24 horas en los Labs de Panda Security

La tarea incansable de la Inteligencia Colectiva y, en general de los Panda Labs es procesar con mecanismos propios y externos todas las muestras de malware que aparecen en cualquier rincón del planeta. Unos procedimientos que detectan los rasgos de comportamiento del malware y, también, del goodware, del código bueno.

Una vez obtenidos estos ‘genes’, los buenos y los malos, se correlacionan con diferentes algoritmos y se vuelve a enviar a los clientes, que una vez más devuelven información en forma de comportamiento. Y recordemos que no se trata de uno ni de dos, hablamos de millones. De hecho hay todo un equipo de investigación dedicado exclusivamente a determinar cuáles son los mejores algoritmos de procesamiento de esos datos para toma de decisiones y para generar unos resultados que han de ser muy precisos, no son admisibles los falsos positivos; el detectar mucho y bien pero decir que notepad o el Excel son malware. Una tarea nada fácil porque no hablamos de un par de aplicaciones, son también millones. Los órdenes de magnitud complican también el dar la solución a los problemas y garantizar la seguridad.

Vigilancia, Detección, Entregables y Aplicaciones

Los Panda Labs están estructurados en cuatro áreas o departamentos: Vigilancia, Detección, Genéricos y Tecnologías. Los tres primeros directamente encargados del ciclo de vida del malware, desde que se recibe hasta que se le da respuesta y el cuarto, el de Aplicaciones, especializado en dar el soporte en las automatizaciones.

• Vigilancia

El departamento de Vigilancia de malware son los ojos de Panda Labs. Dos son sus funciones básicas: monitorizar todos los sensores, los ‘honey pots’ y los ‘honey monkeys’ y ver lo que sucede en el mundo. Aparte de fuentes propias, tiene estrechas relaciones con profesionales y expertos del mundo de la seguridad: todos comparten en mayor o menor media la información en un excelente ejemplo de ‘coopetition’. Las empresas de seguridad TI compiten entre ellas pero, sobre todo, batallan contra los creadores de malware.

Otra función de Vigilancia es garantizar la recepción de todas las muestras de malware. Esas muestras, una vez aseguradas, pasan al departamento de Detección donde se analizan primero para determinar si son malware o goodware y en caso de que sean dañinos, encuentran las características que los definen y que permiten identificar la firma para ese malware; es decir, la huella dactilar o el patrón genético con el que ya puedo identificar cualquier malware de ese tipo que encuentre.
Vigilancia trabaja en tres líneas distintas. La primera, conocida como 24x7 está permanentemente operativa. Su misión es garantizar los tiempos de respuesta ante incidencias críticas y responder a peticiones o consultas enviadas por los clientes de Panda. Aunque todo Panda Labs está enfocada a la detección, éste área tiene la responsabilidad adicional de garantizar tiempos de respuesta adecuados ante cualquier incidencia.

La segunda línea de acción la asume la sección de Genéricas en la que una vez que los de 24x7 han identificado y clasificado huellas digitales del malware, hacen una abstracción, consultan el histórico de lo detectado y encuentran patrones generales que, con menor firmas, permiten cazar muchas más muestras de malware. Esto tiene unas evidentes ventajas en cuanto a eficiencia en consumo de espacio y, además, una vez encontrado un patrón detectar malware nuevo incluso sin haberlo recibido y procesado.

Finalmente está la línea de Tecnologías donde, valoradas las necesidades de las áreas anteriores y las técnicas del malware, se investigan nuevos mecanismos de firma para hacer frente a técnicas de ocultamiento o de infección. Una actividad muy relacionada con la línea de trabajo de Panda Research aunque más dedicada a acciones inmediatas y a dar respuestas rápidas.

• Detección, generación de entregables y aplicaciones

El departamento de Detección de Panda Labs procesa el malware detectado por el de Vigilancia. Un proceso que, en síntesis, es conocimiento del malware. Un conocimiento experto al que no pueden acceder los usuarios finales hasta que se procesa en un formato inteligible para los productos y soluciones de Panda Security.

De eso se encarga un área, la de Generación de Entregables, que es el que crea los ficheros de firmas destinados a actualizar los antivirus. En líneas generales lo que hace esa base de conocimiento es empaquetarla en un formato entendible por las aplicaciones y entregarlo a los clientes de Panda para que puedan reconocer las formas. Esta base es la que se complementa con el conocimiento online en la ‘nube’.

Otra labor del departamento de Entregables es la del grupo que actualiza la enciclopedia: otra base de conocimiento que divulga informaciones para usuarios, medios de comunicación, etc. dando esa visión más humana haciendo partícipes de lo que hacen este gusano, este troyano.

Este proceso de los tres departamentos. Vigilancia, detección y entregables están soportados por el departamento de aplicaciones que aportan los sistemas inteligentes y automatizados y que sean capaces de garantizar la más eficaz respuesta al malware.

Fichero de firma y conocimiento en la nube

El modelo de fichero de firmas tiene su eficacia en situaciones de falta de conexión con la nube. Funcionan en modo desconectado, incluyen el conocimiento del malware más probable y también los sistemas heurísticos, tanto estáticos como de análisis de comportamiento. Y las firmas genéricas. De esta forma, Panda Security ofrece un modelo completo de protección que, por un lado protege por firmas y, por otro, defiende por reglas o por sistemas inteligentes que son capaces de detectar nuevo malware sin necesidad de conocerlo.

La gran ventaja de la entrega de conocimientos desde la nube es que permite hacer antivirus mucho más pequeños porque no es necesario cargar con toda la mochila del fichero de firmas en todas las máquinas: menos consumo de memoria, de ancho de banda, etc.