La protección antivirus se vuelve social

Las personas a menudo dependen del apoyo de su círculo de amigos. Ahora, una nueva empresa espera aprovechar esas conexiones sociales para crear y entregar software de seguridad que protegerá a los usuarios de virus informáticos y otras amenazas digitales.





Evaluación de amenazas: Immunet Protect (arriba) brinda actualizaciones sobre las amenazas detenidas por el software que aún está en desarrollo. Las versiones futuras incluirán información sobre software malicioso detectado en las computadoras de amigos.

El miércoles, puesta en marcha Immunet Anunciado su primer producto, Immunet Protect, un programa que compara los archivos descargados con un directorio de software malicioso, como virus y caballos de Troya. La compañía se une a un puñado de otras para convertir gran parte de sus capacidades de detección en un servicio ofrecido a través de Internet o la nube. Sin embargo, la diferencia real, dicen sus fundadores, es la capacidad del software para proteger las comunidades digitales, los usuarios conectados entre sí a través de redes sociales como la mensajería instantánea, Facebook o Twitter.

Debido a que el software malintencionado viaja rápidamente a través de los mensajes enviados a amigos por correo electrónico, mensajería instantánea y otras tecnologías sociales, Immunet planea utilizar las mismas vías para enviar la información necesaria para proteger a los usuarios, dice Oliver Friedrichs, CEO y fundador de The Four-Person. firma.



Estamos viendo un aumento en la cantidad de amenazas que se propagan a través de las redes sociales, así como ataques a los sitios de redes sociales en general, dice Friedrichs. Su red social se está convirtiendo en un vector de ataque más grande que en el pasado. Nuestro enfoque es proteger esa red social.

Los usuarios de Immunet podrán ver quién en su red social es un usuario actual del servicio. Por ejemplo, los usuarios de Facebook podrían ver cuál de sus amigos también instaló Immunet Protect. El servicio también permitirá a los usuarios ver si sus amigos han visto una mayor proporción de amenazas que la población de usuarios de Immunet Protect en su conjunto.

La idea es tratar los programas maliciosos menos como un problema de análisis, donde un archivo es examinado para determinar si representa una amenaza, y más como un problema de minería de datos, dice Friedrichs. Cuando se descarga un nuevo archivo en la computadora de un usuario, se envía información sobre más de 100 atributos a los servidores de Immunet. Si se reconoce una amenaza, el servicio responderá en un quinto de segundo; de lo contrario, el archivo puede ejecutarse mientras la empresa intenta analizar los atributos del archivo.



Hay tantas amenazas hoy que un analista no puede analizarlas todas, por lo que estamos utilizando técnicas de extracción de datos para encontrar las agujas en el pajar, dice Friedrichs. Consideramos que nuestra base de usuarios es una red de sensores muy grande.

No es ningún secreto que el software antivirus actual tiene problemas para detectar las amenazas más recientes. La semana pasada, la firma antivirus Panda Security publicó un informe que mostraba que el 52 por ciento del software malicioso no se ve durante más de 24 horas, porque los ciberdelincuentes que se encargan de difundir el software comprimen y reorganizan el código binario de forma diferente cada día, un técnica conocida como empaque. La capacidad de reorganizar el código ha puesto a las empresas antivirus tradicionales en desventaja. en un trabajo de investigación publicado el año pasado, los científicos informáticos de la Universidad de Michigan descubrieron que incluso los mejores programas antivirus solo podían detectar tres cuartas partes del código malicioso recién empaquetado. El mejor motor antivirus tardó tres meses en detectar el 90 por ciento del software peligroso.

Seguridad en numeros: Immunet Protect se integra con Facebook para permitir a los usuarios ver si sus amigos usan el software.



Desafortunadamente, no hay una solución fácil al problema, dice Jon Oberheide , estudiante de doctorado en la Universidad de Michigan y autor principal del artículo. La batalla es bastante asimétrica, con la balanza inclinada fuertemente a favor del atacante. Necesitamos enfocar nuestros esfuerzos y recursos en enfoques que reduzcan significativamente esta asimetría, en lugar de continuar el juego interminable de ponerse al día reactivo, que los proveedores obviamente están perdiendo.

Para procesar y analizar virus más rápido, varias empresas se han movido a un modelo en la nube, donde, en lugar de poner un motor de análisis inteligente en la computadora de cada usuario, el escáner es un programa tonto que convierte cada archivo nuevo en una lista de atributos que luego se envían a los servidores del proveedor de software. Esos servidores analizan los atributos del archivo y determinan si es malicioso.

Otras firmas antivirus ya han comenzado a reconstruir su software antivirus incorporando el modelo de computación en la nube. McAfee, Panda y Prevx ya ofrecen algún nivel de análisis automatizado como un servicio en línea para los usuarios.



Pedro Bustamante, asesor senior de investigación de Panda Security, sostiene que los datos de la comunidad pueden ayudar a las firmas antivirus a priorizar sus esfuerzos de análisis. Panda ve cerca de 50.000 archivos al día, de los cuales unos 37.000 son muestras de código malicioso.

Todavía no he visto un producto que utilice la comunidad como factor de detección, dice. Creo que podría ser un buen complemento para la tecnología de detección, pero no una solución independiente.

Sin embargo, el enfoque de Immunet coloca a la empresa en las primeras etapas de una solución antivirus en la nube, agrega Bustamante. Se necesita mucho tiempo para desarrollar estas tecnologías en la nube.

Friedrichs subraya que el servicio de Immunet no está completo, todavía está en desarrollo. La compañía está trabajando para agregar detecciones genéricas y heurísticas para marcar grandes categorías de amenazas, lo que debería facilitar su identificación. Además, la empresa está considerando formas de manejar archivos potencialmente dañinos cuando la computadora del usuario no está conectada a Internet.

esconder