OPSWAT es una tecnología avanzada de detección y prevención de amenazas que ejecuta varios motores antimalware simultáneamente para maximizar las posibilidades de detectar el malware conocido. Mientras que un solo motor antivirus puede detectar entre el 40 % y el 80 % del malware, Metascan permite a los especialistas en ciberseguridad analizar archivos con más de 30 motores antimalware líderes del mercado, tanto en entornos locales (compatibles con Windows y Linux) como en la nube (MetaDefender Cloud) para alcanzar tasas de detección superiores al 99 % (consulte nuestro informe). Nuestra solución no solo aumenta las tasas de detección y reduce los tiempos de detección de brotes, sino que también proporciona resiliencia a las soluciones antimalware de un único proveedor. Metascan es uno de los módulos de software fundamentales dentro de OPSWAT MetaDefender Core y se mejora continuamente mediante la evaluación y la incorporación de los proveedores de antivirus (AV) más eficaces a nuestra lista de proveedores de motores. Siempre estamos buscando nuevos socios de seguridad para añadir a nuestra solución de análisis múltiple con el fin de proteger mejor a nuestros clientes frente a los delitos cibernéticos, cada vez más sofisticados. En este blog, abordaremos los procesos de evaluación técnica de los antivirus antes de su incorporación a Metascan.
Los procesos de evaluación pasan por cuatro fases distintas: validación de los requisitos del paquete, comprobación de los componentes de terceros, integración rápida y pruebas de automatización.
La primera fase de la evaluación consiste en la validación de los requisitos del paquete SDK (kit de desarrollo de software). Basándonos en nuestra experiencia en la integración con más de 30 motores antimalware líderes, hemos elaborado un conjunto de requisitos estándar y sencillos:
- Para facilitar la integración, el paquete SDK debe tener una interfaz en C o C++. Normalmente, un proceso de escaneo con CLI (interfaz de línea de comandos) consta de tres pasos: inicialización (incluida la carga de toda la base de datos), escaneo y desinicialización. Todo el proceso se repite para cada archivo escaneado, lo que ralentiza el proceso de escaneo. En cambio, con la integración en C++, el sistema solo necesita inicializarse una vez y espera a que lleguen los archivos para escanearlos. Solo tenemos que desinicializar el sistema al detener el servicio completo del producto.
- El motor validado debe contar con archivos de módulos y archivos de definición independientes para facilitar su distribución en un paquete compacto, y no debe actualizarse de forma involuntaria.
- Además, prestamos servicio a numerosos sectores de infraestructuras críticas con entornos aislados de la red, por lo que los motores que se proporcionen deben permitir la actualización sin conexión de los archivos de definiciones.
- Para ofrecer a nuestros clientes una solución avanzada de prevención de amenazas, necesitamos que los antivirus añadidos cumplan varios requisitos adicionales, como la seguridad multihilo, un alto rendimiento y un SDK independiente que no requiera instalación.
Si se cumplen todos los requisitos del paquete, pasamos a la segunda fase de la evaluación, que consiste en comprobar su conformidad. Se analiza con una herramienta de terceros para detectar todas las vulnerabilidades o problemas de licencia. Si se detecta algún problema, se notifica al proveedor del antivirus para que lo resuelva antes de continuar con el proceso de evaluación.
La tercera fase del requisito consiste en una comprobación de integración para verificar si el motor se integra a la perfección y funciona sin problemas. Partiendo del código de ejemplo o de la guía de integración, ponemos en marcha funciones muy básicas, como la inicialización y el análisis. A continuación, se lleva a cabo una prueba rápida para garantizar que la integración es correcta, analizando el archivo de prueba antivirus EICAR y un archivo limpio. Para el control de la seguridad de los datos, utilizamos un programa de supervisión de red durante la prueba para garantizar que el motor no envía ningún dato a su servidor de origen.
Además, hemos desarrollado un marco de pruebas completo para medir métricas de rendimiento, como el rendimiento, las fugas de memoria, el consumo de CPU y la seguridad de los subprocesos. Tal y como se muestra en la siguiente figura, llevamos a cabo una prueba con dos escenarios: análisis en un solo subproceso y análisis en múltiples subprocesos (20 subprocesos en esta prueba). A partir de la medición del rendimiento, podemos identificar los errores o problemas existentes que presenta el antivirus durante el proceso de análisis.
Utilizamos miles de archivos de muestra, entre los que se incluyen tanto archivos maliciosos conocidos como archivos inofensivos, y los sometemos a análisis por parte del motor que estamos evaluando para calcular la tasa de detección (tanto de falsos positivos como de falsos negativos). El marco también supervisa la huella del antivirus para detectar posibles fugas de memoria o un consumo de CPU superior al deseado. Por ejemplo, en la demostración de prueba anterior, el uso de memoria aumentó en cuatro inspecciones diferentes, lo que revela una posible fuga de memoria. Del mismo modo, el resultado de la prueba reveló el rendimiento del motor, así como cualquier fallo durante el proceso de análisis, que se registraron para su posterior investigación.
Posteriormente, llevamos a cabo una prueba de estrés, que se ejecutó durante un día con un conjunto de datos mucho mayor, para analizar más a fondo el rendimiento y la estabilidad del antivirus. Creamos un entorno de pruebas de integración en un contenedor Docker. Si se detecta algún problema durante esta fase, compartimos los problemas identificados con el proveedor del antivirus, junto con el contenedor de pruebas, para mantener la coherencia de los entornos de prueba.
Tras evaluar minuciosamente la integración y el rendimiento del antivirus, implementamos la integración oficial con Metascan si supera todas nuestras rigurosas pruebas, confirmamos el acuerdo de colaboración y anunciamos a nuestros clientes la incorporación de un nuevo motor antimalware.
Nuestro meticuloso proceso de evaluación de antivirus tiene como objetivo garantizar que se ofrezca a nuestros clientes un producto de seguridad impecable, dinámico y eficaz. Además, establece una colaboración estrecha y fructífera entre OPSWAT nuestros socios tecnológicos para proteger conjuntamente a nuestros clientes frente a ciberataques cada vez más sofisticados. Buscamos constantemente nuevos proveedores de antivirus que se unan a nuestra solución de análisis múltiple. Si está interesado en colaborar con OPSWAT, póngase en contacto con nosotros ahora mismo. Estaremos encantados de responder a cualquier pregunta que tenga.
