Las agencias federales son grandes usuarios de programas antivirus, y a pesar de su capacidad técnica, los profesionales de la seguridad del gobierno todavía son a veces víctimas de malware. Desafortunadamente, instalar un programa antivirus no nos protege hasta el extremo hoy en día.
En un estudio de Lastline Labs de 2014 sobre la eficacia de los escáneres antivirus, muchos de los malware introducidos últimamente no fueron detectados por cerca de la mitad de fabricantes de antivirus. Después de dos meses, una tercera parte de los antivirus todavía fallaron al detectar muchas de las muestras de malware. El malware calificado como “menos probable de ser detectado” no fueron detectados por la mayoría de antivirus durante meses, o nunca fueron detectados.
Para aquellas muestras de malware que inicialmente eludieron todos los análisis, el tiempo medio para que al menos una de las muestras fueran detectadas fue de dos días. Ninguno de los antivirus descubrieron cada nuevo ejemplar de malware.
Algunas de las desventajas significativas de los software antivirus son:
- Los programas antivirus pueden afectar a los puntos finales.
- Una decisión incorrecta puede llevar a un fallo de seguridad cuando los usuarios inexpertos no entienden las instrucciones.
- Los falsos positivos pueden ser tan destructivos como los falsos negativos. Si el programa antivirus usa detección por ensayo y error, el éxito depende de que se consiga un correcto balance entre los falsos positivos y los falsos negativos.
- Los programas antivirus normalmente se ejecutan al nivel comprobado más alto de kernel en el sistema operativo, creando una vía potencial para ataques.
No importa cuan útiles pueden ser los programas antivirus, sus desventajas están llevando a los profesionales de la seguridad de la información a replantearse la protección antivirus y sus alternativas.
Hace años, la Milnsbridge Corporation patrocinó estudios de caso centrados en un nuevo enfoque, llamado CloudAV, que desplazó la funcionalidad de los antivirus a la nube en la red y lo sacó de los ordenadores personales. El estudio se centró en la virtualización de la funcionalidad de detección con múltiples motores antivirus, aumentando de forma significativa la protección general.
Los programas antivirus tradicionales que residen en la mayoría de PCs comprueban documentos y programas a los que se accede. Debido a las limitaciones de rendimiento y las incompatibilidades de programas, normalmente solo un antivirus es usado al mismo tiempo. CloudAV, sin embargo, puede soportar un gran número de detectores de sofware malicioso, que actúan en paralelo para analizar cada archivo entrante individual. Cada detector opera in su propia máquina virtual, por lo que las incompatibilidades técnicas y los problemas de seguridad están resueltos.
Algunas de las desventajas se deben a la velocidad en manejar el volumen de datos. Mientras CloudAV almacena los datos previamente evaluados, el tiempo de proceso es un problema. También está la preocupación del nivel del proveedor de la nube en la seguridad dentro y fuera de sí. En cualquier caso, varios proveedores de CloudAV están disponibles actualmente en el mercado.
Muchos de los sistemas operativos existentes vienen con un software antivirus de serie. Otros pueden utilizar listas blancas de aplicaciones (AWL) (en oposición a las listas negras) como una parte integral del OS.
La mayoría de la gente en el campo de la tecnología de la información está familiarizado con las listas negras debido a que es la tecnología usada en casi todos los productos antivirus existentes. Simplemente comprueban cada nuevo archivo en el sistema para ver si contiene malware. Si se detecta un malware, se bloquea la posibilidad de que se ejecute y cause cualquier daño.
AWL es justo lo contrario, ya que denegará la ejecución de cualquier aplicación que no haya sido previa y explícitamente identificada como «no maliciosa». AWL ofrece más seguridad, mayormente porque deniega códigos maliciosos que nunca habían sido vistos antes (problemas de zero-day) y códigos que las listas negras no reconocerían inmediatamente. Los profesionales de la seguridad deben tener en cuenta que AWL conlleva un considerable gasto, no sólo con la compra inicial, sino también con las horas de trabajo internas requeridas para hacer cambios y probar nuevos parches y actualizaciones en los servidores. Además, AWL no permitirá a los manager de tecnologías de la información usar sus propios sistemas del mismo modo en que solían, ya que bloquea los códigos no maliciosos, como nuevas aplicaciones. Por lo tanto, la mayoría de los usuarios han cambiado seguridad (lista blanca) por facilidad de uso (lista negra).
Otra razón por la que los profesionales de la seguridad de la información están echando un segundo vistazo a la protección antivirus es el «coste vs. beneficios» para sus respectivas organizaciones. La llegada de los seguros de malware ha compensado el coste ocasionado por daños provocados por virus; sin embargo, también hay pérdidas de reputación e incluso posibles sanciones regulatorias. Esto, unido a la premisa de que ninguna tecnología antivirus garantiza el cien por cien de seguridad, hace que los profesionales de la seguridad de los gobiernos se encuentren en un dilema a la hora de afrontar la tarea de proveer un asesoramiento rentable a los altos ejecutivos.
Así pues, ¿qué debemos hacer? Mientras las desventajas de usar un antivirus son válidos, muchos están de acuerdo en que esa tecnología debería ser usada todavía como parte de un enfoque de «seguridad en profundidad». Mantener un arsenal de sofisticadas herramientas de seguridad que protejan la red de la empresa tanto del exterior como del interior es el enfoque preferido y equilibrado sobre seguridad. Igualmente importante es que la tecnología antivirus sea complementada con una buena educación sobre seguridad y un programa de concienciación, junto con otras políticas y procedimientos de información de seguridad.
Leer más:
Mejor Antivirus
Mejor antivirus gratis