You Are Reading

.

Compartelo:
0

El análisis virtualizado ignora a un tercio del malware

Jesus Bourne 6 de julio de 2012

En temas relacionados con la seguridad, se debe dejar de asumir que es posible evitar que el malware entre a una red, dicen los expertos.

Aproximadamente un tercio del malware analizado en ambientes virtuales es capaz de eludir su detección, dice un experto en seguridad.

Las compañías de seguridad venden equipos con ambientes virtualizados para ejecutar y analizar el comportamiento de aplicaciones sospechosas, con el objetivo de identificar malware, determinar cómo entra a una red, y luego corregir las vulnerabilidades encontradas.

Esta tecnología ha sido utilizada a lo largo de los últimos años, sin embargo, los cibercriminales han encontrado maneras de hacer que su malware parezca inofensivo en tales ambientes.

"En general, existen tantas maneras en que el malware puede ocultar que se encuentra dentro de un entorno virtual, que es prácticamente imposible esconder completamente este hecho", indicó el martes Gunter Ollmann, vicepresidente de investigación en la compañía de análisis de malware Damballa. 

Los clientes de Damballa incluyen empresas de telecomunicación, proveedores de servicio de internet y compañías multinacionales.

Por supuesto, la cara opuesta es que los sistemas de detección localizan actualmente dos tercios de las aplicaciones maliciosas que entran a una organización mediante archivos adjuntos en el correo electrónico, dispositivos USB o sitios web. 

Sin embargo, es importante enfatizar la sofisticación del malware desarrollado por los cibercriminales actualmente, que exige un esquema de capas de seguridad. Los sistemas antivirus pueden atrapar malware conocido sin ayuda externa, pero las nuevas aplicaciones se mantendrán sin detectar porque no contienen las secuencias de código que los antivirus conocen - las famosas "firmas".

Los intrusos tienen a su disposición múltiples técnicas de evasión contra tecnologías antivirus. Estas incluyen cifrar o comprimir el código malicioso, de manera que deba ser desempaquetado antes de poder verificarse, un paso adicional que normalmente no realiza el software antivirus.

En los círculos frecuentados por los intrusos informáticos, existen servicios que los cibercriminales utilizan para verificar miles de piezas de malware contra todo el software antivirus disponible en un mismo paso, para determinar qué malware es indetectable. Algunos servicios incluso ofrecen "corregir" el malware que sí fue detectado.

"Estas herramientas, utilizadas por 'los malos' para asegurarse de que su malware es indetectable y que se instalará exitosamente en cualquier ambiente, siempre han sido más avanzadas que las tecnologías antivirus," dijo Ollman.

El último ejemplo de los avances en el malware es la aplicación de ciberespionaje Flame, descubierta el mes pasado. Los creadores obtuvieron un certificado digital que les permitió firmar su código como si viniera de Microsoft, para evadir la detección de sus ataques a gobiernos del medio oriente.

Para combatir malware muy avanzado, en temas relacionados con la seguridad, se debe dejar de asumir que es posible evitar que el malware entre a una red. "Se está dando un cambio de paradigma," dijo Ollman. 

"Las organizaciones necesitan hacer todo lo posible para prevenir que el malware se infiltre en sus organizaciones; sin embargo, deben ahora trabajar bajo la suposición de que eventualmente entrará malware de manera exitosa, sin importar las defensas que hayan puesto."

Por lo tanto, la única respuesta hasta el momento, es actualizar las tecnologías de seguridad de manera regular, y tener sistemas que prevengan el ingreso de malware a la organización como también sistemas que alerten si alguna aplicación ha pasado los filtros. Los ejemplos de esta última incluyen aquellos que pueden detectar cuando el malware se comunica con sistemas de control remoto (command and control).

"Mientras menos tiempo tengan disponible los atacantes dentro de tu red, menos información perderás, y menos vergonzoso será el incidente para la organización," comentó Ollman.



Fuente: InfoWorld 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT