“Antivirus” es probablemente el término más común en seguridad perimetral y una de las primeras opciones que la mayoría de las empresas adquieren como características en la selección de dispositivos para comenzar a protegerse, sean estos firewalls, software para estaciones de trabajo, antivirus empresariales, etc.
Este término tan simple y común está abierto a múltiples definiciones. Los virus, caballos de Troya, gusanos y malware son términos utilizados para describir colectivamente software malicioso (o tal vez benigno, pero no deseado) en una encarnación u otra. La naturaleza del malware es lo que diferencia a un virus de un gusano. Pero cuando decimos “antivirus,” estamos hablando de detectar la presencia de cualquiera de estos tipos de software no deseado, no solo los virus.
Un virus es un software malicioso que infecta a otras aplicaciones. Cuando la aplicación se inicia por el usuario final, el virus se activa y se infecta tanto diferentes archivos y programas como a aplicaciones adicionales y entonces realiza su mala acción, como la eliminación de archivos al azar en el disco o hacer presentar ventanas emergentes de los anuncios de Viagra en su navegador WEB. A diferencia de los virus, los gusanos son autónomos y se propagan por sí mismos; nadie tiene que iniciar una aplicación para activarlo una vez que un gusano está suelto. Un caballo de Troya es un software malicioso que se disfraza como una aplicación legítima; abriendo normalmente puertas traseras (Backdoors) de acceso a su infraestructura y que no se propaga a sí mismo.
Por supuesto, los piratas informáticos no están preocupados por estas diferentes clasificaciones, para ellos es común usar un Caballo de Troya (Trojan Horse) para llevar una carga útil, que podría ser un gusano o un virus, una puerta trasera o crear una variante de un gusano que también infecta aplicaciones como un virus. El término “amenaza combinada” se utiliza a menudo para describir estos híbridos de software malicioso.
La razón por la que es importante entender estas diferencias es que el antivirus, sobre todo en el perímetro, puede tener múltiples funciones para capturar diferentes tipos de malware en distintos puntos de su ciclo de vida. Además, es posible que aparezca el término “antivirus” que se utiliza en diferentes contextos, siendo vital para una Organización seleccionar adecuadamente las diferentes etapas en las que un Antivirus interviene dentro de cada uno de los diferentes elementos de una infraestructura Informática.
En su forma más simple, el antivirus busca el malware en tránsito dentro del tráfico de la red o el flujo interno de datos en un dispositivo. La técnica de autopropagación de malware más popular es a través del correo electrónico, y por lo tanto el escaneo de correo electrónico para los archivos adjuntos maliciosos es una parte fundamental de una estrategia antivirus. Sin embargo, el malware también puede ser dejado en los sitios web y también debe buscarse en los flujos de datos Web cualquier tipo de malware también.
El problema con estas dos técnicas es que no están garantizadas para ser capaces de reconstruir la carga del virus y determinar una amenaza a partir de los paquetes que ven. El e-mail y las sesiones de Web encriptadas (HTTPS) son obviamente un problema para estas herramientas, pero el tráfico Web en puertos no estándar o virus en ciertas aplicaciones Web pueden pasar como no dañinos en un escaneo del antivirus. Por esta razón, cualquier estrategia de antivirus en el perímetro solo se puede complementar con antivirus en el escritorio en adición al contenido en Firewalls, Routers, Web Servers, Servidores de Aplicaciones, etc.
Una segunda técnica de antivirus perimetral implica la búsqueda de firmas de virus sobre la mala conducta. Por ejemplo, el famoso gusano “Code Red” propagó a los servidores web IIS mediante el envío de una URL concreta. Los antivirus basados en seguridad perimetral pueden descubrir la presencia de una máquina infectada por Code Red por su comportamiento. Esta técnica solo es útil para la identificación de programas maliciosos después de una infección que ya se ha producido. Sin embargo, a sabiendas de que una persona está infectada es solo ligeramente menos útil que mantener una nueva infección en el primer lugar. También hay herramientas de defensa frente a intrusiones que vanen busca de signos de propagación de malware y utilizan esa información para ayudar a aislar los sistemas infectados. Estos son conocidos genéricamente como sistemas NBAD () “comportamiento de la red en la detección de anomalías”.
Como conclusión, para mantener una Organización bien protegida ante las diferentes formas de virus existentes, los riesgos de infección y propagación es importante contar con diferentes niveles de software Antivirus distribuidos de manera inteligente dentro de las diferentes capas de la infraestructura informática.
Desgraciadamente, por la complejidad actual de los ataques y los ambientes híbridos necesarios para la correcta operación de las organizaciones, no podemos tener una sola solución, ni solo una capa de nuestro esquema de seguridad cibernética protegida.
Debemos de considerar dentro de la planeación de la protección, incluir elementos Antivirus tanto en los dispositivos de seguridad perimetral, servidores, estaciones de trabajo fijas y móviles, servidores web, páginas web, etc.
Para lograr un nivel alto de protección en la seguridad perimetral de una organización es necesario reforzar todos los frentes posibles:
- Protección AntiMalware en Servidores de Correo Electrónico, esto se puede realizar con Soluciones como Panda EndPoint Security, Kaspersky, FortiMail de Fortinet.
- Protección en el Perímetro, se puede realizar con Palo Alto Networks y Fortigate de Fortinet.
- Protección en los Servidores y equipos de usuario final, lo podemos realizar con Panda EndPoint Security y Kaspersky.
- Monitoreo y detección de Malware en la red Interna, lo podemos realizar con Damballa y Palo Alto Networks.
