Aunque el titular parece obvio, «dos mejor que uno», la realidad es
que la mayoría de las corporaciones terminan instalando en sus
sistemas, tanto servidores perimetrales como estaciones de trabajo,
la misma marca antivirus, lo que penaliza la capacidad de detección.
Desde Hispasec Sistemas, en nuestra faceta de consultores y de
manera independiente a la publicación de la comparativa antivirus
anual para PCs, realizamos análisis a demanda de cara a presentar
proyectos sobre la implantación idónea de soluciones antivirus según
un determinado entorno corporativo. Desde esta experiencia, y en
virtud de la situación de partida con la que nos encontramos en
cada caso, hemos podido observar que la mayoría de las corporaciones
suelen contratar con una sola casa antivirus la protección de todos
sus sistemas. Situación que solemos corregir.
Aunque las casas antivirus suelen tener una amplia gama de soluciones
según el puesto a proteger, la realidad es que todos sus productos
comparten el mismo motor antivirus y base de datos de firmas. Es
decir, si instalamos en el firewall, el proxy, el servidor de correo,
en el servidor de ficheros, y en las estaciones de trabajo el
antivirus de la marca X, habremos aumentado cuantitativamente el número
de chequeos, pero no su calidad.
Imaginemos que queremos proteger un edificio y situamos un guarda
jurado o personal de seguridad en la puerta del garaje, otro en la
entrada del edificio, uno más en la puerta de los ascensores, y por
último repartimos varios guardas en la puerta de cada una de las
oficinas. Todos se han formado de la misma forma y siguen las mismas
pautas de actuación, además todos tienen la misma lista de intrusos
sospechosos basándonos en fotografías de sus rostros.
Cada persona que quiere acceder al edificio es examinada por varios
de los guardas dependiendo de la vía de entrada que utilice, pero
en todos los casos la comprobación es la misma. Si un intruso no
aparece en la lista de sospechosos, podrá burlar a todos los guardas
de manera independiente a la vía que haya elegido para entrar (virus
nuevo no reconocido).
Otro caso que puede darse es que un intruso ya fichado intente
disfrazarse para burlar a los agentes. Si todos los agentes siguen
las mismas técnicas de reconocimiento (motor antivirus), como por
ejemplo pedir que se quiten las gafas de sol en caso de duda, el
intruso podrá pasar inadvertido empleando otras técnicas de camuflaje,
por ejemplo utilizar una peluca (variante o nueva versión de un virus
conocido).
Parece obvio que lo ideal sería contar con varias listas de sospechosos
y guardas con diferentes capacidades y métodos de reconocimiento de
forma que se puedan complementar entre sí, aumentando el grado de
protección global. Siguiendo la analogía con los antivirus, cada
motor tiene sus características y bases de datos de firmas diferentes
que se actualizan de manera independiente.
La realidad es que no basta simplemente con incluir más de un motor
antivirus, ya que se hace necesario un estudio sobre el grado de
complementariedad entre los distintos motores, el rendimiento y
estabilidad que ofrecen según el puesto de la red, y facilitar la
gestión y administración centralizada de los productos elegidos según
la casuística.
bernardo@hispasec.com
Deja un comentario