Antivirus avanzados
Los antivirus más avanzados son capaces de detectar el malware menos tradicional. Este tipo de malware no necesita necesariamente ser «activado» para causar daños, por ejemplo, abriendo un archivo.
En ITCM Solutions somos conscientes de la peligrosidad que puede llegar a tener ciertos tipos de malware, de hecho, cada día se detectan una media de 550.000 virus. Con estas cifras no podemos pasar por alto la seguridad de nuestros dispositivos informáticos, por eso hemos querido dedicar un pequeño apartado a nuestra web hablando de este tema y de la importancia que tiene.
¿Qué es un endpoint?
Los antivirus son software cuyo principal objetivo es detectar y eliminar virus informáticos. En un principio los antivirus protegían a una escala mucho mas baja que en la época actual, ya que los antivirus estaban adaptados a la tecnología de la época. Al cabo de los años, estos han ido evolucionando y actualmente son capaces de desinfectar archivos y anticiparse a un posible ataque que estos puedan ocasionar. Actualmente siguen coexistiendo los antivirus tradicionales y los antivirus avanzados, según las necesidades de cada empresa.
¿Por qué existen los antivirus? ¿Cuál es el origen de todo?
¿POR QUÉ EXISTEN LOS ANTIVIRUS, CUAL ES EL ORIGEN DE TODO?
El primer antivirus que fue creado se llamaba Reaper y data del año 1972, el único objetivo que tenía este antivirus era el de atacar al virus que surgió cuyo nombre era red Creeper.
A medida que se iba globalizando el uso y tenencia de equipos informáticos a parte de la llegada de Internet, esto ocasionó que los ataques informáticos fueran cada vez a más. Por suerte, los antivirus actuales tienen integrada bases de datos capaces de atacar una gran cantidad de virus que se hayan lanzado en red.
Si avanzamos hasta 1987, podremos encontrar el mayor virus y el más devastador que hubo llamado “Jerusalem” (detectado por primera vez en Jerusalem), cuando este virus infectaba a un equipo, lo que hacía era eliminar todos los archivos .exe de este, esto solo se ejecutaría el viernes 13 de cada año. Al siguiente año este virus provocó una epidemia mundial.
A finales de 1987 se produjo un “boom” en la industria de los antivirus con la creación de la compañía McAfee.
Los virus se fueron popularizando cada vez más y más cada año que pasaba, desde 30.000 casos de malware en 1994 hasta 500.000 casos cada día.
¿Qué tipos de antivirus hay y cual es su clasificación?
Desde el primer día que apareció un virus informático, estos han ido evolucionando y cambiando la manera de atacar un equipo informático, a parte de desarrollar un estilo propio de funcionamiento y características. Aquellas empresas que se dedican a desarrollar software para crear una protección frente a estos elementos dañinos se vieron forzadas a crear varios tipos de antivirus en función de la amenaza:
- De prevención
Estos antivirus se anticipan a la infección de cualquier virus, no permiten el acceso a ningún archivo que se haya detectado como malicioso. Estos necesitan para funcionar de manera totalmente eficiente un espacio en memoria, básicamente para poder realizar escaneos constantes para detectar posibles amenazas.
- De identificación
Estos se encargan de identificar archivos contaminados mediante el proceso de exploración y comparación de una base de datos en lista roja.
- Descontaminantes
Estos antivirus están dedicados en inutilizar el archivo “contaminado” para luego encerrarlo en un “baúl” o eliminarlo completamente. También pueden ser capaces de restaurar el sistema operativo afectado a un estado anterior justo antes de la infección.
Entre todos estos tipos que hemos mencionado, también podemos encontrar “protectores especializados”, como por ejemplo: Antimalware, Antipop-ups, etc.
¿QUE SE ENTIENDE POR ENDPOINT?
Un punto final de comunicación es un tipo de nodo de red de comunicación. Se podría decir que es una interfaz expuesta por una parte comunicante o por un canal de comunicación. Algunos ejemplos de lo que sería un Endpoint son: ordenadores de escritorio, portátiles, tablets, servidores, etc.
SI INDAGAMOS UN POCO EN EL CONCEPTO DE CIBERSEGURIDAD, ENCONTRAREMOS TERMINOS COMO PUEDEN SER XDR Y EDR ¿QUE SE ENTIENDE POR ESTO?
Por lo que se tiene entendido hasta ahora, los XDR serían unos “sistemas” que recopilarían y correlacionaría de forma totalmente automática la información que se contendría en múltiples capas de seguridad: email, endpoint, servidor, red, etc. A este grupo se les suele denominar antivirus avanzados
Las amenazas suelen evadir todo tipo de detecciones, estas se “esconderían” en “silos” de seguridad y en aquellas alertas de soluciones que estén desconectadas para luego propagarse a medida que pase el tiempo.
La función de XDR sería el “desmantelar” estos “silos” desde una perspectiva totalmente holística para luego poder ejecutar una detección y una respuesta. Gracias a XDR tenemos unos análisis totalmente automatizados y se llegan a detectar las amenazas muchísimo más rápido.
Con EDR hay que tener en cuenta que siempre ha sido un sistema sumamente valioso por su eficacia, pero este estaría limitado por su “ubicación” ya que trabajaría solamente dentro de endpoints gestionados.
Si comparamos XDR con EDR, se podría decir que XDR trabajaría en un área bastante más extendido que EDR, pero EDR estaría más limitado porque solo trabajaría dentro de los endpoints pero a su vez, su eficacia en la proteccion de estos endpoints sería sumamente alta. Si tuvieramos que elegir entre uno u otro, básicamente ambos tendrían sus pros y sus contras. Todo esto dependería de cual sería más eficaz para nuestra empresa.
Tener en cuenta también que XDR sería una evolución de EDR, ya que si EDR trabaja solamente en el endpoint, XDR no se queda solo ahí.
¿Que incluye un Endpoint de SOPHOS XDR?
- Proteja su parque informático contra los virus, gracias a las bases de firmas de Sophos.
- Seguridad Web. Internet es la fuente número uno de malware y amenazas, por lo que es necesario integrar un sistema que bloquea las amenazas de las web más recientes.
- Filtro Web. Controle la navegación de los usuarios, impidiendo que entren en páginas con amenazas importantes. Es posible bloquear hasta 14 tipos de categorías (adultos, actividades ilegales, violencia, etc.).
- Control de dispositivos. Reduzca el riesgo de infección controlando el uso de dispositivos externos, como USB keys, discos externos, etc.
- Firewall. Bloquea gusano, detiene hackers y evita intrusos.
Control de aplicaciones. Controlen programas que no solo pueden causar problemas de seguridad, sino también de legalidad, como P2P, mensajería instantánea, etc. Mejore el rendimiento, evitando aquellas aplicaciones que puedan interferir con su trabajo. - Actualización de parches. El 90% de los ataques pueden ser prevenidos a través de parches que los fabricantes ponen a nuestra disposición.
- Control de acceso a la red. Nos aseguramos que aquellos equipos que acceden a su red, tengan los mínimos requerimientos de seguridad (antivirus, firewalls y otras aplicaciones de seguridad.).
- Centralización. Centralice toda la gestión en una sola consola central.
Características destacadas
- Protección demostrada que incluye detección contra malware, HIPS y tráfico malicioso.
- Control de datos, dispositivo, aplicación y web para un cumplimiento total de las políticas.
- Filtrado web aplicado en la estación independientemente de si los usuarios están dentro o fuera de la red corporativa.
- Limpieza del sistema de nivel forense.
- Elija la solución Sophos Central basada en la nube o instale Sophos
- Enterprise Console para administrar su instalación.
- Respuesta automática a incidentes al sincronizar la seguridad entre los endpoints y el firewall.
- Control Web: Filtrado web basado en categorías aplicado dentro y fuera de la red corporativa.
- Control de la aplicación: Bloqueo de aplicaciones por categorías o nombre con un solo click.
- Control de dispositivo: Acceso controlado a medios extraíbles y dispositivos móviles.
- Control de datos: Prevención de pérdida de datos utilizando reglas preintegradas o personalizadas.
¿Que es un Antivirus XDR con MTR?
Managed Threat Response (MTR), es una mejora sobre los antivirus avanzados XDR al ofrecer un servicio totalmente administrado prestado por un equipo de expertos que ofrece funciones de búsqueda, detección y respuesta a amenazas las 24 horas. Sophos MTR fusiona la tecnología del Machine Learning con el análisis de expertos para mejorar la búsqueda y la detección de amenazas, ofrecer una investigación más a fondo de las alertas y facilitar acciones concretas para eliminar las amenazas con rapidez y precisión. A diferencia de otros servicios, el equipo de Sophos MTR va más allá de la simple notificación de ataques o comportamientos sospechosos e inicia acciones específicas en su nombre para neutralizar incluso las amenazas más sofisticadas y complejas.
Sophos MTR ofrece dos niveles de servicio (Standard y Advanced) a fin de proporcionar un conjunto completo de funciones para empresas de todos los tamaños y niveles de madurez.
Independientemente del nivel de servicio seleccionado, las empresas pueden beneficiarse de cualquiera de los tres modos de respuesta (Notificar, Colaborar o Autorizar) para adaptarse a sus necesidades específicas.
¿Si quiero comprar un antivirus para proteger mi empresa de posibles ataques informáticos, cuál sería el más apropiado para mí, todos los antivirus son válidos para proteger una empresa?
Se tiene que tener en cuenta que no todos los antivirus avanzados no pueden ser exactamente iguales, todos pueden llegar a tener el mismo objetivo, pero unos pueden ser más potentes que otros.
Hay que tener en cuenta que los sistemas operativos actuales tienen insertados nuevos mecanismos de protección, estos mecanismos pueden estar enfocados tanto a los usuarios como al equipo informático en sí. Si tenemos un equipo informático con su sistema operativo sin ningún antivirus ni software de protección, tendrá un nivel de dificultad para que pueda ser infectado, pero si vamos añadiendo un antivirus, software de protección adicional, mecanismos de seguridad, etc. lo que haremos será que ese nivel de dificultad para ser infectado sea cada vez más y más difícil.
Tendremos que tener en cuenta también que muchos ciberdelincuentes y muchos hackers van “entrenando” sus habilidades para poder intentar superar las barreras que nosotros pongamos.
Aqui es donde los antivirus avanzados juegan un papel fundamental en añadir una capa adicional de seguridad al aplicar nuevas técnicas e insertar nuevas tecnologias para dificultar aún más que nuestro equipo pueda ser infectado.
Durante el último año, ha habido un aumento notable en la cantidad de ataques cibernéticos y la complejidad de las amenazas conocidas. En este sentido, casi el 69% de las empresas afirma haber sufrido de 1 a 2 ciberincidentes importantes en el último año. Si comparamos al año 2020 con el 2021, muestra cómo ha disminuido la cantidad de empresas que reciben 1 o 2 ataques. Por el contrario, las empresas que experimentaron al menos un incidente en la red experimentaron un aumento de casi el 7 %.
Se trata de una cifra significativa y se explica porque tras las medidas masivas de teletrabajo provocadas por la pandemia, los ciberatacantes han aumentado su actividad de ataque, y al mismo tiempo, la superficie expuesta a los ciberataques también es mayor para ellos. La cantidad promedio de incidentes de 2020 a 2021 ha aumentado significativamente, de un promedio de 1,69 incidentes en 2020 a 2,13 incidentes este año; es decir, un 26% más de problemas de red. Algunos sectores experimentan un promedio de más de dos incidentes por año.
Estos incluyen los sectores de seguros, TMT (telecomunicaciones, medios y tecnología), industria, banca y administración pública. Cabe señalar que algunas industrias como la banca y los seguros están muy reguladas y tienen un nivel de madurez en ciberseguridad bastante alto, por lo que el número de incidentes que encuentran es mayor porque ‘son un objetivo prioritario’ de los ciberdelincuentes, más que por su falta de resiliencia cibernética.
En general, las principales preocupaciones de los responsables de la seguridad de la información son el malware, el phishing y el ransomware. Las empresas se enfrentan a ataques de ransomware cada vez más sofisticados, como el ransomware de triple chantaje. Los casos de fraude también son bastante preocupantes, por esta razón es importante capacitar al personal en la identificación y denuncia de estafas. Se pueden combinar múltiples amenazas en un mismo ataque, donde destaca el phishing, siendo el vector de entrada preferido por la mayoría de los atacantes.