¿A las corporaciones les gustan los productos antivirus actuales que usan? ¿Cuáles serían las características perfectas del software antivirus que las actuales no ofrecen?

La respuesta afirmativa o negativa a esta pregunta es No, a las corporaciones no les gustan sus productos de seguridad. Ahora, analicemos por qué. Algunas observaciones son obvias, otras son intuitivas y otras aún son sutiles.

El problema infosec no es una cuestión de características, es un problema de ofensiva y defensa asimétrica. Este tipo de problema crea consecuencias no deseadas que no son tolerables en comparación con el beneficio de la informática abierta. Ejemplos incluyen

* AV en máquinas que compilan y compilan código, que generalmente tiene un impacto de más del 30% en el rendimiento en el trabajo que se supone que deben hacer.

* WAF y “firewalls de próxima generación” que reducen el rendimiento de su red a la mitad de lo que realmente pagó.

* Heurísticas que son tan defectuosas como los ingenieros que las escriben.

* Aprendizaje automático que es tan bueno como los conjuntos de entrenamiento que les proporciona.

* Y la creencia persistente de que hay una característica que puede resolver el problema de seguridad infosec.

La dura verdad es que esto sigue siendo un problema * humano *. Como se mencionó en un póster anterior, si deja una unidad USB en un estacionamiento, terminará en la computadora de alguien. Si le envío un enlace a alguien, se hará clic en él. Si encuentra datos binarios, se auto modificará y se ofuscará de formas nuevas y novedosas.

Ninguna de esas observaciones requiere una solución técnica. Análogo al hecho de que no tienes que usar armadura para caminar a la tienda. La respuesta es increíblemente aburrida y peatonal.

Conciencia situacional, compartimentación, planes de recuperación y aceptación.

Sí, la educación y la preparación vencerán a cualquier producto AV o de seguridad cualquier día de la semana. Y eso no significa simplemente conocer los términos “Clasificadores Bayesianos”, “cálculos de entropía”, “desempacadores universales” o cualquier término en boga (No me hagas empezar con la IA).

Un AV perfecto es exactamente como un barco insumergible.

Las corporaciones manejan la seguridad de manera diferente a los consumidores típicos. En muchos sentidos, los programas antivirus reales utilizados en los clientes tienen poca o ninguna consecuencia, siempre que se utilicen y sigan otros productos y procedimientos. Así es como las corporaciones manejan la seguridad.

• Antivirus de red: las empresas suelen tener un gran antivirus ejecutándose justo antes de su puerta de enlace predeterminada para detectar y erradicar virus antes de que tengan la oportunidad de infectar a los clientes.
• Firewall de red: un firewall no necesariamente detendrá todos los virus, pero evitará que algunos virus entreguen cargas útiles, abriendo la seguridad e incluso propagándose de una máquina a otra.
• También se debe tener en cuenta que los antivirus de red y los firewalls de red también ayudan a proteger los dispositivos móviles.
• Antivirus y cortafuegos del cliente: igual que las versiones de red, pero que se ejecuta en máquinas cliente individuales. Esta es su seguridad básica que la mayoría de los consumidores deberían ejecutar.
• Políticas corporativas: cosas como sacar máquinas infectadas de la red, deshabilitar las unidades de memoria usb y evitar la instalación no autorizada de programas pueden ayudar a proteger contra la falta de sentido común que es tan común entre los usuarios de computadoras hoy en día.
• Nota al margen interesante: cuando se dejan unidades usb aleatorias en estacionamientos en Washington DC, el 97% encontró su camino en las computadoras del gobierno. Ahora ya sabe por qué su empresa desactiva las unidades de memoria USB.
• Perfiles remotos y archivos compartidos remotos: la computadora física es menos importante para el cliente. Con perfiles remotos y archivos compartidos remotos, un usuario puede iniciar sesión en una computadora diferente en otro lugar del dominio y continuar trabajando sin pérdida de productividad. Esto facilita la eliminación de computadoras a la primera señal de problemas, sin perder productividad.
• Congelación profunda: aunque ve esto más en entornos educativos, el software de congelación profunda permite que las computadoras se reinicien, automáticamente durante la noche. Dado que las corporaciones usan archivos remotos, nadie pierde datos en este proceso.
• Máquinas virtuales: ejecutan un sistema operativo dentro de un sistema operativo. Los hipervisores de nivel 1 permiten que los servidores se comparen para que una infección en una máquina virtual no afecte a las demás. Cada máquina virtual puede ejecutar un antivirus por separado. Las instantáneas también se pueden usar para restaurar rápidamente las máquinas vituales al estado no infectado. Los hipervisores de nivel 2 tienen todos los beneficios del nivel 1, excepto el rendimiento, pero permiten que un sistema operativo host también ejecute un antivirus.

Características que debe tener un nuevo antivirus:

Aprendizaje automático. Todos los productos antivirus que se ejecutan deben ser capaces de convertirse en un nodo en una red neuronal de patrones sin supervisión diseñada para detectar nuevos virus en la naturaleza. Esto no solo ayudaría a frenar la proliferación de nuevos virus, sino que mejoraría enormemente la heurística. También sería genial si este fuera un estándar abierto que pudiera integrarse en cualquier producto antivirus y permitir que todos compartan datos a través de una base de datos distribuida.

No he podido resolver su pregunta, ¿podría reformularla?

Gracias