E M P E Z A R

Guía del comprador para sustituir el antivirusAdaptada a partir de la guía SANS para evaluar la seguridad de nueva generación de los terminales

IntroducciónLas empresas actuales se enfrentan a una serie de desafíos únicosUsted necesita una seguridad que funcione y sea fácil de implementar y gestionar, pero cuenta con un presupuesto y unos recursos limitados. Muchas organizaciones son conscientes de que su solución antivirus actual presenta deficiencias, pero no saben por dónde empezar a buscar una nueva. De acuerdo con el estudio de ESG, el 65 por ciento de las organizaciones creen que el nivel de conocimientos del equipo de seguridad se podría mejorar, a la vez que el 48 por ciento utilizan más de 25 productos de seguridad. Esto supone que se sobrecargue a más trabajadores y que, a la larga, la seguridad sea menos efectiva.

No todas las soluciones de seguridad para terminales pueden satisfacer sus necesidades. Es esencial encontrar una solución adecuada que sea fácil de implementar y gestionar y que, además, pueda proteger el crecimiento de la empresa de forma rentable. Para ayudar a los equipos a evaluar rápidamente las opciones de seguridad para terminales, SANS Institute ha elaborado una guía detallada para examinar soluciones, incluidos los antivirus de nueva generación (NGAV). En la guía se describen los requisitos que las empresas deben tener en cuenta y cómo prepararse para ejecutar una prueba.

Para ayudarle a evaluar rápidamente las opciones que tiene para sustituir su software antivirus, hemos extraído y adaptado las secciones principales de la guía del comprador de SANS, incluidos la lista de comprobación esencial para la evaluación, preguntas que le guíen en la planificación de la evaluación y siete pasos que seguir a la hora de realizar la prueba.

2G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

Requisitos esenciales para proteger la empresa Protección y detección• Proporcione protección que detenga todo tipo de ataques modernos, no solo los que utilizan

programas maliciosos; ofrezca la posibilidad de reconocer y eliminar el comportamiento malicioso.*

• Acceda a varias formas de prevención, incluida la posibilidad de definir políticas diferentes para terminales diferentes, como pueden ser los terminales de los teletrabajadores.*

• Proporcione la posibilidad de crear, probar e implementar políticas rápidamente para mejorar la prevención y reducir los falsos positivos.*

• Identifique los programas maliciosos conocidos y desconocidos, y póngalos en cuarentena.

• Protéjase de los ataques sin archivos como, por ejemplo, las vulnerabilidades de Flash o del navegador, y otras técnicas que usan los atacantes.

• Asegúrese de que un usuario no autorizado no pueda desactivar ni alterar el software NGAV.

Lista de comprobación para la evaluación

* VMware Carbon Black considera que estos elementos son de la máxima importancia.

3G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

Inteligencia y análisis de macrodatos basados en la nube• Extraiga inteligencia para la detección de amenazas de varias fuentes e inclúyala en un motor de análisis

e inteligencia basados en la nube. Utilice dicha inteligencia para identificar el comportamiento malicioso y aumentar la protección de los terminales.*

• Obtenga datos sin filtrar sobre la actividad de los terminales y envíelos de forma eficiente a la nube para analizarlos.

• Incorpore tecnologías nuevas y en desarrollo a la oferta de productos a través de la nube para identificar ataques y bloquearlos de forma enérgica.

• Incorpore la participación de proveedores a la comunidad de la inteligencia para la detección de amenazas.

Visibilidad y contexto• Elabore y personalice consultas e informes relacionados con el estado y la actividad de los terminales en

toda la organización.*

• Ponga al descubierto la cadena completa de procesos que se han visto afectados por el programa o el comportamiento malicioso.*

• Proporcione herramientas de visualización que usen presentaciones tanto gráficas como de lenguaje sencillo para obtener visibilidad en tiempo real y análisis retrospectivos de los eventos.*

• Registre todos los resultados y las acciones derivadas de la detección de programas y comportamientos maliciosos y de la respuesta dada. Presente toda la información registrada en un formato al alcance de las personas y que sea independiente a la interfaz administrativa.

• Realice integraciones con otras herramientas, como puede ser un sistema de gestión de información y eventos de seguridad (SIEM), para obtener un mayor respaldo a la detección y la respuesta.

* VMware Carbon Black considera que estos elementos son de la máxima importancia.

4G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

Rendimiento• Minimice los falsos positivos, que se producen cuando el producto impide el acceso de un programa

legítimo.*

• Proporcione protección que incluya la identificación de nuevos comportamientos potencialmente maliciosos con un impacto mínimo en la experiencia de los usuarios de los terminales.*

• Reduzca al mínimo el impacto en los recursos del sistema de los terminales.

Requisitos operativos• Integraciones estándar y personalizadas con los productos de terceros*

• Consola de gestión consolidada y basada en la nube para todos los módulos*

• Implementación sencilla de los terminales que se pueda realizar tanto con métodos manuales como automatizados*

• Defensa colaborativa que admita flujos de trabajo para varios grupos o funciones relacionados con la seguridad

• Compatibilidad con varias plataformas de terminales: Windows, Mac y Linux

* VMware Carbon Black considera que estos elementos son de la máxima importancia.

5G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

* Gracias a las pruebas estandarizadas, se puede realizar una comparación punto por punto de los proveedores de seguridad, ya que permiten definir un amplio conjunto de criterios de ataque y aplicarlos en muchos productos. Al participar en estas pruebas, se pueden ver las diferencias entre los productos en entornos parecidos.

En VMware, recomendamos examinar los resultados de NSS Labs, ya que ofrecen las pruebas más completas que existen.

1. ¿Cuáles son los plazos para la evaluación? Según la evaluación, ¿con qué urgencia hay que seleccionar un producto?

2. ¿En qué sistemas de terminales se ejecutará la seguridad de nueva generación de los terminales (NGES)? Por ejemplo, escritorios de usuarios de producción, portátiles de la empresa, servidores de producción, etc.

3. ¿Cuánto puede invertir la empresa para evaluar el rendimiento en un entorno simulado que refleje la producción? No todas las organizaciones se pueden permitir el lujo de invertir en un sofisticado entorno de pruebas. Puede que tenga que evaluar el producto basándose únicamente en las pruebas que haya realizado un tercero o en una prueba limitada en sus equipos.*

4. ¿Qué criterios necesitan los diferentes usuarios (por ejemplo, desarrolladores, analistas de seguridad, administradores del sistema o usuarios de terminales)?

5. ¿Qué cambios provocará una infraestructura basada en la nube en su procedimiento operativo habitual?

Cinco preguntas a responderAntes de probar una solución antivirus de nueva generación1

Cuando ya haya definido los requisitos de su solución de NGAV, es el momento de prepararse para evaluar posibles productos. Hay cinco preguntas que SANS recomienda responder antes de probar un producto:

1. Estas preguntas se han extraído directamente de la guía SANS.

6G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

Cómo hacer pruebasSoluciones antivirus de nueva generaciónUna vez se haya preparado por completo para probar las posibles soluciones, SANS le recomienda seguir siete pasos a la hora de realizar la prueba.

1. Configure el entorno de evaluación.• Elija una muestra de los diferentes tipos de máquinas que gestiona (por ejemplo, estaciones de trabajo

con Windows 7, 8 y 10, y portátiles).

• Cree imágenes de las máquinas de prueba en función de la configuración estándar del terminal de su organización.

• Familiarícese con todos los requisitos de consola de nube y de configuración correspondientes a los productos que vaya a evaluar. Incluya un análisis de cómo funcionarán los requisitos punto a punto que pueden afectar a la comunicación. Tenga en cuenta la disponibilidad de la conectividad de último tramo, que la solución basada en la nube no suele contemplar. Tenga también en cuenta los métodos para proteger el terminal basado en la nube y los datos o metadatos creados en la nube desde los terminales de su organización.

2. Evalúe desde la perspectiva de los usuarios principales: los usuarios y los administradores de terminales. No hay nada más frustrante que elegir un producto que complica las tareas administrativas o que genera llamadas constantes al servicio de soporte. En VMware, creemos que es importante asegurarse de que la tecnología no afecte al usuario final. A medida que avance por la lista de comprobación de los elementos esenciales, preste especial atención a los que afectan a sus administradores y usuarios. Entre las consideraciones prioritarias se deben incluir la facilidad de configuración y la flexibilidad a la hora de crear políticas independientes y, sin embargo, efectivas para los diferentes grupos de usuarios.

7G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

3. Establezca posibles casos de uso y objetivos de evaluación, entre los que se incluyan los siguientes:• Un ataque de suplantación de identidad

• La infección de un equipo o una máquina personal que se use en el trabajo (BYOD)

• Un programa de secuestro latente

• Una amenaza interna o dirigida

Para hacer pruebas que detecten la infección de un equipo o una máquina BYOD, es necesario que ya haya un programa malicioso en una máquina antes de instalar las soluciones de NGAV que va a probar. Asegúrese de tomar las precauciones adecuadas para aislar del resto del entorno cualquier máquina que sepa que va a dejar expuesta al programa malicioso.

En el caso de los programas de secuestro, existen paquetes de pruebas que pueden simularlos de forma eficaz en su entorno sin dejar expuestas las máquinas a los riesgos que implica un programa de secuestro de verdad. Si decide hacer pruebas con un programa de secuestro de verdad, asegúrese de tomar las precauciones adecuadas para aislar del resto del entorno las máquinas o el laboratorio de pruebas.

8G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

9G U Í A D E L C O M P R A D O R P A R A S U S T I T U I R E L A N T I V I R U S

Introducción Lista de comprobación para la evaluación Cinco preguntas a responder Cómo hacer pruebas

4. Si va a evaluar más de un producto, intente mantener la coherencia entre todos los productos evaluados. Desarrolle un escenario bien definido para cada caso de uso que, además, cumpla lo siguiente:• Describe los pasos del caso de uso.

• Explica lo que el NGAV debe mostrar.

• Documenta el rendimiento y los resultados esperados en función de su revisión preliminar de las características del producto.

Por ejemplo, los pasos de un escenario bien definido para un programa de secuestro pueden incluir la distribución del programa de secuestro > la ejecución del paquete del programa de secuestro > la detención de ese paquete. Entre lo que puede esperar que el NGAV le muestre se encuentran el vector de distribución, la ubicación donde se almacenan los archivos del programa de secuestro, la tentativa de cifrado, cómo se ha detectado o identificado, y la información adecuada que le permita mejorar la política de seguridad para escenarios futuros. Durante las pruebas, supervise los terminales en los que se esté evaluando el rendimiento y el efecto que puedan tener los productos probados en el rendimiento estándar. Aplique el mismo escenario por separado a cada una de las soluciones propuestas.

5. Cree un cuadro de puntuaciones que le permita clasificar (en una escala del 1 al 10) la funcionalidad del producto en lo que respecta a cumplir los requisitos operativos. Una vez más, recuerde aplicar el mismo estándar al evaluar cada uno de los productos.

6. Cree unos documentos y unos scripts de evaluación adecuados que se basen tanto en los escenarios como en los resultados de las evaluaciones previas de los productos.

7. Lleve a cabo la evaluación, documente los resultados y determine los productos y los proveedores mejor puntuados que quiera seguir sopesando.

Obtenga más informaciónSi quiere leer la guía SANS completa, visite carbonblack.com/sans-evaluation-guide.

Síganos:

VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.com C/ Rafael Botí, 26 - 2.ª planta, 28023 Madrid, España. Tel. +34 914125000 Fax +34 914125001 www.vmware.es Copyright © 2020 VMware, Inc. Todos los derechos reservados. Este producto está protegido por las leyes de derechos de autor y de propiedad intelectual de Estados Unidos e internacionales. Los productos de VMware están cubiertos por una o varias de las patentes enumeradas en vmware.com/go/patents. VMware es una marca comercial o marca registrada de VMware Inc. o sus filiales en Estados Unidos o en otras jurisdicciones. Las demás marcas y nombres mencionados en este documento pueden ser marcas comerciales de sus respectivas empresas. N.º artículo: VMWCB_AVBuyersGuide_ES 4/20