Alternativas para antivirus: el punto final para la estrategia de seguridad

Consejo

Alternativas para antivirus: el punto final para la estrategia de seguridad

Es fácil ver por qué tantos profesionales con conocimientos de seguridad informática se muestran escépticos sobre la eficacia de los sistemas de la empresa de antivirus. Hoy en día, la mayoría del malware se cae directamente en los puntos finales de la empresa sin mucho esfuerzo por parte de los atacantes. Los estudios han demostrado que un paquete antivirus totalmente actualizado es sólo un 50% de efectividad en la protección contra el malware y es casi inútil en la prevención de ataques de día cero, que son cada vez más comunes.

Como todo lo demás en la seguridad, la protección en capas es la mejor manera de proteger contra el malware, pero aun así no hay promesas.

Los creadores de malware son cada vez más inteligentes y sus virus más sofisticados. Los criminales están utilizando cifrado en su malware, junto con modelos de negocio robustos que incluyen controles de calidad, claves de licencia, actualizaciones, soporte técnico y de marketing. Los malos toman muy en serio burlar los programas antivirus, nosotros también deberíamos.

Un paquete estándar de antivirus no es rival para el malware de hoy en día, ya que está basado en firmas. Tener que mantener a miles de clientes antivirus actualizados con las últimas firmas también es algo que se convierte en un problema, como la edad, a sus firmas AV eficacia disminuye. Esto es sólo un juego del gato y el ratón que jugamos con los delincuentes que están ganando. De hecho, la mayoría de los atacantes prueban su malware contra los productos antivirus comunes antes de que alguna vez lo empleen para asegurar que el malware pueda pasar. Aunque el antivirus sigue siendo una capa necesaria en el paradigma de la defensa en profundidad y demandado por muchos reglamentos, cualquier organización que se basa solo en antivirus para su protección endpoint tiene motivos para preocuparse.

Tenga en cuenta la ruta de un archivo malicioso normalmente tarda antes de que llegue a un punto final: el archivo se envía desde la fuente malicioso y se abre paso a través de Internet, en la red, a través de sistemas de una empresa, y, finalmente, a su punto final. A lo largo de este camino son múltiples oportunidades dentro de la red para capturar este tráfico y detenerlo antes de que cause una violación o una infección.

En este artículo, vamos a ver cada uno de estos lugares en la red y proponer unas pocas tecnologías que pueden ayudar con el proceso de implementación de una estrategia de seguridad de punto final nuevo para detener el malware antes de que ocurra.

Alternativas para antivirus: La capa de nube

La nube tiene una reputación de miedo cuando se trata de almacenar datos, pero el cloud computing puede ser especialmente útil desde el punto de vista antivirus. Muchos fabricantes de antivirus ofrecen ahora servicios en los que se combinan la inteligencia de decenas de miles de clientes, socios e incluso de otros proveedores para identificar mejor las actividades potencialmente maliciosas. El conocimiento permite una forma más predictiva de la protección contra el malware antes de que incluso llegue a la red de una empresa.

Al intentar detener que un malware infecte a un punto final, hay que pararlo tan cerca de la fuente como sea posible, cuantas menos capas penetre, menos probable será llegar a ninguna parte cerca del extremo. Sólo hay un número finito de firmas, antivirus, u otras maneras, que pueden empujar hacia abajo a una multitud de puntos finales. Si el malware puede ser detenido en un cuello de botella una vez, se liberarían estos nodos. Utilizando los sistemas basados ​​en la nube como parte de la infraestructura antimalware reduce el número de casos de malware que se abren paso a la red local.

Los servicios como los prestados por FireEye y ValidEdge permiten el tráfico que va a escanear en busca de malware antes de que llegue a la red. Estos servicios los proveedores se basan en los aparatos que están en sintonía con sistemas similares y trabajan juntos en contra de conocidos ataques recientes. Esto permite una protección más rápida y más completa antes de que el tráfico potencialmente malicioso entra en la red. En esencia, la nube permite a muchos sistemas compartir inteligencia a nivel mundial para detener el malware.

La capa de red puede utilizar los aparatos y gateways para escanear los paquetes para el tráfico malicioso y software malicioso en vez de bloques. Desde un nivel de dispositivo, la próxima generación de servidores de seguridad se está convirtiendo en una gran manera de prevenir el malware. Ofrecen la aplicación, la identidad y la reputación que reconocen los conjuntos de reglas, que no eran posibles anteriormente con la "vieja escuela" firewalls. Sabiendo lo que normalmente pasa a través de un servidor de seguridad como una línea de base y ser capaz de ver la capa de aplicación actividad permite un seguimiento más profundo de tráfico. Anteriormente, este tráfico se ha pasado a través de firewalls sin marcar, pero ahora los firewalls miran el tráfico más alto de la pila.

Los demás aparatos de esta capa son los cortafuegos de correo electrónico y el spam, que incluyen protección contra malware. La mayoría de filtrado Web de contenido de sistemas son capaces de buscar archivos o descargas desde la Web mediante la búsqueda en el archivo con una lista de hashes de archivos mal conocidos y que bloquean las páginas maliciosas antes de permitir que el usuario haga clic en la página.

Muchos, si no la mayoría de los ataques se llevan a cabo a través de campañas de phishing. Los correos electrónicos están equipados con enlaces que invitan a los usuarios desprevenidos a descargar cargas útiles maliciosas. Afortunadamente, en las pasarelas de spam se puede enseñar lo que el spam es mediante el uso de técnicas bayesianas y la inserción personalizados en tiempo real (RBL Blackhole Lists), asistido por la colaboración de nubes, en la puerta de entrada para capturar el malware antes de que llegue un punto final.

Hay otro sistema que puede ayudar con la captura de un comportamiento sospechoso: seguridad de la información y administración de eventos (SIEM). Esta tecnología en particular puede no prevenir la infección de malware, pero sí ayuda a detectar malware una vez que un sistema está infectado por la correlación y la búsqueda de comportamientos maliciosos en los registros del sistema. Previene que la infección se extienda o haga daño a largo plazo.

Alternativas para antivirus: La capa del punto final

El punto final es la última línea de defensa contra el malware, por lo que debe ser cuidadosamente protegida. Antivirus con firmas actualizadas y heurísticas son eficaces en la detección de los tipos más comunes de malware, las empresas también deben considerar las aplicaciones listas blancas en el punto final y el endurecimiento del sistema operativo también.

La implementación de un enfoque default-negar a las aplicaciones evita que las aplicaciones no autorizadas se ejecuten y se asegura de que nunca aplicaciones inseguras sirvan como punto de entrada para el malware. Del mismo modo, mantenerse al día sobre los parches y evitando los privilegios de administrador de nivel reduce en gran medida la probabilidad de una infección de malware.

Utilizando un agente de punto final o un escáner de red garantiza que una empresa no se perderá de terceros parches de software. Hoy en día, la mayoría del malware está dirigido a terceros vulnerabilidades en el software de Adobe Systems Inc. (Flash, Acrobat) u Oracle Corp. (Java). Con esta tecnología en su lugar, Microsoft Group Policy puede utilizarse para limitar a los usuarios de que realicen acciones mediante privilegios de administración, o incluso ir tan lejos como la creación de una instancia virtual para cada empleado que se puede limpiar o restablecer en cada inicio de sesión.

Alternativas para antivirus: La línea base

Utilice los servicios de nube como geo-IP y bloqueo de RBL en productos para ayudar a reforzar la seguridad en las pasarelas y ayudar en la protección de puntos finales. Aunque nada se detiene todo el malware de forma indefinida, es fundamental para que las empresas se muevan hacia alternativas antivirus y poner en práctica una estrategia de defensa en capas de malware. Como todo lo demás en la seguridad, la protección en capas es la mejor manera de proteger contra el malware.

About the author:
Mateo Pascucci es un ingeniero senior de seguridad de la información para una gran empresa minorista donde dirige el programa de gestión de amenaza y vulnerabilidad. Ha escrito para varias publicaciones de seguridad de la información, ha hablado en muchos eventos de la industria y está muy involucrado con su capítulo InfraGard local. Lo puedes seguir en Twitter en @matthewpascucci o echa un vistazo a su blog en www.frontlinesentinel.com.

Esto fue publicado por primera vez en noviembre 2012

Unirse a la conversación Comenta

Compartir
Comentas

    Resultados

    Contribuye a la conversacion

    Todos los campos son obligatorios. Los comentarios aparecerán en la parte inferior del artículo

    Aviso Legal: Nuestro Intercambio de Consejos es un foro para compartir asesoramiento técnico y conocimientos con sus compañeros y aprender de otros profesionales de TI . TechTarget proporciona la infraestructura para facilitar este intercambio de información. Sin embargo, no podemos garantizar la exactitud o validez del material presentado. Usted acepta que el uso del servicio de Preguntale al Experto su dependencia en las preguntas, respuestas, información u otros materiales recibidos a través de este sitio web está bajo su propio riesgo.