capturado, los antivirus y otras herramientas tradicionales de
seguridad podían utilizar esta firma para encontrar el malware en todos los dispositivos de todas
las organizaciones. Los antivirus capturaban este tipo de malware con
facilidad.
Actualmente, no es así. Los ataques actuales son
direccionados. Herramientas que facilitan la creación de malware como
Metasploit y Zeus han posibilitado que cualquier persona con un poco de
habilidad técnica pueda desarrollar malware nuevo y desconocido en masa. En
lugar de tratar de infectar un gran número de organizaciones, este nuevo
malware está diseñado para atacar vulnerabilidades particulares a un sector o a
una sola organización. Pero eso no es todo, el nuevo malware muta cada vez que
infecta un nuevo dispositivo. Este polimorfismo, impide que se pueda crear una
firma digital del malware. Cuanto más direccionado el ataque, menor la posibilidad
de que herramientas tradicionales de seguridad como los antivirus identifiquen
al código desconocido como código malicioso.
En la misma entrevista, Dye estimó que los
programas de antivirus solo son capaces de encontrar el 45% de los ataques
conducidos. Esta cifra hasta puede ser considerada conservadora. En 2012, la
compañía de seguridad de datos Imperva lanzó un controversial estudio
que mostraba que solamente 5% de los ataques de malware podían ser contenidos
con soluciones antivirus. FireEye, otra empresa del sector, mostró que el 70%
de las muestras de malware en sus sistemas existen
una sola vez. Ya la empresa Sophos,estimó
en otro estudio que 75% de los ataques realizados son producto de malware
polimórfico. Tanto el malware que existe una sola vez como el malware
polimórficono pueden ser identificados con programas que funcionan mediante
listas negras, tales como los antivirus.
Estas cifras no sorprenden, ya que con cada nuevo método de defensa utilizado por las
herramientas de seguridad, los autores de malware o empleados malintencionados han
desarrollado nuevas técnicas para evadirlas. Por ejemplo, muchas compañías de
antivirus empezaron a usar un sandbox para verificar el comportamiento de los
programas. Infelizmente, el malware avanzado comúnmente puede detectar que está
dentro de un sandbox y modificar su comportamiento para no levantar sospechas.
Además, empleados deshonestos han empezado a utilizar archivos compuestos,
criptografía y otros métodos que dificultan aún más la detección de sus
actividades.
La poca efectividad de los programas antivirus
no es ninguna novedad para la industria
de la seguridad informática. La mayoría de las compañías del sector han llegado
a esta conclusión hace años. Otras compañías tradicionales en la creación de
programas antivirus como McAfee, ya siguieron el mismo camino. Según Michael Fey,
Jefe de Tecnologías en McAfee, el periodo necesario para crear la tecnología
que quiere ofrecer Symantec demora entre 2 a 3 años, “ellos [Symantec] no han
hecho parte del grupo de líderes de opinión en el sectorhace un buen tiempo”,
declaró.
En Guidance Software siempre hemos seguido
este “nuevo enfoque”. Los productos
EnCase, con soluciones como EnCase Cybersecurity y EnCase Analytics,se enfocan
en identificación de malware desconocido, entender y minimizar el daño de un
ataque, reconocer su método de acción y su perpetrador mediante la visibilidad
completa de la actividad de los dispositivos y la posibilidad de remediación
remota de cualquier actividad fuera de lo común. Además, nuestros programas
pueden ser integrados a plataformas de seguridad como antivirus, IPS, IDS,
firewalls de última generación y otros, multiplicando la efectividad de su plataforma
de seguridad actual y encontrando amenazas que otras herramientas de seguridad
IT podrían pasar por alto.
Si desea una demostración de alguna de
nuestras soluciones, no dude en contactarnos al correo sales-latam@encase.com
Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario