Inteligencia colectiva: la evolucion del modelo de - Panda Security
Inteligencia colectiva: la evolucion del modelo de - Panda Security
Inteligencia colectiva: la evolucion del modelo de - Panda Security
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INTELIGENCIA COLECTIVA: LA EVOLUCIÓN DEL MODELO DE SEGURIDAD TRADICIONAL<br />
Pág. 14<br />
3.3.3 Bloqueo por<br />
comportamiento TruPrevent<br />
El segundo componente principal <strong>de</strong><br />
TruPrevent es el <strong>de</strong>nominado KRE (Kernel<br />
Rules Engine), al que se conoce también<br />
como Application Control & System<br />
Har<strong>de</strong>ning o Resource Shielding (Securización<br />
<strong>de</strong> Sistemas y Control <strong>de</strong> Aplicaciones o<br />
Escudo <strong>de</strong> Protección <strong>de</strong> Recursos).<br />
Los hackers y el malware abusan <strong>de</strong> los<br />
privilegios <strong>de</strong> <strong>la</strong>s aplicaciones legales para<br />
atacar a los sistemas mediante <strong>la</strong><br />
inyección <strong>de</strong> código. Con el fin <strong>de</strong> evitar<br />
este tipo <strong>de</strong> ataques <strong>de</strong> forma genérica,<br />
resulta muy económico utilizar una tecnología<br />
<strong>de</strong> bloqueo basada en reg<strong>la</strong>s que<br />
permitan restringir <strong>la</strong>s acciones que <strong>la</strong>s<br />
aplicaciones autorizadas pue<strong>de</strong>n llevar a<br />
cabo en un sistema.<br />
KRE consta <strong>de</strong> un conjunto <strong>de</strong> normas <strong>de</strong>finidas<br />
por una serie <strong>de</strong> reg<strong>la</strong>s que <strong>de</strong>scriben <strong>la</strong>s<br />
acciones que una aplicación concreta pue<strong>de</strong><br />
realizar o no. Las reg<strong>la</strong>s pue<strong>de</strong>n configurarse<br />
para contro<strong>la</strong>r el acceso por parte <strong>de</strong> <strong>la</strong><br />
aplicación a los ficheros, a <strong>la</strong>s cuentas <strong>de</strong><br />
usuario, al registro, a los objetos COM, a los<br />
servicios <strong>de</strong> Windows o a los recursos <strong>de</strong> red.<br />
A pesar <strong>de</strong> ofrecer un alto grado <strong>de</strong> granu<strong>la</strong>ridad<br />
a los administradores para crear<br />
normas personalizadas, el módulo Application<br />
Control & System Har<strong>de</strong>ning (KRE) se<br />
suministra con un conjunto <strong>de</strong> normas configuradas<br />
por <strong>de</strong>fecto. Estas normas son<br />
gestionadas y actualizadas por <strong>Panda</strong>Labs.<br />
Dichas normas ofrecen protección frente a<br />
ataques que aprovechan vulnerabilida<strong>de</strong>s<br />
comunes <strong>de</strong> insta<strong>la</strong>ciones estándar o completamente<br />
parcheadas <strong>de</strong> los sistemas<br />
operativos <strong>de</strong> Windows.<br />
Un ejemplo reciente <strong>de</strong> <strong>la</strong> eficacia que ofrece<br />
este bloqueo proactivo es <strong>la</strong> interminable<br />
oleada <strong>de</strong> vulnerabilida<strong>de</strong>s <strong>de</strong> formato<br />
<strong>de</strong> Microsoft Office que están siendo aprovechadas<br />
para ocultar código malicioso 23 .<br />
Estas vulnerabilida<strong>de</strong>s han sido utilizadas<br />
recientemente para realizar ataques dirigidos<br />
sobre <strong>de</strong>terminadas empresas.<br />
En un estudio sobre exploits que aprovechen<br />
vulnerabilida<strong>de</strong>s conocidas (parcheadas)<br />
y <strong><strong>de</strong>l</strong> tipo día cero (sin parchear) <strong>de</strong><br />
Microsoft Office, los motores antivirus examinados<br />
alcanzaron una tasa promedio <strong>de</strong><br />
<strong>de</strong>tección <strong>de</strong> dichos exploits mediante firmas<br />
<strong><strong>de</strong>l</strong> 50%. Eso representa un 50% <strong>de</strong><br />
probabilida<strong>de</strong>s <strong>de</strong> ser infectado al abrir un<br />
documento <strong>de</strong> Excel, PowerPoint o Word<br />
<strong>de</strong> Microsoft cuya vulnerabilidad haya sido<br />
aprovechada.<br />
Por el contrario, <strong>la</strong>s tecnologías <strong>de</strong> bloqueo<br />
por comportamiento, como TruPrevent,<br />
evitan <strong>de</strong> forma proactiva que Word,<br />
PowerPoint, Excel, Access, Acrobat Rea<strong>de</strong>r,<br />
Windows Media P<strong>la</strong>yer u otras aplicaciones<br />
ejecuten o instalen cualquier tipo <strong>de</strong> código<br />
ejecutable en el sistema. A diferencia <strong>de</strong> los<br />
antivirus basados en firmas, TruPrevent<br />
ofrece protección real frente a cualquier<br />
amenaza <strong><strong>de</strong>l</strong> tipo día cero que intente<br />
aprovecharse <strong>de</strong> vulnerabilida<strong>de</strong>s <strong>de</strong> Microsoft<br />
Office, conocidas o <strong>de</strong>sconocidas.<br />
3.3.4 Tecnología heurística <strong>de</strong><br />
análisis genético<br />
Las tecnologías “genéticas” se inspiran en<br />
el campo <strong>de</strong> <strong>la</strong> biología genética y en su<br />
utilidad para compren<strong>de</strong>r cómo se diferencian<br />
los diferentes organismos y <strong>la</strong> forma<br />
en que se asocian unos con otros. Estas<br />
tecnologías se basan en el proceso e<br />
interpretación <strong>de</strong> “genes digitales”, que en<br />
nuestro caso se refiere a unos pocos cientos<br />
<strong>de</strong> características propias <strong>de</strong> cada uno<br />
<strong>de</strong> los archivos analizados.