top of page

¿Son realmente seguros los antivirus tradicionales?

CIO

El Instituto AV-TEST se dio la tarea de probar algunos de los antivirus para clientes de Windows 10 más populares en tres criterios principales: protección, rendimiento y usabilidad. Los productos que obtuvieron el mejor puntaje en las tres áreas fueron Kaspersky Lab Endpoint Security 10.3, Symantec Endpoint Protection 14.0 y Endpoint Protection Cloud 22.11, y Trend Micro Office Scan 12.

El mejor software antivirus no es suficiente

El antivirus tradicional basado en firmas no es efectivo para detener las nuevas amenazas como los ataques de día cero y el ransomware, pero todavía tiene su lugar en las empresas como parte de una estrategia de protección de seguridad de punto final multicapa.

Los mejores productos antivirus actúan como la primera capa de defensa, deteniendo la gran mayoría de los ataques de malware y dejando que el software de protección de punto final más amplio se ocupe de una carga menor. Según una encuesta realizada a los asistentes de Black Hat de este año, el 73% de los entrevistados piensa que los antivirus tradicionales son irrelevantes u obsoletos.

“La percepción de las capacidades de bloqueo o protección del antivirus ciertamente ha disminuido”, explicó Mike Spanbauer, vicepresidente de estrategia e investigación de NSS Labs, Inc.

Los antivirus son especialmente malos en interceptar el ransomware, una de las mayores amenazas que enfrentan las empresas en la actualidad. En una encuesta realizada en marzo de 2017 a 500 organizaciones, el proveedor de productos anti-phishing, KnowBe4 descubrió que solo el 52% de las empresas podían frustrar un ataque de ransomware simulado, mientras que el ransomware pudo superar los antivirus del 48% restante.

Una nueva amenaza denominada Process Doppelganging (Duplicación de procesos) aprovecha la funcionalidad de las transacciones en el sistema de archivos NTFS de Windows. Permite que el malware realice operaciones en archivos que los hacen invisibles para el software de seguridad.

“Desde una perspectiva técnica, [nuestra] investigación muestra que para los buenos motores de escaneo de archivos es difícil procesar los archivos de forma correcta y específica, y el manejo correcto de las transacciones es aún más difícil”, expuso Udi Yavo, investigador de enSilo, que descubrió el Process Doppelganging.

“Sin embargo, creo que la conclusión principal de esta investigación es que tener una sola línea de defensa no es suficiente, y a veces incluso pequeños errores pueden conducir a crear huecos, incluso en productos maduros. Las empresas deberían adoptar soluciones que puedan bloquear los ataques sin archivos y que sean eficaces tanto en los escenarios anteriores como posteriores a su ejecución”, agregó.

El problema se agrava si las nuevas amenazas están diseñadas para propagarse rápidamente en una empresa y causar el mayor daño posible, y vuelven a complicarse si las empresas retrasan la implementación de las actualizaciones de sus antivirus.

Además, la cantidad de malware está creciendo exponencialmente, según AV-TEST, por lo que incluso si un producto en particular tiene una alta tasa de detección, cada vez se le escapará más malware en términos absolutos. Además, si los atacantes notan que un tipo particular de malware está llegando, pueden duplicar sus oportunidades.

Los antivirus tradicionales

El antivirus tradicional es un buen complemento de las tecnologías más nuevas, como las que incluyen análisis de comportamiento, espacio aislado y aprendizaje automático. Las herramientas más avanzadas pueden requerir más potencia de procesamiento, lo que puede ralentizar las computadoras. Si el producto ejecuta pruebas de comportamiento o de otras amenazas potenciales antes de permitir el acceso de los usuarios, se puede afectar la productividad. Si el producto permite pasar las amenazas y luego las prueba por separado, el malware tiene una ventana de oportunidad para acceder a los sistemas de la empresa. Finalmente, cuando se detecta una nueva amenaza, se requiere trabajo adicional para mitigar la amenaza y generar firmas para detener la amenaza en el futuro.

Sin esa evaluación inicial, las compañías tendrían que gastar mucho más tiempo, esfuerzo y dinero en manejar todas las amenazas que surgen. Si se puede atrapar una amenaza y detenerla en la puerta, es la opción más barata. El antivirus basado en firmas ahorra esfuerzo humano y reduce los falsos positivos y los retrasos.

Las herramientas tradicionales de próxima generación convergen

A medida que la industria madura, las empresas podrán obtener el conjunto completo de herramientas de protección contra malware de un único proveedor. Los proveedores tradicionales de antivirus están agregando capacidades de próxima generación, mientras que los proveedores de próxima generación incluyen protecciones basadas en firmas en sus suites.

Según un estudio publicado en 2017 por el Instituto SANS, aproximadamente el 95% de los encuestados espera que los antivirus incluyan protección de punto final en su solución de próxima generación.

Por el otro lado, muchos están comprando o construyendo herramientas de próxima generación que pueden ayudar a atrapar los ataques que atraviesan las defensas basadas en firmas.

 “Los antivirus se extinguirán en los próximos años a menos que puedan evolucionar”, afirma Luis Corrons, director técnico de PandaLabs en Panda Security, un proveedor tradicional de antivirus.

Algunas empresas aún dependen del antivirus tradicional

Las tasas de infección por Ransomware muestran que muchas compañías aún carecen de protección adecuada para sus puntos finales. Según una encuesta de IBM, casi la mitad de todas las empresas fueron víctimas del ransomware en 2016, donde el 70% de ellas decidieron pagar el rescate.

Por su parte, una encuesta realizada en 2017 por Ponemon Institute mostró que el 51% de las pequeñas y medianas empresas han sufrido un ataque de ransomware, sin embargo el 57% dijeron ser “demasiado pequeñas” para ser objetivo del ransomware.

 “Esto es un serio error, hay tantas buenas opciones disponibles en el mercado hoy en día y precios muy competitivos, que ninguna compañía debería estar usando antivirus basados ​​en firmas exclusivamente. No se puede hacer un argumento de precio o protección que haga del antivirus tradicional la primera opción o la recomendación preferida para un entorno específico”, concluyó Spanbauer de NSS Labs.

Comentarios


bottom of page