Fortinet es el único fabricante que ofrece un sistema Antivirus de red con capacidad de inspección en modo proxy o en modo flujo, pudiendo optar por uno u otro método indistintamente, a nivel de cada política de seguridad.
Por lo tanto Fortinet proporciona la mejor solución para la protección de malware Zero Day. Antes de nada, conviene señalar las diferencias con el resto de tecnologías basadas en inspección en modo “flujo”. Este modo de inspección no re-emsambla el fichero completo y por lo tanto depende de firmas y checksums para analizar los paquetes, y no los ficheros completos. Debido a esto, se deben crear numerosas firmas y checksums cada vez que hay una nueva variante de un virus conocido. Un atacante puede tomar una porción de un malware conocido y re-empaquetarlo; aprovechando las redes de botnet pueden generar cientos de variantes. Con un simple re-empaquetado del malware, el checksum cambia y también se reducen drásticamente las probabilidades de que una firma sea capaz de identificarlo.
En el ejemplo más abajo, se observa el resultado de un test que se llevó a cabo en los laboratorios de Fortinet para la investigación y la protección de amanazas (FortiGuard Labs), que consistía en re-empaquetar una lista de malware/virus ejecutables conocidos. Estos test se ejecutaron con el Antivirus de Fortinet y con otro producto de un conocido competidor que solo trabaja en modo de inspección en “flujo” (o streaming):
Ratio de detección Fortinet 572/573 detectados = 99.82%
Ratio de detección AV flow del Competidor 565/573 detectados = 98.60%
Ambos valores son muy respetables para un antivirus en la red!
A continuación emularon lo que un atacante haría: re-empaquetar los mismos 573 virus conocidos, aproximadamente 32 veces cada uno, lo que produjo un total de 18.165 variantes.
Ratio de detección Fortinet 18131/18165 detectados = 99.82%
Ratio de detección AV flow del Competidor 5120/18165 detectados = 28.18%
Se observa una pérdida dramática de la eficacia de detección en el Antivirus en modo “flujo” del competidor.
Por lo tanto, en el ejemplo anterior, se puede ver claramente que el ratio de detección del antivirus de Fortinet en modo proxy es el mismo cuando se trata de variantes re-empaquetadas. Esto es debido a que el mecanismo en modo proxy puede re-ensamblar completamente el fichero con malware y a la utilización del sistema de reconocimiento patentado de Fortinet: CPRL (Content Pattern Recognition Language) incorporado en el sistema operativo FortiOS 5 AV Engine.
En el caso del antivirus en modo flujo del competidor, deberían ver todas las variantes como un nuevo malware y tendrían que enviarlas a su sandbox en la nube para generar nuevas firmas y nuevos checksums. A continuación tendrían que actualizar las firmas en sus sistemas NGFW y horas más tarde, serían capaces de identificar dichas variantes. Mientras tanto, la red protegida por dicho sistema AV en modo flujo, habría sido ya infectada por cientos de variantes, siendo necesaria la limpieza de PC’s, Servidores, tabletas, etc.
¡¡Por qué no utilizar Fortinet para bloquear todas estas variantes desde el Dia Cero!!
Caso real:
El malware que infectó NBC.com fue una variante de un malware conocido 2 años atrás. Solo 3 de 46 fabricantes de Antivirus fueron capaces de detectar esta variante el Día Cero. Fortinet fue uno de ellos. Más abajo se puede ver una diapositiva que demuestra como Fortinet pudo detectar de forma proactiva esta variante durante dos años.
Más información en http://goo.gl/1uN66. Los tres fabricantes que pudieron identificar este malware fueron: Fortinet, Panda y Rising.
A continuación, se pueden ver algunas características adicionales de FortiGate Advanced Threat Protection:
Advanced Threat Protection
Antivirus y AntiMalware
Detección heurística basada en comportamiento/atributos
Análisis de ficheros con Sandbox ligera incorporada en el equipo, así como Sandbox en la nube.
Sandbox local incluye emuladores ligeros eficaces ante las técnicas de evasión VM. Capaces de detener el malware antes de que se introduzca en la red protegida. Esto reduce la necesidad del envío de ficheros al Sandbox en la nube para su análisis.
Sandbox local independiente del sistema operativo, para todos los tipos de fichero ex. java scripts, flash y PDF
Múltiples opciones de base de datos AV para ganar en prestaciones o para extremar la seguridad
Anti-Botnet
Categoría de aplicaciones de tipo Botnet en los perfiles de “Application Control”
Base de datos de listas negras de IP pertenecientes a Botnets
Ejemplo de procesamiento en el propio FortiGate:
Enlace de referencia: http://www.virusbtn.com/vb100/latest_comparative/index
Fuente: fortixpert
Fortigate Peru Fortinet Perú Vmware Double Take HP Cisco Symantec Juniper Piura Trujillo Chiclayo Chimbote Ica
Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en Contactarnos.
