Una nueva generación de antivirus y seguridad TI

No existe ninguna solución de seguridad capaz de identificar cada amenaza, bloquear cada ataque de tipo 'día cero' y limpiar los sistemas de las infraestructuras empresariales de todas y cada una de las múltiples variantes de virus que, desgraciadamente, existen y no dejan de aparecer. Pero con una absoluta transparencia en lo que se refiere al rendimiento, estado y política de seguridad del cliente, las compañías podrían tener la capacidad de identificar los problemas potenciales, incluso en aquellos casos en que la plataforma anti-malware no consigue identificarlos. La cuestión es proteger y tener los sistemas bajo control.

Los directivos de TI necesitan un profundo conocimiento del perfil de la seguridad de los sistemas que están bajo su control, con informes detallados de estado que van más allá de los registros de antivirus y antispyware. Estos informes deben identificar todo tipo de problemas potenciales como firewalls mal configurados, parches de sistemas operativos y aplicaciones no actualizadas o implementaciones erróneas de encriptación. Lo idóneo es que estos informes se correlacionen con los del resto de soluciones de seguridad y así posibilitar acciones de respuesta.

Las evaluaciones realizadas por eWEEK Labs de las soluciones Microsoft Forefront Client Security (FCS) y Kaspersky Anti Virus 6.0 indican que algunos de los de-sarrollos más interesantes nos llegan de suministradores que no son los tradicionales; se trata de nuevos proveedores que intentan solucionar el problema de la inseguridad, pero desde nuevos puntos de vista.

Durante años, un poderoso grupo de fabricantes de soluciones antivirus han copado la mayoría de los despliegues empresariales. Las soluciones procedentes de Panda Software, Symantec, McAfee, Trend Micro o Computer Associates han sido las dominantes, en parte porque estas empresas han desarrollado las plataformas de seguridad TI más efectivas para grandes empresas con herramientas para la centralización de control de políticas y distribución de firmas, así como por las funcionalidades de alertas.

Sin embargo, algunas de estas compañías, con el paso del tiempo, se han ido volviendo complacientes y sus tecnologías, estáticas. Puede que los esfuerzos de estos proveedores se hayan estancado por las dificultades inherentes a la propia dinámica del mercado y los retos que encierra una estrategia de adquisición de tecnologías como fuente principal de nuevas soluciones. En algunos casos, estas compa-ñías han experimentado dificultades al integrar las tecnologías adquiridas en su estructura empresarial.

Como ejemplo, el System Response Center de Symantec no ha mostrado cambios significativos entre la versión 7.5 de Norton Antivirus Solution, aparecida en el año 2000; y la 10.0 de 2007. Otros han intentado mejorar esta situación a través de adquisiciones claves. Sin embargo, la incorporación de nuevas tecnologías en una estructura corporativa conlleva tiempo y ajustes.

Mientras que los grandes se adaptan a las nuevas tecnologías, empezamos a ver en el mercado soluciones innovadoras de varias compañías que, hasta ahora, habían tenido poca experiencia en el área de seguridad. Estas herramientas merecen ser evaluadas como posibles alternativas por los administradores corporativos.

Para Kevin Hayden, responsable de seguridad TI de la compañía Analog Devices, la visibilidad de la infraestructura que gestiona es de suma importancia. Hayden requiere informes y alertas automatizadas con la información del sistema que él considera crítica. Por ejemplo, el acceso a las máquinas infectadas que se encuentran conectadas a la red, preferentemente a la posibilidad de llegar a los archivos infectados en determinadas máquinas.

Aunque Hayden se niega a revelar el nombre de su anterior proveedor de soluciones de seguridad, sí señala que éste ya no se veía capaz de proporcionarle lo que él requería. Actualmente, Analog está en proceso de migración a la nueva plataforma Forefront de Microsoft. FCS interopera con varios sistemas de gestión de Microsoft para proporcionar el nivel de rendimiento que Hayden desea: Active Directory y Windows Server Update Services para la distribución de software y políticas, y Microsoft Operations Manager y SQL Server, para la recopilación de datos y la generación de alertas e informes. Según Hayden, este conjunto de tecnologías permite definir un amplio perfil de seguridad en las infraestructuras, así como generar informes detallados sobre la infección de malware.

Durante la instalación de Forefront, Analog fue infectada con una nueva variante de malware, lo que presentó una clara oportunidad para realizar una comparativa entre la solución anterior, todavía instalada en algunas máquinas, y la nueva propuesta de Microsoft. Y Forefront, con su capacidad de generar informes y el soporte de servicios, superó con creces en eficacia a la solución anteriormente desplegada. Empresas de seguridad TI de menor dimensión, aunque muy especializadas y con gran experiencia en este ámbito, como Panda Software o Kaspersky, experimentan dificultades para entrar en el mercado de las grandes empresas por una cuestión de estrategia, marca o por estar enfocadas hacia pymes y usuario final.

A pesar de esa dificultad, la española Panda Software está logrando captar la atención de las grandes compa-ñías, gracias a renovados enfoques que conectan con lo que precisan esas empresas.

En concreto, la propuesta de Panda Software destaca por complementar las soluciones de seguridad ya instaladas en los puestos y servidores con auditorías periódicas de malware. Su servicio Malware Radar es la primera auditoría automatizada que encuentra y elimina el malware que escapa a las protecciones instaladas.

Según Bruno Rodríguez, director de la unidad de negocio Malware Radar de Panda, "los productos actuales detectan sólo una pequeña parte del malware creado cada día. Malware Radar permite detectar más amenazas que si escaneásemos una red con varios anti-malware a la vez".

Con otro enfoque, Kaspersky ha logrado consolidar un prestigio en el mercado de la seguridad gracias al desarrollo de herramientas para la detección automática de malware y de creación de firmas digitales.

Asimismo, al igual que Panda, cuenta con un experimentado equipo de respuesta rápida que promete la actualización de firmas cada hora. Frente o complementando a Microsoft, ambas compañías, con sus soluciones de auditoría, administración y gestión, de despliegue de paquetes y parches, y de creación de políticas y firmas, resultan una buena opción a tener en cuenta a la hora de definir estrategias de seguridad.

Microsoft se entrega a la causa de la seguridad

Para aquellas compañías que han elegido o quieren utilizar Active Directory Group Policy y Windows Server Update Services, Forefront es la solución óptima. En el caso de que se prefiera mantener un sistema multifabricante, debería evaluarse con cuidado, ya que Forefront incluye numerosos sistemas redundantes que podrían entrar en conflicto con los de-sarrollos de otras compañías.

Hay que reconocer que la capacidad de detección de Forefront no alcanza el nivel de productos de proveedores más especializados y, en algunos casos, puede producir complicaciones que impidan la ejecución de procesos de Forefront y reducir la eficacia.

No obstante, desde el punto de vista de la transparencia, capacidad y visibilidad, hay que dar a Forefront una calificación muy alta. El diseño modular del producto facilita segregar los parámetros de informes, la recopilación de datos y la definición de políticas. Esto permite que la red siga en funcionamiento, incluso cuando ésta se encuentra bajo los efectos de un 'ataque'. Forefront se suministra bajo un modelo de suscripción con tarifas para componentes de gestión y cliente. El precio de agente de cliente cuesta en torno a un euro por máquina y mes, mientras que el Security Management Console se suministra por 155 euros por mes. El precio de la consola incluye SQL Server 2005 y MOM (Microsoft Operations Manager) 2005.

Gestión eficaz

Las funcionalidades con respecto a la gestión de Forefront no presentan la integración y facilidad de uso que defiende Microsoft. De hecho, cuando el administrador va intercalando las consolas de Active Directory, WSUS, MOM y Forefront, la sensación llega a ser un tanto confusa.

Sin embargo, hay opiniones, como la de Kevin Hayden de Analog Devices, que no están de acuerdo o que minimizan ese aparente problema. Así, Hayden afirma que su equipo no necesita utilizar la consola MOM, salvo en casos de aislamiento ante un ataque: Lo que sí es cierto es que Forefront requiere varios componentes de software, lo que implica que los administradores han de planificar el proceso de agregación de hardware en sus despliegues. Para una configuración que incorpore todos los elementos de la plataforma FCS en un único servidor, Microsoft recomienda, por lo menos, un servidor con dos procesadores de 2,85 GHz y 4 Gb de RAM. Los componentes de Forefront se pueden repartir entre seis servidores, para separar los componentes de informes, recopilación de datos, gestión y distribución, así como para las bases de datos y de informes. Para nuestras pruebas configuramos dos servidores utilizando uno para WSUS 2.0 y el otro para los demás componentes.

Para desplegar Forefront en los distintos clientes es necesario pasar por la consola FCS Management y crear las políticas de seguridad que controlarán los procesos. Las políticas de seguridad permiten definir la activación de defensas antivirus o antispyware, la iniciación de detecciones heurísticas o la creación de exenciones. Asimismo, pudimos definir una monitorización periódica para comprobar el estado de los parches.

Al finalizar la definición de políticas, los componentes se despliegan a través del Active Directory. Desde la consola de Forefront, asignamos una de las políticas definidas a un Grupo de Seguridad, que a su vez crea un nuevo GPO (objeto de política de grupo), que consiste en los cambios que se han producido en el registro central con un redireccionamiento a Active Directory.