Otra vez algo conocido
martes 21 de agosto de 2018
Una noticia de “línea roja” nos acaba de llamar la atención:
Las empresas comerciales compran con intensidad las soluciones antivirus de “la nueva generación” y las herramientas de detección de ciberataques sin archivos, pero no todos tienen recursos para su uso real
Trabajamos en una empresa que lleva más de 25 años desarrollando un antivirus, por lo cual nos interesa: ¿qué “soluciones antivirus” de “la nueva generación” y herramientas de detección de ciberataques sin archivos con? ¿Será que no nos enteramos de algo?
Por si acaso recordamos que un programa nocivo sin archivo (o sin cuerpo) no es un ente efímero único que no deja huellas en el sistema infectado. No, es un virus o un troyano ordinario que guarda su cuerpo no como archivo, sino, por ejemplo, en la rama del registro (que también es un archivo) o extrae su cuerpo antes de ser iniciado desde otro archivo.
El programa nocivo crea varias entradas en el registro de sistema: una contiene el cuerpo cifrado del troyano, la otra — un script para descifrar el mismo y cargar en la memoria del equipo. Los nombres de estas entradas incluyen los caracteres especiales ilegibles, por lo tanto, el programa estándar regedit no puede visualizarlos.
Por supuesto, cuantos más métodos de ocultación aplica el programa nocivo, tanto más difícil es detectarlo. Pero el antivirus suele poder detectar la infección.
Aunque Trojan.Kovter intenta funcionar de forma oculta en el equipo infectado, el escaneo del equipo por el Antivirus Dr.Web permite eliminar la infección.
Pero volvemos al artículo. Consultamos la fuente y comparamos las citas:
Original
Additionally, 49% have malware-less attack detection, but 38% have not implemented the capabilities.
Traducción
Un 49% de las empresas tienen los medios de detección de ciberataques sin archivos, pero un 38% tampoco lo usan para la protección de sus sistemas.
No son virus sin cuerpo, sino los ataques sin usar los virus. Así nacen las sensaciones y los analistas inventan las tendencias…
Pero ¿qué son las «soluciones antivirus de la “nueva generación”»?
El análisis mejorado y las herramientas de automatización. Los productos de la nueva generación tendrán no solamente el aprendizaje de máquina, sino también los medios de detección de comportamiento anormal.
«¿Los medios de detección de comportamiento anormal?» Es otra vez algo conocido, es la protección preventiva.
El mundo de antivirus recomienda
En cuanto a las «soluciones antivirus “de la nueva generación”»:
Si consultamos el listado, el control de aplicaciones, el sistema de supervisión y el control de acceso a Internet ya forman parte del antivirus moderno, al igual que los sistemas de supervision de comportamiento.
Recordamos haber mencionado que los “asesinos de antivirus” aparecen constantemente, pero luego las tecnologías de estos “asesinos” forman parte de los antivirus. Lo mismo pasará con los sistemas de análisis de comportamiento modernos, tales como SIEM, EDR etc. En cualquier caso, estos sistemas ya se llaman antivirus.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
razgen
22:42:57 2018-08-21
Неуёмный Обыватель
13:39:28 2018-08-21
vasvet
05:43:40 2018-08-21