Brian Azzopardi, Analista de Negocios Senior de GFI
Las compañías de hoy en día, conectadas a Internet, necesitan disponer de varios motores antivirus, con el fin de reducir el tiempo entre el ataque del virus y la actualización de firmas, algo crítico para garantizar su seguridad. No existe un único motor antivirus en el mercado, que sea capaz de detectar siempre y de la manera más rápida y efectiva los virus, troyanos y otras amenazas de este tipo. Disponer de varios motores antivirus para examinar a los servidores de e-mail corporativos reduce sustancialmente las posibilidades de una infección por virus y, a continuación, trataremos de explicar el por qué. Virus, caballos troyanos y spam, entre otros tipos de malware presentan una amenaza real para todas las organizaciones de hoy en día y afectan negativamente a su productividad y sus negocios.
El 98% de las organizaciones aseguró tener instalado un software antivirus y, sin embargo, el 47% de ellas se había visto afectada al menos una vez durante los últimos doce meses, según los datos del estudio realizado en 2007 por el Instituto de Seguridad Informática. Las organizaciones responsables están de acuerdo en que necesitan proteger sus redes informáticas de ataques de virus, instalando soluciones de seguridad en los e-mails.
Sin embargo, los códigos maliciosos están avanzando y se están volviendo más sofisticados a medida que los diseñadores de virus perfeccionan sus habilidades y endurecen sus códigos para ir un paso por delante de los métodos de detección, burlando los sistemas antivirus y soluciones firewall con una regularidad alarmante. El éxito de estos virus está relacionado en gran medida con las débiles estrategias de protección, con una lógica defectuosa y que están basadas en un solo motor de búsqueda para combatir las amenazas de los archivos entrantes.
Uno de los factores más importantes para proteger con éxito una red informática radica en la rapidez con la que se consiguen nuevos archivos de firmas de motor antivirus (los archivos presentados por laboratorios antivirus que ayudan a identificar un virus cuando hay un nuevo brote). Los virus se propagan a una gran velocidad a través de los e-mails, de tal manera que con un solo correo que contenga un virus se puede llegar a infectar toda la red informática de la empresa.
Por tanto, resulta obvio que un factor crítico para una mayor seguridad es la rapidez con la que se actualizan los archivos de firma de una solución antivirus. En todos los ataques hay un tiempo diferencial entre el brote de un nuevo virus y el lanzamiento de firmas que lo venza y elimine. Cuanto más rápido se cree un archivo de firma, menos probabilidades habrá de una infección.
Cada una de las empresas encargadas de la fabricación de soluciones antivirus alega tener una respuesta a tiempo en el mercado. Sin embargo, la realidad no es tan optimista como se pinta. Los laboratorios antivirus producen actualizaciones contra virus y nuevos brotes a diferentes intervalos, lo que supone por ejemplo, que en unos casos se puede producir una actualización para un determinado virus en seis horas, y en otras ocasiones se puede llegar a tardar hasta 18 horas.
Esta es la razón por la que ninguna compañía va a ser siempre la primera en tener la respuesta ante un brote de virus. Cada laboratorio de soluciones antivirus y motores de búsqueda es diferente. En materia de protección no hay un motor único que sea el mejor ya que cada uno tiene sus fortalezas y debilidades.
Los productos antivirus utilizan diferentes tecnologías para detectar y combatir a los virus, que varían en función del laboratorio fabricante, aunque los tres elementos más comúnmente utilizados son:
– Archivos de firma, que son preparados y presentados por laboratorios antivirus en una base regular y contienen detalles que ayudan a identificar nuevos brotes. Estos archivos son el método habitual de actualización de motores antivirus.
– Heurísticos: se usan para detectar virus y otras amenazas que todavía no cuentan con archivos de firma desarrollados expresamente para ellos. Básicamente, examinan diferentes características de un archivo, las evalúan, y debilitan aquéllas que parecen ser virus. Este método puede también detectar virus metamórficos (que pueden mutar), los cuales son muy resistentes a los archivos de firma.
– Sandboxing: aísla y ejecuta códigos sospechosos en una máquina virtual aislada del resto de la infraestructura TI para determinar si es malicioso o no.
Individualmente, cada una de estas tecnologías puede ser muy efectiva, pero ninguna de ellas asegura el éxito absoluto. Mientras que algunas soluciones antivirus combinan dos o más de estas tecnologías, no hay una única solución que sea la mejor. Por tanto, la única manera efectiva de asegurar el máximo nivel de seguridad es a través de un sistema de defensa multi-capa, el cual puede lograrse usando múltiples motores antivirus.
El argumento a favor del uso de varios motores antivirus es sencillo y radica en la simple realidad de que no existe un único motor antivirus que haga todo. Actualmente no existe en el mercado un motor antivirus que sea siempre el más rápido, el más efectivo y el mejor. Por lo tanto, es necesario utilizar múltiples motores antivirus, puesto que no hay uno que consiga resolver todos los problemas. Además, el motor antivirus más rápido ante un nuevo brote, es posible que no lo sea ante otro determinado.
De esta manera, la red puede quedar infectada con consecuencias desastrosas, como pérdidas en la productividad e incremento de los costes de los negocios, si un motor no actúa con la mayor rapidez ante un virus en particular o no está equipado con la correcta mezcla de tecnologías y heurística. Ya que según hemos dicho, el uso de varios motores antivirus ofrece una solución superior, es importante recordar que cinco motores antivirus no proporcionan una protección cinco veces superior que un antivirus de un solo motor. Lo que ofrece son cinco oportunidades de encontrar la respuesta correcta, lo que son estadísticamente hablando sucesos independientes.
Es poco habitual encontrar una organización que confíe en una única alarma o sistema de seguridad para proteger su inmovilizado de diferentes amenazas como robos, vandalismo, incendios o desastres naturales. Por el contrario, existen sistemas de defensa multi-capa que pueden consistir en guardias de seguridad, cámaras de vigilancia, cajas fuerte, etc, que cuentan con backups en caso de fallo.
La información de una organización, su activo más importante, requiere el mismo sistema de defensa múltiple, lo que se puede conseguir únicamente con varios motores antivirus. Así, llegamos a la conclusión de que un único motor de defensa es insuficiente para proteger la red informática de una empresa, con lo que hay que adoptar una estrategia diferente. Las organizaciones necesitan implementar una solución que combine múltiples motores que incrementen enormemente las posibilidades de tener al menos uno de esos motores antivirus actualizado.
