Comprensión de la contención: defensa contra malware para el mundo real

Tiempo de leer: 4 minutos

Postes indicadores
Es prácticamente imposible que los archivos de virus conocidos utilizados por los escáneres convencionales estén completamente actualizados. El probador independiente AV-Test Labs estimó recientemente que hay hasta 55,000 nuevas variantes de malware lanzadas en la naturaleza cada día. Esto suena increíble, pero en realidad es una prueba conservadora. ¡Algunos analistas dicen que hay hasta 200,000 nuevas amenazas por día!

Los hackers utilizan cada vez más las estrategias desarrolladas originalmente por los gobiernos para el espionaje conocidas como "Amenazas persistentes avanzadas". Los APT por naturaleza son similares a los ataques convencionales, pero generalmente son más difíciles de detectar y prevenir porque utilizan exploits desconocidos de día cero que aún no se han identificado para su inclusión en escáneres de virus o abordado en parches de seguridad.

El defecto fundamental de las estrategias de limpieza

El problema con el enfoque convencional para limpiar virus es que solo limpian las infecciones que ya se han producido y deben detectarse. Esto es como la eliminación de manchas, en oposición a la prevención de manchas.

Si examinamos esto de manera lógica, este enfoque estándar es fundamentalmente defectuoso. El escáner compara cada archivo ejecutado con un archivo de firma de virus conocidos, lo que se denomina "lista negra". En realidad, solo hay tres posibilidades:

El archivo es bueno: si el archivo no está infectado, está bien, por supuesto.
El archivo es malo: si el archivo tiene una infección conocida, se limpia y aún está bien
El archivo es desconocido: si el archivo tiene una infección desconocida, no se limpia y su computadora puede verse comprometida.

Claramente, confiar en lo que ya sabemos crea una enorme brecha que los hackers pueden explotar. Los expertos en seguridad lo han entendido por algún tiempo y han abogado por un "enfoque en capas" para Internet Security. Esto significa que el enfoque convencional de hacer coincidir un archivo con un archivo de firma, también conocido como lista negra, de malware conocido es solo una capa de protección. Por ejemplo, si un archivo de malware supera la lista negra, aún puede identificarse como una amenaza mediante heurística análisis de comportamiento. Independientemente de lo que diga la lista negra, si actúa como una amenaza, podría ser una amenaza.

No solo detección, protección

Desafortunadamente, simplemente no existe un método de detección perfecto. Los creadores de virus son inteligentes y hay mucho dinero en ello. ¿Por qué robar bancos cuando puedes sentarte en un departamento en Europa del Este y operar una red de bots que envía correos maliciosos a las víctimas? Siempre encontrarán formas de no ser detectados. A su manera nefasta, son muy profesionales en sus esfuerzos de desarrollo. Prueban su malware contra los principales escáneres antes de liberarlos para asegurarse de que tendrán éxito.

Pregúntese esto: en este momento, ¿cuántos archivos hay en sus servidores que tienen infecciones desconocidas?

Usted no sabe

¡Por supuesto que no! Es imposible conocer lo desconocido. ¡Esa es la definición misma de desconocido!

Es por eso que la última capa de defensa no puede ser "detección"; debe ser "contención". Esto significa que si no se demuestra que un archivo es seguro, no se permite el acceso al sistema operativo ni a los archivos de la computadora. El vehículo principal para esto es un concepto llamado "caja de arena". Un sandbox es un entorno operativo virtualizado donde un programa puede ejecutarse aislado del resto del sistema informático. Si el programa resulta ser malicioso, no podrá dañar el sistema.

Comodo trae contención al escritorio

No es sorprendente que haya habido un uso creciente de la tecnología de sandboxing en los últimos años. El Sandboxie independiente es popular entre los gurús de la tecnología porque puedes elegir ejecutar un programa en un entorno protegido. Algunos de los principales sistemas de seguridad de Internet proporcionan un entorno de espacio aislado, pero también requieren detección e interacción del usuario.

Comodo, por otro lado, adopta un enfoque único para el sandboxing tanto para nuestros sistemas empresariales como para los sistemas de protección del consumidor. Lo llamamos "Denegación predeterminada" con Auto Sandboxing. Este es el único enfoque que puede proporcionar protección contra virus porque es la única estrategia viable para hacer frente a las amenazas desconocidas que discutimos anteriormente.

La defensa multicapa de Comodo comprueba los archivos con una "Lista blanca" de programas válidos conocidos, compara los archivos con un archivo de firma de la lista negra y utiliza la heurística para identificar amenazas. Con Default-Deny, sin embargo, no identificar un archivo como amenaza no es suficiente. Todavía podría haber un amenaza desconocida en el archivo. Default-Deny requiere que un archivo sea verificado como seguro para ser ejecutado por el sistema operativo.

Eso puede sonar demasiado restrictivo, pero ahí es donde entra el Sandboxing automático. Los archivos sospechosos y no verificados se ejecutan de manera segura en un sandbox donde no pueden hacer daño si resultan ser maliciosos. La brecha de seguridad presentada por amenazas desconocidas, y dejada abierta por otros sistemas, está cerrada herméticamente.

Nuestra confianza en nuestros sistemas y estrategia de protección de punto final Se basa en la experiencia. Es posible que haya oído hablar del virus CryptLocker, el programa de ransomware que mantienen como rehenes a los usuarios de computadoras al encriptar archivos y exigir pagos para desbloquearlos. Los expertos en seguridad han llamado a CryptLocker el malware perfecto e inmejorable.

¿Imbatible? No a Comodo. Con más de 70 millones de instalaciones totales de Comodo antivirus no ha habido un solo incidente reportado de CryptLocker en una computadora protegida comodo. De hecho, en más de 6 años nunca hemos tenido que pagar un reclamo por nuestra protección de garantía sin virus de $ 5,000 para usuarios de Comodo endpoint Security! Por eso llamamos a nuestra protección "blindada".

Recursos Relacionados:

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/malware/understanding-containment-malware-defense-real-world/

Inteligencia de datos generativa

Comprensión de la contención: defensa contra malware para el mundo real

El defecto fundamental de las estrategias de limpieza

No solo detección, protección

Comodo trae contención al escritorio

Conversión de hamburguesa de menta - Desarrollado por OZDIY - CleanTechnica

Tres tendencias de fusión a tener en cuenta en 2024: crecimiento en Asia, avance hacia Stellarators y avance continuo de nuevas tecnologías de fusión | Grupo de tecnologías limpias

Información más reciente

Ahora es el momento de compensaciones de carbono de alta calidad y soluciones climáticas escalables.

Guía completa para el abastecimiento de productos para el comercio minorista y el comercio electrónico

BC Transit llevará 66 autobuses eléctricos a más ubicaciones – CleanTechnica

Saakuru y Blockpass se asocian para el cumplimiento de las mejores oportunidades económicas que ofrece Web3

El clima ahora es un problema de vivienda: una investigación revela que un enorme 90% quiere información sobre inundaciones al comprar

El sistema de inteligencia artificial AlphaFold 3 de Google aborda el misterio de las moléculas