• Tweet

Dispositivos antimalware en línea presumen el "método de detección de máquina virtual"

FireEye reveló el miércoles sus primeros dispositivos de bloqueo de malware en línea para Web y correo electrónico, sin utilizar métodos de detección de malware basados en firmas.

Colocados generalmente detrás del firewall perimetral de Internet de la compañia, las tres versiones del Malware Protection System (MPS) de FireEye, pueden detectar y bloquear malware entrante. También vigilan cualquier comunicación saliente de malware, como por ejemplo bots tratando de comunicarse con su dirigente, en las máquinas con Windows que podrían haber sido infectadas.

Los anteriores sistemas de prevención de intrusiones (IPS) de FireEye se limitaban a la vigilancia de malware, pero no lo bloqueaban.

"Esto es prevención de malware y cosas omitidas por los enfoques basados en firmas", dice Marc Maiffret, arquitecto de seguridad en jefe.

Los tres modelos FireEye MPS están diseñados para realizar su trabajo en línea a velocidades variables, con conmutación por error abierta. El MPS Serie 2000 funciona a 50Mbps, el MPS Serie 4000 en 250Mbps, y la serie 7000 de FireEye a 1Gbps.

El bloqueo de tráfico, como hacen muchos IPS actualmente, a menudo usando una mezcla de metodoloías basadas en firmas y metodologías basadas en el comportamiento, es siempre problemático debido a la cuestión de los falsos positivos y, posiblemente, a que bloquea el tráfico tanto bueno como malo.

Maiffret dice que está previsto que pueda haber algunos falsos positivos con el MPS en línea, pero que el nivel será muy bajo.

La tecnología propiertaria subyacente que FireEye ha desarrollado hace uso de lo que Maiffret llama un método de detección de máquina virtual que básicamente refleja tráfico en tiempo real hacia el interior del dispositivo MPS y lo repite hacia muchas aplicaciones en el mismo para ver si fueron comprometidas o atacadas. Se toma una decisión para permitir o bloquear el tráfico en tiempo casi real. Maiffret dice que los dispositivos de FireEye están destinados principalmente a interceptar la mayoría de los ataques basados en Web.