miércoles, 27 de mayo de 2009

Tendencia: detectar ataques salientes.

Los antivirus perimetrales han sido instalados por las empresas para detectar malware que intenta entrar por ejemplo por protocolos altamente populares y por ende muy usados como el http o smpt. Pero lo de hoy es ya tener appliances que detectan los ataques que salen de la empresa hacia Internet. Y tiene sentido.

 

El malware de hoy no se explica sin la conectividad a Internet, ya que una vez que infectan a un equipo, se va a conectar a la “nave nodriza”, es decir, al que controla la botnet o a ese malware en particular. ¿Tiene sentido monitorear las conexiones que van desde los equipos hacia Internet con el afán de detectar esas llamadas a las naves nodrizas? Sí lo tiene.

 

Con esta técnica, se complementa el antivirus tradicional perimetral que detecta y detiene al malware entrante a la red interna. Ahora tenemos una detección de dos vías porque no sólo se detectan los ataques entrantes, sino que estaremos detectando el código malicioso que trata de contactar a sus creadores (así opera la mayoría). Sabremos que “X” y “Z” equipos dentro de la organización están infectados porque envían tráfico identificado como malicioso hacia Internet; la labor ahora será buscar esas máquinas con esas IP y limpiarlas.

 

Claro, el hecho de detectar el tráfico malicioso saliente es reactivo, mientras que por otro lado tener el antivirus tradicional perimetral previene que el malware infecte los equipos de la empresa. Por eso debemos de verlo como un complemento.

 

De hecho, asistí a una reunión donde un fabricante de antivirus hizo una presentación de su producto que hace precisamente lo ya descrito. Ayer navegando me encontré que ya otra empresa (que no se dedica precisamente a la parte de antivirus) tiene disponible este tipo de funcionalidad en sus appliances.

 

Es lo de hoy y pronostico que pronto veremos a más fabricantes ofrecer dispositivos con esta nueva técnica. Tiene sentido y si ya se tiene un antivirus perimetral, tal vez habrá que pensar en tener un complemento que ayude a la guerra contra el malware.