Protección para la nube de Microsoft

  • Article

Protección para la nube de Microsoft

Por msft-mmpc 

 

?Microsoft utiliza la protección para la nube para ayudar a mantener seguros a nuestros clientes. De  hecho, casi todas las detecciones realizadas por los productos de seguridad de Microsoft pudieran ser el resultado de la protección para la nube. Con frecuencia, los desarrolladores de software nos preguntan cómo funciona esta protección para la nube y cómo pueden mejorar nuestra impresión de la nube de su software.

Cómo funciona nuestra protección para la nube

Cuando nuestros productos antimalware encuentran algo inusual, envían un pequeño paquete de información sobre el evento o archivo a nuestro servidor. Entonces, el servidor devuelve una contestación diciéndole al software antimalware que lo bloquee o no. También puede solicitar una muestra para mayor análisis.

Existen tres situaciones que resaltan los beneficios de la protección para la nube:

    • Si nuestros servidores saben que un archivo tiene malware, pero no es mediante el uso del producto antimalware local, el módulo de protección para la nube puede decirle al producto local que lo bloquee o lo remueva.
    • Si nuestros servidores saben que se debe limpiar un archivo, pero el producto antimalware local detecta al archivo como malware (una situación de detección incorrecta), el módulo de protección para la nube puede decirle al antimalware local que no lo detecte, y la detección incorrecta no afecta al usuario.
    • Si un producto antimalware local encuentra un archivo desconocido para nosotros, nuestro servidor puede hacer una determinación basado en las probabilidades, y decirle al software antimalware local que lo bloquee, aunque no haya visto una copia del archivo.

Este tercer punto el que me gustaría analizar con mayor detalle.

Cómo mejorar la impresión para la nube de su software

Con frecuencia, nos preguntan los proveedores de software si tenemos una forma para que se apruebe por anticipado su software. Sin embargo, nuestro proceso de backend de hecho funciona mejor si vemos cómo se distribuye de manera natural su software. A continuación, señalaré unos cuantos métodos para mejorar nuestra impresión de la nube de su software:

    • Firme digitalmente su software utilizando un método aceptado por Microsoft. Ésta es la manera más rápida de tener una buena reputación en la nube debido a que la reputación de un buen archivo se puede distribuir a todos los archivos firmados por la misma clave.
    • Una vez que ha firmado digitalmente su software, tenga cuidado de que el malware no está firmado también por su clave. Esto negará una buena reputación. Usted puede ayudar a evitar esta situación al:
      • Asegurarse que protege su clave de que sea robada por autores de malware.
      • Asegurar que su proceso de desarrollo evite que un virus parásito que infecte archivos sea firmado de manera inadvertida por su clave.
      • Leer más sobre las mejores prácticas para firmar software.
    • Si usted no puede firmar digitalmente su software, esté consciente de que cualquier versión menor de su producto tendrá que construir su reputación desde cero. Esto afecta a los proveedores que proporcionan un archivo diferente en cada descarga. No significa que no pueda hacer versiones para arreglar bugs, diferentes lenguajes, etc.
    • Asegúrese que su software no instale malware:
      • Tenga cuidado de evitar vulnerabilidades a la seguridad. Aún si no intenta instalar malware, se podría detectar una vulnerabilidad a la seguridad al instalar su producto un malware.
      • Si descarga ejecutables de Internet, haga que su software verifique una firma digital o hash criptográfico, para asegurar que tiene el archivo correcto que intentaba descargar. Hemos visto un caso en donde un instalador popular tenía varios URLs que distribuían malware y teníamos que detectar cada uno de sus instaladores en caso de que hubiera descargado uno de los URLs con malware.
    • Asegúrese de que su software no está instalado por malware: 
      • Verifique proactivamente las filiales y compañías que agrupan su software.
      • Llene la información de metadatos como la información sobre el autor y compañía en los recursos de archivos. Si esto y la firma digital no es suficiente, considere agregar información del contacto, o un apuntador para encontrar información de contacto en la Web. Esta información de contacto deberá dirigir al contacto correcto para reportar una vulnerabilidad de seguridad, o trabajar para arreglar o evitar una detección incorrecta.
    • Si utiliza un empacador de tiempo de ejecución o un “obfuscator”, necesita estar consciente que la mayoría del malware está empacado u con un “obfuscator”, y esto afecta cómo se ve el software en el back end.
    • Considere cómo se ve su software y si está instalado en máquinas de usuarios que verdaderamente lo desean. Usted tiene honeypots, web crawlers y pruebas automáticas de software. Podemos ver si los usuarios eligen continuar la descarga después de la advertencia de que un programa no se ha descargado de manera común. También podemos ver si los usuarios eligen ignorar o remover el software si nuestro antimalware lo detecta. Un comportamiento malo puede arruinar rápidamente una buena reputación del software.
    • Existen algunos comportamientos que, si bien no son suficientes para garantizar una detección por sí mismos, atraen la sospecha de sistemas humanos y automatizados. Se pueden usar por razones legítimas pero, con frecuencia, están más asociados con el comportamiento de malware. Esto incluye:
      • Instalar fuera las carpetas comúnmente aceptadas para el tipo de software.
      • Modificar o agregar una clave de registro sensible.
      • Procesar o hilar la inyección.
      • Actividad autónoma de Internet.

Si usted cree que hemos tomado una decisión incorrecta para su producto, puede presentar un formato de contacto del desarrollador. Al hacer un pequeño cambio y empujarlo a su software no arreglará necesariamente una reputación mala incorrecta aplicada a la clave de firma de código que utilizó para el archivo que fue detectado incorrectamente. Nuestra protección para la nube puede también observar la similitud entre el archivo que aún considera que fue detectado correctamente como malware y la nueva versión.

Microsoft Malware Protection Center (MMPC)

Original: https://blogs.technet.com/b/mmpc/archive/2014/09/22/microsoft-cloud-protection.aspx