Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo evaluar, comparar e implementar antivirus para la empresa

[24/08/2009] El software antivurs nació casi al mismo tiempo que los virus. Pero gracias a la siempre creciente variedad de amenazas que se ciernen sobre el entorno PC, el de los antivirus es un mercado que cambia con suma rapidez al ritmo de dos tendencias principales:

1. Más allá de la protección basada en firma. El malware crece y se transforma constantemente, haciendo que resulte imposible para los proveedores identificar cada amenaza y desarrollar protección contra ella a través de una firma. Baste con mencionar que a inicios de este año, Symantec anunció que había detectado cerca de 1.7 millones de amenazas de códigos maliciosos desde que empezó a rastrearlos en el 2007, lo cual representa un crecimiento de 265% en firmas código malicioso.
Además de las firmas, los proveedores usan actualmente técnicas adicionales, tales como el control de aplicación (o whitelisting), que solo permite que corra el código aprobado; y sistemas host de protección contra intrusos (HIPS por sus siglas en inglés), también llamados heurísticos, que monitorean el comportamiento del código. Si éste se desvía del estándar "normal", el HIPS lo clasifica como sospechoso o malicioso e impide que siga corriendo. Los HIPS funcionan en modos de pre-ejecución, ejecución, o ambos.
2. Funcionalidad expandida. Muchos de los principales proveedores de software antivirus han expandido sus herramientas stand-alone, en suites que no solo protegen contra el malware sino también contra hackers y pérdida de datos.
"La tendencia general es que en el endpoint , el software se vuelve más voluminoso y más funcional", explica John Oltsik, analista del Enterprise Strategy Group (ESG). Específicamente, añade, el software antivirus, antispyware y firewall, se está fusionando con operaciones endpoint, prevención de pérdida de datos y encriptación total del disco. Otra capacidad que se suele ofrecer es la de control de acceso a red, apunta Natalie Lambert, analista de Forrester Research. Estas herramientas controlan el acceso de clientes a la red basándose en su adecuación con las políticas de seguridad.
En ciertos casos, los proveedores también están combinando seguridad con funcionalidad operativa, es decir administración de parches y configuración, suministro de endpoint y backup. "Los proveedores más grandes venderán solo seguridad, pero están convenciendo a los clientes de que tienen que administrar estos aspectos como un todo," precisa Oltsik. El proceso de adaptación será lento, adelanta. "En este momento, tanto los productos como la tecnología tienen dos años de retraso respecto a las organizaciones de TI", señala.
Antivirus corporativos: OK y KO 
OK - Dar preferencia a la suite. Según Lambert, la principal diferencia entre los AV radica en lo que los proveedores colocan en las suites de seguridad de sus clientes. Los usuarios deben lidiar con una serie de problemas -desde código malicioso hasta pérdida de información y máquinas inseguras que se conectan a la red corporativa- y quieren resolver todo de una sola vez, sin tener que recurrir a productos diferentes. "Cada producto que se instala en la máquina le quita velocidad, significa otra consola para administrar, otra licencia y otra factura a pagar," señala Lambert. "Por qué habríamos de repetir el proceso varias veces, cuando un solo proveedor puede ofrecernos un producto menos caro con más capacidades?"
El director de seguridad de información de una gran empresa de comida envasada, está de acuerdo con este punto: dice que su compañía ha logrado reducir la cantidad de productos de seguridad gracias a la paulatina incorporación de atributos y capacidades en Trend Micro, entre ellas: administración de firewall cliente y eliminación de spyware. Las cinco o seis consolas que usaba su organización para administrar los productos de seguridad se han reducido a dos.
Michael Bell, ingeniero senior de red de la empresa de marketing CMS Direct, con sede en Minneapolis, aprecia el hecho de que Sophos incluya varias capas de seguridad en un solo paquete; en realidad, le gustaría integrarle a Sophos un firewall de cliente, algo que ya se ofrece como módulo separado. 
KO - aceptar una performance insatisfactoria. El software antivirus es famoso por la cantidad de recursos que consume, pero algunos proveedores le dan un valor agregado al hacer énfasis en la performance. Por ejemplo, según Bell, Sophos usa técnicas como la indexación para realizar escaneos menos intensivos en términos de recursos.
Robert Amos, gerente de sistemas de infraestructura de NuStar Energy, también considera que Microsoft Forefront ofrece una mejor performance que el sistema que usaba anteriormente. Muchos de los antivirus que ha utilizado presentaban serios problemas de performance, recuerda, pero Forefront ejecuta un scan cada seis horas, y Amos asegura que no siempre se da cuenta cuando eso ocurre.
OK - Infórmese sobre el Whitelisting. El whitelisting, o control de aplicaciones, es una capacidad emergente que, según Lambert, es superior a las HIPS, porque en lugar de monitorear la actividad del malware le impide correr en los sistemas. Gracias al whitelisting, los administradores mantienen una lista de las aplicaciones aprobadas para sus respectivos entornos, impidiendo así que se ejecute cualquier software no autorizado.
Sin embargo, en opinión de Oltsik, el problema del whitelisting es que en mundo Web 2.0, la gente baja constantemente software nuevo, ya sea para uso personal o para cuestiones de productividad:
Esa capacidad podría trabajar bien un una función fija, como de ingreso de órdenes o call center, pero si tenemos empleados que están en constante comunicación con socios externos, o personal de márketing que trabaja en alguna investigación, recibiremos todo el tiempo llamadas de gente que trata de hacer descargas y no puede". "La pregunta es qué tan estrictos estamos dispuestos a ser en este tema", agrega.
OK - Infórmese sobre otras herramientas de seguridad cliente emergentes. Lambert afirma que, además del whitelisting, hay otras cuatro herramientas emergentes que deben ser tomadas en cuenta para una protección endpoint, pues permiten lidiar con amenazas más complejas. Se trata de: control de dispositivo, que permite a los administradores crear políticas en torno a dispositivos a los que la PC puede o no puede acceder; codificación de disco completo, que encripta el disco duro cuando la máquina está apagada; encriptación de archivo, que protege los archivos individuales cuando los usuarios los graban en una ubicación determinada; y prevención de fugas de datos, que monitorea y refuerza las políticas de uso de información. Se calcula que menos del 30% de organizaciones ha invertido en estas herramientas, indica, pero los administradores de seguridad deberían comenzar a experimentar con ellas.
KO - Renunciar a las HIPS. Aunque las soluciones HIPS todavía no están maduras y tienen una alta tasa de falsos positivos, aún es necesario usarlas junto con las soluciones antimalware, advierte Lambert. En su opinión, si bien el control de aplicaciones podría llegar a reemplazar a las HIPS, estas seguirán siendo útiles para proteger las máquinas de problemas como sobrecargas de buffer.
En CMS Direct, Bell agradece que Sophos ofrezca capacidades HIPS como parte de su mecanismo de escaneo: lo usa para bloquear descargas de aplicaciones potencialmente indeseables, como el adware. En vez de bloquear automáticamente las aplicaciones que actúan sospechosamente, señala, el usuario puede elegir entre recibir una alerta y, luego, activar la capacidad de administración de políticas centralizadas; autorizar el uso de aplicaciones marcadas o bloquearlas.
OK - Tener en cuenta los servicios de reputación. Con miras a desplazar otras herramientas de su entorno gracias a las capacidades de Trend Micro, la compañía de comida envasada está evaluando los servicios de reputación de su proveedor para determinar si puede reemplazar su actual herramienta de filtro URL. Los servicios de reputación funcionan verificando cada dirección web que los usuarios tratan de visitar y bloqueando el acceso a aquellas que se encuentran en una lista de sitios maliciosos conocidos.
OK - Valorar la facilidad de uso. Como a nadie le sobran recursos extra para invertirlos en seguridad, más vale prestarle atención a la facilidad de uso. Es por eso que los proveedores se preocupan cada vez más por simplificar los reportes, la administración y la puesta en marcha.
Bell se declara gratamente impresionado con el tablero de administración central y la claridad de su producto, que le permite ver rápidamente cuando los clientes se salen de los márgenes autorizados. Bell asegura que nunca usó el tablero de su software anterior porque no era fácil de comprender, y a veces los clientes informaban que sus actualizaciones tenían 30 días de atraso. "En cinco minutos se puede ver si todos están actualizados", señala.
De manera similar, el director del fabricante de comida señala que los módulos de reporte han facilitado la tarea de emitir reportes a los gerentes senior de la protección de red. Previamente, esta tarea requería la recuperación manual de varios reportes. Ahora, el reporte es automático y se postea en la intranet.
OK - Considerar varios mecanismos de escaneo. Ningún mecanismo de escaneo es perfecto, y es por eso que algunos proveedores (como, Microsoft y Symantec) están comenzando a usar múltiples mecanismos de escaneo para incrementar las posibilidades de detectar el malware. "Cada mecanismo tiene puntos ciegos diferentes", indica Dan Blum, analista de Burton Group.
Con los múltiples mecanismos de escaneo de Forefront, da la impresión de haber escogido dos compañías diferentes en base a sus capacidades de escaneo y tener ambas en una misma máquina, declara Amos. "Si alguno es un poco menos eficiente que otra en la detección del malware, uno tiene doble protección", agrega. Amos planea implantar cuatro agentes diferentes para las tareas de escaneo.
OK - Considere el software como un servicio. Tal como en otras áreas de servicio, muchos proveedores ya brindan ciertas capacidades antivirus como un servicio, entre estas: antimalware, servicios de reputación, actualización de firma y reportes. Esta opción puede ser más atractiva en términos de costo, señala Blum, y si bien las empresas más grandes pueden mantener la mayoría de capacidades a nivel interno, los usuarios tienen la posibilidad de adoptar un modelo híbrido en el cual utilicen sistemas de instalación local para la mano de obra centralizada, y SaaS (software as a service, o software como servicio) para los usuarios de oficinas remotas.
En ciertos casos, los proveedores usan un software híbrido y un modelo de servicios para ofrecer capacidades adicionales o mejorar las existentes, por ejemplo: mecanismos de escaneo múltiple o una base de datos de reputación. "Es una manera de ofrecer algo más grande que lo que normalmente se puede encontrar en un solo CD," concluye Blum.
OK - Tener una estrategia de ataque día cero. Una de las principales debilidades de los sistemas actuales es la protección contra los ataques de día cero. "La tasa de fracaso es muy alta, hasta de 50%, cuando un paquete típico se enfrenta a un nuevo tipo de malware por primera vez", explica Blum.
La compañía de comida envasada compensa este problema mediante una estrategia de desktop bajo candado. Trabajando con la premisa de que la mayoría de malware trata de escribir en el registro, el folder de sistema o la raíz del drive; la empresa ha configurado sus desktops para prohibir esa conducta.
KO - Olvidar la capacidad de eliminar el malware. Una cosa es detectar un virus y otra muy distinta es limpiar todos los daños. Una de las principales razones por las que Bell escogió Sophos fue que mientras usaba otros sistemas, como Trend Micro, McAfee y Symantec, se percató de que Sophos ofrecía herramientas de eliminación antes que los otros proveedores. Finalmente, después de haber sido infectado dos veces durante los últimos dos años por un virus que hizo que las computadoras de su compañía enviaran spam, recurrió a las herramientas de Sophos para eliminarlo. "Esa protección se convirtió en un gran factor de decisión para que nuestra compañía cambiara de sistema," indica. Su sistema no reconoció el virus, agrega.
Por su parte, Amos afirma que las capacidades de eliminación y limpieza de Forefront son superiores que las de su sistema anterior. "Nos notificaba sobre el virus pero no era capaz de limpiarlo, porque lo que se había infectado era un archivo abierto o un archivo de sistema en el que no podía operar," explica. El grupo de desktops tenía que cargar la máquina en modo seguro y eliminar manualmente las entradas en el registro o borrar archivos. Con Forefront, esta tarea se vuelve innecesaria.
OK - Analizar cuidadosamente los costos. Con las siempre crecientes necesidades de seguridad en el desktop, los usuarios están en pos de maneras de reducir costos. Según Lambert, la mejor herramienta de seguridad cliente, como un antimalware, cuesta en promedio 40 dólares por PC (y hasta 80 dólares por otras herramientas como la de codificación full-disk).
Una manera de reducir costos es obtener tanta cobertura como sea posible con un solo sistema. La compañía de comida envasada, por ejemplo, ha recortado sus costos total de propiedad reduciendo la cantidad de consolas de seguridad que debe administrar.
Amos disfruta de hasta 35 mil dólares de ahorro al año con Forefront, principalmente debido a un cambio en la política de licencias de Microsoft. Su compañía había estado usando Forefront para proteger SharePoint y Exchange, pero él ni siquiera tomó en cuenta este software cuando empezó a buscar nuevo software antivirus para el entorno PC. Esto se debía principalmente a que el entorno de PC y servidor eran administrados a través de infraestructuras separadas. Su principal objetivo al buscar un antivirus era reducir el costo por máquina. Sin embargo, cualquier nuevo producto hubiera requerido un rediseño completo de la manera en que la infraestructura disponible reunía firmas y hacía reportes, principalmente porque la compañía tiene un entorno muy distribuido: 100 posiciones fuera de la sede corporativa.
Resulta que durante una conversación se enteró de que, como parte de su acuerdo de licencia, la compañía podía utilizar Forefront para sus estaciones de trabajo, sin cargos extra. Ahora, Amos usa una herramienta estandarizada para proteger, monitorear y reportar a través de todo el sistema. "Tenemos un equipo pequeño, donde una sola persona hace varias tareas, así que tener que familiarizarse con una sola aplicación nos ayuda a utilizar mejor los recursos", señala. Forefront también está integrado con Active Directory, que permite una fácil distribución hacia nuevas máquinas, acota.
Criterios de selección de Antivirus corporativos de Burton Group
Según Dan Blum, analista del Burton Group, las consideraciones para selecciones AV corporativos son:
- Precio. Pregunte por la tarifa de suscripción anual y cargos adicionales por antispyware, limpieza, capacidades de protección de sistema contra intrusión host, etc. ¿El precio de la suite es flexible si no se usan todos los módulos?
- Mecanismo de escaneo. ¿Tiene diferentes agentes para antivirus, antispyware, control de aplicaciones, etc? ¿De ser así, estos afectan la administración o el rendimiento?
- Funcionalidad de bloqueo de conducta. ¿El monitor del sistema emite llamadas para alertar sobre los intentos de aprovechar las vulnerabilidades?
- Firewall del sistema. ¿Provee listas negras y listas blancas para direcciones y dominios?
- Control de aplicaciones (whitelisting). ¿Ofrece listas blancas (whitelists) y listas negras actualizadas y personalizables? ¿Algún mecanismo de aprendizaje?
- Limpieza/solución. ¿Provee limpieza de virus, spyware y rootkit?
- Actualización cliente. ¿Qué tan extensas y frecuentes son las firmas y otras actualizaciones? La respuesta puede ir desde una al día hasta varias actualizaciones diarias.
Mary Brandel, CSO (US)