Palabras de moda contra virus: cómo Cylance está revolucionando la industria antivirus
La mayoría de los antivirus modernos utilizan métodos reactivos y proactivos para protegerse contra el malware. En el método reactivo, la "huella dactilar" cuando se ejecuta un archivo sospechoso se compara con una base de datos de huellas dactilares de virus conocidos, la llamada base de firmas. Si hay una coincidencia, el virus es reconocido como tal y neutralizado antes de que pueda causar ningún daño. La desventaja es obvia: si no hay coincidencia y sigue siendo malware, el usuario sólo se da cuenta cuando ya es demasiado tarde. Además, una nueva copia de virus debe ser analizada "a mano" por especialistas en un proceso que lleva mucho tiempo antes de que pueda añadirse a la base de datos de firmas y, por tanto, esté disponible para todas las demás instancias del programa antivirus.
Muchos virus informáticos modernos disponen de mecanismos para eludir este método de eliminación de virus. Al igual que sus homólogos reales, esto se denomina "mutación": La estructura del virus se modifica automáticamente de tal forma que incluso los programas antivirus que ya han indexado una versión anterior del mismo malware no reconocen la nueva mutación.
Por ello, la protección antivirus utiliza a menudo métodos proactivos adicionales, como los análisis de comportamiento o la heurística. Así se garantiza que incluso los virus informáticos desconocidos se detecten rápidamente y se indexen automáticamente. El software antivirus supervisa y comprueba el comportamiento de todos los programas en ejecución en tiempo real. Esto ocurre durante el funcionamiento activo o en un "sandbox", un área sellada dentro del sistema. Si se identifican características de virus conocidos en programas desconocidos o si un programa aparentemente inofensivo supera un determinado umbral de acciones sospechosas, se activa una alarma.
Aunque estos métodos tienen mucho más éxito a la hora de detectar malware desconocido, también conllevan desventajas para el usuario final: en ambos casos, el malware debe ejecutarse primero para poder ser reconocido como tal. En un entorno aislado, esto es mucho más seguro, pero a menudo consume mucho tiempo y recursos. La facilidad de uso debe dar paso inevitablemente a la seguridad.
Mientras que otros proveedores siguen confiando en las actualizaciones diarias de las bases de datos de firmas, el ojo entrenado de los especialistas y la ejecución de programas potencialmente peligrosos, la empresa Cylance, fundada en 2012, adopta un enfoque innovador y diferente. Se basan en un enfoque preventivo: su protección antivirus CylancePROTECT utiliza una mezcla de inteligencia artificial, aprendizaje automático y la nube para detener tanto el malware conocido como el desconocido antes incluso de que pueda ejecutarse. Lo que a primera vista suena a bingo de palabras de moda y a "Minority Report" es asombrosamente eficaz en la práctica: en pruebas independientes de protección antivirus realizadas por MRG Effitas y AV-Comparatives, CylancePROTECT alcanzó una tasa de detección del 91,6 % y el 92 %, respectivamente, de virus procedentes de la naturaleza, y eso totalmente sin métodos tradicionales como una base de datos de firmas o la heurística. Y la tendencia es al alza.
¿Pero cómo?
Según Cylance, que actualmente es uno de los más schnellsten wachsenden Security-Startups del mundo, CylancePROTECT descompone cada archivo en sus componentes básicos para analizar las características individuales. Para ello, la inteligencia artificial que constituye el núcleo de CylancePROTECT utiliza una mezcla de matemáticas aplicadas y aprendizaje automático basado en un conjunto de datos de archivos seguros e inseguros. Esto le permite decidir en una fracción de segundo si un archivo desconocido es amenazador o no. Para ello, no depende de una conexión a Internet o a la nube: todas las pruebas se realizan localmente. Este enfoque inusual permite incluso a la IA de CylancePROTECT proteger contra exploits de día cero en todas las plataformas.
Sin embargo, al analizar archivos ajenos, el software antivirus suele proceder de forma muy agresiva al principio, lo que puede dar lugar a falsas alarmas en determinadas circunstancias. Detrás de esto se encuentra otra característica de CylancePROTECT: tras un ajuste manual, la IA adaptativa se adapta rápidamente a las circunstancias de un nuevo entorno y puede así proteger contra amenazas de forma aún más eficaz.
CylanceHYBRID permite configurar instancias de CylancePROTECT incluso sin conectar todos los puntos finales a la nube. Esto significa que las redes internas o las redes con datos sensibles sin conexión directa a Internet también pueden protegerse de forma eficaz y segura. Mediante el uso de CylanceAPI, el software antivirus puede integrarse fácilmente en las soluciones de seguridad existentes. El paquete se completa con CylanceOPTICS, una completa herramienta de detección y respuesta de puntos finales (EDR), que ayuda a analizar y mostrar las causas de un bloqueo por parte de CylancePROTECT.