12 julio, 2016 -

"Antivirus” es probablemente el término más común en seguridad perimetral y una de las primeras opciones que la mayoría de las empresas adquieren como características en la selección de dispositivos para comenzar a protegerse, sean estos firewalls, software para estaciones de trabajo, antivirus empresariales, etc.

Este término tan simple y común está abierto a múltiples definiciones. Los virus, caballos de Troya, gusanos y malware son términos utilizados para describir colectivamente software malicioso (o tal vez benigno, pero no deseado) en una encarnación u otra. La naturaleza del malware es lo que diferencia a un virus de un gusano. Pero cuando decimos "antivirus," estamos hablando de detectar la presencia de cualquiera de estos tipos de software no deseado, no solo los virus.

Un virus es un software malicioso que infecta a otras aplicaciones. Cuando la aplicación se inicia por el usuario final, el virus se activa y se infecta tanto diferentes archivos y programas como a aplicaciones adicionales y entonces realiza su mala acción, como la eliminación de archivos al azar en el disco o hacer presentar ventanas emergentes de los anuncios de Viagra en su navegador WEB. A diferencia de los virus, los gusanos son autónomos y se propagan por sí mismos; nadie tiene que iniciar una aplicación para activarlo una vez que un gusano está suelto. Un caballo de Troya es un software malicioso que se disfraza como una aplicación legítima; abriendo normalmente puertas traseras (Backdoors) de acceso a su infraestructura y que no se propaga a sí mismo.

Por supuesto, los piratas informáticos no están preocupados por estas diferentes clasificaciones, para ellos es común usar un Caballo de Troya (Trojan Horse) para llevar una carga útil, que podría ser un gusano o un virus, una puerta trasera o crear una variante de un gusano que también infecta aplicaciones como un virus. El término "amenaza combinada" se utiliza a menudo para describir estos híbridos de software malicioso.

La razón por la que es importante entender estas diferencias es que el antivirus, sobre todo en el perímetro, puede tener múltiples funciones para capturar diferentes tipos de malware en distintos puntos de su ciclo de vida. Además, es posible que aparezca el término "antivirus" que se utiliza en diferentes contextos, siendo vital para una Organización seleccionar adecuadamente las diferentes etapas en las que un Antivirus interviene dentro de cada uno de los diferentes elementos de una infraestructura Informática.

En su forma más simple, el antivirus busca el malware en tránsito dentro del tráfico de la red o el flujo interno de datos en un dispositivo. La técnica de autopropagación de malware más popular es a través del correo electrónico, y por lo tanto el escaneo de correo electrónico para los archivos adjuntos maliciosos es una parte fundamental de una estrategia antivirus. Sin embargo, el malware también puede ser dejado en los sitios web y también debe buscarse en los flujos de datos Web cualquier tipo de malware también.

El problema con estas dos técnicas es que no están garantizadas para ser capaces de reconstruir la carga del virus y determinar una amenaza a partir de los paquetes que ven. El e-mail y las sesiones de Web encriptadas (HTTPS) son obviamente un problema para estas herramientas, pero el tráfico Web en puertos no estándar o virus en ciertas aplicaciones Web pueden pasar como no dañinos en un escaneo del antivirus. Por esta razón, cualquier estrategia de antivirus en el perímetro solo se puede complementar con antivirus en el escritorio en adición al contenido en Firewalls, Routers, Web Servers, Servidores de Aplicaciones, etc.

Una segunda técnica de antivirus perimetral implica la búsqueda de firmas de virus sobre la mala conducta. Por ejemplo, el famoso gusano “Code Red” propagó a los servidores web IIS mediante el envío de una URL concreta. Los antivirus basados en seguridad perimetral pueden descubrir la presencia de una máquina infectada por Code Red por su comportamiento. Esta técnica solo es útil para la identificación de programas maliciosos después de una infección que ya se ha producido. Sin embargo, a sabiendas de que una persona está infectada es solo ligeramente menos útil que mantener una nueva infección en el primer lugar. También hay herramientas de defensa frente a intrusiones que vanen busca de signos de propagación de malware y utilizan esa información para ayudar a aislar los sistemas infectados. Estos son conocidos genéricamente como sistemas NBAD () "comportamiento de la red en la detección de anomalías".

Como conclusión, para mantener una Organización bien protegida ante las diferentes formas de virus existentes, los riesgos de infección y propagación es importante contar con diferentes niveles de software Antivirus distribuidos de manera inteligente dentro de las diferentes capas de la infraestructura informática.

Desgraciadamente, por la complejidad actual de los ataques y los ambientes híbridos necesarios para la correcta operación de las organizaciones, no podemos tener una sola solución, ni solo una capa de nuestro esquema de seguridad cibernética protegida.

Debemos de considerar dentro de la planeación de la protección, incluir elementos Antivirus tanto en los dispositivos de seguridad perimetral, servidores, estaciones de trabajo fijas y móviles, servidores web, páginas web, etc.

Para lograr un nivel alto de protección en la seguridad perimetral de una organización es necesario reforzar todos los frentes posibles:

Protección AntiMalware en Servidores de Correo Electrónico, esto se puede realizar con Soluciones como Panda EndPoint Security, Kaspersky, FortiMail de Fortinet.
Protección en el Perímetro, se puede realizar con Palo Alto Networks y Fortigate de Fortinet.
Protección en los Servidores y equipos de usuario final, lo podemos realizar con Panda EndPoint Security y Kaspersky.
Monitoreo y detección de Malware en la red Interna, lo podemos realizar con Damballa y Palo Alto Networks.

{{cta('ca35bcab-76ee-41a6-96ee-53f03034a25e')}}

Referencia: http://searchsecurity.techtarget.com/feature/The-key-technologies-in-a-network-perimeter-intrusion-defense-strategy

imagen_articulo_blog_como_proteger_tu_seguridad_perimetral_vs_ATP.jpg

La seguridad de TI se ha centrado tradicionalmente en el desarrollo de las defensas perimetrales para detener las amenazas de entrar en la red indebidamente. Es un poco como una casa de campo con una gran cantidad de posesiones valiosas dentro; el titular instala alarmas, detectores de movimiento, señuelos y adopta un enfoque basado en el riesgo que se inicia con la seguridad en la puerta de la carretera, incluso si esta se encuentra a más de dos kilómetros de la casa.

Desde el exterior, puede parecer que las defensas robustas, rigurosas e incluso desalentadoras están en su lugar, pero si un intruso puede entrar en la casa, son libres para saquear, talar y quemar. En el mundo actual de la seguridad cibernética, este enfoque de defensa perimetral se está convirtiendo rápidamente en redundante, ya que el panorama de amenazas evoluciona y los piratas informáticos (Hackers) idean métodos cada vez más tortuosos para romper el perímetro.

Las amenazas persistentes avanzadas (ATP)

Las amenazas persistentes avanzadas se están volviendo más comunes y definidas por la sofisticación, y pueden tomar meses para planificar su ataque. Estas amenazas a menudo utilizan un nuevo tipo de malware que permanece inactivo hasta que es activado a control remoto. Un vector de amenaza aún más peligrosa es el aumento de los dispositivos inteligentes (Tabletas, Celulares, handhelds, etc.) conectados. Gartner estima que habrá 20 mil millones de dispositivos conectados en 2020, muchos de los cuales presentan amenazas a la seguridad.

La protección a nivel micro

El panorama de las amenazas está evolucionando a un ritmo rápido y como siguiente paso en la seguridad cibernética es importante ocuparse de esto, siendo la microsegmentación de la red en el nivel de carga de trabajo la solución propuesta. Este enfoque se basa en un modelo de seguridad microgranular en la que la seguridad está esencialmente ligada a las cargas de trabajo individuales, mientras que también proporciona la agilidad para utilizar y provisionar automáticamente las políticas de seguridad.

En un modelo de seguridad tradicional, si se compromete un ordenador portátil perteneciente a un administrador de TI, el hacker puede conectarse a los servidores y moverse por toda la red. El modelo de microsegmentación de la red no permite que esto suceda.

Está construido sobre la virtualización de la red a nivel de hipervisor. Los hipervisores red permiten la creación de redes virtuales que están desconectadas e independientes de la red física subyacente. Es importante destacar que un hipervisor de red en un entorno virtualizado tiene una posición única para ver todo el tráfico se mueve a través de la red, incluso hasta el nivel de las cargas de trabajo de máquinas virtuales individuales.

Protegiendo las Rutas de Red

Este nivel de visibilidad permite a la red de microsegmentada basada en los atributos de cada carga de trabajo y también la comprensión de la finalidad específica de cada carga de trabajo individual.

Los administradores pueden basar las políticas de seguridad en función del tipo de carga de trabajo, ya sea una aplicación web o base de datos, para que se utilizara la carga de trabajo, por ejemplo, un ambiente de desarrollo o en productivo y el tipo de datos que la carga de trabajo maneja, como datos de misión crítica, información financiera o información de identificación personal.

Esto permite a los administradores establecer y custodiar las rutas de datos que viajan por la red y así detectar cualquier aberración en términos de cargas de trabajo.

Desalentando el Objetivo del Hacker

Un pirata informático que obtiene acceso a la red podría utilizar esto como punto de partida para desarrollar un mapa de la red. El pirata informático buscará una amplia gama de información, tales como aplicaciones expuestas, versiones de sistemas operativos, información de las aplicaciones, la estructura de las aplicaciones y los servidores de backend. Cuando han recolectado esta y otras informaciones que permitan identificar las vulnerabilidades expuestas buscaran explotarlas.

Sin embargo, esto requiere una gran cantidad de movimiento a través de la red. La micro segmentación de la red, limita el movimiento de un atacante dentro de la red, incluso si el perímetro ha sido violado. Las organizaciones pueden dividir su centro de datos en segmentos de protección distintos hasta el nivel de carga de trabajo individual, y luego definir los controles de seguridad y ofrecer servicios para cada segmento único. Esto incluso protege contra el malware dormido que se ha plantado con el fin de activarse en una fecha posterior.

Nueva tecnología, nuevas defensas

Una red de microsegmentada es un paso necesario en la seguridad perimetral. No solo está siendo impulsada esta tendencia por el cambiante panorama de amenazas, sino también impulsada por el movimiento de los centros de datos tradicionales centrados en el hardware hacia los centros de datos definidos por software, computo en la nube (Cloud Computing) y virtualización de la red. Puede compararse con la seguridad en un hotel. Un atacante puede ser capaz de entrar en un edificio, pero una vez dentro, todavía tiene un trabajo grande en sus manos para tener acceso sin ser detectado al intentar entrar en las puertas cerradas dentro del hotel. Si vamos a proteger nuestra infraestructur

Referencia:

http://www.infosecurity-magazine.com/opinions/next-step-security-perimeter

Día: 12 de julio de 2016

Cómo usar un Antivirus en mi esquema de Seguridad Perimetral

Cómo protegerte de intrusiones avanzadas a través de la Seguridad Perimetral

Trabajando por crear una cultura de Seguridad de la Información

Contacto Guadalajara

Contacto de CDMX

Redes sociales

Acerca de nosotros

Somos una empresa especializada en Seguridad de la Información.

Transformamos el valor de tu información en seguridad y confianza.

© 2026 Cero Uno Software Corporativo

Aviso de privacidad