INDICE
Con más de 10.000 nuevos «objetos» maliciosos al día, las soluciones de seguridad ya no pueden confiar en el antiguo método de detección de malware por firma. Deben tener protecciones proactivas para bloquear y aislar programas potencialmente peligrosos. Programas más o menos ocultos en páginas web, foros, contenido multimedia, sitios para compartir o grupos de noticias.
En este contexto, nos pareció especialmente interesante estudiar el comportamiento del seguimiento ante amenazas que no conocen. Para comprender mejor su funcionamiento y su potencial de defensa proactiva, hemos sometido a las suites 2010 a algunas pruebas de comportamiento.
El Tour de Francia de las suites de seguridad
El laboratorio de pruebas del Grupo 01 decidió probar las secuelas de forma diferente. En lugar de grandes comparaciones puntuales, se optó por pruebas periódicas en profundidad, cada una de las cuales evaluaba un elemento específico de las diferentes protecciones y tecnologías ofrecidas por las suites. En cierto modo, nuestro enfoque es un poco como el Tour de Francia. Cada comparación debe ser vista como un paso. Las diferentes protecciones de cada suite como un «equipo» trabajando juntos para proteger al usuario.
Dependiendo de las especialidades y de los compromisos adoptados cada vez, según su estado de forma actual (no olvidemos que las amenazas evolucionan), algunas serán las primeras en ciertas etapas y otras las últimas se quedarán atrás. Cada paso es importante, pero los usuarios no le darán el mismo interés. Y veremos al final de la «ronda» qué equipos ganarán…. Después de la primera etapa, la comparación de los antispam sin entrenamiento previo, atacamos la segunda etapa: las defensas proactivas desconectadas del antivirus.
Resumen de las pruebas de protección proactiva
Las pruebas de protección proactiva no deben considerarse como pruebas de eficacia reales, sino como pruebas de inteligencia integradas. Una secuencia es un conjunto de tecnologías, compromisos y prioridades. Un resultado pobre en una de las pruebas no significa que la suite sea ineficaz o ineficiente, o que el usuario estuviera realmente en peligro. Refleja un comportamiento particular.
Típicamente, algunas suites basan su protección en un diálogo permanente entre su máquina y sus centros de servidores «en línea» (o «en la nube» para utilizar la expresión popular). Estas pruebas miden la inteligencia incrustada, cortan la conexión a Internet y así rompen el enlace umbilical que conecta la suite con la nube. Cuanto más depende una suite de la nube para proteger al usuario, más desfavorecidos y perdidos están en estas pruebas.
Probar las defensas proactivas es una tarea compleja y a largo plazo. Es necesario realizar un gran número de pruebas muy diferentes a lo largo de un largo período de tiempo para obtener una imagen real de las capacidades de defensa. Pero también tienes que empezar a evaluarlos en algún momento. Y tienes que empezar por algún lado. Hemos decidido probar las defensas fuera de línea a través de tres pruebas específicas.
Esta serie de pruebas está diseñada más para informar al usuario sobre el funcionamiento interno de su suite que para medir su efectividad en condiciones reales de uso. Una mejor comprensión de cómo funciona una suite también proporciona una mejor comprensión de sus debilidades. Dado que la mayoría de las infecciones son causadas por una acción ingenua o torpe del usuario, estas pruebas permiten comprender mejor el comportamiento de las consecuencias, las diferentes técnicas de protección propuestas, las diferencias entre sus entornos y, por tanto, los riesgos incurridos en función de los entornos adoptados.