La mejor protección antivirus podría no ser suficiente
El antivirus tradicional basado en firmas es notoriamente ineficiente para la detección de nuevas amenazas como el ransomware y el malware de día cero, pero aún tiene un lugar en la industria, dicen los expertos, como parte de una estrategia de seguridad de capa múltiple para terminales.
De acuerdo con una encuesta a los que estuvieron presentes en el Black Hat de este año, el 73% opina que el antivirus tradicional es irrelevante u obsoleto. “La percepción de las capacidades de bloqueo o protección del antivirus ciertamente ha decaído”, afirma Mike Spanbauer, vicepresidente de estrategia e investigación en NSS Labs, Inc.
Mucha de la investigación reciente respalda ese punto de vista. En marzo, la compañía de seguridad, WatchGuard Technologies, reportó los resultados de una prueba completa de los antivirus tradicionales. Ellos calcularon qué tan bien le iba a un producto tradicional de antivirus a la hora de detectar amenazas de día cero mediante la observación de clientes que tenían instalados tanto un antivirus tradicional como productos de protección de punto final de última generación. El antivirus tradicional atrapó 8.956.040 variantes de malware, pero no detectó 3.863.078 que fueron atrapadas por una plataforma de última generación que usó un enfoque basado en comportamiento. Ese es un porcentaje de falla de aproximadamente 30%.
El producto de antivirus tradicional provino de AVG Technologies, un producto con buenas críticas. De hecho, en un reporte publicado por AV Comparatives en julio, AVG atrapó 99,6% de las muestras de malware de la prueba, haciéndolo uno de los diez mejores productos en el mercado.
El antivirus es particularmente malo a la hora atrapar al ransomware, una de las más grandes amenazas nuevas que enfrentan las compañías. En una encuesta realizada en marzo a 500 organizaciones, el proveedor de antiphishing, KnowBe4, encontró que solo el 52% de las compañías fue capaz de impedir un ataque simulado de ransomware. Para el resto, el ransomware fue capaz de atravesar sus defensas de antivirus.
NSS Labs también ha estado conduciendo pruebas tanto de herramientas tradicionales como de punto final de última generación. En sus últimas rondas de prueba, la compañía se ha centrado solo en proveedores que tienen capacidades avanzadas de detección. El año pasado, cuando las pruebas también incluyeron a los proveedores de solo firma, los productos tradicionales mostraron un desempeño pobre. “Varios productos obtuvieron una calificación dentro de los 90s”, afirma Spanbauer de NSS Lab, “Pero ninguno de ellos fueron productos con solo antivirus tradicional”.
El problema se complica si es que las nuevas amenazas están diseñadas para esparcirse rápidamente en una compañía, y generar el máximo daño tan rápido como sea posible; y se vuelve a complicar más si las empresas demoran el despliegue de actualizaciones de antivirus. Además, la cantidad de malware está creciendo exponencialmente, de acuerdo a AV-Test, así que incluso un producto particular tiene un nivel alto de detección, más y más malware en términos absolutos va a infiltrarse. Asimismo, si los atacantes notan que una clase particular de malware está atravesando las defensas, ellos pueden reforzar su ataque.
La combinación de estos cuatro factores ha contribuido a propulsar el reciente ransomware, WannaCry, a más de 400 mil dispositivos infectados y, en total, un impacto financiero potencial tan grande como de ocho mil millones de dólares. Eso no significa que el antivirus tradicional sea completamente obsoleto. Aún sigue ocupando un lugar en la industria, dicen los expertos, porque es muy efectivo para detectar y bloquear rápida y eficientemente amenazas conocidas, requiriendo de una cantidad mínima de intervención humana. Además, el antivirus tradicional es un cumplimiento regulatorio o requisito del cliente en algunas industrias.
La situación del antivirus tradicional
Una compañía que no tiene alternativa sobre si es que debe usar el antivirus tradicional es la compañía localizada en Emeryville, Calif., National Mortgage Insurance Corp. “Nuestros clientes son bancos, y muchos requieren un antivirus tradicional basado en firma como parte de la defensa que tenemos establecida”, afirma Bob Vail, director de seguridad de la información de la compañía.
Sophos, el proveedor de antivirus de la compañía, tiene un buen récord de detección, y es bastante liviano, afirma. Eso hace que sea una buena primera ronda de defensa, pero Vail afirma que él sabe que eso no es suficiente. “El antivirus en general va a actuar después de ocurrido el hecho”, afirma él. “Alguien tiene que estar infectado y una firma debe desarrollarse y, con suerte, todos los demás quedan protegidos antes de ser atacados”.
La compañía también tiene un segundo nivel de protección instalado para defenderse del malware que logra ingresar, un sistema basado en comportamiento de EnSilo. Los dos productos trabajan bien juntos, afirma Vail. “Si un virus conocido viene, Sophos pondrá el archivo en cuarentena antes de que tenga la oportunidad de ejecutarse”, afirma él. “Pero aquellas cosas que lo atraviesan serán perseguidas por EnSilo, así que se trata de una clásica defensa a profundidad”.
El antivirus tradicional es una buena manera de adjuntar las tecnologías más nuevas como aquellas que involucran el análisis de comportamiento, aislamiento de amenaza, y aprendizaje de máquina. Las herramientas más avanzadas pueden requerir más energía de procesamiento, lo que puede hacer más lentas a las computadoras. Si el producto opera pruebas de comportamiento u otras en amenazas potenciales antes de permitir el acceso al usuario, puede impactar la productividad. Si el producto permite que las amenazas ingresen para después ponerlas a prueba individualmente, el malware tiene la oportunidad de acceder a los sistemas de la empresa.
Finalmente, cuando una nueva amenaza es detectada, se quiere de trabajo adicional para mitigar la amenaza y generar firmas para protegerse de esa amenaza en el futuro. “El primer nivel de defensa siempre será algún tipo de defensa basada en firma”, afirma Raja Patel, vicepresidente de producto corporativo de McAfee LLC. “Si ya sabe que algo está mal, ¿por qué hacer una capa adicional de protección contra eso?
Sin aquella evaluación inicial, basada en firma, las compañías tendrán que emplear mucho más tiempo, esfuerzo y dinero para manejar todas las amenazas que ingresan, señala Patel. “Puede imaginar todo lo que tendría que soportar el equipo de seguridad”. Si una amenaza puede ser atrapada y detenida justo fuera de la entrada, es la opción más barata. “El antivirus basado en firma ahorra el esfuerzo humano y reduce falsos positivos y demoras de tiempo”, afirma. “Es una primera capa fantástica, y lo será por mucho tiempo”.
Las herramientas tradicionales y de última generación están convergiendo
A medida que la industria madura, las empresas van ser capaces de obtener de un solo proveedor la suite completa de herramientas de defensa contra el malware, si es que aún no la tienen. Los proveedores de antivirus tradicional están añadiendo capacidades de última generación, mientras que los proveedores de última generación están incluyendo protecciones basadas en firma dentro de sus suites.
La nueva compañía de seguridad de terminales, CroedStrike, por ejemplo, lanzó su plataforma todo-en-uno, Falcon, hace tres años y así permitió que clientes como el Center for Strategic and International Studies (CSIS), un grupo de estudio ubicado en Washington, DC, obtengan todo en un solo lugar. “Nosotros ya teníamos instalada a CrowdStrike y nos estábamos apoyando en ella como parte de la seguridad de terminales”, afirma Ian Gottesman, el CIO de la organización. “Extender esa solución para incluir antivirus fue ventajoso para el CSIS. Yo le recomendaría a cualquier otra organización que haga lo mismo”.
De acuerdo con una encuesta del SANS Institute publicada a inicios de este año, cerca del 95% de los encuestados espera ver protección antivirus incluida en su solución de terminales de última generación. Los proveedores de antivirus tradicional tampoco se están quedando atrás.
En lugar de eso, muchos están comprando o construyendo las herramientas de última generación que pueden ayudar a atrapar los ataques que atraviesan las defensas basadas en firma. “El antivirus se extinguirá en pocos años, a no ser que sea capaz de evolucionar”, afirma Luis Corrons, director técnico de PandaLabs en Panda Security, un proveedor de antivirus tradicional. “Nosotros en Panda hemos sido completamente conscientes de esto”.
Por muchos años, la compañía se ha basado en la detección de malware en base a comportamiento, pero incluso eso no es suficiente. Muchas irrupciones de seguridad exitosas no involucraron software malicioso en lo absoluto, señala el ejecutivo. “Para decirlo claramente, un antivirus tradicional es inútil en contra de estos ataques, pues no existe un malware involucrado”, afirma Corrons. Por ejemplo, los atacantes pueden aprovecharse de software existente que no es malicioso.
Recientemente, la compañía ha desplegado nuevas herramientas para monitorear el comportamiento de todas las aplicaciones activas en una empresa. “Eso nos permite tener una visibilidad completa de qué es lo que está pasando en nuestra red”, afirma.
McAfee también ha añadido nuevas capas de protección, afirma Patel de McAfee. Las defensas basadas en firma le protegerán después de que sepa de las amenazas, pero no protegerán al paciente cero y al periodo de tiempo después de la infección y cuando usted escribió las firmas”, afirma. “Nosotros añadimos dos capacidades de protección el año pasado -aprendizaje de máquina y contención de aplicación dinámica.
Razones por las que algunas compañías aún se apoyan exclusivamente en el antivirus tradicional
Los niveles de infección de ransomware muestran que muchas compañías aún carecen de una protección de terminales adecuada. De acuerdo con una encuesta de IBM publicada a finales del año pasado, casi la mitad de todas las compañías fueron víctimas de ransomware en el 2016, 70% de ellas decidieron pagar el rescate.
Las firmas pequeñas también son impactadas y, a diferencia de las empresas más grandes, podrían no estar tomando tan seriamente la protección del terminal. A principios de este año, una encuesta realizada por el Ponemon Institute mostró que el 51% de negocios pequeños y medianos han experimentado un ataque de ransomware; pero a pesar de eso, el 57% afirma que fueron “demasiado pequeñas” para ser blancos del ransomware.
De acuerdo a un reporte de mayo realizado por el proveedor de protección de punto final, VIPRE Security, el 48% de los administradores de la TI, así como empresas de tamaño mediano y pequeño, afirma que una compañía de sus dimensiones no necesita seguridad de punto final con capacidades de defensa en contra de malware.
Eso es un error, afirma Spanbauer de NSS Labs. Actualmente existen tantas buenas opciones disponibles en el mercado, y a precios muy competitivos, que ninguna compañía debería estar usando solamente el antivirus basado en firma, señala. “No existe un argumento de precio o protección válido para justificar el uso del antivirus tradicional como la primera opción o la recomendación preferida para cualquier ambiente específico”. Nunca antes, había sido más fácil conseguir una protección más completa, con incluso productos básicos que ofrecen controles avanzados. “En estos días, es difícil encontrar un producto estricta y exclusivamente de antivirus de firma”, finaliza.
Para el ver artículo original: www.cwv.com.ve/la-mejor-proteccion-antivirus-podria-no-ser-suficiente/
Últimos Artículos
