Todos los programas antivirus no han sido creados

Anuncio
Todos los programas antivirus no han sido creados iguales
Monográfico de Sophos
Junio de 2005
RESUMEN
Los principales fabricantes antivirus ofrecen productos con niveles de detección igualmente altos y es por esta
razón por la que se tiende a creer que todos los productos antivirus "son iguales". Sin embargo, si se adopta un
enfoque más amplio relativo al Coste Total de Propiedad (CTP) para evaluar productos antivirus deben incluirse
seis factores clave. Estos factores ponen de manifiesto contundentes diferencias y comprenden rendimiento,
proceso de detección de amenazas, destinatario, plataformas compatibles, soporte y capacidad de gestión.
Rendimiento
Uno de los aspectos más importantes de la protección
antivirus es el rendimiento. El rendimiento del motor antivirus
a nivel de estación de trabajo y de servidor tiene un impacto
directo en la productividad del usuario. Cuanto más rápidos
sean los escaneados que realiza un producto antivirus y cuanto
más eficaces sean las actualizaciones del motor antivirus con
la última información de virus, menor será el impacto en la
productividad del usuario. El dicho “cuanto más rápido,
mejor” es mucho más que significativo en materia de
escaneado de virus. Los usuarios preferirían un programa
antivirus que se ejecutase en un segundo plano sin afectar a
otras aplicaciones y sin bloquear el sistema a causa de un
consumo desorbitado de recursos. Una consecuencia de un
bajo rendimiento es el impacto negativo sobre el
cumplimiento de la seguridad. El personal del departamento
informático a menudo se sorprende al comprobar que las
aplicaciones antivirus son unas de las que consumen más
recursos en una estación de trabajo. Desafortunadamente,
muchos empleados del departamento informático en empresas
que usan los productos de otro fabricante se encuentran a
menudo con que los usuarios, frustrados, retrasan o cancelan
la protección antivirus en sus estaciones. Algunos productos
consumen demasiados recursos y requieren demasiado tiempo
para escanear o actualizarse, hecho que afecta la estabilidad
del equipo. El resultado final es un peligroso agujero de
seguridad que se suma a la inacabable responsabilidad del
departamento informático de cumplir con las políticas de
seguridad de toda la empresa. Pruebas de organizaciones
Tiempo
(segundos)
Figura 1. Velocidad media del escaneado del disco duro – comparación de programas antivirus (Fuente: Estudio comparativo
realizado por Virus Bulletin en 2004).
.
2
MONOGRÁFICO DE SOPHOS
independientes demuestran que Sophos Anti-Virus™ supera en
rendimiento al resto de principales productos antivirus de
forma consistente (véase figura 1). El motor de escaneado de
Sophos ofrece un alto rendimiento para escaneados de mayor
velocidad, lo que mejora la facilidad de uso del producto. No
se trata de que otros productos antivirus no ofrezcan una
detección antivirus de alta calidad, sino de que algunos
productos son difíciles de usar y de distribuir de forma
adecuada y, si esto no se consigue, podría conllevar el
incumplimiento por parte de la empresa de leyes como la Ley
de Portabilidad y Responsabilidad de Seguros de Salud
(HIPAA), la Ley Gramm-Leach-Bliley (GLB) y la Ley SarbanesOxley. Estas leyes tienen un punto común: la protección de
información. Los datos originales no deben modificarse y, en
caso de que se realice cualquier cambio, el programa lo debe
indicar claramente. Virus, programas espía y programas
maliciosos pueden comprometer hasta los datos mejor
administrados. HIPAA requiere a las organizaciones prevenir la
entrada en su sistema de incluso gusanos de email
desconocidos. GLB estipula un marco formal de medidas
preventivas de carácter administrativo, técnico y físico para
proteger contra amenazas para estos datos.
Proceso de detección de amenazas
La conectividad conlleva riesgos de seguridad para la empresa
y las amenazas a las que se expone son de naturaleza
cambiante. La velocidad con la que nuevas amenazas
aparecen y se propagan a través de Internet hace que los
equipos de los usuarios sean más vulnerables que nunca. Una
detección de amenazas legítima adopta un enfoque global
para comprender y evaluar el entorno con un Proceso de
Detección de Amenazas. Este modelo puede dividirse en
cuatro componentes principales, tal como muestra la figura 2
de más abajo.
El aspecto clave de la detección de amenazas es el sistema
de evaluación de amenazas que tiene implantado el
fabricante. Sophos adopta múltiples facetas en su enfoque
para administrar la seguridad de sus clientes. Del mismo
modo que un sistema de detección temprana, la Red de
Detección de Amenazas de Sophos ofrece información
anticipada sobre la actividad de Internet. Una combinación de
trampas de spam distribuidas por Internet almacena datos en
tiempo real de forma continua, lo que permite a Sophos
anticiparse a posibles ataques. A continuación, esta
recopilación de spam y virus es analizada por SophosLabs™,
una red global de análisis de amenazas, que ofrece protección
24 horas ante nuevos virus y campañas de spam. Esto
permite a Sophos responder rápidamente y administrar mejor
el carácter convergente de las amenazas de spam y virus.
SophosLabs tiene patentados análisis automatizados y
exhaustivos para hallar patrones de comportamiento y rasgos
comunes de las amenazas. Las actualizaciones de identidades
de virus y la velocidad a la que están disponibles constituyen
el tercer nivel de protección. En último lugar, en las redes de
los clientes se encuentran los tradicionales puntos de
aplicación de la protección donde está instalado el software.
En términos generales, un enfoque multinivel de la protección
de gateway, servidor y estaciones de trabajo constituye la
mejor defensa. Una de las responsabilidades de SophosLabs es
distribuir actualizaciones de identidad de virus a la base de
clientes de Sophos. La importancia del tiempo de reacción a
los virus no debe exagerarse. Sin una protección actualizada,
una organización se verá expuesta a las últimas amenazas. El
tiempo de reacción es importante, ya que la velocidad a la
que se extienden los ataques de virus ha aumentado de
manera espectacular. Por ejemplo, el virus SQL Slammer se
extendió a 250.000 servidores en 10 minutos.
Proceso de detección de amenazas
Programas
maliciosos
Spam
Programas
maliciosos
Spam
Red de detección
de amenazas
Laboratorios
de análisis
Programas
maliciosos
Spam
Actualizaciones
Puntos de aplicación
de la protección
Figura 2: Los cuatro principales componentes del proceso de detección de amenazas.
TODOS LOS PROGRAMAS ANTIVIRUS NO HAN SIDO CREADOS IGUALES
Como se muestra en la figura 3, los resultados del tiempo de
reacción de Sophos, procedentes de pruebas realizadas en
2004 por una organización independiente, fueron superiores a
los de los demás principales fabricantes antivirus: el tamaño
de las actualizaciones de virus varía considerablemente de un
fabricante a otro. Por lo general, las actualizaciones de virus
de Sophos tienen un tamaño inferior a 5 KB. Distribuir una
actualización de este tamaño en una red compleja (por
ejemplo, 20.000 usuarios) lleva normalmente 30 minutos o
menos. El otro aspecto de la detección de amenazas en el
que centran su atención los fabricantes antivirus es la
protección proactiva. La tecnología de detección de virus
Genotype™ de Sophos permite detectar de forma proactiva
conocidas variantes de virus. Mediante el análisis de la
estructura de los primeros casos de un virus, los expertos de
Sophos crean un sistema que identifica familias de virus. En el
caso de los brotes de los virus Mydoom y Bagle, de los que
aparecieron múltiples variantes en poco tiempo, la tecnología
Genotype detectó e hizo frente a la amenaza en tiempo real,
sin protección adicional. Por consiguiente, los clientes de
Sophos cuentan con protección contra muchos futuros virus
sin necesitar actualizaciones con firma digital.
Fabricante
Tiempo medio de reacción
Sophos
Menos de 8 horas
desarrollan con el objetivo de ofrecer las funciones y avances
adecuados a ese mercado.
Plataformas compatibles
Muchas empresas han realizado inversiones considerables en
sistemas como Windows 95/98, OpenVMS y NetWare, así
como en varias plataformas Linux y UNIX. Con la creciente
necesidad de reducir el presupuesto del departamento
informático y retener costes, estas empresas se muestran
reticentes a "desperdiciar" su sistema a un alto precio y
arriesgar los procesos de su negocio. Un fabricante antivirus
como Sophos ofrece una protección consistente a través de
una amplia gama de plataformas y secunda la inversión que
han hecho las empresas. Con una amplia lista de plataformas
compatibles, Sophos permite a las empresas apalancar las
inversiones en los equipos de que disponen sin necesidad de
actualizar el sistema. A menudo, quienes piden actualizar el
sistema son usuarios que exigen un mayor rendimiento,
aunque lo más probable es que su estación o portátil actual
sea suficiente para ejecutar MS Office y otras aplicaciones
similares. Los productos de Sophos son compatibles con la
mayor gama de plataformas (estaciones y servidores) de
cualquier principal fabricante antivirus, incluyendo las
siguientes:
•
Solaris
• Windows XP
Trend Micro
Menos de 10 horas
•
Otras versiones UNIX
• Windows 2000
CA
Menos de 12 horas
•
NetWare
• Windows 2003
McAfee
Menos de 14 horas
•
Mac
• Windows NT4
•
OS/2
• Windows 98/Me
Symantec
Menos de 16 horas
•
Open VMS alpha
• Dos
•
Open VMS Vax
• Linux
Figura 3: Comparación entre fabricantes de tiempos de
reacción durante un período de 9 meses en 2004 (Fuente:
Anti-virus Outbreak Response and Impact – AV-Test GmbH).
Concebido para empresas
A la hora de escoger una solución antivirus para su empresa,
es importante elegir un fabricante antivirus que priorice las
necesidades de un administrador informático que gestiona
redes de empresas. Estos requisitos son muy diferentes y son
más exigentes que las necesidades de un usuario particular. El
resto de principales fabricantes antivirus disponen de
productos tanto para empresas como para usuarios
domésticos. De hecho, Symantec obtiene una gran proporción
de sus ventas antivirus del mercado de usuarios domésticos.
La arquitectura de los productos de Sophos siempre se ha
basado en una protección de red “vertical”. Este enfoque
difiere mucho del de otros fabricantes, que han intentado
tomar un producto antivirus del mercado particular y adaptarlo
para satisfacer las necesidades de las redes de gran tamaño.
Los productos de Sophos se venden sólo a empresas y se
Figura 4: Lista de plataformas compatibles con Sophos
Anti-Virus
Soporte técnico y satisfacción del cliente
Uno de los aspectos más importantes que marcan la
diferencia entre fabricantes antivirus es el soporte técnico de
la empresa. Sophos ofrece soporte técnico 24 horas, 365 días
al año, a todos los clientes sin coste adicional. Algunos
fabricantes incluso externalizan sus servicios de soporte. Esto
significa que el equipo de soporte no dispone de acceso
directo a los equipos de desarrollo de productos, lo que a
menudo es esencial para resolver dudas rápidamente. Por otro
lado, el servicio de soporte de Sophos procede de una red
global de profesionales internos con una amplia experiencia y
conocimientos prácticos. El éxito de este sistema ha sido
demostrado por la alta valoración que ha recibido el soporte
técnico de Sophos por parte de organizaciones
3
4
MONOGRÁFICO DE SOPHOS
independientes, incluyendo los siguientes ejemplos (para más
información, visite http://www.sophos.com/products/reviews/).
Information Security Magazine: El tema de portada del
número de octubre 2004 situó en el primer puesto al servicio
de atención al cliente de Sophos: “En términos generales,
Sophos, cuyo servicio de atención al cliente es la piedra
angular de su negocio, fue el mejor”.
Encuesta ImageTrack de Computing: Por segundo año
consecutivo, Sophos fue nombrado “Fabricante del Año” en la
categoría de Seguridad de la encuesta de satisfacción del
cliente ImageTrack de Computing en 2004.
PC Pro Magazine: “Teniendo en cuenta el soporte que se
recibe, que es insuperable, sólo hay una opción y es Sophos...
sólido escaneado de virus para su red” (Marzo 2005).
Capacidad de gestión
Una protección antivirus superior requiere una solución que no
sólo ofrezca una detección de virus rápida y eficaz, sino que
también sea fácil de configurar y de mantener. Normalmente,
el personal informático prefiere que los productos de seguridad
sean lo más parecidos a “instalar y listo". Dado que la
aplicación antivirus es una parte crucial de la infraestructura
de seguridad global de una empresa, el tiempo necesario para
la configuración inicial debe ser reducido. Y, lo que es más
importante, no se debería dedicar demasiado tiempo en el
mantenimiento de la administración del programa y en
realizar las actualizaciones pertinentes.
Algunos fabricantes ofrecen herramientas administrativas que,
a pesar de ser presentadas como "multifuncionales”, acaban
quedándose en la estantería. A menudo, esto se debe a la
complejidad de la herramienta administrativa, a las
dificultades que conlleva la configuración inicial y al
mantenimiento de la gestión, que puede llevar a la empresa a
invertir en más programas para realizar las tareas
administrativas y en personal adicional dedicado a garantizar
el funcionamiento del programa. En consecuencia, los clientes
renuncian al producto cuando no disponen del tiempo y la
paciencia necesarios.
como en demanda. Incluso usuarios remotos e itinerantes
están protegidos y se actualizan automáticamente.
Resumen
Estos seis factores contribuyen, de diferente forma, al factor
esencial que debe considerarse a la hora de evaluar una
protección antivirus: el coste total de propiedad (CTP). Medir
el CTP de los fabricantes antivirus y sus productos permite
comprender de forma clara la rentabilidad de cada solución.
Existen otros factores que contribuyen al CTP, incluyendo el
más obvio: el precio de la licencia del producto y el soporte
incluido. No obstante, las organizaciones son cada vez más
conscientes de que incluso las licencias y soporte de precio
considerable pueden representar una pequeña parte del CTP
antivirus.
Al estudiar debidamente el CTP – teniendo en cuenta aspectos
como las actualizaciones de plataformas, coste de ancho de
banda, mantenimiento de la gestión, administración de los
brotes víricos y consultas de soporte técnico – es evidente que
existen grandes diferencias entre fabricantes antivirus y las
soluciones que ofrecen. Por ejemplo, uno de los premios que
Sophos recibió recientemente fue el primer premio en la
categoría de productos antivirus del año por parte de
Information Security Magazine, que evaluó 1.239 productos
en 13 categorías y afirmó lo siguiente: “Sophos no gana sólo
el primer premio, sino que sienta las bases de los productos
antivirus de calidad superior.” Al evaluar los factores
mencionados en este monográfico, Sophos Anti-Virus resulta
ser el más rentable, con el menor CTP y la mejor protección
para el mayor número de plataformas que cualquier otro
fabricante antivirus en el mercado.
Sophos evita estos problemas ofreciendo intuitivas funciones
de administración mediante Enterprise Console™, que permite
una gestión con un esfuerzo y tiempo mínimos. Sophos se
centra exclusivamente en ofrecer soluciones antivirus que
satisfagan las necesidades de administradores de red
exigentes. Sophos Anti-Virus usa EM Library™, que de forma
automática actualiza las redes en una amplia gama de
plataformas (desde Windows y Mac OS hasta Linux y UNIX)
con las actualizaciones de virus, tanto de forma programada
Boston, EE.UU. • Mainz, Alemania • Milán, Italia • Oxford, GB • París, Francia
Singapur • Sydney, Australia • Vancouver, Canadá • Yokohama, Japón
© Copyright 2005. Sophos Plc.
Todas las marcas registradas reconocidas por Sophos.
Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna
forma, ni por ningún medio, sin la previa autorización escrita por parte del propietario.
Descargar