BAQUIA

El estudio ICSA y las técnicas de protección en la empresa

Todos los años, ICSA publica los resultados de una encuesta sobre prevalencia de virus en empresas. Esta encuesta siempre depara alguna sorpresa, y este año no ha sido menos. Las empresas a las que se les pregunta sobre sus experiencias con virus nos enseñan cómo está el mundo del malware y las debilidades que tienen.

Hay un dato que me ha llamado profundamente la atención, y es el que responde a la pregunta de qué sistemas tienen instalados para la protección de la red. Las empresas han respondido, de manera abrumadora, que tienen protecciones antimalware instaladas en las pasarelas de correo electrónico. No es extraño, ya que, de nuevo según los resultados de la encuesta, el 92% de los virus que han causado alguna infección llegaron por correo electrónico (qué lejos queda ese 9% de 1996).

Pero si profundizamos en el dato, hay una gran contradicción. Si el 97% de las empresas tienen protegidas todas las pasarelas de correo, ¿por qué causan problemas los virus? ¿Son malas las protecciones instaladas? ¿O son malos los administradores de sistemas, que no saben manejar las protecciones? Ni una ni otra. El problema viene por otro lado, ya que mientras casi todas las empresas tienen protegidas las pasarelas de correo electrónico, ocurre una situación bien distinta con otros sistemas.

En muchas ocasiones, los usuarios disponen de cuentas de correo electrónico ajenas a la empresa. Mientras estas cuentas de correo electrónico sean accesibles mediante lectores de correo electrónico a través de POP3, es posible que el antivirus para las pasarelas de correo electrónico puedan detectar los virus. Sin embargo, en muchos casos se utilizan sistemas de correo vía web, por lo que un antivirus para POP3 no tiene nada que hacer. Más aún, ese tráfico no suele ser encaminado hacia los servidores de correo electrónico.

En este caso, la responsabilidad debe caer en la protección de los servidores proxy y de los firewalls. La tercera parte de las empresas encuestadas no tiene ninguna protección en sus proxies, y a la hora de proteger firewalls, la mitad de las empresas carece de protección. Aquí está la clave. Los virus que han causado más infecciones son los de correo electrónico (Netsky, Sober, Mymail, Sobig, etc.) y los puntos con peor protección son las pasarelas de Internet.

Podemos añadir un problema aún más esclarecedor: de las infecciones reportadas por malware, aparece en las primeras posiciones SQLSlammer. Este código malicioso causó un gran impacto en 2003 (y evidentemente en 2004, a tenor de los resultados de la encuesta), y su funcionamiento es realmente diferente a los demás códigos al uso. En lugar de propagarse mediante un fichero, como un gusano o un troyano clásico, SQLSlammer es una instrucción maliciosa directa a servidores Microsoft SQL vulnerables. Por tanto, las protecciones instaladas no sirven, la confianza en una protección exclusiva para estaciones de trabajo o para las pasarelas de correo se muestra claramente insuficiente.

¿Qué protecciones deben instalarse?

La protección contra códigos maliciosos ha de ser instalada claramente en los puntos en los que los virus efectúan su entrada, pero sin olvidar que cada sistema de protección debe cumplir unas determinadas especificaciones para los tipos de virus destinados a esa plataforma. Podemos poner como ejemplo el mencionado caso de SQLSlammer. Es un código que actúa contra Microsoft SQL Server, por lo que puede pensarse en proteger el servidor o los servidores desde donde se brinde ese servicio. Sin embargo, esos servidores están efectuando únicamente tareas de servidores de archivos. El antivirus instalado allí será un antivirus que controle el tráfico de información a los discos, sin tener en cuenta otro tipo de tráfico, lo que no protegería contra SQLSlammer.

Ese mismo razonamiento puede emplearse para, por ejemplo, una pasarela de correo con SendMail. Si lo que queremos proteger es ese servicio de correo, existen antivirus que analizarán los mensajes que pasen por ese servidor, pero si a la vez está instalado Samba en ese servidor, será necesario un sistema de protección adicional.

Todo esto lleva a pensar que un único antivirus instalado en los puntos de entrada de los códigos maliciosos podría ser suficiente. Esta teoría no es más que una extrapolación de las políticas de protección que se llevaban a cabo hace tiempo, cuando bastaba con analizar los disquetes para estar libre de virus. Hoy en día no sólo hay que proteger la puerta de entrada, sino todos los sistemas en los que haya tráfico y almacenamiento de información.

La estrategia de protección en una empresa debe pasar por la protección de todos los puntos posibles, evitando, de esta manera, que un código no esperado pueda pasar desapercibido ante una protección no específica en un sistema. Desde las estaciones de trabajo a las pasarelas de correo, desde los servidores internos hasta el firewall, incluyendo el punto de conexión de la empresa con Internet.

¿Y dónde debe protegerse?

Si observamos los datos de cualquier ranking sobre códigos maliciosos, veremos que en los últimos meses se ha producido un vuelco muy importante en el tipo de códigos que preocupan a los administradores. Desde que en 1999 el gusano Melissa hiciera su aparición, los códigos maliciosos de este tipo no han dejado de progresar, arrinconando completamente al concepto clásico de virus. Ya no es rentable para un programador malicioso la creación de virus, ya que otros códigos pueden producirle un beneficio económico directo, como un bot, o spyware.

Por tanto, el concepto de protección contra código malicioso debe variar del simple análisis de ficheros que se descargan hasta un ordenador hacia el análisis en profundidad de las transmisiones TCP/IP, en una punta de la red (allí donde se establece la conexión empresarial) y hacia el análisis inteligente de las aplicaciones en funcionamiento en cada estación.

Entendiendo la protección antivirus como un todo, no como una suma de todas las protecciones individuales, podremos encontrar la seguridad que, hasta ahora, no han encontrado numerosas empresas. Quizá en el futuro los estudios sobre prevalencia de virus deban basarse únicamente en los códigos rechazados por las protecciones, no por las infecciones causadas.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios