El motor (o engine en inglés) de detección de amenazas de Sophos analiza el comportamiento del código de los programas antes que este se ejecuten y previene su ejecución si es considerado como sospechoso o malicioso. Así como también utiliza técnicas de Runtime Detection para interceptar otras amenazas, más adelante explicaré esta tecnología.
SophosLabs desarrolla este engine y lo integra en todos los productos de Sophos.
El HIPS de Sophos usa cuatro niveles de detección muy bien integrados para detener las amenazas de Día-Cero (Zero-day threats), sin requerir de complejos pasos de configuración.
"HIPS de Sophos detecta más del 85% de las amenazas desconocidas" Cascadia Labs.
¿Qué es HIPS?
Tomando en cuenta las más de 200.000 piezas de software malicioso (malware) que se desarrollan diariamente, ya no es suficiente solo contar con las actualizaciones de los archivos de identificación, también conocidos como huellas o firmas, que se realizan cada cierto tiempo las soluciones de antivirus.
En el caso de Sophos, se liberan entre 6 o 7 actualizaciones diarias, que me parece bien balanceado respecto a seguridad/carga de procesamiento, pero para otras soluciones de antivirus este intervalo cambia a una sola actualización diaria, mucho más pesada y obsoleta ya a la hora de liberarse.
El Sistema de Prevención de Intrusos a nivel de Huésped o en inglés Host Intrusion Prevention System (HIPS) se encarga de detener las infecciones de software malicioso sin la necesidad de esperar por una actualización de firmas. Normalmente estas actualizaciones tardan un tiempo en liberarse, mientras se desarrollan y se prueban, este tiempo es utilizado por el malware para infectar equipos y distribuirse en la red.
El HIPS monitorea el comportamiento del código en todos los procesos que se ejecutan en los endpoints y permite en algunos casos detener la infección antes que el código se ejecute si es considerado sospecho o malicioso.
¿Cuáles son los cuatro niveles de protección de Sophos?
El HIPS de Sophos maneja su protección en dos pasos: Antes que se ejecute el código (Pre-execution) y durante su ejecución (Runtime Detection).
Pre-execution Detection
- Behavioral Genotype Protectión: Esta tecnología está entonada para detectar a través de identidades conocidas como genes, variantes, familias y grandes categorías de software malicioso como malware cifrado. También detecta las amenazas de día cero (Zero-day threats) sin necesidad de las actualizaciones de firmas.
- Suspicious File Detection: Mientras la tecnología behavioral genotype protection está configurada para detectar solo archivos maliciosos comprobados, el suspicious file detection identificará los archivos que son muy parecidos a los maliciosos, sin ejecutarlos, de esta forma no se consumirán recursos adicionales en el endpoint para procesarlos.
- Suspicious Behavior Detection: Esta capa de protección analiza todos los procesos que se ejecutan en la estación de trabajo o endpoint, detectando signos de malware activo como: escritura sospechosa en el registro del sistema operativo y/o copia de archivos en directorios específicos. Un punto muy importante de esta capa de protección es que no requiere configuración por parte de los administradores, viene totalmente entonada por SophosLabs.
- Buffer Overflow Detection: Esta tecnología de detección es capaz de proteger los procesos del sistema operativo y demás aplicaciones de ataques de buffer overflow, normalmente atacando vulnerabilidades de seguridad.
Fuente: Sophos
_______________________________________________
Artículos relacionados:
- Mitos de la Navegación Segura en Internet
- Pasos sencillos para protegerte en redes Wi-fi públicas
- Sophos actualiza su Virus Removal Tool
_______________________________________________
Nuestra comunidad en Twitter @maes3consulting
Nuestra comunidad en Facebook maestresconsultingve
Visita nuestra Web www.maestre.com.ve
No hay comentarios:
Publicar un comentario