OPSWAT Multiscanning
Prevención avanzada de amenazas con motores antimalware simultáneos
El escaneo múltiple, en paralelo, es una tecnología avanzada de detección y prevención de amenazas que aumenta las tasas de detección, disminuye los tiempos de detección de brotes y proporciona resilencia a los proveedores de antimalware. OPSWAT es pionero en el concepto de escaneo múltiple de ficheros, con más de 30 motores antimalware disponibles, que trabajan todos ellos de forma simultánea, para ofrecer una protección extrema contra la gran variedad de amenazas cibernéticas.
Los métodos de detección basados en firmas, heurísticos y aprendizaje automático no son perfectos. Los motores antimalware, de forma individual, tienen una tasa de detección de las amenazas cibernéticas comunes del 40 al 80 por ciento, en el mejor de los casos
¿Por qué el escaneo simultáneo? Beneficios y limitaciones
Detección mejorada de malware
Estudios recientes demuestran que a medida que se agregan más motores antimalware, las tasas de detección de malware mejoran, ya que cada motor puede no detectar ciertos tipos de amenazas. Cada motor individual se especializa en diferentes categorías. Dado que cada motor antimalware usa diferentes algoritmos, los analistas de malware se encuentran en diferentes zonas horarias y diferentes laboratorios basados en zonas geográficas, el hecho de combinar múltiples motores antimalware, que trabajen en paralelo, aumenta significativamente la detección.
Como se demuestra en distintas pruebas de escaneo múltiple de más de las 10.000 amenazas más activas, OPSWAT Multiscanning consigue más del 95% de detección con 12 motores combinados, más del 97% de detección con 16 motores y más del 99% de detección con 20 o más motores.
Tiempos reducidos de exposición a brotes
Durante los brotes de malware, el tiempo que lleva detectar una nueva amenaza es crítico. Incluso pequeños cambios en las tasas de detección pueden agregar días, semanas o meses al tiempo que tardan varios motores antimalware en responder a las amenazas emergentes.
AV-Test.org realizó una prueba que muestra que los mecanismos de detección utilizados por diferentes motores antimalware son más rápidos para detectar cierto malware en comparación con otros. Al combinar los resultados de múltiples motores de escaneo, podemos reducir los tiempos de exposición a brotes y lograr una exposición prácticamente nula.
Estas brechas en la detección son motivo de preocupación porque exponen a las organizaciones que usan un solo motor antimalware que aún no ha detectado una amenaza específica. Por ejemplo, el troyano Nemucod.KP se detectó inicialmente por tres motores antimalware el 16 de marzo de 2016. En dos días, once motores antimalware detectaron la amenaza y, después de una semana, dieciséis motores la detectaron. Pero meses después, 24 motores aún no habían detectado la amenaza Nemucod.KP.
La capacidad de escaneo múltiple para reducir drásticamente las brechas de exposición al usar uno o un pequeño número de motores antimalware lo convierte en un estrategia valiosa para la detección temprana de brotes emergentes y reales.
Limitar el riesgo de fallo de un único fabricante
Con el escaneo múltiple, se evita las exposiciones causadas por las limitaciones potenciales de un único fabricante. Esto podría ser un problema de tecnología, como un proveedor en particular que no puede detectar una vulnerabilidad debido a una limitación técnica, o podría ser una razón comercial, como un proveedor que no puede operar en ciertas regiones geográficas o agencias gubernamentales. Por ejemplo: Symantec o Kaspersky.
La excesiva dependencia de un solo fabricante puede resultar desafiante; problemas que se evitan con la tecnología de escaneo múltiple de OPSWAT.
Tasa baja de falsos positivos (1 + 1 <2)
Los falsos positivos, donde los ficheros se catalogan como maliciosos cuando no lo son, aparecen como un efecto secundario de cualquier solución de escaneo de malware y pueden afectar negativamente las operaciones de negocio. Para complicar aún más el problema, los falsos positivos a menudo solo son reportados por unos pocos fabricantes de antimalware, y no siempre son consistentes o reproducibles durante las pruebas.
Las tasas de falsos positivos se reducen porque muchos fabricantes de malware trabajan juntos a través de programas de intercambio de datos de malware. Esto significa que trabajan juntos para ayudar a codificar los verdaderos positivos y los falsos positivos, de modo que la superposición de los datos del fabricante tiene muchos menos falsos positivos, mejorando así los resultados del uso de escaneo múltiple. También los proveedores comparten datos de listas blanca (archivo de confianza). Nuestra base de datos de listas blancas acumula los datos de muchos proveedores, lo que también reduce las tasas de detección de falsos positivos.
Cada motor devuelve algunos falsos positivos, pero es incorrecto suponer que el uso de dos motores da como resultado el doble de falsos positivos. La superposición en la detección de falsos positivos mediante el escaneo múltiple limita el número de falsos positivos nuevos agregados por cada nuevo motor. Cuando usamos más motores, la cantidad de falsos positivos aumenta, pero solo en una pequeña cantidad fraccional, que se ve compensada por los muchos beneficios del escaneo múltiple.
Rendimiento mejorado (1 + 1 <2)
Escanear con múltiples motores lleva un poco más de tiempo que escanear con un solo motor, pero con loss métodos de escaneo múltiple de OPSWAT Multiscanning minimizan la pérdida de rendimiento. Estos métodos tienen en cuenta tareas redundantes, como abrir archivos y detectar tipos de ficheros, y también aprovecha el hecho de que varios motores se especializan en detectar amenazas en tipos de ficheros específicos. Esto significa que muchas tareas de escaneo múltiple son paralelas mediante el uso de métodos como computación distribuida, procesamiento de múltiples núcleos y escaneo en memoria.
Coste total de propiedad (TCO) bajo
Debido a que el escaneo múltiple requiere múltiples motores antimalware de varios fabricantes, el coste es un factor. Sin embargo, OPSWAT está asociado con fabricantes para ofrecer opciones optimizadas de paquetes de motores de escaneo múltiple y proporcionar un coste total de propiedad (TCO) beneficioso a lo largo del tiempo. Al servir como un único punto de contacto, reducimos la complejidad en las implementaciones de escaneo múltiple.
Más información de OPSWAT Multiscanning