|
|
los actuales son tan fiables como Ropero
Por aquí en Málaga los termómetros no alcanzan máximos, incluso por la noche refresca si no estás muy lejos del mar, lo cual se agradece, en especial si se compara con el verano pasado. En realidad siempre suele hacer buen clima, es bastante estable, no nos damos cuenta hasta que salimos fuera y nos encontramos con temperaturas, para nosotros, "extremas".
Menos mal que ya tengo pillado el truco, por ejemplo, cuando en invierno Ropero me dice que hace buen tiempo en Madrid, traduzco que tengo que llevar abrigo. Hace algo más de un mes me dijo manga corta, y con buen criterio me llevé un chubasquero (aun recuerdo a Santos y Sergio llegando al hotel empapados).
Otros termómetros que andan de capa caida son los indicadores que alertan sobre la actividad vírica. A diferencia del caso de la temperatura de Málaga, estos termómetros no están reflejando la realidad, se han quedado anticuados.
Es un problema que llevamos tiempo comentando, los primeros en sufrirlo en sus carnes son las propias empresas antivirus: han desaparecido los gusanos de propagación masiva que años atrás protagonizaban titulares en los medios de comunicación, la sensación generalizada es que hay menos "virus", sin embargo existe una proliferación y diversificación brutal del malware. En resumidas cuentas, es ahora cuando hay más código malicioso y tenemos más riesgos de sufrir una infección.
Estos termómetros o indicadores de actividad vírica solían ponerse en rojo cuando saltaba el gusano de propagación masiva de turno (Iloveyou, Blaster, Sasser, Sobig, Netsky... y compañía), que no se dejaban hacer esperar mucho, cada mes o poco más solía aparecer uno que hacía saltar las alarmas.
En lo que llevamos de año ninguno de estos termómetros se ha puesto en rojo, si os dais una vuelta vereis que la mayoría están en verde (riesgo bajo o normal) y alguno que otro que se aventura a pasar a un amarillo anaranjado o nivel 2.
Supongo que más de uno se preguntará por qué no pasan a rojo, dado que ahora hay más riesgo que el que protagonizaban los gusanos de propagación masiva. Se me ocurren algunas razones: ¿qué sentido tendría estar en alerta permanente?, o por ejemplo, ¿como explicar el estado de alerta cuando el usuario "no ve" el riesgo?, ¿los acusarían de alarma-marketing para vender más antivirus?,...
A nosotros también nos ha afectado ese cambio. Solíamos sacar regularmente noticias en una-al-día sobre los tiempos de reacción que tardaban los diferentes motores antivirus en detectar esas muestras de gusanos de propagación masiva. Como más de uno de vosotros nos habéis recordado, hace tiempo que no publicamos esas comparativas que resultaban tan interesantes.
En definitiva, hay que buscar nuevos "termómetros" para medir los riesgos, los actuales se nos han quedado anticuados, ya no vale el indicador de gusano de propagación masiva.
|
Pues sí, doy fe del fallido parte meteorológico de Antonio, me bajé del avión a lo turista (pantalón, chanclas y manga corta, seguiendo las indicaciones de Ropero) y claro, así llegué al Hotel :P :P
El problema de los termómetros antivirus es un problema extensible a otros ámbitos del riesgo. No quiero ponerme pesado con la parte que me gusta, que son los riesgos en su concepto de seguridad procedimental, pero es que ahí pasa exactamente lo mismo.
Y pasa lo mismo porque las amenazas sigilosas, que son aquellas a las que tienden las factorías de crimen organizado, no facilitan la elaboración de informes y estadísticas. Y al no haber datos fiables de estas amenazas, se vuelve casi imposible cuantificar los riesgos que estas amenazas producen en las organizaciones, con lo que se desmorona una parte importatísima de la gestión de riesgos que cualquier sistema de gestión debe contemplar.
Y claro, cuando se hace un mapa de riesgos a ojímetro, porque muchas veces no queda más remedio que hacer análisis cualitativos y proyecciones basándonos en experiencias anteriores y estimaciones, pues lo más normal es equivocarse, ya que en malware las tendencias se rompen continuamente y no hay patrones fiables de su evolución.
¿Soluciones? Sólo se me antoja una posible, y es granularizar la medición para cada caso particular. Los riesgos por malware de la compañía A de 1000 trabajadores pueden ser diametralmente opuestos a los de la compañía B, que también tiene 1000 trabajadores. El exceso de condiciones de contorno hace que la única manera efectiva de monitorizar estas amenazas sea individualmente, para cada compañía y para cada servicio. Me atrevería a decir que, en ausencia de una estacionalidad clara, y con una tremenda variabilidad de la "demanda", los cálculos de riesgo deben tender más al cálculo multivariante, una especie de "just in time". Empieza a dejar de valer la fórmula elemental de Riesgo = Impacto x Probabilidad
Malos tiempos para todos, por desgracia.
A lo mejor es que no hay que tener patrones tan rígidos para medir la temperatura (o las alertas víricas) y ser más flexibles, como el propio tiempo (el de Madrid, no el de Málaga). Porque sino puede ocurrir como le pasa a Bernardo, que para él todo lo que baja de 27 grados, ya es frio extremo (claro, acostumbrado a esas temperaturas tan agradables de Málaga).
Pero como digo la respuesta puede ser la flexibilidad, como el tiempo en Madrid que es mucho más variable y sorprendente que el de Málaga... También hay que tener en cuenta los indicadores que se evaluan, como y quien. Porque lo que para uno puede ser frio, para otra persona puede ser una temperatura agradable.
Puede ser que al igual que en la metereología se miran muchos más factores aparte de la temperatura, como humedad, lluvias, viento, presión atmosférica, etc. con las alertas víricas haya que hacer algo parecido y no solo haya que mirar si hay gusanos de alta distribución, sino el tipo de malware, cantidad, difusión, efectos, gravedad, método de propagación, etc...
Por ejemplo, si se atiende a la gravedad una sola infección de un troyano bancario destinado a robar las credenciales bancarias del usuario, podría considerarse con un índice de riesgo mucho más elevado que 1.000 infecciones de un gusano inofensivo de los habitualmente destinados a propagarse por correo electrónico. Sin embargo, si se mira la distribución independientemente de la gravedad, 1.000 infecciones son mucho más que una (evidentemente).
Podría plantearse algo como ofrecer varios indicadores, al igual que cuando nos ofrecen la predicción metereológica nos dan el mapa de isobaras, la temperaturas máximas y minimas de cada zona y la predicción (sol, nubes, lluvia...), además de unos comentarios clarificadores. Podrian plantearse varios "termómetros" como indicadores de cantidad de malware distribuido, porcentajes de troyanos/gusanos/virus, indicadores de gravedad, etc...
A ver, por alusiones, ¿friolero yo?
Bromas aparte, para mí el problema o la solución es otra, ya sabeis que mis conclusiones suelen tender a la simpleza (no daré más de sí, que se le va a hacer).
Acudiendo al ejemplo de Ropero (lo siento, esta vez te ha tocado), el problema es que cuando le pregunto por el tiempo él me da un dato subjetivo basado en su percepción: hace buen tiempo, no hace falta abrigo, ven en manga corta. En vez de decirme directamente que hace 14 grados. Vale que ese valor puede tener diferentes significados (para Ropero es buen tiempo y para mí frío extremo), pero es un dato objetivo.
A los termómetros antivirus les pasa algo similar, están basados en indicadores subjetivos (o si los prefieres llamar cualitativos), que ya no son representativos.
Es totalmente comprensible que tengan que abstraer todos los números y factores a tener en cuenta, y dar algo muy simple para que un usuario pueda interpretar correctamente con verlo a primera vista (colores o una escala de 3 valores, bajo, medio, alto). Pero esa abstracción o representación del nivel de riesgo debería estar basada en datos concretos, no en interpretaciones (o al menos no en interpretaciones caducadas).
Por llevarlo a la práctica, por ejemplo, estaría bien un termómetro que indicara el número de firmas que tiene que incorporar un antivirus al día o a la semana (léase como eufemismo de número de muestras que le llegan que su motor antivirus no era capaz de detectar...pero eso estaría feo decirlo, hay que cuidar el marketing).
Ese indicador es fácilmente representable como un termómetro, incluso con escalas de colores haciendo un estudio de los valores en meses anteriores. Y no sería un dato subjetivo.
En el caso de que haya mucho malware nuevo, el termómetro subiría. Si durante un mes ó más se mantiene una producción de nuevo malware constante, el termómetro se mantendría. De la misma forma que en verano los termómetros se mantienen con valores más altos.
Es sólo un ejemplo a bote pronto, seguro que hay indicadores más elaborados y ajustados.
Comprendo que esta estrategia pierde mucha fuerza comercial/marketing, porque al ser más estable deja de ser noticia, y además no se puede asociar a una alerta de un bicho con nombre rimbombante, que eso si que vende a nivel mediático.
Pero bueno, últimamente hay una corriente en la que los técnicos de las empresas antivirus están ganando protagonismo a los departamentos de comunicación y marketing (no hay más que ver que obtienen más menciones en la prensa los blogs de los laboratorios que las notas de prensa oficiales)... así que ánimo, contais con nuestro apoyo para intentar cambiar el termómetro ;)
los nombres de los termometros
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/133/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
|
