Nuevos enfoques para combatir el malware

Está emergiendo una nueva categoría de herramientas anti-malware. No se trata de herramientas basadas en gateway ni en la depuración de sobremesas. Este nuevo enfoque se apoya en la manipulación de permisos para ficheros ejecutables permitiendo proactivamente denegar la posibilidad de correr cualquier programa informático o limitar el nivel al que se ejecute.

En lugar de intentar reconocer el malware, como hacen las soluciones tradicionales, estos sistemas utilizan listas blancas, listas negras y políticas para fijar los permisos Windows para ejecutables, incluso si la persona que se conecta al sistema es el propio administrador TI. Sanctuary, de SecureWave; GreenBorder, de la empresa del mismo nombre; Protection Manager de Winternals Software (adquirida por Microsoft este verano); y Savant Protection son algunos de los productos dentro de esta nueva categoría.

Por ejemplo, Protection Manager (cuyo precio parte de unos 25 dólares por ordenador gestionado) utiliza los niveles de privilegio de Windows para impedir que pueda ejecutarse una aplicación desconocida, permitir que se corra una conocida pero con privilegios reducidos (sólo a determinado nivel) o facilitar a una aplicación acceso completo a ficheros y directorios, incluidos los directorios de sistema operativo.

Hacer que un programa sólo pueda correr a un nivel de privilegio menor, por ejemplo, podría impedir a ese programa acceder a los ficheros y directorios de sistema Windows. En este nivel, sería posible que Word disfrutara libremente de acceso a todos los directorios excepto a los de sistema. Más allá de las listas blancas, Protection Manager trabaja “bajo demanda” para permitir a los usuarios ajustar dinámicamente los privilegios de una aplicación o interrumpir su funcionamiento.

Cuando inadvertidamente un usuario pincha en el vínculo a una página Web que descarga malware sobre una máquina protegida por este software, Protection Manager intercepta la descarga de malware y evita la posibilidad de que llegue a correr sobre el equipo. Las capacidades de este producto pueden ser gestionadas desde una localización central y se integra con Active Directory para facilitar a los administradores la protección de grupos completos de usuarios.
Whitepaper emc-cio-it-as-a-service-wp Whitepapers