#1 ¿Cuándo y cómo se detecta una amenaza?
¿Cuándo y cómo se detecta una amenaza?
Cuando se menciona que tal o cual empresa antivirus es capaz de encontrar o eliminar algún código dañino (mencionando su nombre) sin duda esto hará sentir orgulloso a la casa antivirus y también a sus usuarios que se sentirán protegidos por el producto elegido.
Pero, ¿cuándo y de qué manera un antivirus comienza a detectar una amenaza determinada?
Esta pregunta acepta varias respuestas y, algunas de ellas, pueden darse en conjunto dependiendo del momento, la amenaza o el antivirus que se trate.
Ante todo, y como se mencionó cuando se habló de Heurística en los antivirus, existen diversas técnicas y procedimientos para lograr la detección de una amenaza y esto influirá directamente en el tiempo empleado en la casa antivirus para comenzar a detectar dicha amenaza.
También es importante el hecho de que cada laboratorio recibe muestras del programa dañino en distintos momentos, lo cual afectará el momento de lanzamiento de la firma que detectará el malware. Además, cada laboratorio puede recibir muestras distintas de amenazas semejantes o con gran cantidad de variantes, influyendo en el tiempo de análisis y en el nombre elegido para cada uno de ellos.
Estos dos últimos puntos, la cantidad de variantes y el nombre, juegan un papel preponderante en la actualidad. No es lo mismo analizar y detectar cien amenazas genéricamente y con un nombre; que analizar y detectar cien amenazas, bautizar a cada una de ellas y agregarlas todas a la base de datos de detección del antivirus. Esta última opción seguramente repercutirá negativamente en cuestiones tales como cantidad de actualizaciones necesarias, tamaño de las mismas, e incluso puede afectar el rendimiento del equipo informático.
En cambio, detectar genéricamente y en forma inteligente es una solución mucho más eficienteque beneficiará al usuario protegiéndolo desde el primer momento.
¿Es esto posible? Sí, con la detección Heurística esta posibilidad existe, es real y efectiva. Con menos requerimiento de actualizaciones, se puede lograr una detección temprana más rápida y amplia.
El usuario no necesita conocer el nombre de un código dañino luego de infectarse; el usuario simplemente necesita no infectarse y para ello se analiza un caso en particular en donde deja de importar el nombre de una amenaza y toma relevancia el momento de detección de la misma.
Este suceso ocurrió el 22 de octubre de 2006 en donde ESET NOD32 fue capaz de detectar decenas de variantes del gusano Stration sin actualizar su base de datos de firmas y protegiendo al usuario en todo momento.
En la siguiente imagen puede verse qué ocurrió con el código dañino detectado como “variant of Win32/Stration virus”.
A las 18 horas,una gran cantidad de distintos gusanos comenzaron a reproducirse por correo electrónico. En ese momento, estas amenazas fueron detectadas por ESET NOD32, como variantes de un Stration ya existente. Esto no requiere de actualización de firmas y por ende, la detección es inmediata sin intervención del laboratorio antivirus ni del usuario.
A las 20 horas, este malware fue agregado a las firmas y se comienza a detectar como Stration.KG. Por ende, la cantidad de detecciones por Heurística disminuyen casi a cero.
A las 23 horas, el ciclo se repite detectando otra variante del mismo gusano. A las 10 hs. del día siguiente, la curva de detección por Heurística comienza a decrecer debido a que este gusano comienza a ser detectado bajo el nombre de Stration KL.
En ese momento, las curvas de crecimiento de las variantes KG y KL de Stration eran directamente inversas a las mostradas en el gráfico anterior.
Volviendo a la pregunta original, es poco importante el momento en que el código dañino comienza a ser detectado por firma/nombre, pero adquiere relevancia el momento en donde la amenaza en sí misma comienza a ser detectada como tal (a las 18 hs y a las 23, respectivamente), ya que desde ese preciso momento puede estar causando daño al usuario. Queda claro entonces que el nombre que se le asigne a una amenaza es secundario si la misma ya es bloqueada por antelación.
Cuando se habla de seguridad y más específicamente de antivirus y de proteger al usuario, sin duda el tiempo de respuesta es uno de los factores más importantes a tener en cuenta. Si este tiempo es bajo (tendiendo a cero) la solución planteada será la más correcta.
Copyright © ESET, LLC. Este artículo se encuentra bajo licencia Creative Commons de Atribución, No Comercial y Compartir Obras Derivadas Igual. (by-nc-sa).
Cuando se menciona que tal o cual empresa antivirus es capaz de encontrar o eliminar algún código dañino (mencionando su nombre) sin duda esto hará sentir orgulloso a la casa antivirus y también a sus usuarios que se sentirán protegidos por el producto elegido.
Pero, ¿cuándo y de qué manera un antivirus comienza a detectar una amenaza determinada?
Esta pregunta acepta varias respuestas y, algunas de ellas, pueden darse en conjunto dependiendo del momento, la amenaza o el antivirus que se trate.
Ante todo, y como se mencionó cuando se habló de Heurística en los antivirus, existen diversas técnicas y procedimientos para lograr la detección de una amenaza y esto influirá directamente en el tiempo empleado en la casa antivirus para comenzar a detectar dicha amenaza.
También es importante el hecho de que cada laboratorio recibe muestras del programa dañino en distintos momentos, lo cual afectará el momento de lanzamiento de la firma que detectará el malware. Además, cada laboratorio puede recibir muestras distintas de amenazas semejantes o con gran cantidad de variantes, influyendo en el tiempo de análisis y en el nombre elegido para cada uno de ellos.
Estos dos últimos puntos, la cantidad de variantes y el nombre, juegan un papel preponderante en la actualidad. No es lo mismo analizar y detectar cien amenazas genéricamente y con un nombre; que analizar y detectar cien amenazas, bautizar a cada una de ellas y agregarlas todas a la base de datos de detección del antivirus. Esta última opción seguramente repercutirá negativamente en cuestiones tales como cantidad de actualizaciones necesarias, tamaño de las mismas, e incluso puede afectar el rendimiento del equipo informático.
En cambio, detectar genéricamente y en forma inteligente es una solución mucho más eficienteque beneficiará al usuario protegiéndolo desde el primer momento.
¿Es esto posible? Sí, con la detección Heurística esta posibilidad existe, es real y efectiva. Con menos requerimiento de actualizaciones, se puede lograr una detección temprana más rápida y amplia.
El usuario no necesita conocer el nombre de un código dañino luego de infectarse; el usuario simplemente necesita no infectarse y para ello se analiza un caso en particular en donde deja de importar el nombre de una amenaza y toma relevancia el momento de detección de la misma.
Este suceso ocurrió el 22 de octubre de 2006 en donde ESET NOD32 fue capaz de detectar decenas de variantes del gusano Stration sin actualizar su base de datos de firmas y protegiendo al usuario en todo momento.
En la siguiente imagen puede verse qué ocurrió con el código dañino detectado como “variant of Win32/Stration virus”.
A las 18 horas,una gran cantidad de distintos gusanos comenzaron a reproducirse por correo electrónico. En ese momento, estas amenazas fueron detectadas por ESET NOD32, como variantes de un Stration ya existente. Esto no requiere de actualización de firmas y por ende, la detección es inmediata sin intervención del laboratorio antivirus ni del usuario.
A las 20 horas, este malware fue agregado a las firmas y se comienza a detectar como Stration.KG. Por ende, la cantidad de detecciones por Heurística disminuyen casi a cero.
A las 23 horas, el ciclo se repite detectando otra variante del mismo gusano. A las 10 hs. del día siguiente, la curva de detección por Heurística comienza a decrecer debido a que este gusano comienza a ser detectado bajo el nombre de Stration KL.
En ese momento, las curvas de crecimiento de las variantes KG y KL de Stration eran directamente inversas a las mostradas en el gráfico anterior.
Volviendo a la pregunta original, es poco importante el momento en que el código dañino comienza a ser detectado por firma/nombre, pero adquiere relevancia el momento en donde la amenaza en sí misma comienza a ser detectada como tal (a las 18 hs y a las 23, respectivamente), ya que desde ese preciso momento puede estar causando daño al usuario. Queda claro entonces que el nombre que se le asigne a una amenaza es secundario si la misma ya es bloqueada por antelación.
Cuando se habla de seguridad y más específicamente de antivirus y de proteger al usuario, sin duda el tiempo de respuesta es uno de los factores más importantes a tener en cuenta. Si este tiempo es bajo (tendiendo a cero) la solución planteada será la más correcta.
0
