¿Cuál es la periodicidad recomendada para la RAM del antivirus y las exploraciones de disco?

Esto dependerá completamente de la herramienta antivirus que esté utilizando y del entorno que se implementa.

Aquí hay algunas características a considerar;

• Tiempo entre actualizaciones de firmas
• Impacto en la usabilidad del sistema durante un análisis
• Capacidad de su herramienta AV
• puntos finales que ejecutan su herramienta AV

Para las soluciones de AV corporativas convencionales, es típico ver actualizaciones de firmas cada 24 horas. Esto puede significar que desea ejecutar un análisis de algún tipo en sus sistemas tan pronto como se hayan actualizado para detectar nuevo malware: ¿qué tan actualizado está su motor de detección?

Si tiene algún sistema heredado o está ejecutando aplicaciones intensivas, puede esperar hasta el fin de semana para ejecutar un análisis completo del sistema: ¿cuál es el impacto de ejecutar un análisis completo en un sistema?

La capacidad de una solución AV variará. Algunos solo pueden ofrecer protección superficial cuando se ejecuta un archivo, otros pueden ofrecer detalles granulares mediante los cuales se pueden implementar políticas para analizar archivos creados recientemente o archivos recientemente modificados: ¿qué puede hacer su AV?

No todos los puntos finales requieren una exploración en la misma frecuencia. Algunos dispositivos rara vez se usan o están cubiertos por otras protecciones, lo que reduce su posibilidad de infección, otros pueden considerarse de alto riesgo y es recomendable que los analicen todos los días: ¿Cuáles son sus activos de alto / bajo riesgo?

Aquí no hay una respuesta correcta o incorrecta, pero como persona preocupada por la seguridad, se inclinará hacia lo más frecuente posible pero se asegurará de conocer los impactos funcionales: consulte a sus usuarios, administradores y evalúe su entorno. En una situación ideal, ejecutaría escaneos constantemente, pero en realidad, simplemente no es posible.

No tengo conocimiento de que los programas antivirus analicen los archivos cuando se modifican, pero realmente no tienen que hacerlo. Siempre que se escaneen antes de que se carguen / ejecuten y el programa que los modifique se escanee, debería estar bien.

Hay muchas razones para escanear la RAM en busca de virus. Puedo pensar en dos formas principales en que los virus pueden aparecer en la RAM a pesar de que los archivos fueron escaneados. Una es que el virus esté encriptado. El antivirus no podría identificarlo, la unidad fue descifrada en la memoria. El otro es por ataque a la red, por ejemplo, abusando de un desbordamiento de búfer para escribir el virus directamente en la memoria sin almacenarlo en un archivo. Sin embargo, muchos programas antivirus tendrán formas de lidiar con ambos escenarios hasta cierto punto. Obviamente, esto significa que, idealmente, querría escanear su memoria con la mayor frecuencia posible y necesita equilibrarla con sus requisitos de rendimiento.

La razón por la que se justifica el análisis completo del disco es que las bases de datos de firmas de antivirus se actualizan periódicamente (posiblemente todos los días). Es posible que un virus no haya sido conocido y detectable cuando se descargó el archivo, pero puede ser detectable ahora. Sin embargo, debido a que los archivos se analizan durante la carga, esto solo garantiza que no haya virus latentes en el disco. Yo diría que una vez a la semana debería ser suficiente para esto.