Las actualizaciones de seguridad nunca dejarán de ser importantes

Publicado el 19 mayo 2017 por Barracuda Comespam @comespam

Las actualizaciones son tan de los noventa… ni siquiera las necesitas si usas una solución “next-gen” que puede proteger tu equipo y aprender por sí sola, ¿no? Bueno, no es cierto.

La verdad es que sin actualizaciones regulares tu sistema debe enfrentarse ante un ejército de cibercriminales contando con herramientas viejas. Y solo será cuestión de tiempo hasta que te identifiquen como una presa fácil.

Los fabricantes de ciberseguridad emergentes critican a sus colegas ya establecidos en el mercado por depender de las actualizaciones. Como alternativa, ofrecen proteger a sus clientes mediante un algoritmo de aprendizaje automático o machine learning (ML) que obtiene toda la información necesaria de las máquinas locales de sus clientes y sus entornos de seguridad. Esto resulta en un “beneficio adicional”: no se necesitan actualizaciones.

Pero, ¿es esa realmente una ventaja?

Las soluciones que protegen a los sistemas localmente pueden ser muy efectivas y relativamente exitosas al contrarrestar amenazas. Sin embargo, esto solo es cierto en:

  1. Entornos específicos con funcionalidad muy limitada.
  2. Sistemas que rechazan el cambio y están parcial o totalmente aislados de conexiones al mundo exterior.

No todas las compañías operan de manera tan cerrada como una línea de producción. Por el contrario, la gran mayoría de los endpoints en compañías pequeñas, medianas y grandes necesitan comunicarse con clientes, contratistas y potenciales socios, así como entre ellos; esto requiere de una conexión constante.

Así que incluso si el algoritmo de seguridad es bueno aprendiendo del usuario y su red, sin actualizaciones puede ser difícil identificar correctamente los datos externos que intentan entrar como limpios o maliciosos. Esto puede llevar no solo a un aumento en la tasa de falsos positivos, sino también, en el peor de los casos, a una falla: una infección causada por confundir malware con un ítem limpio.

Las actualizaciones a la base de datos son la forma de corregir esos errores y evitar falsas alarmas innecesarias.

Cuando las actualizaciones entran en juego…

Al elegir una solución que se actualiza de manera regular, de un fabricante establecido como ESET, los endpoints corporativos se conectan a una red mundial (en nuestro caso, ESET LiveGrid®). En base a datos de sus decenas de millones de nodos, los sistemas de protección de ESET combinan la supervisión humana con las últimas tecnologías para proveer actualizaciones en tiempo real a nuestras listas blancas y sistemas, que pueden etiquetar correctamente íteams sospechosos o poco familiares con un alto grado de exactitud.

Hay otros beneficios también.

Además de bajar las tasas de falsos positivos, las actualizaciones también reducen las demandas de hardware de la empresa. Dado que algunas de las muestras analizadas pueden ya haber sido evaluadas por otros endpoints en la red global, no requieren volver a ser evaluadas.

La solución actualizada puede usar la información para crear una base de datos de amenazas confiable almacenada en la nube. Compartirla con todos los endpoints reconocidos puede proteger a los usuarios de una gama más grande de ítems que un algoritmo de ML que solo aprende de un número muy limitado de máquinas.

En contraste, las soluciones que solo dependen de la información local probablemente causarán un error en algún punto. Sin embargo, sin supervisión humana o una base de datos actualizada con la que compararse, este error se convertirá en parte del material de aprendizaje del algoritmo y permanecerá en el sistema para siempre… Lo cual solo es beneficioso para los atacantes.

Si el aprendizaje solo surge de machine learning se pueden tomar decisiones basadas en funcionalidades o características de ítems maliciosos. Si una muestra es muy disímil de todos los materiales evaluados anteriormente, el algoritmo no sabe qué extraer, y se vuelve prácticamente ciego. Por otro lado, las soluciones que se actualizan pueden cubrir métodos de extracción y muestras, mientras que el aprendizaje automático no lo puede hacer por sí solo.

Si no hay evaluaciones, no puede haber quejas

Para sumar más confusión, los fabricantes que defienden la post-verdad evitan las evaluaciones independientes. Sin exponerse a escenarios de la vida real, no hay prueba de que estos productos logren lo que sus creadores prometen. Lo que a menudo llaman resultados “excelentes” vienen solo de escenarios artificiales bien armados, en los que el algoritmo solo tiene que lidiar con muestras de malware conocidas.

Actualmente, la gran mayoría de los ítems maliciosos existentes no están diseñados para pasar bajo el radar de estos productos de “próxima generación”, particularmente debido a que el número de computadoras que los usan todavía es relativamente bajo. Pero esta situación puede cambiar rápidamente.

Actualizar o no actualizar… esa no es la cuestión

Ignorar las actualizaciones implica ignorar el mundo real y la manera en que funciona. Los adversarios están bien fundados y son tan creativos como sus antagonistas de la industria de la seguridad, por lo que desestimar su habilidad para encontrar nuevas formas de evadir las soluciones actuales puede conducir a resultados bastante dañinos.

Los sistemas actualizados saben a qué se enfrentan y no dependen solo de lo que ya se ha visto. Al reconocer el contexto global, adoptando múltiples tecnologías de protección y añadiendo tanto elementos proactivos como de aprendizaje automático a sus soluciones, ESET, como fabricante establecido, busca constantemente el equilibrio más cercano posible a la detección perfecta con el número más bajo de falsos positivos.

ESET provee actualizaciones en tiempo real para la protección siempre que un usuario se conecta a LiveGrid®. Para aprender más sobre estas funcionalidades así como sobre nuestra tecnología, lee nuestros otros artículos sobre este tema.

Fuente: Eset