Cólera, malware y detención de brotes en el origen

(México) Lo más probable es que nunca haya oído hablar del Dr. John Snow. Sin embargo, los métodos que utilizó hace ya más de 150 años para resolver el misterio de un brote de cólera en Londres, se puede aplicar hoy en día como ayuda para llegar al corazón de un brote de malware en su empresa.

En resumen, en 1854 se produjo un brote de cólera cerca de Broad Street, en Londres. John Snow, un médico Inglés, trazó cada caso en el mapa de la zona y se dio cuenta de que los casos de cólera se produjeron principalmente cerca de la bomba de agua de Broad Street. Pidió que las autoridades retiraran la manija de la bomba y la epidemia, que ya habían cobrado cerca de 500 vidas, pronto terminó. 

Cuando se trata de malware, a pesar de los mejores esfuerzos y de varias capas de seguridad, las infecciones prevalecen. Para eliminar realmente el malware y el riesgo de re-infección, tenemos que llegar a la raíz del problema. El desafío es que la mayoría de las tecnologías se centren exclusivamente en la detección y nos dejen pocos recursos después de una infección.

La manera más común en que las organizaciones descubren una infección, es con una llamada al departamento técnico. Pero también pueden aprender de una infección cuando una herramienta de detección se actualiza y se descubre el malware previamente perdido. En este caso, la alerta de detección es en realidad una alerta de infección; el malware ya ha penetrado en la red y probablemente infectado un número de dispositivos.

Cualquiera que sea la forma en que identifique el malware, una vez que lo hace es fundamental poner el dispositivo en cuarentena dispositivo para minimizar el riesgo a otros dispositivos en la red y luego para limpiar el dispositivo infectado. Pero eso no es suficiente para eliminar realmente malware. Eso sería lo mismo que si el Dr. Snow se hubiera enfocado únicamente en los individuos que ya presentaban síntomas y los hubiera tratado. Con sólo ese enfoque habría caído en un ciclo sin fin al tratar a los pacientes y probablemente nunca habría encontrado la causa raíz del brote para detener la propagación de la enfermedad por completo.

Así como el Dr. Snow analizó los puntos de datos a su disposición, en el caso de detener la propagación de malware, las tecnologías que utilizan grandes análisis de datos para identificar al ‘paciente cero’ (que fue el primero en ser infectado), la aplicación que presenta el malware y los archivos que están causando que se extienda, nos permiten tratar la infección desde la raíz y evitar la re-infección. Identificando a la última persona infectada es tan importante como definir el alcance de la infección, evaluar el riesgo y comprender lo que se necesita para controlar el brote.

Josué Hernández, Security Architect en Sourcefire México