Hasta ahora, los sistemas de protección contra malware (los antivirus) detectaban en el mejor de los casos el 90% de los virus. Es decir que de los 300.000 virus que aparecían por día, eran detectados como máximo 270.000. Qué se hace con los restantes 30.000 que aparecen a diario? Simplemente no se detectan, e infectan los sistemas!
Otra cifra interesante es el tiempo promedio de demora de detección de un malware instalado en una máquina (y no detectado por los antivirus), es tiempo es de aproximadamente unos 200 días. El inconveniente es que para detectar un virus, es necesario conocerlo antes de que ataque!, ya que los sistemas de “heurística” nunca fueron demasiado eficientes.
Esto es la época de los antivirus… Hoy en día, con los nuevos sistemas de protección de endpoints denominados EDR (Endpoint Detection and Response), con sus novedosas técnicas de detección, son completamente diferentes. Las probabilidades de detección real llegan hasta el 100% del malware, y con solamente el 0,1% de falsos positivos.
Hoy ya no se detectan firmas de virus, ejecutables, scripts, etc. conocidos o con características conocidas, sino que lo que se detectan son comportamientos en niveles más bajos de los sistemas, es decir directamente en el kernel.
El concepto es simple. Para detectar virus hace falta crear una vacuna para cada uno de ellos. Hoy en día existen unos 800 millones de virus dando vuelta por la red, por lo que las empresas antivirus deben estar creando esas vacunas constantemente y los miles de millones de usuarios descargándolas en forma de actualizaciones todo el tiempo. Sin embargo, si se analiza el comportamiento a nivel kernel de los 800 millones de virus, se podrá ver que TODOS se comportarán de una veintena de formas diferentes. Entonces, si se analiza el comportamiento en tiempo real de todos los ejecutables en una máquina, el que se comporte de alguna de esas maneras, será clasificado indudablemente como malware.
Eso tiene dos efectos benéficos fundamentales. Primero: la actualización constante de los antivirus ya no es necesaria. Segundo: los 30.000 virus desconocidos que aparecen cada día, se van a comportar de alguna de esas 20 maneras que conoce el EDR, por lo que es prácticamente imposible no detectarlos. Esta función sería la “D” de EDR, es decir la Detección. Pero el EDR también tiene una “R” de Respuesta. Dado que el agente se ejecuta a nivel de kernel, tiene la capacidad de bloquear comportamientos maliciosos.
Por lo que en forma automática y casi sin intervención humana, los EDR detectan virus conocidos y desconocidos y los bloquean en tiempo real.
Sólo para el final, nos faltó hablar de la “E” de EDR, el Endpoint. En algunos casos se establece Endpoint como estación de trabajo del usuario, y eso es parcialmente correcto. Un Endpoint es un punto final de una comunicación, puede ser una estación de trabajo pero puede ser también un servidor. Es más, es casi más importante la labor de los EDR en los servidores que en los equipos de los usuarios.
Como siempre, en el mercado existen algunas variantes a esta tecnología. Algunas son simplemente evoluciones de las viejos motores de antivirus, complejos, pesados y a la luz de la nueva tecnología, ineficientes. Otras desarrollan componentes totalmente novedosos, livianos, rápidos y hasta con indicadores sorprendentemente buenas como la probabilidad de detección del 100% y la probabilidad de falsos positivos del 1/1000.
Tan eficiente y buena es esta nueva tecnología, que hasta el mercado la bautizó con un nuevo término: NGAV o Next Generation Antivirus.
Tan eficiente y buena es esta nueva tecnología, que hasta el mercado la bautizó con un nuevo término: NGAV o Next Generation Antivirus.
