System Watcher se vuelve más inteligente

19 Sep 2016

Las soluciones de seguridad deben ser capaces de llevar a cabo dos grandes funciones: prevenir y, si es necesario, remediar. La última patente de Kaspersky Lab es una tecnología que consigue que ambas funciones sean más efectivas.

La mejor forma de prevenir es analizar lo que sucede en el ordenador y neutralizar los objetos dañinos. Si el programa de seguridad localiza un troyano, un phishing o un e-mail de spam, o una página web maliciosa, hará lo posible por proteger al usuario.

Cuando la prevención falla, la solución de seguridad tiene que reparar el ordenador infectado. Limpiar un sistema infectado no es algo tan fácil como borrar un archivo. Para limpiar el PC infectado, el antivirus debe borrar el código malicioso y restaurar las funciones normales del PC comprometido. No basta con borrar la enfermedad, se debe restaurar la salud (lo que resulta complicado).

Por ello, las pruebas independientes de seguridad muestran que aunque muchos vendedores de antivirus ejecutan una prevención relativamente buena, la perfección se reduce un poco cuando se trata de desinfectar un sistema ya comprometido.

Una detección…

Las listas de firmas de virus y otros métodos tradicionales de detección ocupan un lugar importante en las soluciones de seguridad. Aun así, los métodos heurísticos también tienen un papel importante. Estos, que utilizan la experiencia para aprender y crecer, permiten al antivirus buscar no solo objetos dañinos, sino también buscar actividad sospechosa.

La detección de actividad sospechosa es el núcleo de la tecnología que los investigadores Mikhail Pavlyuschik, Alexey Monastyrsky y Denis Nazarov de Kaspersky Lab acaban de desarrollar y patentar. Esta tecnología puede mapear las interacciones entre un programa y otros componentes del sistema operativo y el software. En este caso, las interacciones son un programa que trabaja con memoria usada por otros procesos.

No es necesario rastrear todas las actividades, lo que es bueno porque monitorizarlo todo devoraría los recursos del sistema. La tecnología que rastrea las interacciones es un comportamiento de alta precisión que bloquea muchos programas maliciosos anteriormente desconocidos.

… y una prevención mejores

Imagina que un malware que recopila pulsaciones (un keylogger) ataca un ordenador.

Si el keylogger logra infectar el ordenador, significa que se ha saltado la protección o que se ha infiltrado utilizando algún agujero de seguridad de la configuración, cosa que sucede a menudo. Hay que detenerlo antes de que envíe información (como la contraseña del e-mail, los datos bancarios, una captura de la webcam, etc) a la persona responsable del ataque.

Aquí es donde entra en juego el análisis de comportamiento. La tecnología está integrada en nuestro módulo System Watcher y, con la ayuda de otros componentes de seguridad, detecta las interacciones maliciosas conocidas que el software no fiable causa antes de que el daño sea irreversible. Además, puede reducir las modificaciones que el malware ha realizado porque monitoriza el comportamiento del malware.

Una solución de seguridad sólida como Kaspersky Internet Security rara vez permite que un malware llegue demasiado lejos dentro del sistema como para tener que deshacer nada; también añadimos nuevas amenazas a nuestras bases de datos muy rápidamente y Kaspersky Security Network nos ayuda a aprender sobre nuevas muestras de malware de la nube. Pero cuando se trata del desarrollo del antivirus, no puedes tener demasiada protección. Una diferencia fundamental entre una solución de seguridad buena y otra mediocre es el desarrollo de nuevas tecnologías para detectar y remediar: las medidas de una protección completa dependen de ello.