Detección y Mitigación de Infecciones por Virus en CuriosityCloud

Introducción

La proliferación de malware y virus informáticos representa una de las principales amenazas para la continuidad operativa en entornos virtualizados. CuriosityCloud, con el respaldo de Sangfor SCP, integra mecanismos avanzados de detección, análisis y respuesta frente a infecciones por virus en máquinas virtuales.

Estas capacidades permiten a los equipos de operaciones y seguridad monitorear en tiempo real el estado de cada instancia, ejecutar escaneos periódicos, aislar sistemas comprometidos y restaurar entornos afectados sin comprometer la infraestructura completa.

¿Qué es una infección por virus?

Una infección por virus es la introducción y ejecución de software malicioso en una máquina virtual. Los virus pueden replicarse, alterar archivos, interceptar tráfico, robar información o abrir puertas traseras para nuevos ataques.

Funcionalidad dentro de CuriosityCloud

El módulo de aSEC (Advanced Security / EDR) permite identificar infecciones activas, realizar escaneos a demanda y analizar el impacto del malware detectado. A continuación, se describen las funciones clave:

Para ingresar y visualizar si nuestras VM cuentan con alguna infeccion deberemos ir al Menu principal --> aSecurity --> Security Capabilities -->Security Events

1. Monitoreo en tiempo real

Cada máquina con el agente de aSEC instalado envía continuamente información de procesos, servicios, archivos ejecutados y comportamiento del sistema a la consola de gestión. Esto permite identificar indicios de actividad maliciosa con base en firmas conocidas y comportamiento anómalo.

2. Escaneo antivirus automatizado

• Escaneos programados: se pueden definir ventanas periódicas de escaneo sobre las VM, incluyendo análisis profundo de discos, procesos y registros.

• Escaneo bajo demanda: permite realizar una inspección inmediata sobre una VM sospechosa o recién desplegada.

• Alertas categorizadas: las infecciones detectadas se clasifican por nivel de severidad (Crítico, Alto, Medio, Bajo).

3. Base de firmas actualizada

El motor de análisis antivirus de CuriosityCloud se actualiza automáticamente con las últimas definiciones de virus y amenazas. Esto asegura la detección efectiva de nuevas variantes de malware, ransomware, spyware, etc.

4. Análisis de eventos y archivos

Cuando se detecta una infección, el sistema identifica:

• El archivo origen del virus

• El proceso afectado o iniciado por el virus

• El usuario y la ruta afectada

• El momento de la infección y comportamiento posterior

5. Aislamiento automático (Quarantine)

En caso de infecciones críticas, la VM puede ser aislada automáticamente de la red para evitar propagación. Esta cuarentena permite que la VM siga encendida para revisión, pero sin comunicación con el resto del entorno.

Proceso de remediación

1. Detección del virus por el motor de aSEC.

2. Notificación inmediata al administrador con los detalles del archivo, proceso y VM comprometida.

3. Aislamiento automático o manual de la máquina virtual infectada.

4. Análisis forense por parte del equipo de seguridad.

5. Eliminación del archivo o restauración desde punto seguro previo (Snapshot o Ransomware Recovery).

6. Reintegración segura a la red tras validación del estado de salud.
   
   

Buenas prácticas

• Instalar el agente de aSEC en todas las máquinas virtuales.

• Ejecutar escaneos semanales automáticos de todas las VMs activas.

• Mantener las aplicaciones y SO actualizados para evitar vectores de infección.

• Restringir el acceso a puertos vulnerables y servicios innecesarios.

• Implementar políticas de firewall específicas para tráfico saliente de servidores.

Requisitos

• Licenciamiento activo de aSEC para el Tenant.

• Instalación del agente en cada VM que se desea proteger.

• La VM debe estar encendida para realizar escaneos y análisis.