Diariamente se estima que se crean y se liberan al internet cerca de 30,000 malware. Con un numero tan alto, las compañías de antivirus no pueden mantener al día los listados de malware de sus productos para “proteger” a sus usuarios. Como resultado, varias compañías han decidido añadir a sus productos nuevas tecnologías de prevención contra malware como el HIPS, el Behavior Blocker y el Sadboxing. Este articulo es un intento de explicar el funcionamiento de cada una de estas tecnologías y demostrar que instalándolas junto a un antivirus tradicional, añadimos la línea de defensa mas importante contra malware; prevención. También se pretende demostrar que los antivirus tradicionales no protegen, sino que detectan y limpian malware ya existente en la computadora y a diferencia de estos antivirus, estas nuevas tecnologías previenen de infecciones o ataques que los antivirus no detectan como por ejemplo los tan populares “cero day threats” (malware nuevo que los antivirus no detectan).
HIPS (Host Intrusion Prevention System)
Un HIPS (sistema de prevención contra intrusos) monitorea cada actividad que realiza un programa y notifica al usuario lo que esta pasando para que este tome acción, permitiendo o bloqueando la acción. A diferencia de los antivirus tradicionales que escanean los programas para compararlos con un listado de malware y poder detectarlos, el HIPS monitorea las acciones de los programas, notificándole al usuario si este programa intenta realizar una acción que puede ser maliciosa.
Los HIPS son evitados por los usuarios ya que su reputación es que suelen ser intrusivos. Para que los HIPS detengan o le permitan la acción a los programas, dependen de la contestación del usuario a ciertas notificaciones. Por ejemplo, si el HIPS detecta que un programa esta tratando de conectarse al internet, notifica al usuario esta acción y le da la opción de proseguir o bloquear la acción. Si este mismo programa intenta cambiar los registros de Windows, o crear un archivo en el disco, el HIPS también notifica al usuario de esta acción para que decida si procede o la bloquea. Esto puede crear falsos positivos o “false positives” ya que el HIPS te puede advertir que un programa legítimo intenta conectarse al internet o crear un archivo nuevo en el disco y el usuario puede elegir bloquear esta acción que no es maliciosa.
Pero estos falsos positivos se han reducido considerablemente ya que los creadores de HIPS han madurado sus técnicas para mejorar estos sistemas. La mayoría de los HIPS incluyen listados de programas legítimos que el HIPS utiliza al momento de monitorear un programa. Si el HIPS monitorea un programa que encuentra en el listado de programas legítimos, no le notifica al usuario de la acción que este realiza ya que el mismo es confiable.
Adicional, los HIPS incluyen sistemas de consultas de comunidad o “community advisory” en las notificaciones a los usuarios. Estos sistemas intentan ayudar al usuario a seleccionar la mejor opción de bloquear o continuar en base a las respuestas de otros usuarios. En otras palabras, cada vez que un usuario bloquea o permite el acceso a un programa, el HIPS almacena esta información en una base de datos central y la comparte con la comunidad de usuarios de ese HIPS. De esta manera cuando el HIPS despliega la notificación, el usuario puede ver el promedio de los usuarios que han bloqueado la acción y de los que la han permitido.
Al momento de seleccionar bloquear o continuar con una acción, el HIPS crea reglas al programa que monitorea para no volver a notificar la misma acción al usuario. Estas reglas pueden ser editadas o borradas por el usuario en cualquier momento.
Muchos usuarios optan por no instalar un HIPS por el hecho de que los HIPS aparentan estar dirigidos a usuarios avanzados o a usuarios que están dispuestos a dedicar tiempo a contestar notificaciones de seguridad cada vez que el HIPS intente prevenir un ataque o infección.
Los HIPS no sólo protegen de ataques que los antivirus tradicionales no pueden, pero también ayudan a educar al usuario de como los programas realizan varias acciones para lograr su propósito y de cuantos procesos deben ocurrir antes de que el programa realice su trabajo. De esta manera, el usuario puede luego identificar malware con mayor facilidad si se familiariza con los procesos y acciones que ocurren al momento de ejecutar un programa ya sea legítimo o malware.
Behavior Blockers
Similar a los HIPS, los Behavior Blockers (de ahora en adelante BB) no utilizan listados de malware para proteger la computadora. Similar a los HIPS, el BB notifica al usuario de cualquier comportamiento potencialmente dañino para la computadora. A diferencia de los HIPS, los BB no utilizan reglas por cada acción de los programas, sino que califican los programas como maliciosos o no similar a un antivirus tradicional. Los BB tienen la capacidad de identificar si un programa es malicioso sin la necesidad de alertar al usuario para buscar su aprobación. El BB monitorea el comportamiento de los programas, identificando si son potencialmente dañinos o no. Los BB normalmente tienen niveles de configuración que permite al usuario controlar las notificaciones, graduando la sensibilidad con la cual el BB va a monitorear los programas. Si el nivel graduado es bajo, el BB alerta al usuario solamente cuando reconoce un comportamiento malicioso. Si el nivel graduado es alto, el BB notifica al usuario por cualquier comportamiento sospechoso de cualquier programa que se ejecute en la computadora.
Muchas veces los BB son acompañados de un motor adicional basado en listado de malware. Esto lo hacen para reducir los falsos positivos y al momento del BB analizar un programa, primero lo busca en el listado de malware para detectarlo antes de analizar su comportamiento. Esto también crea un ambiente de seguridad con múltiples líneas de defensa.
Sandboxing
La tecnología de Sandboxing se esta haciendo cada día más popular al momento de prevenir ataques o infecciones de malware. Sadboxing utiliza un método de virtualización para proteger la computadora. Lo que hace el sandbox es aislar los programas en tu computadora en un ambiente seguro con privilegios limitados para que no puedan alterar, crear o borrar archivos o registros que puedan dañar el sistema operativo. Si, por ejemplo, ejecutamos el navegador de internet en un sandbox los cambios que realice el navegador de internet al sistema operativo se pierden al momento de reiniciar la computadora. Si el navegador de internet intenta ejecutar otro programa, este también se ejecuta dentro del sandbox para limitar sus acciones. Esto funciona de esa manera ya que el 80% del malware que infecta las computadoras es a través del navegador de internet.
Algunos navegadores de internet de hoy, como Google Chrome, implementan Sandboxing para aislar procesos que puedan ser ejecutados sin el permiso del usuario para evitar que la computadora se infecte. El Sandboxing también se utiliza junto a HIPS y Behavior Blockers para minimizar las notificaciones a los usuarios y como una línea adicional de defensa.
Implementación de estas tecnologías
COMODO Internet Security 4.0 (www.comodo.com) implementa HIPS y Sandboxing como parte de las múltiples líneas de defensa en su seguridad. El modulo de HIPS de COMODO se conoce como Defense Plus (Defense+) e implementa reglas por cada acción de los programas. Para minimizar las alertas o notificaciones a los usuarios, COMODO incluye un Sandbox que se encarga de aislar programas y ejecutarlos en su ambiente con privilegios limitados. COMODO trabaja en líneas de defensa de la siguiente manera: el antivirus intenta detectar malware, de no detectar nada, el HIPS analiza las acciones del programa para prevenir cualquier ataque. Si el programa no existe en el listado de programas seguros del HIPS, el Sandbox aísla el programa para que no pueda explotar vulnerabilidades en el sistema operativo. COMODO también implementa un modulo de consultoría de comunidad (“comunity advisor”) para intentar ayudar al usuario a seleccionar la mejor opción al momento de bloquear o permitir una acción de un programa.
DriveSentry (www.drivesentry.com) implementa un modulo de Behavior Blocker junto a un antimalware basado en listados similar a un antivirus. De esta forma Drivesentry implementa múltiples líneas de defensa ya que al momento monitorear un programa, lo escanea contra el listado de malware, luego analiza su comportamiento y luego revisa en su base de datos de consultoría de comunidad para intentar prevenir una infección.
Otro Behavior Blocker es PCTools Threatfire (www.threatfire.com) y similar a DriveSentry, también incluye un modulo de antimalware basado en listas de malware.
Sandboxie (www.sandboxie.com) es un programa que implementa Sandboxing. Este programa no implementa múltiples líneas de defensa como los anteriores, pero combinado con DriveSentry es excelente para proteger la computadora, añadiendo una línea más de defensa.
¿Vale la pena implementar este tipo de tecnología?
Con un total estimado de 30,000 malware creados y liberados diariamente, los antivirus tradicionales solamente no pueden mantenerse al día para brindar la protección que necesitamos. Si corres tu computadora con un antivirus tradicional solamente, considera instalar una de las aplicaciones mencionadas anteriormente junto a tu antivirus para crear un ambiente de múltiples líneas de defensa.
¿Cuál es la importancia de las múltiples líneas de defensa?
Vamos a contestar esta pregunta utilizando un ejemplo que se vive a diario con malware. Digamos que solamente cuentas con un antivirus tradicional y que tu computadora se infecta con malware que éste antivirus no conoce (lo cual sucede diariamente). En este caso no tienes una segunda línea de defensa que se active para detener la infección.
Ahora digamos que solamente tienes un HIPS instalado en tu computadora y te alerta que un programa intenta realizar una acción maliciosa y apruebas esta acción por error. En este caso no tienes un Sandbox que pueda aislar ese malware para que no haga el daño que pretendía hacer.
Hoy día nos topamos con malware que saben identificar si se están ejecutando en un ambiente aislado de un Sandbox y tienen la capacidad de esquivar la protección de un Sandbox y ejecutarse en el ambiente real de tu computadora. En este caso, si tenemos un HIPS o un Behavior Blocker instalado en la computadora, el mismo pudiera identificar que este malware intenta realizar una acción maliciosa para así detenerlo.
Nada es 100% seguro, por esto tratamos de que este porcentaje de seguridad se mantenga lo más alto posible implementando múltiples líneas de defensa y los desarrolladores de sistemas de seguridad trabajan diariamente para perfeccionar sus programas y brindar mejor protección.
No hay comentarios:
Publicar un comentario