Los principios de funcionamiento de los antivirus modernos utilizando el ejemplo de Kaspersky Endpoint Security Cloud
Traductor traducir
La ciberamenaza moderna evoluciona a un ritmo sin precedentes, lo que exige que los sistemas de seguridad adopten enfoques radicalmente nuevos para proteger la infraestructura corporativa. Las tecnologías antivirus actuales son un complejo conjunto de soluciones integradas que combinan métodos de detección tradicionales con algoritmos avanzados de aprendizaje automático y servicios en la nube. Kaspersky Endpoint Security Cloud demuestra cómo los sistemas de seguridad modernos se adaptan a los desafíos de la era digital, ofreciendo un enfoque multicapa para garantizar la seguridad de los endpoints.
2 Componentes tecnológicos del sistema de protección
3 Métodos de detección y análisis de amenazas
4 Aplicación del aprendizaje automático en sistemas de seguridad
5 Análisis del comportamiento y seguimiento de la actividad
6 Tecnologías de inteligencia de amenazas basadas en la nube
7 Funciones de detección y respuesta a incidentes
8 Protección de entornos virtuales y en la nube
9 Gestión y administración centralizadas
Fundamentos arquitectónicos del sistema de seguridad en la nube
Modelo de infraestructura híbrida
Kaspersky Endpoint Security Cloud se basa en el principio de una arquitectura híbrida, que combina la infraestructura en la nube del proveedor con el entorno cliente de la organización. Este enfoque permite centralizar la gestión de la seguridad, manteniendo al mismo tiempo el control local sobre las operaciones críticas.

La infraestructura en la nube de Kaspersky Security Center Cloud Console incluye una consola de administración web que permite la creación y el mantenimiento de un sistema de protección de red corporativa. Esta consola funciona como un nodo de administración central a través del cual los administradores acceden a la configuración de políticas de seguridad, la supervisión del estado de los dispositivos y el análisis de incidentes de seguridad.
La infraestructura de cliente de una organización puede contener diversos componentes: estaciones de trabajo Windows, servidores, dispositivos móviles iOS y Android, y computadoras macOS. Cada tipo de dispositivo está protegido por agentes especializados adaptados al sistema operativo específico.
Redes y protocolos
El sistema utiliza rangos de puertos específicos para garantizar una comunicación fiable entre los componentes. Los puertos TCP 23100-23199 y 27200-27299 se utilizan para conectarse a Kaspersky Security Center Cloud Console, lo que proporciona flexibilidad en la configuración de red. El puerto 13000 se encarga de administrar los dispositivos cliente y entregar actualizaciones, mientras que el puerto 443 se utiliza para conectarse a los servicios en la nube de Kaspersky y al servicio de detección de la consola.
Esta arquitectura garantiza el funcionamiento estable del sistema incluso durante fallas temporales de la conexión a la red, ya que los agentes en los dispositivos pueden seguir trabajando en modo fuera de línea con posterior sincronización de datos cuando se restablece la conexión.
Componentes tecnológicos del sistema de protección
Agentes de seguridad multiplataforma
Kaspersky Endpoint Security Cloud incluye componentes especializados para cada plataforma compatible. El Agente de Red para Microsoft Windows funciona en conjunto con Kaspersky Endpoint Security, proporcionando protección multicapa mediante la integración de mecanismos básicos y avanzados de detección de amenazas.
El nivel Básico de protección contrarresta eficazmente los ataques masivos mediante tecnologías probadas de análisis de firmas y detección heurística. El nivel Avanzado está diseñado para prevenir ataques dirigidos complejos mediante análisis de comportamiento y aprendizaje automático.
Los componentes de control reducen la superficie de ataque y garantizan la aplicación de las políticas de seguridad corporativas. El Agente de Administración actúa como intermediario entre el componente de protección local y la consola en la nube, transmitiendo los cambios de configuración e información sobre las amenazas detectadas.
Seguridad de dispositivos móviles
El sistema admite la gestión de dispositivos móviles mediante diversos mecanismos, según el sistema operativo. En el caso de los dispositivos iOS, la tecnología de gestión de dispositivos móviles se utiliza mediante un archivo XML especial que contiene la dirección del servidor y el certificado de seguridad. Tras instalar este perfil, el dispositivo queda bajo gestión centralizada.
Los dispositivos Android están protegidos mediante una única aplicación, Kaspersky Security for Mobile, que combina funciones de protección y comunicación con servidores en la nube. Este enfoque proporciona seguridad integral para la infraestructura móvil de una organización con un impacto mínimo en la experiencia del usuario.
Métodos de detección y análisis de amenazas
Análisis de firmas como base para la detección
El análisis de firmas sigue siendo un método fundamental para detectar amenazas conocidas en los sistemas antivirus modernos. Este método se basa en la búsqueda de cadenas o patrones específicos en los archivos analizados, así como en el análisis de sumas hash de archivos completos. Kaspersky Security Cloud utiliza una extensa base de datos antivirus que se actualiza periódicamente para ofrecer protección contra las amenazas más recientes.
Las ventajas del análisis de firmas incluyen una alta velocidad de detección, un mínimo de falsos positivos y un bajo consumo de recursos informáticos del dispositivo protegido. Sin embargo, este método presenta limitaciones al trabajar con malware polimórfico y nuevas variantes de amenazas existentes.
Para superar estas limitaciones, el sistema utiliza firmas heurísticas estructurales y tecnología SmartHash, capaces de detectar malware desconocido y polimórfico mediante el análisis de las características estructurales de los archivos.
Análisis heurístico y emulación
El análisis heurístico amplía significativamente las capacidades de detección al analizar el comportamiento de los objetos en un entorno controlado. El sistema crea un entorno artificial seguro donde emula la ejecución de archivos o scripts sospechosos. Si se detecta actividad sospechosa durante la emulación, el objeto se clasifica como potencialmente malicioso.
El emulador recrea un entorno de ejecución funcional, que incluye funciones del sistema y varios subsistemas del sistema operativo de destino, sin involucrar componentes reales del sistema. Este enfoque permite analizar de forma segura el comportamiento de objetos sospechosos sin riesgo de infectar el sistema real.
El análisis heurístico es especialmente eficaz contra amenazas nuevas y previamente desconocidas, ya que analiza las acciones del programa en lugar de su firma. El sistema puede detectar comportamiento malicioso incluso si la variante específica del malware aún no se ha registrado en las bases de datos de firmas.
Tecnología SmartHash y Hashing Inteligente
SmartHash es un algoritmo patentado para construir hashes inteligentes que consideran la localización de archivos. Esta tecnología permite agrupar archivos por similitud funcional, incluso si difieren a nivel de código binario.
Diferentes archivos pueden tener el mismo valor SmartHash cuando funcionan de forma similar. Un valor SmartHash específico identifica un grupo completo de archivos similares, lo que permite la detección eficaz de malware desconocido basado en familias conocidas.
La tecnología SmartHash utiliza múltiples niveles de precisión, lo que garantiza la detección incluso de malware altamente polimórfico y minimiza los falsos positivos. El componente en línea de SmartHash compara los valores calculados por el cliente con miles de millones de archivos limpios conocidos en la base de datos a través de la red global de seguridad de Kaspersky.
Aplicación del aprendizaje automático en sistemas de seguridad
Métodos de aprendizaje supervisados y no supervisados
Kaspersky Endpoint Security Cloud aplica activamente métodos de aprendizaje automático en todas las etapas del proceso de detección de amenazas. El sistema utiliza métodos de aprendizaje supervisados y no supervisados para diversas tareas de análisis de seguridad.
El aprendizaje supervisado analiza un conjunto de propiedades de objetos y sus correspondientes etiquetas de clasificación para crear un modelo que pueda determinar correctamente el estado de objetos previamente desconocidos. Las propiedades pueden incluir estadísticas de archivos, una lista de las funciones API utilizadas y otras características, mientras que las clasificaciones varían desde una simple clasificación de "benigno" o "malicioso" hasta una categorización más detallada de los tipos de amenazas.
Los métodos de aprendizaje no supervisado se utilizan para descubrir patrones ocultos en los datos, detectar grupos de objetos similares e identificar propiedades interrelacionadas. Este enfoque es especialmente útil para identificar nuevos tipos de amenazas que no encajan en las categorías de clasificación existentes.
Análisis estático y dinámico
El sistema implementa dos enfoques principales para el análisis de objetos basado en el aprendizaje automático: análisis estático sin ejecutar el objeto y análisis dinámico del comportamiento durante la ejecución.
El análisis estático procesa la información sobre un objeto sin ejecutarlo, con alta capacidad de generalización y productividad. El detector funciona en dos etapas: primero, se calcula un hash flexible para comprobar si el objeto pertenece a una zona "sucia" y, posteriormente, se aplica un análisis detallado si es necesario.
El análisis dinámico examina el comportamiento de un objeto durante su ejecución, incluyendo las llamadas al sistema, la actividad de red, los cambios en el sistema de archivos y el registro, y los datos generados como resultado de la ejecución. Un volcado de memoria proporciona acceso al código original y permite detectar datos que indiquen intenciones maliciosas.
Entrenamiento automatizado de modelos
El sistema utiliza un centro de inteligencia de amenazas automatizado que procesa continuamente grandes colecciones de archivos maliciosos y limpios. El centro extrae características básicas de comportamiento y entrena modelos que luego se convierten en escenarios de comportamiento y se envían al detector mediante actualizaciones incrementales.
Los robots procesan los registros del entorno de pruebas línea por línea, estudiando los registros de ejecución de nuevas muestras maliciosas mediante aprendizaje automático para encontrar nuevos indicadores de detección. Estos indicadores enriquecen los modelos matemáticos de los métodos de detección y los registros heurísticos de comportamiento creados por expertos.
Análisis del comportamiento y seguimiento de la actividad
Monitoreo multinivel de eventos del sistema
El análisis de comportamiento de Kaspersky Endpoint Security Cloud analiza la actividad de todos los componentes dentro del entorno de confianza del dispositivo protegido. El sistema distingue varios niveles de análisis, comenzando por la monitorización de eventos clave del sistema.
El primer nivel incluye el seguimiento de la creación de procesos, los cambios en los valores clave del registro, las modificaciones de archivos y otras operaciones críticas del sistema. Todos los eventos recibidos se normalizan y se reúnen en un formato común para su posterior procesamiento por diversos módulos analíticos.
La siguiente etapa agrega información adicional a algunos eventos: el sistema determina si el archivo modificado es ejecutable, analiza los derechos de acceso, verifica las firmas digitales y realiza otras verificaciones del contexto del evento.
Filtrado y agregación de patrones de comportamiento
En las etapas de filtrado, agregación y extracción de escenarios, el sistema identifica combinaciones y secuencias significativas de eventos que conforman escenarios de comportamiento específicos. La biblioteca de escenarios maliciosos es generada por un centro automatizado y se actualiza periódicamente en función del análisis de nuevas amenazas.
El análisis del comportamiento ofrece la ventaja de observar realmente las acciones de los programas, a diferencia del patrón de acciones asumido durante la etapa de prevención de intrusiones. El sistema puede detectar ataques complejos de varias etapas que utilizan herramientas legítimas del sistema para lograr objetivos maliciosos.
El detector toma una decisión sobre la malicia de los objetos al identificar escenarios de comportamiento malicioso, lo que permite bloquear amenazas complejas, incluidas las vulnerabilidades de día cero y los ataques sin archivos.
Tecnologías de inteligencia de amenazas basadas en la nube
Kaspersky Cloud Sandbox y entorno de análisis virtual
Kaspersky Cloud Sandbox es un sistema avanzado de análisis automatizado de malware, desarrollado con más de dos décadas de experiencia en investigación de amenazas. El sistema utiliza un enfoque híbrido que combina la investigación de amenazas basada en petabytes de datos estadísticos con el análisis del comportamiento.
El entorno de pruebas incluye robustas tecnologías antielusión y de modelado del comportamiento humano, como autoclicker, desplazamiento de documentos y procesos ficticios. Estas tecnologías permiten la activación de malware que intenta detectar el entorno virtual y evadir el análisis.
El sistema ofrece el máximo nivel de detección, identificando miles de nuevos archivos maliciosos a diario. Esta ventaja le permite detectar amenazas complejas y específicas, así como ataques sofisticados que eluden las soluciones antivirus tradicionales.
Análisis detallado del comportamiento de los archivos
Kaspersky Cloud Sandbox proporciona información detallada sobre las acciones y el comportamiento de los archivos ejecutables. El sistema supervisa la carga y el inicio de bibliotecas DLL, la creación de exclusiones mutuas, la modificación y creación de secciones del registro, y las conexiones externas con nombres de dominio y direcciones IP.
El análisis incluye la monitorización de solicitudes HTTP y DNS, la creación de procesos mediante archivos ejecutables, y la creación, modificación y eliminación de archivos. El sistema ofrece recomendaciones contextuales para cada tipo de actividad detectada, lo que ayuda a los analistas a comprender la naturaleza de la amenaza y a tomar las medidas oportunas.
La interfaz intuitiva facilita la interpretación de los resultados del análisis, y la posibilidad de exportar a formatos JSON, STIX y CSV garantiza la integración con los sistemas de análisis de seguridad existentes. La compatibilidad con la API REST permite automatizar los procesos de análisis e integrar el entorno de pruebas en los flujos de trabajo de su organización.
Funciones de detección y respuesta a incidentes
Integración de tecnologías EDR
Kaspersky Security Center Cloud Console puede integrar funciones de detección y respuesta a amenazas (EDR) para proteger contra ciberamenazas avanzadas. La solución combina la detección automática de amenazas con la capacidad de respuesta para proteger contra ataques sofisticados, como nuevos exploits, ransomware y ataques sin archivos.
Cuando la aplicación Endpoint Protection Platform detecta una amenaza, el sistema añade una alerta a la lista de notificaciones. Esta alerta contiene información detallada sobre la amenaza detectada y permite analizar e investigar sus características. Los administradores pueden visualizar las amenazas creando un gráfico de la cadena de amenazas que describe las etapas de desarrollo de un ataque a lo largo del tiempo.
El sistema ofrece un conjunto de acciones de respuesta predefinidas: aislar un objeto no confiable, aislar un dispositivo comprometido de la red, crear reglas de prevención de ejecución para objetos sospechosos y otras medidas de respuesta.
Detección y respuesta gestionadas
Kaspersky Endpoint Security Cloud se integra con los servicios de detección y respuesta administradas (MDR). Tras detectar una amenaza, el sistema crea un nuevo incidente en la lista de incidentes con información detallada sobre la amenaza.
Los analistas del Centro de Operaciones de Seguridad investigan incidentes y recomiendan medidas correctivas. Las organizaciones pueden aceptar o rechazar manualmente las acciones sugeridas o habilitar la aceptación automática de todas las recomendaciones para agilizar el proceso de respuesta.
Este enfoque proporciona a las organizaciones acceso a la experiencia y conocimientos de profesionales de seguridad sin la necesidad de establecer su propio centro de operaciones de seguridad.
Protección de entornos virtuales y en la nube
Soluciones especializadas para virtualización
Las organizaciones modernas utilizan activamente tecnologías virtuales y en la nube, lo que requiere enfoques de seguridad especializados. Kaspersky Security para entornos virtuales y en la nube protege máquinas virtuales, nubes públicas y servidores con Windows y Linux.
El sistema ofrece protección de última generación contra ciberamenazas modernas, mejorando la protección de los servidores corporativos y reduciendo el riesgo de ataques exitosos. El sistema multinivel incluye funciones para aumentar la confiabilidad, proteger contra exploits, supervisar la integridad de los archivos y bloquear ataques de red.
La solución se integra con plataformas de nube populares, incluidas AWS, Microsoft Azure, Google Cloud y Yandex.Cloud, proporcionando protección unificada para la infraestructura híbrida de una organización.
Tecnología SharedCache y optimización de recursos
Para la infraestructura de escritorios virtuales (VDI), el sistema permite el aprovisionamiento rápido de máquinas mediante tecnologías de clonación vinculada y completa. La preinstalación de un agente ligero permite crear nuevas máquinas virtuales simplemente clonando una plantilla.
Una vez finalizada la clonación, la nueva máquina queda protegida automáticamente por un dispositivo de seguridad virtual centralizado. Este enfoque simplifica la gestión de VDI y elimina la necesidad de actualizar constantemente los productos de seguridad en la imagen del escritorio virtual.
La tecnología SharedCache optimiza el uso de recursos en un entorno virtual, garantizando el funcionamiento eficiente del sistema de protección sin afectar el rendimiento de las máquinas virtuales.
Gestión y administración centralizadas
Consola de administración de la nube
Kaspersky Endpoint Security Cloud ofrece a los administradores acceso a una consola en la nube siempre activa que les permite aplicar y modificar funciones de seguridad desde cualquier dispositivo conectado a Internet. Este enfoque es especialmente práctico para organizaciones sin administradores de sistemas locales.
La arquitectura en la nube de la consola elimina la necesidad de adquirir y mantener hardware adicional, y la configuración inicial se realiza con la mayor rapidez posible. Todas las funciones de seguridad se configuran e implementan desde una única consola en todo tipo de dispositivos: estaciones de trabajo Windows, portátiles, servidores de archivos y dispositivos móviles.
Una interfaz sencilla e intuitiva permite configurar rápidamente políticas y aplicarlas a todas las estaciones de trabajo de la organización. Las políticas de seguridad preinstaladas, desarrolladas por expertos, simplifican la configuración inicial del sistema.
Perfiles y políticas de seguridad
El sistema utiliza el concepto de perfiles de seguridad para gestionar la configuración de protección de diferentes grupos de dispositivos. Los administradores pueden crear perfiles de seguridad unificados para todo tipo de dispositivos y sistemas operativos, utilizando las configuraciones predefinidas por los expertos del fabricante.
La sección de perfiles de seguridad contiene una lista de configuraciones, cada una de las cuales define los parámetros para detectar diversos tipos de objetos. El sistema permite configurar la detección de virus, gusanos, troyanos y utilidades maliciosas, además de ampliar la lista para incluir el control de programas publicitarios y aplicaciones legales que podrían ser utilizadas por intrusos.
La flexibilidad de la configuración de políticas permite adaptar el sistema de seguridad a los requisitos específicos de la organización, equilibrando el nivel de seguridad y la facilidad de uso de los recursos corporativos.