Cuando el software antivirus no funciona y nadie se entera

18 Dic 2008 en Seguridad

Las empresas que se cuidan instalando software antivirus en sus infraestructuras, pueden no estar tan bien protegidas como creen. Un estudio de la firma de soluciones de seguridad client-less (que no corren sobre la máquina cliente), descubrió que un alto porcentaje de computadoras no tenían su software antivirus o éste se había desactivado. Mientras tanto, las consolas de administración antivirus de la red empresarial, no alertaban a los administradores sobre el problema, dejando importantes brechas abiertas en la seguridad.
“Es posible que el agente del software antivirus esté corrupto  y no reporte que algo anda mal,” nos dice Peter Firstbrook, director de investigación de la firma Gartner. Y ese fue el caso de uno de sus clientes, donde el departamento de IT descubrió que 300 de sus PCs habían sido infectadas con malware sin que la consola de administración de antivirus lo detectara.
El problema era que los atacantes habían reemplazado los agentes antivirus y el firewall que las protegía, sustituyéndolos con código que escondía el ingreso del malware.
Es importante tener en cuenta que el software antivirus esté, a su vez, protegido contra modificaciones o desactivación. Los productos anti-malware de McAfee, por ejemplo, tienen esa protección.
Para proteger a las PCs de la empresa, se puede utilizar un gateway Web seguro que fuerce a todo el tráfico Internet a pasar por él. Siendo que la mayoría de las amenazas provienen de Internet, observando al gateway se puede determinar cuáles PCs visitan sitios peligrosos. “Ya que el gateway no se ubica en el cliente, no es corruptible en la misma medida,” explica Firstbrook.
Luego, Firstbrook destaca la importancia de un control adicional al de los propios productos antivirus. “no confíen en que los antivirus indiquen que todo está al día. Usen sistemas como Altiris, BigFix o LanDesk. Si el cliente antivirus se desactiva y da un falso status, otra herramienta determinará la discrepancia y permitirá investigar.”
Un gerente de producto de la firma CheckPoint recomendó la conveniencia de forzar reglas que controlen el funcionamiento de antivirus en los puntos terminales de la red o de tener un cliente que las fuerce por sí mismo. “Si alguien desactiva su cliente antivirus, la consola de administración no lo advertirá, pero si se tiene una regla forzada en ese punto terminal, eso funciona,” agregó Gaurav Marwaha, de CheckPoint.