Saltar al contenido principal
Technology

Control de aplicaciones y HIPS

Limitando la capacidad de una aplicación para iniciar o acceder a recursos críticos del sistema, es posible bloquear de manera eficaz incluso las amenazas desconocidas.

La protección tradicional contra ciberataques se basa en la detección de malware que busca cualquier aplicación en bases de datos de indicadores de malware conocidos antes de que se ejecute. En los productos Kaspersky, este nivel básico de protección contra amenazas representada por la detección en la nube de KSN, la clasificación de malware de aprendizaje automático, anti-rootkit y otras tecnologías antimalware.

Otro método eficaz es "reforzar la higiene" de los sistemas atacados, incluso las amenazas desconocidas podrían bloquearse endureciendo el acceso de las aplicaciones a recursos críticos del sistema. Nuestros principales ejemplos de técnicas de protección centradas en recursos son el Control de aplicaciones, que permite o bloquea la ejecución de archivos de acuerdo con las listas de admitidos y reglas de blacklisting locales, y el Sistema de prevención de intrusiones basado en host (HIPS), que limita el acceso de las aplicaciones a los recursos de host (datos, claves de registro, memoria de procesos, etc.) según la reputación de la aplicación.

Para completar la imagen de seguridad de endpoints de varios niveles de Kaspersky, también debemos mencionar algunas tecnologías de control de ejecución de siguiente nivel: Detección de comportamiento, Prevención de exploits, Motor de corrección y Monitor de vulnerabilidades, que se describen en otros artículos de TechnoWiki.

Categorías de confianza

En las soluciones de Kaspersky, la protección de recursos se basa en la asignación de aplicaciones para confiar en categorías y en la definición de las operaciones permitidas de cada categoría, como:

  • Atribuciónde aplicaciones a categorías de confianza.
  • Control basado en reglasde la capacidad de las aplicaciones para iniciar e interactuar con otros procesos, datos, redes, etc.
  • Supervisión de aplicaciones, con degradación de privilegios en cuanto una aplicación muestre actividad maliciosa: intentos de controlar otras aplicaciones, cambiar entradas de registro, etc.
  • Arranque protegido, que proporciona confianza a la atribución, control y supervisión de aplicaciones.

Los privilegios de las aplicaciones se definen según la categoría de confianza a la que pertenecen. Las aplicaciones se inventarían automáticamente en un host y se asignarían a categorías de confianza. En Kaspersky Endpoint Security for Business (KESB),las listas de aplicaciones se distribuyen a los administradores desde equipos de usuario, lo que les permite desarrollar sus propias políticas de control de aplicaciones.

La atribución de la aplicación a una categoría de confianza se basa en su comportamiento, según lo evaluado por el motor antimalware, la reputación en KSN, la firma electrónica y la comprobación de la integridad de la aplicación. Las aplicaciones se evalúan en el primer lanzamiento o en un grupo, después de la instalación de la solución antimalware en el host.

Las categorías de confianza son:

  • Aplicaciones de confianza:Aplicaciones de SO (svchost, smss y otros), aplicaciones legítimas de proveedores conocidos, con firma e integridad verificadas.
  • Aplicaciones no fiables: malware, que se bloquea incluso para que no se inicie.
  • Aplicaciones desconocidas: restringidas, según su naturaleza. Por ejemplo, se permite ejecutar aplicaciones reconocidas como software publicitario (que aún no son malware), pero que no inyectan código en otros procesos. Las aplicaciones que no muestran actividades maliciosas, pero que carecen de firma tendrán privilegios más amplios.

Después de la categorización inicial, las aplicaciones se siguen supervisando a través de una solución antimalware. Si muestran rasgos de malware, se degradan a una categoría de confianza menor y se restringen sus privilegios. La reputación de la aplicación se vuelve a confirmar periódicamente a través de KSN, en caso de que su reputación se haya degradado recientemente en la nube.

Las operaciones de aplicaciones que no caen en la categoría "Fiables" se registran mediante el motor de corrección. Si una aplicación resulta ser maliciosa, el motor deshace las acciones realizados.

Control de aplicaciones

La capacidad de iniciar una aplicación se define mediante su categoría de confianza.

En Kaspersky Internet Security(para usuarios domésticos), los usuarios pueden ajustar el bloqueo de aplicaciones en su host y elegir su modo:

  • En el modo automático, las aplicaciones que no son de confianza se bloquean automáticamente (lista de rechazados).
  • En el modo de denegación predeterminada (lista de admitidos), solo se inician las aplicaciones de confianza (archivos PE32, ejecutables .Net, instaladores y algunos otros formatos). Otras aplicaciones se bloquean permanentemente, incluso durante el reinicio y la actualización del sistema operativo.
  • En el modo manual, los usuarios pueden, en primer inicio, decidir si bloquear una aplicación en particular o no.

En Kaspersky Endpoint Security for Business, los administradores pueden configurar políticas de bloqueo de inicio para aplicaciones, módulos ejecutables (archivos PE, exe, scr, dll) y scripts ejecutados a través de diversos intérpretes (com, bat, cmd, ps1, vbs, js, msi, msp, mst, ocx, mmc, reg, JAR, hta, sys). Para ello, el administrador inventaría aplicaciones en los equipos de usuario y recibe su lista con metadatos (proveedor, certificado, nombre, versión, ruta de instalación, etc.). Si aparecen nuevas aplicaciones en los hosts posteriormente, estas también se inventarían.

Las aplicaciones se agrupan automáticamente en categorías jerárquicas (por ejemplo, juegos, aplicaciones de oficina, navegadores). Las categorías ayudan a los administradores a crear grupos de políticas de inicio de aplicaciones. Para los grupos de usuarios, los administradores pueden bloquear el inicio de aplicaciones, categorías de aplicaciones o aplicaciones específicas que se encuentran bajo ciertas condiciones (por ejemplo, con una clasificación en la nube KSN baja).

El control de aplicaciones también proporciona varias herramientas para simplificar la configuración inicial de las reglas de la lista de admitidos, incluido un asistente para crear reglas basadas en los resultados del inventario, reglas predefinidas recomendadas por Kaspersky y reglas de lista de admitidos actualizadas dinámicamente basadas en fuentes fiables (ubicaciones de archivos o equipos de referencia).

Los usuarios pueden solicitar permiso de administrador para iniciar una aplicación a través de su interfaz KESB. Para evitar el bloqueo de una aplicación legítima, los administradores pueden activar una regla de bloqueo en modo de prueba. Las reglas de prueba no afectan al inicio de la aplicación, pero se notifica a los administradores de cualquier activación, lo que les permite identificar bloques de inicio de aplicaciones no deseados y probar las reglas propuestas, o incluso la función completa de control de inicio, en su red.

HIPS

Además de controlar su capacidad de inicio, la categoría de confianza de la aplicación define sus privilegios; es decir, qué puede hacer una aplicación en el sistema host. El control de privilegios está basado en reglas, con un conjunto predefinido de reglas "listas para usar" que los usuarios domésticos o el administrador de una solución comercial pueden modificar.

Para cada categoría de confianza, las reglas definen la capacidad de una aplicación de:

  • Modificar archivos, claves de registro (leer, escribir, crear, eliminar)
  • Establecer conexiones de red
  • Acceder a la cámara web y al micrófono (aquí se aplican reglas más estrictas incluso para aplicaciones de confianza)
  • Ejecutar operaciones del sistema, por ejemplo, abrir procesos, cerrar ventanas. Es importante controlar las operaciones del sistema, ya que el malware puede utilizarlas para interferir en la memoria de otros procesos, inyectar el código o interferir en el funcionamiento del sistema operativo.

Cada regla define las categorías de aplicaciones a las que afecta, la acción que controla y su veredicto: "permitir" o "denegar". En la solución para el usuario doméstico, el veredicto también puede "preguntar al usuario"; se le pide al usuario que tome la decisión y dichas decisiones se almacenan en caché.

Contenedor protegido

Utilizando un conjunto especial de reglas HIPS, cualquier proceso podría ejecutarse en un contenedor seguro: el acceso a este proceso es muy limitado, incluso para aplicaciones de confianza. Restricciones adicionales proporcionan bloqueo de capturas de pantalla, protección del portapapeles y control de integridad que protege el proceso de inyecciones maliciosas. De esta manera, todos los datos internos de la aplicación (incluidos los datos personales del usuario) se mantienen seguros. Esta técnica HIPS es el núcleo del modo Safe Money (Safe Browser).

Protección de arranque del SO

En el arranque del SO, todas las aplicaciones que no son de confianza están completamente bloqueadas y el resto está restringido (por ejemplo, su acceso a la red está bloqueado). Esto reduce la posibilidad de un ataque durante el arranque del equipo.

Productos relacionados

Kaspersky Endpoint Security for Business

Protección adaptativa contra amenazas avanzadas dirigidas a sus endpoints y usuarios
Más información

Kaspersky Internet Security

Antivirus galardonado y diversas herramientas para proteger su vida privada y su identidad
Más información

The protection technologies of...


Más información

Resultados de la evaluación comparativa independiente

Tecnologías relacionadas