Contra ataques DoS y de "Día Cero"
Hoy en día, el malware que proviene del exterior, además de ser cada vez más complejo, evoluciona de forma más rápida e inteligente. Incrementar el nivel de seguridad necesario para mantener a salvo de amenazas los equipos informáticos ha sido algo ineludible durante el último año. Basta decir que el número de piezas maliciosas se ha incrementado a niveles epidémicos, con más de 5 millones de virus nuevos o variantes identificados durante 2007, lo que supone 4 millones más que descubiertos en 2006. Para evidenciar la tendencia que tendrán las amenazas durante 2008, un claro ejemplo es que en la primera semana del año se crearon casi 118.000 nuevas piezas de malware.
Pero el mundo empresarial no sólo debe lidiar con este gran volumen de amenazas existentes, sino que también se ve obligado a proteger todas aquellas brechas derivadas de la ruptura del tradicional concepto de seguridad perimetral, que se ha transformado tanto por la movilidad de los trabajadores como por la convergencia entre hogar y oficina.
Otra de las amenazas que actualmente suponen mayor riesgo son las denominadas redes zombie o botnets. Estas redes de ordenadores infectados y controlados remotamente por cibercriminales tienen diferentes finalidades, entre las que destacan la distribución de spam y phishing, así como los ataques dirigidos de denegación de servicio (DDoS). El mayor inconveniente que presentan las botnets es la gran cantidad de equipos infectados con malware sigiloso, invisible a los ojos de usuario, que desconoce la infección de su propio equipo.
¿Cómo defenderse de todas estas nuevas amenazas en el menor tiempo posible? Si tomamos como ejemplo los motores antivirus tradicionales basados en firmas, cabe decir que la mejor base de datos de firmas detecta menos del 50% de las nuevas amenazas. Por tanto, estas técnicas no resultan efectivas a la hora de luchar contra las amenazas denominadas de “Día Cero”. Nadie puede ganar la guerra frente al malware con un producto de firmas tradicionales; es necesario el uso de tecnologías proactivas que permitan a los ordenadores de los usuarios identificar virus por sí solos, sin necesidad de recibir una firma desde un servidor central.
Máquinas virtuales para el análisis
Una buena tecnología heurística debe ofrecer protección frente a todo tipo de virus, entre los que se incluyen virus ejecutables, virus de script, virus de macro, backdoors, troyanos, spyware o dialers, entre otros. También debe tener un ratio muy bajo de falsos positivos, así como combinar técnicas heurísticas basadas en el comportamiento con otras técnicas basadas en el contenido y el procesamiento posterior a partir de las firmas de virus tradicionales. Es imprescindible, asimismo, una buena portabilidad para poder ser utilizada en diferentes plataformas, como Windows, Linux y FreeBSD. Por último, pero no menos importante, debe ofrecer un máximo rendimiento, analizando todos los archivos sin un impacto significativo en el rendimiento del equipo del usuario.
Pero si, además de todas las características mencionadas, la tecnología heurística proactiva cumple funcionalidades adicionales, mejor será el resultado y mayor la protección. Una de estas funcionalidades extra es la emulación de un ordenador dentro del propio equipo en el que se ejecutan fragmentos de software para comprobar si es malintencionado. Esta tecnología es capaz de examinar el contenido de un archivo desde diferentes puntos, pero a diferencia de las tecnologías proactivas estándar, lo ejecuta en una máquina virtual para observar su comportamiento.
Raúl García
Responsable de Marketing de BitDefender España
Pero el mundo empresarial no sólo debe lidiar con este gran volumen de amenazas existentes, sino que también se ve obligado a proteger todas aquellas brechas derivadas de la ruptura del tradicional concepto de seguridad perimetral, que se ha transformado tanto por la movilidad de los trabajadores como por la convergencia entre hogar y oficina.
Otra de las amenazas que actualmente suponen mayor riesgo son las denominadas redes zombie o botnets. Estas redes de ordenadores infectados y controlados remotamente por cibercriminales tienen diferentes finalidades, entre las que destacan la distribución de spam y phishing, así como los ataques dirigidos de denegación de servicio (DDoS). El mayor inconveniente que presentan las botnets es la gran cantidad de equipos infectados con malware sigiloso, invisible a los ojos de usuario, que desconoce la infección de su propio equipo.
¿Cómo defenderse de todas estas nuevas amenazas en el menor tiempo posible? Si tomamos como ejemplo los motores antivirus tradicionales basados en firmas, cabe decir que la mejor base de datos de firmas detecta menos del 50% de las nuevas amenazas. Por tanto, estas técnicas no resultan efectivas a la hora de luchar contra las amenazas denominadas de “Día Cero”. Nadie puede ganar la guerra frente al malware con un producto de firmas tradicionales; es necesario el uso de tecnologías proactivas que permitan a los ordenadores de los usuarios identificar virus por sí solos, sin necesidad de recibir una firma desde un servidor central.
Máquinas virtuales para el análisis
Una buena tecnología heurística debe ofrecer protección frente a todo tipo de virus, entre los que se incluyen virus ejecutables, virus de script, virus de macro, backdoors, troyanos, spyware o dialers, entre otros. También debe tener un ratio muy bajo de falsos positivos, así como combinar técnicas heurísticas basadas en el comportamiento con otras técnicas basadas en el contenido y el procesamiento posterior a partir de las firmas de virus tradicionales. Es imprescindible, asimismo, una buena portabilidad para poder ser utilizada en diferentes plataformas, como Windows, Linux y FreeBSD. Por último, pero no menos importante, debe ofrecer un máximo rendimiento, analizando todos los archivos sin un impacto significativo en el rendimiento del equipo del usuario.
Pero si, además de todas las características mencionadas, la tecnología heurística proactiva cumple funcionalidades adicionales, mejor será el resultado y mayor la protección. Una de estas funcionalidades extra es la emulación de un ordenador dentro del propio equipo en el que se ejecutan fragmentos de software para comprobar si es malintencionado. Esta tecnología es capaz de examinar el contenido de un archivo desde diferentes puntos, pero a diferencia de las tecnologías proactivas estándar, lo ejecuta en una máquina virtual para observar su comportamiento.
Raúl García
Responsable de Marketing de BitDefender España
