El pasado mes de enero reflexionábamos sobre los modelos que emplean los productos antivirus. Por aquel entonces, me posicioné afirmando que soy de los que cree que los antivirus basados en firmas no son suficientes.
A poco que os hagáis con unas muestras recién salidas del horno y las paséis por el antivirus, veréis que la tasa de detección dista mucho de ser del 100%. Si llegamos al 75% es para darse con un canto en los dientes, tal y como está el mercado del malware en la actualidad, donde entre es posible encontrar productos con tasas más o menos altas, y productos con tasas muy bajas. El abanico entre máximos y mínimos es muy variopinto.
10 Consideraciones importantes al planificar una defensa antivirus
- Este tipo de defensas son siempre necesarias, sin apenas excepciones.
- Este tipo de defensas jamás garantiza el 100% de éxito en la detección
- El tiempo de actualización que transcurre entre la aparición de la pieza malware y la puesta a disposición de los usuarios de las firmas detectivas actualizadas es crítico. Es uno de los factores más importantes.
- Las amenazas víricas son muy variadas, así que es lógico pensar que las defensas que planteemos también deban sean variadas. Simplificando mucho, hablaremos de defensa perimetral (filtrados perimetrales en los servidores) y defensa de las estaciones de trabajo.
- La heurística es útil sólo si es eficiente. Si es una heurística pobre, más que una ayuda es un estorbo. Que un producto antivirus tenga motor heurístico no es garantía suficiente de que sea un buen producto antivirus.
- La defensa perimetral y la defensa de la estación de trabajo requieren estrategias distintas, y por tanto, suelen requerir productos distintos.
- A la hora de pensar en costes hay que tener en cuenta que éste es un campo donde no sólo hay pocas soluciones libres, sino que además, existen excelentes productos de pago. El coste es un factor importante, pero debe tenerse en cuenta que si hablamos de productos de seguridad, no siempre es cuestión de reemplazar las licencias por programas libres.
- Tan importante es reducir el riesgo de infección por muestras de reciente aparición como filtrar toda la basura que llega a los servidores (correo, especialmente) con muestras ya conocidas.
- Las vías más habituales de infección, si bien no son las únicas, son el correo electrónico, la mensajería instantánea, las descargas P2P y el tráfico web usual por http. Cada vía de infección tiene asociada un modelo de defensa óptimo.
- La mejor defensa antivirus que podamos tener son los hábitos saludables de uso de redes. No visitar páginas de dudosa credibilidad (descargas ilegales, warez, cracks, serials, productos milagrosos, etc.), no descargar la misma basura por P2P, gestionar bien el correo y no abrir mensajes sospechosos, instalar únicamente aplicaciones de confianza, mantener actualizado el equipo y en general, tener unas nociones de seguridad elementales, hacen que el riesgo de infección se reduzca a la mínima expresión.
Y dicho esto, vamos con las recomendaciones:
DISCLAIMER: Las recomendaciones que hago a continuación son recomendaciones personales. Es decir, hay que tomárselas como algo estrictamente basado en criterios subjetivos, y por tanto, no tienen po rqué ser las mejores combinaciones ni las más adecuadas para tu red. Para seleccionar una estrategia antivirus, lo más recomendable es acudir a servicios profesionales especializados en consultoría de este tipo, donde estudiarán de manera personalizada factores que aquí no se han tenido en cuenta. No mantengo relación alguna con los fabricantes aquí mencionados y no tengo nada en contra de los fabricantes no mencionados. Simple y llanamente, recomiendo lo que personalmente más me gusta.
- Estrategia antivirus para una red cliente-servidor Windows
- Estrategia antivirus para una red cliente-servidor UNIX
- Estrategia antivirus para una red cliente-servidor mixta con servidores UNIX y clientes Windows
- Estrategia antivirus para una red cliente-servidor mixta con servidores Windows y clientes UNIX
- Estrategia antivirus para un usuario doméstico Windows
- Estrategia antivirus para un usuario doméstico UNIX
- Estrategia antivirus para un usuario doméstico o corporativo Macintosh
-
Servidor/es: Primera línea de defensa perimetral con productos corporativos Kaspersky
Estaciones de trabajo: NOD32
Coste: Ambos productos requieren el pago de licencias
-
Servidor/es: Filtrado perimetral con Clam-AV
Estaciones de trabajo: No son necesarios si existe un filtrado perimetral previo.
Coste: Ninguno, es un producto GPL.
-
Servidor/es: Filtrado perimetral con Clam-AV
Estaciones de trabajo: Son buenas opciones tanto Kaspersky Antivirus (equipos potentes) como NOD32 (equipos menos potentes). Es recomendable incluso implementar mitad y mitad, es decir, si tenemos 20 terminales, instalar 10 licencias en de un producto y otras 10 de otro, para diversificar el riesgo.
Coste: Los productos citados para estación de trabajo requieren el pago de licencias.
-
Servidor/es: Primera línea de defensa perimetral con productos corporativos Kaspersky
Estaciones de trabajo: El filtrado perimetral es suficiente si la estación de trabajo es UNIX.
Coste: Los productos Kaspersky corporativos requieren el pago de licencias.
-
Estaciones de trabajo: NOD32 si el usuario tiene poca experiencia en seguridad. Otros productos como Avast, AVG y Antivir Home pueden ser recomendables si el usuario tiene nociones de seguridad.
Coste: NOD32 requiere el pago de una licencia. Los otros productos son gratuítos en sus versiones domésticas.
-
Estaciones de trabajo: Un usuario UNIX puede trabajar en su red doméstica sin motor antivirus sin apenas riesgos. Si se desea instalar un producto de filtrado, puedes recurrir a ClamAV
Coste: ClamAV es un producto GPL sin coste.
-
Estaciones de trabajo: Los riesgos por infección en Mac OS son raros, pero no por ello desdeñables. Con unos buenos hábitos de navegación, el riesgo es casi nulo, pero si queréis tener tranquilidad absoluta, podéis instalar Sophos para Mac OS.
Coste: Sophos es un producto que requiere el pago de licencias.
Como siempre, estáis invitados a comentar qué productos usáis, qué recomendáis vosotros y en general, cual es vuestra experiencia personal diseñando estrategias antivirus.
Un saludo :)
Coincido en cuanto al Nod32 para usuario doméstico de pc (windows). Aunque un buen antivirus en manos de una persona poco preocupada… a veces no es suficiente. ;-)
Quizás añadiría para ese tipo de perfil el Kaspersky, pese a que consume algo más de memoria que el Nod32. :-)
Cachis, ha llegado el SIMO y no nos han invitado (asl menos a mí).
A lo que iba, subscribo al 100% el artículo.
En seguridad se ha de buscar siempre la EXCELENCIA, anteponiéndola a cualquier otra consideración como la gratuidad. Para un usuario casero, la licencia del NOD32 es/era de 29 euros/años, muy asequible. Para una empresa, un coste ridículo.
En cuanto al entorno Mac, «ni flowers» en el tema antivirus.
Debo ser uno de los usuarios más antiguos del NOD32 de ESET, desde Febrero del 2002, siempre con licencia gracias a Vicente Coll. No creo que nadie crea que por ese mínimo coste mi recomendación esté recomendada.
La semana pasada saltó el aviso de un troyano al acceder al CMS de una bitácora al que doy soporte amistoso. En la cuenta no está (resubí los ficheros y actualicé), así que debe ser cosa del servidor web, comprometido. Días antes saltó el aviso de seguridad del PHP 5, con la salida de la versión 5.2.0. Supongo que por ahí inyectaron «el bicho». A día de hoy, el servidor web continúa siendo vulnerable, con PHP 5.1.6, con lo que cualquier día de éstos aparecerá en la lista de un «deface» de esos que llaman tanto la atención a los que bien poca idea tienen sobre seguridad (hoy mismo, dos anotaciones en mis seguimientos sobre la no necesidad de antivirus… «la ignorancia le hace a uno atrevido, digo»).
Pues eso, por muy cuidadoso que sea uno, son demasiados factores a tener en cuenta en esto de la seguridad en el entorno windows, así que no está de más tener siempre un buen antivirus residente, que monitorice el tráfico de los navegadores.
Ante la desidia de los demás, no hay que otra que protegerse.
Yo en un entorno empresarial añadiría un par de puntos:
– Un tercer producto diferente a los otros para el servidor de correo.
– Haría especial hincapié en que es del todo imprescindible (tanto o más como la calidad del motor de detección) que el antivirus de los clientes windows dependa de una consóla centralizada desde la que se vigile el estado de los mismos: de nada te vale tener un buen antivirus en los clientes si no tienes alguna forma de vigilar de forma automática que está funcionando correctamente.
Ya puestos, prohibir la navegación a: Outlook, Internet Explorer y Messenger. Windows es un S.O. inseguro, pero mucho más lo son sus aplicaciones por defecto. Existiendo aplicaciones sustitutivas y mejores, lo mejor es crear un CD de instalación con todos los parches a la última, y con lo anterior eliminado.
Aún así, el troyano está en un servidor linux, y accedí con mi querido K-Meleon Nauscópico (basado en Gecko, como Mozilla y Firefox), con navegación filtrada desde el proxy local Proxomitron (con mis filtros, compartidos), y con el módulo) IMON del antivirus NOD32 revisando el tráfico web, parando el bicho antes de que se guardase en la cache del navegador (en el disco duro), por lo que en ningún momento hubo infección. También lo guardo en cuarentena, para examinarlo (no doy más pistas, sólo que aparece en la lista de bichos del NOD32 de fecha mayo delo 2006).
PD: @ josemaria, la semana pasada comí la Merluza a la sidra que recomendaste. Como se puso tres guindillas y se rompieron… picaba!!! Plato único (al llevar las patatas). Suerte que después estaban los panellets caseros (sí, fue el 1 de noviembre). La próxima vez con una guindilla menos y sin romper, plato recomendado.
PD2: en Tarragona, a las guindillas se las llama, coloquialmente, «bitxos».
Yo para el tema de los parches uso WSUS, una de las mejores herramientas de la gente de Microsoft (indispensable, diría yo). Y gratis. Tengo un servidor en el que está instalado WSUS y la consólo de Trend OfficeScan que es el sistema antivirus que uso para los clientes. No lo he elegido yo (es una elección del CSIC) pero la verdad es que estoy muy contento con él.
Y vaya… siento que picara la merluza (lo siento por el Off Topic Sergio ;-)). A mi esposa no le gusta tampoco la comida excesivamente picante y lo que hago es «vigilar» donde están y retirarlas de la cazuela antes de terminar la cocción para que no las coma por equivocación
Esto es lo que pienso al respecto de los anti-virus:
http://felipe-alfaro.org/blog/2006/11/13/anti-virus/
:-)
Felipe,
Las conclusiones a las que llegas son ciertas, y no las voy a discutir. Pero no son aplicables en el 100% de los escenarios, como tampoco es real, y cito un mero ejemplo, pedirle a todos los propietarios de coche que revisen niveles una vez a la semana, ya que muchos no saben ni abrir el capó, ni saben qué niveles mirar, ni saben cuáles son los niveles aconsejables.
El escenario que planteo es aquel donde no queda más remedio que tirar de políticas reactivas, lo que por desgracia, suele ser el habitual.
Saludos,
Triste, muy triste que una empresa del nivel de Mcafee haya cometido un error como el falso virus.
Pero lo más triste no es el error sino la ineficacia de cómo se ha dado solución a los clientes.
Una empresa se debe a sus clientes y vive de y para sus clientes.
Parece que Mcafee, o su personal, no tienen nada claro eso.
Muchos años pagando diferentes antivirus y al final uno se convence de que posiblemente Mcafee sea el mejor.
Tuve la desgracia de, nada más ni nada menos, que un día antes del día clave, comprar 5 licencias del en teoría mejor antivirus el Total protección”.
Un día más tarde, sí, un día más tarde me encuentro con el ordenador bloqueado por un virus.
¿Qué pensarían ustedes?
Rabioso, impotente… y sin ordenador.
Soy asesor de empresas, mi mundo es el ordenador el movil y el coche y el ordenador no funciona.
Después de mil llamadas y preguntas me encuentro con una empresa técnica que me da la solución y tras un formateo “buf” y un montón de ajustes y problemas conseguimos que el ordenador vuelva a funcionar.
Montón de horas, costes de técnicos……
Una vez completado el proceso me entero por un amigo que todo el problema era un “falso virus”
Sí, aunque no se lo crean todo el problema era nada más ni nada menos que del propio super antivirus Mcafee.
¿Qué creen ustedes que se puede pensar????
Reconozco que cualquier persona u empresa puede tener un fallo pero el problema no es el fallo sino como solucionarlo.
Con toda mi impotencia y rabia, escribo un fax a Mcafee reclamándole los gastos y que como mínimo procedan al reembolso de lo pagado como mínima compensación.
El personal de Mcafee decide por si mismo que anula las licencias y devuelve el dinero ¿¿?? Donde decía algo de eso???
¿eso es servicio??
No parece más lógico que después del problema dejar las licencias y como mínimo devolver el dinero por la cantada realizada????
Es solución dejar al cliente sin antivirus?????
Pues no, el personal de atención al cliente de McAfee da todo el rato largas, dice que no puede solucionar nada,……. una demostración de irresponsabilidad e incompetencia.
Conclusión: me aguanto con los gastos por culpa de Mcafee y por su incompetencia me quedo sin antivirus.
¡¡¡¡¡¡ Viva el servicio al cliente de Mcafee ¡!!!!
Han conseguido no solo que vea impotente sino encima que parezca tonto y estúpido.
¿Se puede tratar a un cliente con tanto desprecio e irresponsabilidad????
No sé que podré hacer pero me voy a encargar de ver todas las posibilidades con asociaciones de consumidores, abogados… para poder reclamar como mínimo los gastos que me han ocasionado.
Me voy a encargar que todos mis amigos, clientes, foros de Internet, … se enteren de su ineptitud y de su irresponsabilidad.
Sí, han conseguido que un cliente que estaba satisfecho y que aun y todo entendía el posible problema se queme y sea un cliente totalmente insatisfecho
Mira que era fácil haber tenido la decencia de haber compensado con el reembolso por la chapuza y seguir con el antivirus, pues no.
Y sí gracias a su ineptitud me voy a buscar otro antivirus antes de que me caduque el día 27 de este mes.
Jose María,
Lamento tu episodio. Este tipo de problemas está a la orden del día, y lamentablemente en los medios sólo se habla de la cara amable de la noticia (un fallo ya solucionado, el antivirus confundió tal cosa con un virus, etc). De los colaterales como el que tú comentas, se habla poco.
Yo desde estas líneas sólo puedo decirte que no creo que lo que te haya pasado sea resultado de la intencionalidad. Repasa las conficiones de tu licencia (es tu contrato con el proveedor) y a buen seguro verás que esto que te ha pasado está tipificado como posible escenario. No hay mucho que puedas hacer, me temo. Bueno sí, desear que cuando esto te vuelva a pasar te impacte lo mínimo, y eso incluye tener previsto que cualquier proveedor de TI, no sólo el del antivirus, te la puede liar en el momento menos pensado por un error como el que describes.
Espero sinceramente que tus experiencias venideras sean mejores.
Quisiera agregar dos programas antivirus, tambien es muy subjetivo lo mío, pero en mi experiencia de sistemas, estoy muy conforme.
1- Bitdefender
2- Comodo Internet Security Premium
El nro 2 lo he recontra probado y ha detectado malware que el Karspersky no. les aconsejo probarlo.