10 enero 2015

¿Se puede prevenir todo el malware?

Me surge la duda leyendo el artículo de José López Arredondo en Cinco Días sobre el informe de FireEye ("Maginot Revised: More real-world results from real-world tests").

Es evidente que el malware es actualmente uno de los grandes caballos de batalla en el mundo de la seguridad. Es utilizado ampliamente para infectar nuestros equipos, bien incrustándolo en correos electrónicos o ficheros enviados por correo o también difundiéndolo a través de sitios web infectados aprovechando navegadores vulnerables. En cualquier caso, con independencia del vector utilizado, las herramientas de protección (End Point Protection) sufren para detectar y evitar las infecciones dado el alto volumen de malware generado de manera continua y las variaciones utilizadas, por no hablar de los ataques dirigidos (que diseñan malware específico para cada ataque).

Pero, ¿quiere esto decir que hoy por hoy sea imposible detener al malware? Mi opinión es que, clarísimamente, sí que se puede evitar el malware. Pero, evidentemente, no haciendo lo mismo que venimos haciendo hasta ahora.

Actualmente los mecanismos utilizados están basados en lo que se denomina listas negras. Es decir, tenemos una lista que incluye todo aquello que es malo (o que se parece mucho a algo malo que ya hemos visto) y que no se debe ejecutar. Este tipo de mecanismos tiene varias cosas buenas, pero esencialmente, que son fáciles de mantener, sobre todo desde la implantación de modelos cloud que permiten una mayor agilidad para compartir información. Sin embargo, tienen una cosas muy mala y es que si un malware es nuevo y no se ha visto antes, va a poder ejecutarse puesto que no encajara en los patrones implementados por estas soluciones (es como si para abrir una cerradura, dejáramos que cualquier llave la abriera, excepto las que sabemos que no son buenas).

Pero existen otro tipo de soluciones, denominadas listas blancas. Este tipo de soluciones, por contra, solo dejan ejecutarse aquellas aplicaciones en las que podemos confiar (lo que las hace, por otra parte, muy eficientes). De forma que solo debemos incluir en la lista blanca las aplicaciones que hemos verificado previamente y estamos seguros de que son legítimas y no incluyen ningún tipo de malware, lo cual es mucho más eficaz, desde un punto de vista de seguridad.

Entonces, si las listas blancas son más eficaces y más eficientes, ¿por qué no se utilizan? Pues la respuesta es la de siempre, son mucho más difíciles de mantener, nos obliga a identificar las aplicaciones a autorizar, a probarlas previamente, a discutir con los que quieren incluir aplicaciones no-corporativas y a mantener dicho listado actualizado con las nuevas versiones de los ejecutables, etc... en definitiva, muchísimo trabajo que muy pocos están dispuestos a asumir para estar más seguros.

En definitiva, podría prevenirse el malware pero habría que estar dispuesto a asumir el coste que supone el mantenimiento de una lista blanca de ejecutables autorizados... ¿merece la pena? El apetito al riesgo y el impacto asumible de tu organización lo dirán.