El pasado mes de enero reflexionábamos sobre los modelos que emplean los productos antivirus. Por aquel entonces, me posicioné afirmando que soy de los que cree que los antivirus basados en firmas no son suficientes.
A poco que os hagáis con unas muestras recién salidas del horno y las paséis por el antivirus, veréis que la tasa de detección dista mucho de ser del 100%. Si llegamos al 75% es para darse con un canto en los dientes, tal y como está el mercado del malware en la actualidad, donde entre es posible encontrar productos con tasas más o menos altas, y productos con tasas muy bajas. El abanico entre máximos y mínimos es muy variopinto.
10 Consideraciones importantes al planificar una defensa antivirus
- Este tipo de defensas son siempre necesarias, sin apenas excepciones.
- Este tipo de defensas jamás garantiza el 100% de éxito en la detección
- El tiempo de actualización que transcurre entre la aparición de la pieza malware y la puesta a disposición de los usuarios de las firmas detectivas actualizadas es crítico. Es uno de los factores más importantes.
- Las amenazas víricas son muy variadas, así que es lógico pensar que las defensas que planteemos también deban sean variadas. Simplificando mucho, hablaremos de defensa perimetral (filtrados perimetrales en los servidores) y defensa de las estaciones de trabajo.
- La heurística es útil sólo si es eficiente. Si es una heurística pobre, más que una ayuda es un estorbo. Que un producto antivirus tenga motor heurístico no es garantía suficiente de que sea un buen producto antivirus.
- La defensa perimetral y la defensa de la estación de trabajo requieren estrategias distintas, y por tanto, suelen requerir productos distintos.
- A la hora de pensar en costes hay que tener en cuenta que éste es un campo donde no sólo hay pocas soluciones libres, sino que además, existen excelentes productos de pago. El coste es un factor importante, pero debe tenerse en cuenta que si hablamos de productos de seguridad, no siempre es cuestión de reemplazar las licencias por programas libres.
- Tan importante es reducir el riesgo de infección por muestras de reciente aparición como filtrar toda la basura que llega a los servidores (correo, especialmente) con muestras ya conocidas.
- Las vías más habituales de infección, si bien no son las únicas, son el correo electrónico, la mensajería instantánea, las descargas P2P y el tráfico web usual por http. Cada vía de infección tiene asociada un modelo de defensa óptimo.
- La mejor defensa antivirus que podamos tener son los hábitos saludables de uso de redes. No visitar páginas de dudosa credibilidad (descargas ilegales, warez, cracks, serials, productos milagrosos, etc.), no descargar la misma basura por P2P, gestionar bien el correo y no abrir mensajes sospechosos, instalar únicamente aplicaciones de confianza, mantener actualizado el equipo y en general, tener unas nociones de seguridad elementales, hacen que el riesgo de infección se reduzca a la mínima expresión.
Y dicho esto, vamos con las recomendaciones:
DISCLAIMER: Las recomendaciones que hago a continuación son recomendaciones personales. Es decir, hay que tomárselas como algo estrictamente basado en criterios subjetivos, y por tanto, no tienen po rqué ser las mejores combinaciones ni las más adecuadas para tu red. Para seleccionar una estrategia antivirus, lo más recomendable es acudir a servicios profesionales especializados en consultoría de este tipo, donde estudiarán de manera personalizada factores que aquí no se han tenido en cuenta. No mantengo relación alguna con los fabricantes aquí mencionados y no tengo nada en contra de los fabricantes no mencionados. Simple y llanamente, recomiendo lo que personalmente más me gusta.
- Estrategia antivirus para una red cliente-servidor Windows
- Estrategia antivirus para una red cliente-servidor UNIX
- Estrategia antivirus para una red cliente-servidor mixta con servidores UNIX y clientes Windows
- Estrategia antivirus para una red cliente-servidor mixta con servidores Windows y clientes UNIX
- Estrategia antivirus para un usuario doméstico Windows
- Estrategia antivirus para un usuario doméstico UNIX
- Estrategia antivirus para un usuario doméstico o corporativo Macintosh
-
Servidor/es: Primera línea de defensa perimetral con productos corporativos Kaspersky
Estaciones de trabajo: NOD32
Coste: Ambos productos requieren el pago de licencias
-
Servidor/es: Filtrado perimetral con Clam-AV
Estaciones de trabajo: No son necesarios si existe un filtrado perimetral previo.
Coste: Ninguno, es un producto GPL.
-
Servidor/es: Filtrado perimetral con Clam-AV
Estaciones de trabajo: Son buenas opciones tanto Kaspersky Antivirus (equipos potentes) como NOD32 (equipos menos potentes). Es recomendable incluso implementar mitad y mitad, es decir, si tenemos 20 terminales, instalar 10 licencias en de un producto y otras 10 de otro, para diversificar el riesgo.
Coste: Los productos citados para estación de trabajo requieren el pago de licencias.
-
Servidor/es: Primera línea de defensa perimetral con productos corporativos Kaspersky
Estaciones de trabajo: El filtrado perimetral es suficiente si la estación de trabajo es UNIX.
Coste: Los productos Kaspersky corporativos requieren el pago de licencias.
-
Estaciones de trabajo: NOD32 si el usuario tiene poca experiencia en seguridad. Otros productos como Avast, AVG y Antivir Home pueden ser recomendables si el usuario tiene nociones de seguridad.
Coste: NOD32 requiere el pago de una licencia. Los otros productos son gratuítos en sus versiones domésticas.
-
Estaciones de trabajo: Un usuario UNIX puede trabajar en su red doméstica sin motor antivirus sin apenas riesgos. Si se desea instalar un producto de filtrado, puedes recurrir a ClamAV
Coste: ClamAV es un producto GPL sin coste.
-
Estaciones de trabajo: Los riesgos por infección en Mac OS son raros, pero no por ello desdeñables. Con unos buenos hábitos de navegación, el riesgo es casi nulo, pero si queréis tener tranquilidad absoluta, podéis instalar Sophos para Mac OS.
Coste: Sophos es un producto que requiere el pago de licencias.
Como siempre, estáis invitados a comentar qué productos usáis, qué recomendáis vosotros y en general, cual es vuestra experiencia personal diseñando estrategias antivirus.
Un saludo 
Coincido en cuanto al Nod32 para usuario doméstico de pc (windows). Aunque un buen antivirus en manos de una persona poco preocupada… a veces no es suficiente.
Quizás añadiría para ese tipo de perfil el Kaspersky, pese a que consume algo más de memoria que el Nod32.
Comentario Autor: corsaria — 11 Noviembre 2006 @ 4:34 pm
Cachis, ha llegado el SIMO y no nos han invitado (asl menos a mí).
A lo que iba, subscribo al 100% el artículo.
En seguridad se ha de buscar siempre la EXCELENCIA, anteponiéndola a cualquier otra consideración como la gratuidad. Para un usuario casero, la licencia del NOD32 es/era de 29 euros/años, muy asequible. Para una empresa, un coste ridículo.
En cuanto al entorno Mac, “ni flowers” en el tema antivirus.
Debo ser uno de los usuarios más antiguos del NOD32 de ESET, desde Febrero del 2002, siempre con licencia gracias a Vicente Coll. No creo que nadie crea que por ese mínimo coste mi recomendación esté recomendada.
La semana pasada saltó el aviso de un troyano al acceder al CMS de una bitácora al que doy soporte amistoso. En la cuenta no está (resubí los ficheros y actualicé), así que debe ser cosa del servidor web, comprometido. Días antes saltó el aviso de seguridad del PHP 5, con la salida de la versión 5.2.0. Supongo que por ahí inyectaron “el bicho”. A día de hoy, el servidor web continúa siendo vulnerable, con PHP 5.1.6, con lo que cualquier día de éstos aparecerá en la lista de un “deface” de esos que llaman tanto la atención a los que bien poca idea tienen sobre seguridad (hoy mismo, dos anotaciones en mis seguimientos sobre la no necesidad de antivirus… “la ignorancia le hace a uno atrevido, digo”).
Pues eso, por muy cuidadoso que sea uno, son demasiados factores a tener en cuenta en esto de la seguridad en el entorno windows, así que no está de más tener siempre un buen antivirus residente, que monitorice el tráfico de los navegadores.
Ante la desidia de los demás, no hay que otra que protegerse.
Comentario Autor: maty — 11 Noviembre 2006 @ 6:14 pm
Yo en un entorno empresarial añadiría un par de puntos:
- Un tercer producto diferente a los otros para el servidor de correo.
- Haría especial hincapié en que es del todo imprescindible (tanto o más como la calidad del motor de detección) que el antivirus de los clientes windows dependa de una consóla centralizada desde la que se vigile el estado de los mismos: de nada te vale tener un buen antivirus en los clientes si no tienes alguna forma de vigilar de forma automática que está funcionando correctamente.
Comentario Autor: josemaria — 11 Noviembre 2006 @ 10:25 pm
Ya puestos, prohibir la navegación a: Outlook, Internet Explorer y Messenger. Windows es un S.O. inseguro, pero mucho más lo son sus aplicaciones por defecto. Existiendo aplicaciones sustitutivas y mejores, lo mejor es crear un CD de instalación con todos los parches a la última, y con lo anterior eliminado.
Aún así, el troyano está en un servidor linux, y accedí con mi querido K-Meleon Nauscópico (basado en Gecko, como Mozilla y Firefox), con navegación filtrada desde el proxy local Proxomitron (con mis filtros, compartidos), y con el módulo) IMON del antivirus NOD32 revisando el tráfico web, parando el bicho antes de que se guardase en la cache del navegador (en el disco duro), por lo que en ningún momento hubo infección. También lo guardo en cuarentena, para examinarlo (no doy más pistas, sólo que aparece en la lista de bichos del NOD32 de fecha mayo delo 2006).
PD: @ josemaria, la semana pasada comí la Merluza a la sidra que recomendaste. Como se puso tres guindillas y se rompieron… picaba!!! Plato único (al llevar las patatas). Suerte que después estaban los panellets caseros (sí, fue el 1 de noviembre). La próxima vez con una guindilla menos y sin romper, plato recomendado.
PD2: en Tarragona, a las guindillas se las llama, coloquialmente, “bitxos”.
Comentario Autor: maty — 12 Noviembre 2006 @ 12:01 pm
Yo para el tema de los parches uso WSUS, una de las mejores herramientas de la gente de Microsoft (indispensable, diría yo). Y gratis. Tengo un servidor en el que está instalado WSUS y la consólo de Trend OfficeScan que es el sistema antivirus que uso para los clientes. No lo he elegido yo (es una elección del CSIC) pero la verdad es que estoy muy contento con él.
Comentario Autor: josemaria — 12 Noviembre 2006 @ 3:10 pm
Y vaya… siento que picara la merluza (lo siento por el Off Topic Sergio ;-)). A mi esposa no le gusta tampoco la comida excesivamente picante y lo que hago es “vigilar” donde están y retirarlas de la cazuela antes de terminar la cocción para que no las coma por equivocación
Comentario Autor: josemaria — 12 Noviembre 2006 @ 3:11 pm
[...] Recently, I read a nice post (Spanish only) published by Sergio Hernando. After reading it, I decided to go on and write my own personal opinions on security and anti-virus software. In this particular case, while being unusual, I disagree with some of the points made in this post [...]
Pingback Autor: Felipe Alfaro Solana » Blog Archive » Anti-virus — 12 Noviembre 2006 @ 11:38 pm
Esto es lo que pienso al respecto de los anti-virus:
http://felipe-alfaro.org/blog/2006/11/13/anti-virus/
Comentario Autor: Felipe Alfaro Solana — 13 Noviembre 2006 @ 12:40 am
Enlazando 5
Una selección de cosillas apetitosas para leer.
» Software gratuito y libre para Mac OSX. » Interesante entrevista a…
Trackbacks Autor: corsaria — 19 Noviembre 2006 @ 11:36 am
Felipe,
Las conclusiones a las que llegas son ciertas, y no las voy a discutir. Pero no son aplicables en el 100% de los escenarios, como tampoco es real, y cito un mero ejemplo, pedirle a todos los propietarios de coche que revisen niveles una vez a la semana, ya que muchos no saben ni abrir el capó, ni saben qué niveles mirar, ni saben cuáles son los niveles aconsejables.
El escenario que planteo es aquel donde no queda más remedio que tirar de políticas reactivas, lo que por desgracia, suele ser el habitual.
Saludos,
Comentario Autor: Sergio Hernando — 19 Noviembre 2006 @ 11:44 am
GuÃa para elegir productos antivirus para redes y estaciones de trabajo Windows, Mac y UNIX
Recomendaciones de un experto español en seguridad informática (ex-Hispasec) sobre cuales son las mejores formas de seleccionar las soluciones antivirus a implementar en distintos entornos de trabajo, tanto corporativos como personales.
Trackbacks Autor: meneame.net — 22 Noviembre 2006 @ 3:58 pm