Cuando hablamos de ciberseguridad, la mejor defensa contra a las amenazas actuales y futuras, es establecer un sistema de protección por capas. Una de esas capas imprescindibles es sin duda la protección antivirus.
Se está hablando con frecuencia de dos tipos de soluciones antivirus para proteger al usuario final, el antivirus tradicional, basado en firmas, y las soluciones antivirus inteligentes o de detección y respuesta de endpoints (EDR).
Ambos ofrecen beneficios, y sin duda es imprescindible tener uno de los dos, pero es difícil saber la diferencia y que interesa más. Se nos plantean varias preguntas que responder.
¿Cómo funciona un antivirus tradicional basado en firmas?
Este tipo de antivirus ha sido la solución favorita de las empresas tradicionalmente, hasta hace algún tiempo. Protege todas las computadoras de la empresa de virus, y normalmente no es necesaria la intervención del usuario puesto que se administran de forma sencilla.
Cuando se descubre un virus o malware, se pone en cuarentena. Es una primera línea de defensa simple y directa; no requiere demasiados conocimientos técnicos y hace un buen trabajo al rechazar muchas amenazas.
Sin embargo, este tipo de antivirus requieren actualizaciones regulares de definiciones (firmas de virus), y ahí radica el problema. La protección que ofrece el programa es tan buena como las actualizaciones del proveedor. Diariamente surgen nuevas amenazas y los fabricantes tardan varios días, en ocasiones semanas, en publicar las actualizaciones (y a veces nunca), de forma que pasamos demasiado tiempo desprotegidos. A menudo, las amenazas se descubren después de que el daño está hecho.
Dado este problema crítico, ¿por qué elegir un antivirus basado en firmas? Las ventajas son solo dos: menor coste y simplicidad de uso. En nuestra opinión estas soluciones, a pesar de ser muy válidas para protegernos de todas las amenazas “antiguas”, no alcanzan el nivel de protección necesario para las amenazas de hoy en día.
Solo recomendaríamos una solución de este tipo en entornos con muy bajo riesgo: Entornos en los que los usuarios no naveguen, no reciban correo electrónico, o existan protecciones perimetrales de muy alto nivel.
¿Cómo funciona un antivirus EDR?
EDR es una solución que trabaja a muchos niveles. Hace todo lo que hacen los antivirus tradicionales, pero lleva las cosas un paso más allá, brindando una mayor seguridad y (lo más importante) tranquilidad.
Las soluciones EDR se centran en la protección proactiva de terminales. Están basados en inteligencia artificial, su trabajo es identificar los procesos o elementos de nuestro dispositivo que exhiban un comportamiento sospechoso y abordarlos antes de que se reconozcan como dañinos. Y no depende de las actualizaciones de definiciones, en lugar de eso busca comportamientos anormales.
Por ejemplo, si varios archivos cambian de nombre al mismo tiempo, o un determinado proceso genera una cantidad enorme de ficheros, es probable que se deba a un ataque al puesto de trabajo.
Además, este tipo de soluciones suelen contar con mecanismos de reparación o recuperación de los sistemas en caso de ataque, no solo los mecanismos de detección y cuarentena que tiene un antivirus tradicional. (Más información sobre EDR aquí).
Como conclusión podríamos decir que, si realmente estás preocupado por la seguridad y priorizas la protección, apuesta por una solución adaptada a los tiempos actuales: antivirus inteligente o EDR.
En DAGARA disponemos de varias soluciones líderes del mercado y administradas por nuestro departamento técnico. Si estás interesado contacta con nosotros.
¿Quieres recibir nuestro boletín informativo?
Te avisamos de las nuevas entradas a nuestro blog.
[…] Ramsonware. En este caso es importantísimo tener un sistema antivirus basado en comportamientos, EDR, o protecciones específicas de endpoint contra […]