Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

Protección perimetral avanzada contra malware

El crecimiento imparable del malware de puesto se agrava con la proliferación de dispositivos personales conectados a las redes empresariales  En su informe de malware del tercer trimestre de 2013, Kaspersky Lab ha acumulado un total de 120.341 modificaciones de malware móvil en su sistema en dicho periodo, casi 20.000 muestras más que en el trimestre anterior. Asimismo, refleja que el malware basado en Android continúa siendo el blanco favorito de los ciberdelincuentes.
Es importante tener en cuenta que las modificaciones no son detecciones individuales o programas maliciosos sino muestras de códigos maliciosos que los cibercriminales utilizan para infectar las aplicaciones móviles legítimas. El procedimiento común que siguen estos cibercriminales es el de descargar aplicaciones legítimas y modificarlas con el código malicioso. Una vez transformadas, las redistribuyen en sitios donde los usuarios puedan descargarlas, como las tiendas de aplicaciones de terceros.

¿Cómo protegerse eficazmente?
Para identificar las muestras de códigos maliciosos tanto en entornos de movilidad como en el puesto tradicional del usuario, es necesario utilizar tecnologías heurísticas, que complementen las firmas antivirus tradicionales.
Los ficheros con malware, spyware o APTs suelen ser archivos ejecutables muy complejos, cifrados y polimórficos. Eso significa que no hay dos muestras iguales de la misma infección, por lo que una aproximación basada únicamente en una tabla de firmas de virus sería claramente ineficaz. Cada objetivo contiene una variación diferente del malware, diseñado precisamente para evitar la identificación antivirus y pasar completamente desapercibido.
Para abordar el problema antes hay que comprender cómo funcionan los motores antivirus avanzados.
Primero, el archivo ejecutable se descomprime: El motor de AV trata de eliminar el empacador ejecutable (similar a un archivo zip encriptado, pero más complejo). Tras ello, el ejecutable extraído se compara con las firmas del AV para después, simular el comportamiento de dicho ejecutable en un entorno seguro denominado “Sandbox” (cajón de arena) donde se comprueba sí existe algún comportamiento malicioso.  
El entorno de Sandbox es un entorno virtual y aislado (equivalente al software de virtualización conocido, pero integrado dentro del motor de AV). Este análisis de la conducta requiere acceder y utilizar diferentes porciones del código para tratar de emular el comportamiento y ver el resultado, de cara a identificar sí el código tiene una conducta maliciosa, en cuyo caso el AV puede marcar el ejecutable o identificarlo como una variación de un malware conocido.
¿Por qué un análisis perimetral antivirus completo es más eficaz que un antivirus perimetral en modo “stream”?
Para poder analizar de forma eficaz el código malicioso, el motor AV necesita percibir el archivo como un todo. Es por eso que es necesario un proxy que permita almacenar todo el ejecutable como un conjunto y enviarlo al motor AV. Por el contrario, cuando el motor del antivirus analiza el fichero en modo streaming, al no existir un proxy, no es posible alcanzar a la totalidad del ejecutable.
Cuando se utiliza un AV en modo streaming (análisis de flujo), el motor del AV queda limitado a explorar únicamente firmas simples perdiendo la capacidad de descomprimir y extraer empacadores ejecutables, que queda muy limitada o incluso nula. En modo streaming, no es posible un análisis de la conducta o análisis de emulación avanzada (sandbox).
Según fuentes de los propios fabricantes de AV, una estimación razonable de la eficacia de un escáner antivirus en modo streaming estaría en torno al 20-30%, en contraposición al 99.99+% del mismo motor completo.  Teniendo en cuenta que  el mercado actual de los AV profesionales se está moviendo en diferencias de precisión de entre el 99,99% y el 99,98%, debería ser evidente que un ratio del 30% o menor es claramente inaceptable. Por desgracia, este hecho no es debidamente conocido y valorado por una gran mayoría de administradores de seguridad, oculto bajo los eslóganes de marketing de algunos fabricantes de seguridad perimetral.
NETASQ incorpora el motor completo de análisis de Kaspersky Labs, lo que le permite ofrecer una calidad de análisis muy superior a la de otros fabricantes de seguridad perimetral, que utilizan el mismo motor pero en modo streaming.
Los argumentos en favor de un escáner en modo stream están en el rendimiento, ofreciendo unos valores de análisis aparentemente más atractivos, pero a costa de sacrificar la calidad del estudio que solo será eficaz para bloquear gusanos sencillos o virus tradicionales, pero totalmente ineficaz contra las modernas amenazas de malware y APTs.
Se trata básicamente de una estrategia de análisis IPS de firmas orientado a firmas de virus, y no de un sistema antivirus avanzado propiamente dicho. Este tipo de estrategia puede ser suficiente en algunos entornos, pero no es comparable en ningún caso a un análisis AV completo.
La demostración última se puede encontrar al  examinar cuál es la técnica de análisis utilizada por cualquier antivirus de puesto/desktop.  Todos ellos recurren al análisis completo y ninguno al de flujo en streaming. Es evidente que para cualquier fabricante de AV sería deseable tener un antivirus de escritorio más rápido que su competidor.  Sin embargo el sacrificio en seguridad es tan alto que ninguno aceptaría quedar un 70% por debajo de sus rivales en ratios de detección. Por ello, no es de extrañar que ningún proveedor de AV utilice análisis en streaming en sus productos de protección del puesto y que el análisis de comportamiento esté ganando terreno.

Deja un comentario

Scroll al inicio