Todos los programas antivirus no han sido creados iguales Monográfico de Sophos Junio de 2005 RESUMEN Los principales fabricantes antivirus ofrecen productos con niveles de detección igualmente altos y es por esta razón por la que se tiende a creer que todos los productos antivirus "son iguales". Sin embargo, si se adopta un enfoque más amplio relativo al Coste Total de Propiedad (CTP) para evaluar productos antivirus deben incluirse seis factores clave. Estos factores ponen de manifiesto contundentes diferencias y comprenden rendimiento, proceso de detección de amenazas, destinatario, plataformas compatibles, soporte y capacidad de gestión. Rendimiento Uno de los aspectos más importantes de la protección antivirus es el rendimiento. El rendimiento del motor antivirus a nivel de estación de trabajo y de servidor tiene un impacto directo en la productividad del usuario. Cuanto más rápidos sean los escaneados que realiza un producto antivirus y cuanto más eficaces sean las actualizaciones del motor antivirus con la última información de virus, menor será el impacto en la productividad del usuario. El dicho “cuanto más rápido, mejor” es mucho más que significativo en materia de escaneado de virus. Los usuarios preferirían un programa antivirus que se ejecutase en un segundo plano sin afectar a otras aplicaciones y sin bloquear el sistema a causa de un consumo desorbitado de recursos. Una consecuencia de un bajo rendimiento es el impacto negativo sobre el cumplimiento de la seguridad. El personal del departamento informático a menudo se sorprende al comprobar que las aplicaciones antivirus son unas de las que consumen más recursos en una estación de trabajo. Desafortunadamente, muchos empleados del departamento informático en empresas que usan los productos de otro fabricante se encuentran a menudo con que los usuarios, frustrados, retrasan o cancelan la protección antivirus en sus estaciones. Algunos productos consumen demasiados recursos y requieren demasiado tiempo para escanear o actualizarse, hecho que afecta la estabilidad del equipo. El resultado final es un peligroso agujero de seguridad que se suma a la inacabable responsabilidad del departamento informático de cumplir con las políticas de seguridad de toda la empresa. Pruebas de organizaciones Tiempo (segundos) Figura 1. Velocidad media del escaneado del disco duro – comparación de programas antivirus (Fuente: Estudio comparativo realizado por Virus Bulletin en 2004). . 2 MONOGRÁFICO DE SOPHOS independientes demuestran que Sophos Anti-Virus™ supera en rendimiento al resto de principales productos antivirus de forma consistente (véase figura 1). El motor de escaneado de Sophos ofrece un alto rendimiento para escaneados de mayor velocidad, lo que mejora la facilidad de uso del producto. No se trata de que otros productos antivirus no ofrezcan una detección antivirus de alta calidad, sino de que algunos productos son difíciles de usar y de distribuir de forma adecuada y, si esto no se consigue, podría conllevar el incumplimiento por parte de la empresa de leyes como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley Gramm-Leach-Bliley (GLB) y la Ley SarbanesOxley. Estas leyes tienen un punto común: la protección de información. Los datos originales no deben modificarse y, en caso de que se realice cualquier cambio, el programa lo debe indicar claramente. Virus, programas espía y programas maliciosos pueden comprometer hasta los datos mejor administrados. HIPAA requiere a las organizaciones prevenir la entrada en su sistema de incluso gusanos de email desconocidos. GLB estipula un marco formal de medidas preventivas de carácter administrativo, técnico y físico para proteger contra amenazas para estos datos. Proceso de detección de amenazas La conectividad conlleva riesgos de seguridad para la empresa y las amenazas a las que se expone son de naturaleza cambiante. La velocidad con la que nuevas amenazas aparecen y se propagan a través de Internet hace que los equipos de los usuarios sean más vulnerables que nunca. Una detección de amenazas legítima adopta un enfoque global para comprender y evaluar el entorno con un Proceso de Detección de Amenazas. Este modelo puede dividirse en cuatro componentes principales, tal como muestra la figura 2 de más abajo. El aspecto clave de la detección de amenazas es el sistema de evaluación de amenazas que tiene implantado el fabricante. Sophos adopta múltiples facetas en su enfoque para administrar la seguridad de sus clientes. Del mismo modo que un sistema de detección temprana, la Red de Detección de Amenazas de Sophos ofrece información anticipada sobre la actividad de Internet. Una combinación de trampas de spam distribuidas por Internet almacena datos en tiempo real de forma continua, lo que permite a Sophos anticiparse a posibles ataques. A continuación, esta recopilación de spam y virus es analizada por SophosLabs™, una red global de análisis de amenazas, que ofrece protección 24 horas ante nuevos virus y campañas de spam. Esto permite a Sophos responder rápidamente y administrar mejor el carácter convergente de las amenazas de spam y virus. SophosLabs tiene patentados análisis automatizados y exhaustivos para hallar patrones de comportamiento y rasgos comunes de las amenazas. Las actualizaciones de identidades de virus y la velocidad a la que están disponibles constituyen el tercer nivel de protección. En último lugar, en las redes de los clientes se encuentran los tradicionales puntos de aplicación de la protección donde está instalado el software. En términos generales, un enfoque multinivel de la protección de gateway, servidor y estaciones de trabajo constituye la mejor defensa. Una de las responsabilidades de SophosLabs es distribuir actualizaciones de identidad de virus a la base de clientes de Sophos. La importancia del tiempo de reacción a los virus no debe exagerarse. Sin una protección actualizada, una organización se verá expuesta a las últimas amenazas. El tiempo de reacción es importante, ya que la velocidad a la que se extienden los ataques de virus ha aumentado de manera espectacular. Por ejemplo, el virus SQL Slammer se extendió a 250.000 servidores en 10 minutos. Proceso de detección de amenazas Programas maliciosos Spam Programas maliciosos Spam Red de detección de amenazas Laboratorios de análisis Programas maliciosos Spam Actualizaciones Puntos de aplicación de la protección Figura 2: Los cuatro principales componentes del proceso de detección de amenazas. TODOS LOS PROGRAMAS ANTIVIRUS NO HAN SIDO CREADOS IGUALES Como se muestra en la figura 3, los resultados del tiempo de reacción de Sophos, procedentes de pruebas realizadas en 2004 por una organización independiente, fueron superiores a los de los demás principales fabricantes antivirus: el tamaño de las actualizaciones de virus varía considerablemente de un fabricante a otro. Por lo general, las actualizaciones de virus de Sophos tienen un tamaño inferior a 5 KB. Distribuir una actualización de este tamaño en una red compleja (por ejemplo, 20.000 usuarios) lleva normalmente 30 minutos o menos. El otro aspecto de la detección de amenazas en el que centran su atención los fabricantes antivirus es la protección proactiva. La tecnología de detección de virus Genotype™ de Sophos permite detectar de forma proactiva conocidas variantes de virus. Mediante el análisis de la estructura de los primeros casos de un virus, los expertos de Sophos crean un sistema que identifica familias de virus. En el caso de los brotes de los virus Mydoom y Bagle, de los que aparecieron múltiples variantes en poco tiempo, la tecnología Genotype detectó e hizo frente a la amenaza en tiempo real, sin protección adicional. Por consiguiente, los clientes de Sophos cuentan con protección contra muchos futuros virus sin necesitar actualizaciones con firma digital. Fabricante Tiempo medio de reacción Sophos Menos de 8 horas desarrollan con el objetivo de ofrecer las funciones y avances adecuados a ese mercado. Plataformas compatibles Muchas empresas han realizado inversiones considerables en sistemas como Windows 95/98, OpenVMS y NetWare, así como en varias plataformas Linux y UNIX. Con la creciente necesidad de reducir el presupuesto del departamento informático y retener costes, estas empresas se muestran reticentes a "desperdiciar" su sistema a un alto precio y arriesgar los procesos de su negocio. Un fabricante antivirus como Sophos ofrece una protección consistente a través de una amplia gama de plataformas y secunda la inversión que han hecho las empresas. Con una amplia lista de plataformas compatibles, Sophos permite a las empresas apalancar las inversiones en los equipos de que disponen sin necesidad de actualizar el sistema. A menudo, quienes piden actualizar el sistema son usuarios que exigen un mayor rendimiento, aunque lo más probable es que su estación o portátil actual sea suficiente para ejecutar MS Office y otras aplicaciones similares. Los productos de Sophos son compatibles con la mayor gama de plataformas (estaciones y servidores) de cualquier principal fabricante antivirus, incluyendo las siguientes: • Solaris • Windows XP Trend Micro Menos de 10 horas • Otras versiones UNIX • Windows 2000 CA Menos de 12 horas • NetWare • Windows 2003 McAfee Menos de 14 horas • Mac • Windows NT4 • OS/2 • Windows 98/Me Symantec Menos de 16 horas • Open VMS alpha • Dos • Open VMS Vax • Linux Figura 3: Comparación entre fabricantes de tiempos de reacción durante un período de 9 meses en 2004 (Fuente: Anti-virus Outbreak Response and Impact – AV-Test GmbH). Concebido para empresas A la hora de escoger una solución antivirus para su empresa, es importante elegir un fabricante antivirus que priorice las necesidades de un administrador informático que gestiona redes de empresas. Estos requisitos son muy diferentes y son más exigentes que las necesidades de un usuario particular. El resto de principales fabricantes antivirus disponen de productos tanto para empresas como para usuarios domésticos. De hecho, Symantec obtiene una gran proporción de sus ventas antivirus del mercado de usuarios domésticos. La arquitectura de los productos de Sophos siempre se ha basado en una protección de red “vertical”. Este enfoque difiere mucho del de otros fabricantes, que han intentado tomar un producto antivirus del mercado particular y adaptarlo para satisfacer las necesidades de las redes de gran tamaño. Los productos de Sophos se venden sólo a empresas y se Figura 4: Lista de plataformas compatibles con Sophos Anti-Virus Soporte técnico y satisfacción del cliente Uno de los aspectos más importantes que marcan la diferencia entre fabricantes antivirus es el soporte técnico de la empresa. Sophos ofrece soporte técnico 24 horas, 365 días al año, a todos los clientes sin coste adicional. Algunos fabricantes incluso externalizan sus servicios de soporte. Esto significa que el equipo de soporte no dispone de acceso directo a los equipos de desarrollo de productos, lo que a menudo es esencial para resolver dudas rápidamente. Por otro lado, el servicio de soporte de Sophos procede de una red global de profesionales internos con una amplia experiencia y conocimientos prácticos. El éxito de este sistema ha sido demostrado por la alta valoración que ha recibido el soporte técnico de Sophos por parte de organizaciones 3 4 MONOGRÁFICO DE SOPHOS independientes, incluyendo los siguientes ejemplos (para más información, visite http://www.sophos.com/products/reviews/). Information Security Magazine: El tema de portada del número de octubre 2004 situó en el primer puesto al servicio de atención al cliente de Sophos: “En términos generales, Sophos, cuyo servicio de atención al cliente es la piedra angular de su negocio, fue el mejor”. Encuesta ImageTrack de Computing: Por segundo año consecutivo, Sophos fue nombrado “Fabricante del Año” en la categoría de Seguridad de la encuesta de satisfacción del cliente ImageTrack de Computing en 2004. PC Pro Magazine: “Teniendo en cuenta el soporte que se recibe, que es insuperable, sólo hay una opción y es Sophos... sólido escaneado de virus para su red” (Marzo 2005). Capacidad de gestión Una protección antivirus superior requiere una solución que no sólo ofrezca una detección de virus rápida y eficaz, sino que también sea fácil de configurar y de mantener. Normalmente, el personal informático prefiere que los productos de seguridad sean lo más parecidos a “instalar y listo". Dado que la aplicación antivirus es una parte crucial de la infraestructura de seguridad global de una empresa, el tiempo necesario para la configuración inicial debe ser reducido. Y, lo que es más importante, no se debería dedicar demasiado tiempo en el mantenimiento de la administración del programa y en realizar las actualizaciones pertinentes. Algunos fabricantes ofrecen herramientas administrativas que, a pesar de ser presentadas como "multifuncionales”, acaban quedándose en la estantería. A menudo, esto se debe a la complejidad de la herramienta administrativa, a las dificultades que conlleva la configuración inicial y al mantenimiento de la gestión, que puede llevar a la empresa a invertir en más programas para realizar las tareas administrativas y en personal adicional dedicado a garantizar el funcionamiento del programa. En consecuencia, los clientes renuncian al producto cuando no disponen del tiempo y la paciencia necesarios. como en demanda. Incluso usuarios remotos e itinerantes están protegidos y se actualizan automáticamente. Resumen Estos seis factores contribuyen, de diferente forma, al factor esencial que debe considerarse a la hora de evaluar una protección antivirus: el coste total de propiedad (CTP). Medir el CTP de los fabricantes antivirus y sus productos permite comprender de forma clara la rentabilidad de cada solución. Existen otros factores que contribuyen al CTP, incluyendo el más obvio: el precio de la licencia del producto y el soporte incluido. No obstante, las organizaciones son cada vez más conscientes de que incluso las licencias y soporte de precio considerable pueden representar una pequeña parte del CTP antivirus. Al estudiar debidamente el CTP – teniendo en cuenta aspectos como las actualizaciones de plataformas, coste de ancho de banda, mantenimiento de la gestión, administración de los brotes víricos y consultas de soporte técnico – es evidente que existen grandes diferencias entre fabricantes antivirus y las soluciones que ofrecen. Por ejemplo, uno de los premios que Sophos recibió recientemente fue el primer premio en la categoría de productos antivirus del año por parte de Information Security Magazine, que evaluó 1.239 productos en 13 categorías y afirmó lo siguiente: “Sophos no gana sólo el primer premio, sino que sienta las bases de los productos antivirus de calidad superior.” Al evaluar los factores mencionados en este monográfico, Sophos Anti-Virus resulta ser el más rentable, con el menor CTP y la mejor protección para el mayor número de plataformas que cualquier otro fabricante antivirus en el mercado. Sophos evita estos problemas ofreciendo intuitivas funciones de administración mediante Enterprise Console™, que permite una gestión con un esfuerzo y tiempo mínimos. Sophos se centra exclusivamente en ofrecer soluciones antivirus que satisfagan las necesidades de administradores de red exigentes. Sophos Anti-Virus usa EM Library™, que de forma automática actualiza las redes en una amplia gama de plataformas (desde Windows y Mac OS hasta Linux y UNIX) con las actualizaciones de virus, tanto de forma programada Boston, EE.UU. • Mainz, Alemania • Milán, Italia • Oxford, GB • París, Francia Singapur • Sydney, Australia • Vancouver, Canadá • Yokohama, Japón © Copyright 2005. Sophos Plc. Todas las marcas registradas reconocidas por Sophos. Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sin la previa autorización escrita por parte del propietario.