Symantec ofrece protección frente a virus mutantes
Symantec ha dado a conocer la duodécima edición de su producto antimalware profesional de sobremesa, Symantec Endpoint Protection, que esta vez va más allá de los tradicionales antivirus para utilizar un sistema de identificación de archivos basado en la nube con el que protege a los usuarios de las mutaciones de los virus.
Por sí misma, la defensa basada en firmas contra los virus cada vez es menos útil, puesto que los autores de código malware son aficionados a encontrar modos de generar mutaciones de virus a enorme escala, haciendo prácticamente imposible bloquear malware basado únicamente en firma de código. Sólo en 2009, Symantec contabilizó 240 millones de virus y sigue analizando los datos del año pasado, que parece que podrían haber doblado estos ratios, explica Hormazd Romer, director de marketing de producto del grupo de seguridad empresarial de Symantec.
“Los autores de malware se han movido a un modelo de microdistribución basado en virus mutantes. Está en plena explosión”.
Para defenderse de este tipo de ataques, Symantec ha elaborado un método de identificación de archivos basados en la nube que llama Symantec Insight y que incorporará a Symantec Endpoint Protection v. 12.0.
Insight es una tecnología que Symantec ya probó el año pasado en su software de consumo antimalware Norton y que trabaja a través de análisis basados en la nube de archivos que han sido descargados en el equipo del usuario.
Evaluando lo ocurrido a millones de clientes de Symantec, además de analizando otros factores, el objetivo es determinar el riesgo que presenta el archivo que está siendo analizado. Es importante analizar si el archivo es conocido, cuántas veces ha sido visto y su antigüedad.
“El malware mutante sobresale del resto”, explica Romer, quien declara que Symantec está haciendo un seguimiento de más de 2.000 millones de archivos basados en “la premisa de que el software normal no muta de este modo”.
La nueva versión de Endpoint Protection hará uso de la tecnología Insight de un modo en que los responsables de seguridad de las empresas sean capaces de decidir si usarla o no como una opción. La capacidad Insight les permitirá aplicar políticas de seguridad para sus usuarios basándose en grupos, lo que le facilitará la creación de diferentes grupos de riesgo.
Dependiendo de esto, será posible decidir bloquear cualquier archivo, tanto de la Web como del correo electrónico. O simplemente, informar al usuario lo que se sabe sobre el archivo sospechoso. También podría enviarse una nota de precaución en la que le aconsejaría no abrir el archivo y que sea el propio usuario el que tome la decisión de hacerlo o no. 
La protección antivirus basada en firmas continuará siendo otra línea de defensa. Un tercer método de detección, llamado SONAR, que Symantec introdujo hace tiempo en su producto de consumo de detección basada en comportamiento, también se añadirá por primera vez en una versión actualizada de su producto profesional.
“Se trata de comprobar archivos y procesos en tiempo real y el punto importante es la ejecución, los abriremos en una sandbox”, explica Romer, destacando que el objetivo de SONAR es detener cualquier cosa que se deslice por Insight o la detección basada en firmas.
Symantec Endpoint Protection 12.0 está en fase beta y se espera que la versión final aparezca en el verano para plataformas Windows, Mac y Linux. También estará recomendada como optimizada para entornos sobremesa basados en VMWare o HyperV. Asimismo, habrá una versión separada para todos los negocios de tamaño pequeño y mediano, es decir, de 5 a 99 empleados, que será similar, pero no contará con virtualización optimizada y tendrá una consola de gestión diferente.
Noticias relacionadas
Symantec ofrece un appliance para hacer backup en origen
Symantec lanza un nuevo appliance para el backup en origen
Symantec presenta nuevos dispositivos de backup y almacenamiento
Symantec Endpoint Protection 11.0
Symantec se orienta a la PYME y especializa a su canal
