Por Teresa Law – Columnista invitada - Hoy vamos a echar un vistazo más de cerca al papel crítico desempeñado en seguridad del Endpoint. En última instancia, si la protección del Endpoint es compleja, si se disminuye el rendimiento del dispositivo o se frustra al usuario, luego no importa cuán innovadora sea la tecnología, los usuarios la desactivarán. Es por eso que el desarrollo del software de seguridad requiere un acto de equilibrio constante entre el aumento de la protección y la minimización del impacto en el rendimiento.
Este acto de equilibrio fue lo más importante cuando creamos el Symantec Endpoint Protection 14. Nuestros equipos de desarrollo invirtieron en tres áreas clave para ofrecer una defensa de múltiples capas sin comprometer la productividad de los usuarios finales o de IT. Echemos un vistazo a cada área en detalle.
Menor ocupación
Sabíamos que cada nueva arma en nuestro arsenal de endpoint tendría que ser cuidadosamente optimizada para no ralentizar ni la red ni el usuario final, reforzando de hecho la seguridad mientras que priorizaba la eficiencia. Por ejemplo, implementamos nuestra máquina de tecnología de aprendizaje tanto en el endpoint como en la nube, analizando los atributos y comportamientos de los archivos localmente en el dispositivo, mientras se analizan las relaciones y la reputación utilizando Big Data a escala en nuestra nube. Esto ofrece una inteligencia increíble para la protección del Endpoint sin la necesidad de una aplicación voluminosa.
También optimizamos y perfeccionamos la aplicación principal para minimizar el volumen de definiciones de firmas almacenadas localmente. En resumen, la huella típica de la aplicación para una nueva instalación se redujo en un 68% para las definiciones de núcleo desde SEP 12.1, un delta impresionante que refleja una menor ocupación de aplicaciones y una reducción de las actualizaciones de los archivos de definiciones.
Descargas reducidas
Intelligent Threat Cloud es una de las innovaciones tecnológicas más innovadoras de Symantec Endpoint Protection 14. El uso del aprendizaje automático ha reducido nuestra dependencia de las firmas, pero usarlas sabiamente añade valor. Hemos creado el Intelligent Threat Cloud para proporcionar búsqueda de firmas en tiempo real "on demand", por lo que no necesitamos mantener todas las definiciones en el endpoint, permitiendo que las actualizaciones se centren en la información más reciente sobre amenazas. Esto reduce la frecuencia y el tamaño de los archivos de definición de firmas, lo que a su vez reduce el uso de la red y aumenta el rendimiento.
Basado en nuestras pruebas realizadas hasta la fecha, el uso de Intelligent Threat Cloud ha ayudado a reducir las actualizaciones diarias en un 70% (comparando SEP 14 con las definiciones de núcleo con SEP 12.1). Eso es aproximadamente el equivalente a dos correos electrónicos por día, frente a casi dos megabytes por día en la versión anterior. ¿Qué sucede si no podemos conectarnos a la nube? Varias tecnologías sin firma, como el aprendizaje automático y la mitigación de la memoria de explotación ya están en posición de entregar un veredicto bastante definitivo en el endpoint, así que si no podemos corroborarlo, lo convencemos.
Intelligent Threat Cloud está potenciado por una variedad de técnicas avanzadas, incluyendo el pipelining de datos, la propagación de confianza y las consultas agrupadas. Y aunque algunos proveedores de seguridad quieren que usted crea que las firmas son obsoletas, como se mencionó anteriormente, la realidad es que los sistemas de detección basados en firmas siguen desempeñando un papel esencial en la prevención de amenazas conocidas - mientras que el aprendizaje de máquina, la prevención de la memoria de explotacion y las cajas virtuales se utilizan para hacer frente al desconocido. Desplegar uno sin el otro es similar a la instalación de un nuevo y elegante sistema de alarma en su casa y, luego, intencionalmente sacarse las cerraduras de sus puertas.
Tiempos de exploración más rápidos
Por último, pero no menos importante, nuestros equipos de desarrollo trabajaron duro para ofrecer una mejor protección con tiempos de escaneo más rápidos a través de Symantec Endpoint Protection 14. El nuevo software lleva a cabo escaneos en muestras que combinan archivos limpios y aquellos que contienen malware casi un 20% más rápido, un aumento que se puede atribuir en gran parte a la adición de Intelligent Threat Cloud.
La exploración en tiempo real de nuevos archivos también funciona increíblemente rápido. El Emulador utiliza, por ejemplo, sandboxing virtual para apagar ataques de empaquetadores personalizados, implementando tecnología sofisticada que imita los sistemas operativos, las APIs y las instrucciones del procesador, todo al mismo tiempo que administra la memoria virtual y ejecuta diversas tecnologías de heurística y detección. El Emulador funciona en milisegundos: un promedio de 3.5ms para los archivos limpios y 300ms para el malware, minimizando significativamente el impacto de la detección y respuesta en la red y la experiencia del usuario.
Un agente, múltiples capas de protección
El panorama de las amenazas siempre está cambiando y el malware puede infiltrarse en cualquier punto de la cadena de ataque. La realidad es que ninguna tecnología puede detener todo el malware, todo el tiempo. Las múltiples tecnologías son un requisito fundamental para el futuro de la seguridad de los endpoints. Al mismo tiempo, los usuarios no quieren que el rendimiento haga impacto en múltiples agentes - y el departamento de IT no necesita los dolores de cabeza de recibir las solicitudes separadas de varios proveedores, con la necesidad de instalar, reparar, actualizar, solucionar problemas e integrar cada uno de ellos por separado.
Con Symantec Endpoint Protection 14, combinamos tecnologías nuevas y establecidas en un único y ligero agente para detener las amenazas conocidas y desconocidas a través de múltiples vectores, que van mucho más allá del alcance y la capacidad de los productos puntuales. Eso incluye el aprendizaje de "máquina" avanzado, prevención de la memoria de explotación, el antivirus, y el análisis de la reputación y del comportamiento todo dentro de un solo agente de alto rendimiento. Ese mismo agente también puede recopilar los datos que necesita para alimentar la detección y respuesta (EDR) a través de Symantec y consolas de terceros.
Conclusión: las organizaciones ya no necesitan instalar y administrar múltiples agentes de Endpoint para la prevención, detección y respuesta. Con las tecnologías consolidadas de Symantec Endpoint Protection 14, pueden obtener el enorme beneficio de la protección de próxima generación, todo ello perfeccionando la experiencia del usuario, reduciendo la carga de IT y reduciendo el costo total de propiedad. Todo lo mejor para centrarse en la lucha contra los malos.
e
