Antimalware, aplicaciones de prevención contra amenazas
Los antimalware o también conocidos como soluciones antivirus, son programas que pueden ser instalados tanto en ordenadores personales, como en servidores o dispositivos móviles y funcionan normalmente de la siguiente manera: realizan un escaneo de los archivos almacenados en nuestros dispositivos, proceden a la detección de malware utilizando diferentes técnicas y por último intentan realizar su eliminación siempre que sea posible.
[toc]
Operatoria AntiMalware
Escaneo
Las soluciones antimalware realizan un escaneo de todos los archivos siguiendo una serie de reglas predefinidas. A modo de ejemplo podemos mencionar los siguientes casos, cada vez que se abre o se cierra un archivo, cada vez que se pretende instalar o ejecutar cierto tipo de archivo tipo .com o .exe. Si durante el escaneo que realiza el programa, encuentra un archivo que coincide con un determinado patrón de virus, procede a realizar su bloqueo o a eliminarlo para que no pueda infectar al propio equipo o a otros ordenadores que se encuentren en su misma red.
Tipos de Escaneo
- Escaneo activo o automático. Se examinan los archivos cuando se produce un cambio en ellos, no permitiendo su uso, copia o edición hasta que han sido escaneados. Por ejemplo al copiar o salvar archivos, al ejecutar aplicaciones .exe o .com. En este momento el antivirus lleva a cabo la comparación de los resultados de los cambios con la base de datos de firmas o utiliza métodos heurísticos.
- Escaneo manual. Examina un determinado conjunto de ficheros o directorios y es iniciado por un usuario o administrador. Suele tener una mayor duración y por tanto por lo general, suele llegar a degradar más el rendimiento del sistema. Es utilizado para realizar análisis profundos altamente necesarios, aprovechando determinados momentos como son las paradas programadas o los de poca actividad. La configuración del escaneo, suele permitir al usuario incrementar los recursos de procesamiento dedicados a realizar esta tarea.
Eliminación y/o cuarentena
Una vez que el malware es detectado, existen diferentes formas de evitar que afecte al equipo o la red. Mediante la realización de la limpieza del archivo, su borrado o dejándolo en cuarentena. Es decir, el archivo espera en una zona del disco aislada hasta que el administrador o usuario deciden qué hacer con él. Durante esta espera, el malware no puede infectar a otros archivos o sistemas.
Principales funcionalidades AntiMalware
Las funcionalidades específicas que suelen incluir las soluciones antimalware son las siguientes:
- Detección de virus, spyware, troyanos, gusanos y otras amenazas de malware.
- Comprobación de seguridad al descargar y/o abrir archivos y aplicaciones y al visitar sitios web.
- Prevención automática de ejecución de exploits y detección y análisis de vulnerabilidades de aplicaciones.
- Verificación de la seguridad de conexiones Wi-Fi: existencia de vulnerabilidades y riesgos y recomendaciones de configuración.
- Control de ejecución de aplicaciones: sólo se ejecutarán las de confianza.
- Utilización de mecanismos de desbloqueo de dispositivos en caso de malware como son normalmente los troyano de bloqueo.
- Incorporación de motores anti-banner para evitar anuncios potencialmente peligrosos.
- Evitar correo tipo spam.
- Incorporación de motores anti-phishing.
- Control de acceso no autorizado a través de webcams.
- Identificación de malware keylogger para evitar el acceso a los datos escritos con el teclado.
- Incorporación de funcionalidades que incrementan la seguridad al realizar operaciones on line (banca, compras, etc.)
- Almacenamiento y sincronización de contraseñas.
- Cifrado de archivos considerados confidenciales.
- Control parental para evitar el acceso a espacios no recomendados para menores o para filtrar la compartición de datos personales.
- En el caso de los dispositivos móviles, existe alguna funcionalidad adicionales. Muchas soluciones antimalware incluyen en este caso funciones de antirrobo como la localización del dispositivo o de privacidad y de seguridad como son las funcionalidades de autenticación o la autorización de acceso a información personal.
- En el caso de los servidores, se añaden otras que aprovechan la capacidad de procesamiento de estos dispositivos. Así, es común que las soluciones antimalware instaladas en servidores permitan también:
- Realizar acciones de detección y prevención de intrusos (IDS/IPS).
- Llevar a cabo la segmentación de tráfico habilitando funciones de firewall.
- Supervisar la integridad de archivos y registros del sistema.
- Inspeccionar los eventos de seguridad más importantes, que normalmente son luego integrados en sistemas SIEM (Security Information and Event Management).