Fundamentos de la protección antimalware en la empresa
Ed Tittel explica cómo el antimalware protege los dispositivos de usuario final y las redes a las que se conectan contra los códigos maliciosos.
La protección antimalware de punto final es un tipo de aplicación que trabaja activamente para evitar que el malware infecte una computadora. En muchos de estos productos, la tecnología de seguridad se extiende a los escritorios virtuales y los dispositivos móviles, así como a las estaciones de trabajo y computadoras portátiles.
Los tipos más comunes de malware que afectan a las computadoras y todo tipo de dispositivos móviles son los virus, troyanos, gusanos, spyware, rootkits y similares.
El término "punto final" con "antimalware" por lo general implica que un producto está diseñado para su uso dentro de una organización (en comparación con el uso individual de los consumidores de una sola vez o por hogar), lo que podría significar una pequeña empresa, sucursal, mediana empresa, agencia gubernamental o corporación.
Con cientos de miles de diferentes tipos de malware sueltos, y con los ataques cibernéticos en aumento, un tema hipercrítico para las organizaciones de cualquier tamaño es asegurar una fuerte protección contra el malware. Además, las organizaciones que caen bajo el paraguas regulatorio de leyes como la Ley Gramm-Leach-Bliley y la Ley de Portabilidad y Responsabilidad del Seguro de Salud, o se adhieren a las normas PCI DSS para aceptar tarjetas de pago, deben ejecutar software antimalware como parte de sus requisitos de cumplimiento.
La belleza de las suites de software antimalware de punto final
La protección de punto final debe ser capaz de prevenir los ataques de malware, proteger a los usuarios (mientras intercambian mensajes de correo electrónico, navegan por la web o conectan dispositivos) y detener la proliferación de cualquier ataque que logre tener éxito. Para cumplir esos objetivos, las suites antimalware de punto final actuales proporcionan protección por capas en forma de funcionalidad antivirus robusta –con la capacidad de proteger contra amenazas nuevas o desconocidas, conocido como amenazas de día cero– antispyware, protección de la bandeja de entrada del correo electrónico, firewall basado en host, prevención de pérdida de datos, advertencias al visitar sitios web que podrían representar riesgos para la seguridad y mucho más.
La belleza de tales suites antimalware es que un solo paquete con múltiples funcionalidades presenta una defensa cohesiva entre el malware externo y los sistemas y datos internos. Este tipo de defensa en profundidad utiliza diferentes métodos para detener el malware, de modo que no es probable que un intento de ataque o intrusión tenga éxito, simplemente tomando su camino a través de una sola capa de protección. Además, una suite es más fácil de administrar para TI que una colección de diferentes aplicaciones de diferentes proveedores.
Piense en una computadora o dispositivo con antimalware de punto final instalado como un castillo fortificado con muros gruesos, un foso, puertas de acero y puentes levadizos. Guardias –dentro y fuera– vigilando constantemente por actividad sospechosa, listos para bloquear o matar a los "dragones".
Rasgos característicos de la protección antimalware de punto final
Aquí hay algunas características típicas que se encuentran en este tipo de suites de software:
-
Antivirus: Los creadores de malware hacen todo lo posible para crear malware que pueda evitar la detección y resistir la eliminación. Los productos antimalware actuales suelen combinar la exploración basada en firmas con tecnología heurística e inteligencia de amenazas global basada en la nube para reconocer y erradicar malware en los sistemas y prevenir infecciones en primer lugar. (Heurística es la práctica de identificar malware basado en la experiencia previa, las observaciones del comportamiento del malware y los puntos típicos de ataque). Esta combinación de tecnologías antivirus es también eficaz contra las amenazas de día cero, que históricamente han planteado importantes desafíos a los equipos de seguridad de TI.
-
Antispyware: Una infección de spyware malicioso es probablemente más fácil de obtener que un resfriado común,y es una gran amenaza para la protección de datos sensibles o confidenciales. El software antispyware se ejecuta constantemente en segundo plano para bloquear la instalación de spyware, independientemente de la fuente.
-
Prevención de pérdida de datos (DLP): Las tecnologías implicadas en DLP tienen por objeto proteger los datos que dejan la seguridad de la red interna de la empresa, ya sea a través de mensajes de correo electrónico, unidades USB, en una computadora portátil o dispositivo móvil, o por ser subido a la nube.
-
Firewall de escritorio: A pesar de que una red siempre debe estar protegida por un firewall, tener un segundo servidor firewall que se ejecuta en el punto final es otra capa de defensa contra el malware que encuentra cualquier grieta en la armadura.
-
Control de dispositivos: El malware puede infectar una computadoras que no está conectado a una red o a internet. Conectar un dispositivo USB a una computadora o instalar software desde un CD o DVD siempre corre el riesgo de transferir una aplicación infectada a la máquina de destino. El control de dispositivos permite a TI restringir o bloquear el acceso del usuario al establecer y hacer cumplir las normas de acceso al dispositivo.
-
Protección del correo electrónico: Este componente de suites antimalware intenta filtrar los correos electrónicos de phishing, spam y otros mensajes que llevan a contenido malicioso o sospechoso.
-
Protección para navegación web: También se conoce como tecnología de reputación, la mayoría de suites antimalware consultan algún tipo de base de datos de valoraciones que indica si un sitio web es seguro para navegar o no.Con este tipo de protección instalada, los sitios web que se indican como no seguros no se abrirán. Los usuarios recibirán mensajes de advertencia en su lugar.
Además de las características anteriores, algunas de las suites de antimalware de punto final despliegan detección de intrusiones y funcionalidad de prevención, control de aplicaciones y control de acceso a la red. Algunos paquetes también realizan evaluación y gestión de parches, en los cuales que las amenazas del sistema son evaluadas y los parches más críticos son aplicados primero, así como evaluaciones de vulnerabilidad e incluso cifrado de disco completo para proteger los datos almacenados.
Despliegue y gestión de productos antimalware de punto final
Por lo general, los productos antimalware de punto final requieren un administrador para instalar una consola de administración en el servidor para ayudar a gestionar clientes, licencias de productos y registros.
Este paso también crea una base de datos que contiene la configuración, privilegios, acontecimientos y políticas de seguridad. Una organización que es muy grande o tiene múltiples sitios puede necesitar instalar servidores de administración adicionales por razones de rendimiento, así como para replicar datos. El siguiente paso es instalar el software (a veces referido como un "agente") en las computadoras y dispositivos cliente, ya sea directamente o a través de la red.
Independientemente del enfoque adoptado, los clientes deben ser configurados para las actualizaciones de software de cliente (de manera automática o impulsadas desde el servidor) y las actualizaciones de definiciones de virus, como mínimo.
En general, la protección antimalware de punto final es un elemento importante y necesario en la infraestructura de seguridad de cualquier organización –aunque no debería ser el único elemento que implementen las organizaciones. Antes de zambullirse, los administradores de TI y los especialistas en seguridad deberían evaluar sus entornos para determinar lo que necesitan proteger específicamente, y deben mirar hacia adelante tres a cinco años a cómo se espera que su entorno cambie.
También es una buena idea investigar varios paquetes antimalware de punto final de alta calificación para ver cómo se comparan sus características, determinar qué paquetes son más adecuados al tamaño y las necesidades de la organización, y mantener un ojo en los costos para obtener el mejor producto por el presupuesto.