El “modo paranoico” del antivirus está ralentizando a las empresas
Publicado: 2022-01-04
No es sencillo lograr la estabilidad adecuada entre estabilidad y eficiencia. Esto es especialmente cierto cuando se trata de ciberseguridad porque las empresas deben protegerse diligentemente de las amenazas mientras se aseguran de que las defensas más que celosas no obstaculicen la productividad.
En AV-Comparatives, dedicamos nuestro tiempo a realizar arduas y minuciosas pruebas de respuestas antivirus (AV) para exponer específicamente qué tan efectivos son para bloquear infecciones bacterianas de malware y ciberamenazas. De vez en cuando, puede parecer que un vendedor ha construido el mejor producto o servicio que bloquea todas las amenazas y logra una calificación fantástica. Sin embargo, en algunos casos el producto antivirus aparentemente perfecto esconde un problema: bloquea todo o genera grandes cantidades de falsos positivos.
A escala de toda la empresa, el uso de productos que se adhieren a una táctica que llamamos "modo paranoico" puede tener un resultado desastroso en la productividad al ralentizar los procesos normales, poner obstáculos en el camino del personal y entorpecer las actividades diarias. .
Por supuesto, lo contrario también es legítimo. Si una empresa (o una opción de antivirus) proporciona demasiada flexibilidad, las dificultades no estarán muy lejos. Entonces, ¿cómo deberían las empresas obtener la armonía perfecta de "ricitos de oro" que asegure la eficiencia al mismo tiempo que se asegura de que las operaciones típicas puedan seguir funcionando sin problemas?
El dilema con los falsos positivos
Suenan inocuos. Pero los falsos positivos pueden tener efectos graves en una empresa. Cuando una alternativa AV detecta falsamente un desafío, genera desafíos operativos inmediatos. La línea de producción debe detenerse, por así decirlo, ya que el problema se evalúa, investiga y luego se descarta. Si esto sucede en ese momento, posiblemente solo sea una molestia. Cuando se trata de más y más de nuevo, la gente a cargo de la protección podría dejar de lado la religión en el producto o servicio AV y comenzar a cuestionar todos sus estudios.
Cuando el niño gritó lobo, nadie le creyó cuando un lobo genuino apareció afuera del pueblo. Lo mismo ocurre con los productos AV. Si se producen resultados positivos erróneos con frecuencia, el equipo de seguridad inicialmente sufrirá el agotamiento de la información antes de comenzar a eliminar la religión en su opción AV, lo que podría perder un riesgo real. En el peor de los casos, podrían terminar poniendo en la lista blanca una pieza de malware para que se pueda distribuir libremente a través de la red. Es mejor tener un producto antivirus que bloquee el 99 % de las amenazas sin falsos positivos que uno que tenga un nivel de bloqueo de 100 PC pero genere alarmas incorrectas.
En una escala más amplia, la configuración excesiva de AV puede reducir gradualmente los procesos en una empresa. Si un elemento AV está configurado en modo paranoico, podría bloquear los procedimientos del régimen. Por ejemplo, si la solución incorpora filtrado de red, puede participar en una posición importante para evitar que el personal acceda a páginas web inapropiadas, así como a páginas web destructivas. Pero, ¿y si el equipo de contabilidad quiere obtener un portal bancario? ¿O el equipo de publicidad y marketing quiere hacer rápidamente algunas diapositivas de una presentación usando una aplicación web? Si las opciones son demasiado agresivas, estos dos intentos podrían bloquearse. Amplíe esta dificultad en una corporación y no es complicado ver cómo los productos y soluciones AV aparentemente exitosos pueden obstaculizar la eficiencia y colocar obstáculos innecesarios en el camino de las personas.
Falsas alertas – Crisis genuina
Es molesto cuando se bloquean los correos electrónicos y se impide que las aplicaciones genuinas funcionen correctamente cuando una resolución AV tiene activado el método paranoico. Sin embargo, las complicaciones inducidas por los falsos positivos pueden ser algo más que molestas. Algunos aspectos positivos incorrectos pueden hacer que un programa específico no se pueda iniciar o permitir que se encienda pero no se conecte a Internet oa una red local. Hace un par de años, esto habría sido un problema mucho menor, ya que un solo trabajador afectado por este desafío podría simplemente cambiar a otra máquina. Si están trabajando desde su residencia, a kilómetros de distancia de un colega diferente y del personal de orientación de TI, es fácil ver cómo se pueden desperdiciar varias horas tratando de resolver el dilema. Ningún vendedor puede asegurar que este problema nunca ocurrirá.
No permite que haya varias estrategias en las que los cursos legítimos puedan integrarse por sí mismos en un proceso de funcionamiento de una manera que se asemeje al malware. Los cursos de cifrado y las capacidades de restauración de procesos, por ejemplo, a menudo parecen malware para los bloqueadores de comportamiento. Los elementos AV que bloquean todo lo que nunca antes habían encontrado y que no se han incluido en la lista blanca pueden parecer efectivos para bloquear malware, pero a expensas de una gran oportunidad para reducir la productividad.
Hemos visto muchas ilustraciones de la lesión inducida por falsos positivos. Un ejemplo reciente de esto es con Microsoft Defender para Endpoint, actualmente está bloqueando la apertura de los documentos de Workplace y el lanzamiento de algunos ejecutables debido a un falso positivo que etiqueta los archivos como quizás un paquete de una carga útil de malware Emotet.
Se ha estimado que los Centros de Operaciones de Protección dedican 15 minutos de cada hora a trabajar con alertas falsas. Ahora imagine lo que se materializaría en una empresa menor sin la necesidad de un equipo dedicado cuando se encuentra exactamente con el mismo problema. El tiempo de inactividad causado por las protecciones extremas podría tener un precio muy alto sin duda.
Abordar las complicaciones del modo paranoico
Abordar el dilema de los positivos erróneos y el método paranoico es un lugar en el que los titulares tienen un beneficio. Los nuevos participantes en el sector bien pueden tener los conocimientos tecnológicos más recientes y estrategias nuevas y modernas sobre cómo lidiar con las amenazas y reducirlas. Pero lo que les falta es conocimiento y saber hacer. Los vendedores más antiguos y más instalados tienen listas blancas detalladas que permiten que los programas de software con empresas de renombre se aprovechen para funcionar correctamente sin ser bloqueados por elementos AV. Los nuevos participantes en el sector se recuperarán, pero se necesita mucho tiempo para crear la experiencia y la conciencia para trabajar correctamente con las listas blancas. Cuando están en funcionamiento, estas listas pueden ser una herramienta eficaz, que permite a los clientes trabajar con un producto de "denegación predeterminada" que evitará que se ejecute todo el paquete de software a menos que se identifique como legítimo.
Generalmente se dice que la mejor manera de hacer que un dispositivo sea seguro es cortar su conexión a Internet y cortar el cable de alimentación. Esto, por supuesto, minimizará el riesgo de malware a cero. Pero minimizará la productividad a la misma cantidad. La resolución es la vigilancia continua. Los proveedores deben establecer rápidamente falsos positivos y simplemente tomar medidas. Una lista blanca debe estar en continua evolución. Los compradores también deben ver sus respuestas AV e informar cualquier cosa que pueda estar equivocada. AV Comparative integra pruebas que permiten un acto de equilibrio para guiar a los usuarios sobre las configuraciones que los proveedores terminaron aplicando en el producto o servicio de seguridad. Los efectos multifacéticos pueden ofrecer una imagen mucho más esclarecedora de lo que se avecina. La manera paranoica es un problema, pero se puede resolver.
Peter Stelzhammer, cofundador, AV-Comparatives