La protección proactiva como medio de defensa

La necesidad de implementar protección proactiva
contra las amenazas que circulan por Internet

Resumen general

Este documento técnico explica por qué la protección proactiva es un componente vital en los productos de seguridad informática actual. 
En él se describe cómo, mediante el uso inteligente de controles del comportamiento de las aplicaciones, es posible minimizar, si no eliminar, el impacto de las amenazas a la seguridad en línea.

El escenario de las amenazas

Las amenazas informáticas evolucionan casi a diario.
Nuevos virus, troyanos y otros programas maliciosos son escritos con el propósito de inmiscuirse en el uso seguro y productivo de Internet.
Las vulnerabilidades sin corregir [1], dejan los ordenadores abiertos a infecciones del tipo zero-day [*], que pueden causar serios daños en cuestión de horas desde su primera aparición en la Red. 

 Las amenazas zero-day son ataques que aparecen la víspera, o el mismo día en que se hace pública una vulnerabilidad de una aplicación.
La expresión deriva del número de días que pasan entre la publicación de la advertencia y el lanzamiento del ataque.

Los investigadores de seguridad informan que el volumen de amenazas ha aumentado considerablemente en los últimos cinco años, y afirman que para la detección basada en firmas es cada vez más difícil seguir el ritmo de los escritores de código malicioso.
Las herramientas disponibles para crear aplicaciones maliciosas personalizadas a partir de muestras de código, permiten que incluso programadores principiantes puedan generar sus propios programas dañinos.

Y los grupos de investigación de las empresas de seguridad son diminutos, comparados con el número de programadores que están “del lado oscuro”, trabajando en países populosos como China e India, incrementando las cifras de piratas y criminales cibernéticos.

El hecho de que los escritores de virus estén adoptando las mismas técnicas de control de calidad que los desarrolladores de aplicaciones contra código malicioso, también conspira contra una exitosa disminución de las amenazas.
Al probar sus últimas creaciones utilizando las últimas herramientas antivirus, los delincuentes logran permanecer un paso por delante.

Evidentemente, con una solución basada únicamente en el análisis de firmas, resulta casi imposible protegerse contra códigos maliciosos nuevos, modificados u ofuscados.
Los escritores de programas dañinos siempre podrán mantener un margen de superioridad sobre este tipo de defensa reactiva [2].

La necesidad de medidas adicionales

La protección reactiva es un componente importante en la protección contra el código malicioso, para identificar con precisión y eliminar amenazas conocidas. Sin embargo, es evidente la necesidad de una protección proactiva que pueda prevenir, en primer lugar, la ejecución de  programas no autorizados.

Al incorporar una protección proactiva, que monitorice la actividad de las aplicaciones, verifique con qué programas o componentes está permitido que se comunique una determinada aplicación, y analice cualquier intento de modificar el sistema operativo, los ordenadores estarán más protegidos contra actividades inapropiadas, y mejor preparados para prevenir infecciones en una etapa temprana.

Interactividad entre aplicaciones: una vulnerabilidad clave

Windows ofrece múltiples formas para que los programas interaccionen en un ordenador [3], y generalmente esta interactividad es legítima.
Las aplicaciones pueden compartir libremente componentes comunes, llamar y activar sus respectivos archivos ejecutables, y utilizar una cierta cantidad de diferentes desvíos para simplificar la interacción entre programas, y hacer que el usuario tenga una experiencia más ágil y conveniente al manejar su ordenador.
Como ejemplo, todo lo que hay que hacer para leer un documento PDF adjunto en un mensaje de correo electrónico, es pulsar sobre su icono, y el archivo se carga automáticamente en el visor predeterminado.
Si hubiera que guardar el documento en el disco, abrir Acrobat Reader, y cargar el archivo en esta aplicación, llevaría muchísimo más tiempo.    

Sin embargo, Windows también permite que suceda otro tipo de interacción un poco menos benigna, y esto constituye un importante riesgo de seguridad.
Las aplicaciones podrían ser autorizadas a ejecutar actividades maliciosas, desde secuestrar memoria para usar privilegios de otros programas con propósitos viles, hasta realizar modificaciones ilegales a la configuración de Windows.

Este tipo de interacción es absolutamente inaceptable, y debe ser controlada.
La mejor manera de hacerlo es utilizando herramientas específicamente diseñadas para monitorizar esta clase de actividades, y bloquear las operaciones ilegales antes de que estas puedan ser ejecutadas.

Casos de uso

El usuario típico de Windows está diariamente expuesto a múltiples ventanas de riesgo. Los principales vectores de ataque son: 

1. Descargas de código malicioso dirigidas, después de visitar un sitio web ilegítimo o comprometido que aloja un exploit [*] embebido, o ejecuta guiones maliciosos.

   Un exploit es un código escrito con el fin de aprovechar un error de programación y otras vulnerabilidades del sistema, para obtener diversos privilegios y realizar actividades maliciosas.

Esto puede suceder, por ejemplo, cuando una persona navega por Internet en busca de contenido popular, como protectores de pantalla, descargas de música o juegos en Java, y accidentalmente visita un sitio web corrupto que, de forma silenciosa, inyecta código malicioso en su navegador. Esta aplicación queda entonces comprometida, y podría filtrar la infección al ordenador.
Una víctima inocente, también podría ser conducida hacia sitios inescrupulosos a través del correo no solicitado, o la falsificación de páginas.

2. Ejecutar programas descargados de las redes de intercambio directo de archivos (peer-to-peer)

Es importante recordar que los archivos obtenidos de fuentes no confiables, no siempre son lo que parecen ser.
”Britney.mpg” no necesariamente será un vídeo musical de Britney Spears, y bien podría tratarse de un troyano.
Si este código malicioso es relativamente nuevo, es posible que las aplicaciones de seguridad tradicionales no lo detecten antes de que se ejecute.

3. Abrir archivos adjuntos infectados, o realizar descargas de enlaces enviados a través de aplicaciones de mensajería instantánea.

La propagación de virus a través del correo electrónico continúa siendo uno de los vectores de ataque más comunes, y los usuarios deberían ser cuidadosos al abrir documentos adjuntos.
Los archivos con extensiones .exe o sospechosas, deberían ser tratados con desconfianza a menos que los estemos esperando, el remitente sea conocido y podamos verificar su legitimidad telefónicamente o por otros medios no informáticos.

4. Ejecutar o instalar un archivo o programa aparentemente inocuo,
   que contiene carga maliciosa..

Cualquier componente de una aplicación descargada puede tener contenido viral. Los programas gratuitos (freeware) se destacan por contener programas espía embebidos en el código. Nunca hay que descargar nada desde un sitio de aplicaciones pirata (warez).   

La diferencia proactiva

En este contexto, ¿cómo es posible prevenir infecciones mediante protección proactiva? 

Debido a que la mayoría de las operaciones entre aplicaciones se llevan a cabo bajo la supervisión de herramientas que controlan la actividad de los programas, el usuario puede elegir qué acciones deberían estar permitidas y cuáles tendrían que ser bloqueadas.
De este modo, los usuarios pueden evitar la actividad no autorizada con antelación, monitorizándola proactivamente y previniendo que el código malicioso se active, comunique o propague por el ordenador protegido.
Los productos contra código malicioso con detección reactiva basada en firmas, no realizan estas tareas: todo lo que pueden hacer es desinfectar o eliminar objetos ya contaminados.

La solución de Outpost

Outpost Security Suite Pro incluye un modulo llamado Protección del equipo, que permite que los usuarios controlen la actividad de los programas, y limiten el rango de acción que puede realizar una aplicación.
Con la Protección del equipo, los usuarios pueden asignar políticas personalizadas a los programas, e incluso designar que aplicaciones podrán interaccionar con otras y alterar la configuración del sistema.
Esto, ayuda a prevenir la actividad no autorizada de cualquier programa en el ordenador, de modo que el análisis de búsqueda de código malicioso se convierte en un mecanismo de defensa secundario.

Los usuarios pueden decidir por su cuenta los tipos de actividad que el módulo debería monitorizar y controlar, y crear su propia lista de aplicaciones confiables.

Para ver este módulo en acción, y percibir realmente cómo puede combatir las amenazas de seguridad con solo monitorizar y advertir la existencia de comportamientos sospechosos, observe estos vídeos sobre la protección proactiva.

Conclusiones

La protección proactiva es un elemento clave de toda estrategia de defensa para los ordenadores de escritorio.
Gracias a la monitorización de comportamientos no autorizados, puede reducir radicalmente la susceptibilidad del ordenador a las amenazas informáticas, sin depender completamente de la integridad y precisión de las bases de datos de firmas.

[1] Un ejemplo de este tipo es la vulnerabilidad de los cursores animados de Windows (http://secunia.com/advisories/24659). La falla permite que un atacante acceda a los datos y ejecute código no autorizado en el ordenador de la víctima. Microsoft publicó un parche hace un tiempo, pero los usuarios continúan infectándose si no han actualizado sus sistemas.

[2]“Anti-Virus is Dead: Long Live Anti-Malware” ("Los antivirus han muerto: larga vida a las aplicaciones contra el código malicioso"): Esta investigación de Yankee Group se discute extensamente en un artículo de PC World.

[3] Asumiendo que el usuario está utilizando privilegios de administrador en Windows XP. En Windows Vista, el control de cuentas de usuario (UAC, User Account Control) está implementado para restringir un conjunto de acciones permitidas, sin aumentar los privilegios de los programas.