Como expliqué hace unos pocos meses en una sección del informe Tendencias 2017: La seguridad como rehén, hay una concepción en el mercado de la seguridad informática que últimamente está apareciendo con demasiada frecuencia en los medios de comunicación. Consiste en diferenciar dos tipos de tecnología de detección de malware: una de “primera generación” o “tradicional”, que según dicen se basa invariablemente en la detección mediante el uso de firmas de virus; y otras tecnologías (supuestamente) superiores de la "siguiente o última generación" (“next-gen”), que utilizan métodos de detección sin firmas.
Por supuesto, esta concepción se ve muy favorecida por las empresas que comercializan “soluciones next-gen”; sin embargo, no refleja la realidad y en este artículo veremos por qué.
La teoría de la evolución
Las distinciones suelen ser más terminológicas que tecnológicas
En primer lugar, quisiera discrepar con el término "de primera generación". No se puede meter en la misma bolsa a una suite de seguridad moderna convencional y a las primeras tecnologías "de una sola capa" (como los escáneres de firmas estáticas, la detección de cambios y las vacunas antivirus).
Por más que tengan los mismos propósitos fundamentales que las aplicaciones hace rato obsoletas (en nuestro caso, la detección y/o el bloqueo de software malicioso), tienen una gama mucho más amplia de funcionalidades.
Una suite de seguridad moderna enfocada en combatir malware tiene capas de protección genérica que van más allá de las firmas (incluso de las firmas genéricas). Han ido evolucionado para convertirse en generaciones muy diferentes de productos y han incorporado tecnologías que aún no existían cuando se lanzaron al mercado los primeros productos de seguridad.
Hablar de los productos que recién llegan al mercado como si por eso fueran "la siguiente generación" que supera a la tecnología primitiva basada en firmas es un concepto erróneo y totalmente engañoso.
¿Firmas? ¿Qué firmas?
Hoy en día, incluso los motores antimalware comerciales modernos de una sola capa van mucho más allá de la mera búsqueda de muestras específicas y de simples firmas estáticas. Amplían su capacidad de detección de familias de malware conocidas y con valores de hash específicos, mediante la inclusión de otros elementos como las listas blancas, el análisis de la conducta, el bloqueo del comportamiento y la detección de cambios, entre otros, que antes solo se consideraban parte de las tecnologías puramente "genéricas".
Con esto no quiero decir que hay que confiar totalmente en un producto de una sola capa como los que suelen ofrecer muchas empresas convencionales en forma gratuita. También es necesario utilizar otras "capas" de protección, ya sea mediante el uso de una suite de seguridad de categoría comercial o replicando las funcionalidades en múltiples capas de este tipo de soluciones con componentes extraídos de diversas fuentes.
Sin embargo, este último enfoque requiere un nivel de comprensión de las amenazas y las tecnologías de seguridad que la mayoría de las personas no tiene. De hecho, no todas las organizaciones tienen acceso a personal interno con tantos conocimientos, lo que muchas veces las deja a merced del marketing que se hace pasar por servicios de asesoramiento técnico.
Vuelta a la base
Las distinciones entre los productos "fosilizados" y los "de la siguiente generación" suelen ser más terminológicas que tecnológicas. No creo que los productos “next-gen” hayan ido mucho más allá de estos enfoques básicos para combatir el malware empleados por las soluciones "tradicionales" y definidos hace mucho tiempo por Fred Cohen (cuya introducción y definición del término virus informático prácticamente dio inicio a la industria antimalware en 1984). A saber:
- La identificación y el bloqueo de comportamiento malicioso.
- La detección de cambios inesperados e inapropiados.
- La detección de patrones que indiquen la presencia de malware conocido o desconocido.
Las maneras de implementar esos enfoques sin duda son mucho más avanzadas, pero esto no quiere decir que dicha progresión sea propiedad exclusiva de los productos lanzados recientemente. Por ejemplo, lo que generalmente vemos descrito como "indicadores de sistemas comprometidos" también podrían describirse como firmas (más bien débiles).
Más de un fabricante no ha logrado diferenciar en forma convincente entre el uso del análisis y el bloqueo de la conducta por parte de los productos antimalware convencionales. Es decir, no encuentran una diferencia entre el uso en sus propios productos de las funcionalidades de (por ejemplo) análisis/monitoreo/bloqueo del comportamiento, análisis de tráfico, etc.; y el uso de estas mismas tecnologías por parte de los productos antimalware convencionales. En su lugar, eligieron promover una visión engañosa de la "tecnología fosilizada" y la cubrieron con palabras tecnológicas de moda para su comercialización.
Por ejemplo, el uso de términos como "pure machine learning" en el marketing de “next-gen” es un recurso de oratoria y no tecnológico. Hablar de aprendizaje automático puro no solo implica que el aprendizaje automático en sí mismo de alguna manera ofrece una mejor detección que cualquier otra tecnología, sino también que es tan eficaz que no hay necesidad de supervisión humana. Pero los creadores de malware suelen estar al día de los avances en machine learning (al igual que los proveedores de seguridad que detectan su malware) y dedican mucho esfuerzo para encontrar formas de evadirlo, como ocurre con otras tecnologías antimalware.
Del mismo modo, cuando los fabricantes de productos “next-gen” hablan del análisis de comportamiento como si ellos lo hubiesen inventado, en el mejor de los casos estarán mal informados: este enfoque se ha estado usado en las soluciones antimalware convencionales durante décadas. De hecho, casi cualquier método de detección que vaya más allá de las firmas estáticas se puede definir como análisis del comportamiento.
Por lo tanto, si la autodenominada “next-gen” acepta sus propias limitaciones, modera sus métodos agresivos de marketing y aprende sobre los beneficios de la cooperación entre empresas con diferentes fortalezas y capacidades, todos podremos beneficiarnos de esta distensión diplomática.
Para leer la versión completa de este artículo, no te pierdas el informe de Tendencias 2017 en seguridad informática de ESET: