Mitos y leyendas de la seguridad basada en Web

Artículo original de Wei Yan (Senior Threat Researcher, Trend Micro)

En la pasada conferencia de Virus Bulletin celebrada en 2009, Andreas Marx y Maik Morgenstern presentaron su artículo “Why in-the-cloud scanning is not a solution” (Por qué la exploración basada en Web no es una solución), donde ofrecían una lista de las limitaciones de la seguridad basada en Web. Aunque en ediciones anteriores ya se haya debatido sobre este tema, lo cierto es que Marx y Morgenstern lo han vuelto a abordar de forma inteligente. Sin embargo, me gustaría rebatir sus limitaciones con algunas ideas:

Problema 1: las implementaciones no son proactivas sino reactivas, a pesar de la mejora de los tiempos de respuesta ante las nuevas amenazas.

Realidad: sustituir las firmas hash por firmas estáticas inteligentes puede acabar con la ofuscación de código y detectar el malware polimórfico. Además, esto consume menos recursos que la detección del comportamiento basada en la emulación. El proyecto de patrones inteligentes de Trend Micro es un sistema automático de generación de patrones que demuestra que un patrón estático inteligente puede detectar proactivamente cientos de amenazas de malware pertenecientes a las mismas familias en milisegundos, sin activar falsos positivos en más de 20 millones de muestras inofensivas.

Problema 2: a pesar de maximizar las tasas de detección (lo cual queda muy bien en los resultados de una prueba), aumenta el riesgo de falsos positivos.

Realidad: hace algunos años, la gestión de seguridad de la información (SIM) vio la luz para solucionar el problema causado por el volumen desbordante de registros del Sistema de detección de intrusiones (IDS). SIM incluye una serie de sensores que garantizan la recopilación, el análisis y la respuesta de los sucesos de IDS en el plazo de tiempo más corto posible. Al centralizar esta información, es posible correlacionar y clasificar los sucesos de los sensores distribuidos de IDS. La ventaja de la correlación es el descenso considerable de falsos positivos.

Trend Micro™ Smart Protection Network™ es una solución similar a los sistemas SIM basados en la reputación, ya que los centros de datos agrupan URL, mensajes de correo, secuencias de comandos y archivos procedentes de colectores de datos heterogéneos. A lo largo del proceso de correlación, Smart Protection Network valora la relación de los sucesos de seguridad para determinar el potencial de amenaza y mantener así los falsos positivos a un nivel muy bajo y tolerable.

Problema 3: los resultados de la exploración «basada en Web» se basan en muchos más datos de entrada de archivos inofensivos y maliciosos, pero tienen un impacto de rendimiento adicional en el cliente, la red y el servidor.

Realidad: para mantener una carga de trabajo equilibrada entre el equipo de sobremesa e Internet, el agente necesita una base de datos de firmas ligera e inteligente con un tamaño inferior al de las bases de datos de firmas tradicionales. Cuando no es posible determinar si un archivo es sospechoso, el agente puede enviar el archivo o la huella digital al servidor local para realizar más comprobaciones. De este modo, ahorrará ancho de banda al no tener que enviar demasiados paquetes a Internet. Integrar el emulador en el equipo de sobremesa y el servidor local permite al agente inspeccionar la carga dañina oculta de los programas ofuscados. Se ahorrará ancho de banda como resultado de enviar a Internet el valor hash de los datos volcados en lugar del propio archivo.

Problema 4: debido al tiempo requerido para responder a una consulta, solo se comprueban los exploradores y archivos que se ejecutan bajo petición y no todos los archivos a los que se accede (del mismo modo que funcionaría un sistema de protección por acceso «tradicional»).

Realidad: «basado en Web» no significa que todos los valores hash se envían a Internet. El enfoque «basado en Web» se puede dividir en tres partes: un agente sencillo basado en Web, un servidor local y un centro de datos. Como se ha indicado anteriormente, el agente basado en Web incluye una base de datos de firmas ligera e inteligente. Cada patrón incluido puede detectar malware polimórfico perteneciente a la misma familia. Asimismo, es posible integrar el emulador dentro del agente del equipo de sobremesa o del servidor local. Los patrones de comportamiento se utilizarán para explorar la información del comportamiento procedente del emulador. El servidor de exploración local mantiene en todo momento los archivos de patrones locales más recientes del centro de datos. Por ello, la exploración basada en Web también puede admitir el módulo de exploración por acceso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.