CONSOLIDACIÓN DE SOLUCIONES Y BLINDAJE DE SEGURIDAD INFORMÁTICA COMPLETO CON PANDA SECURITY EN DIPUTACIÓN DE CÁDIZ

Transcripción

1 CONSOLIDACIÓN DE SOLUCIONES Y BLINDAJE DE SEGURIDAD INFORMÁTICA COMPLETO CON PANDA SECURITY EN DIPUTACIÓN DE CÁDIZ Implantado en: Logo Organismo Logos socios tecnologicos ANTECEDENTES/PROBLEMÁTICA La Empresa Provincial de Información de Cádiz, EPICSA (Empresa instrumental de la Diputación de Cádiz), da servicio a equipos (entre estaciones y servidores), protegidos a nivel informático con la solución AdaptiveDefense 360 de Panda Security. La decisión de implantar este servicio en su parque, se debió a la experiencia sufrida con el malware en dicho entorno y para evitar futuras infecciones que pudieran aparecer atendiendo a las previsiones de evolución del panorama del malware. El Ransomware, Cryptolocker, era el caballo de batalla y el detonante en la toma de decisiones. Antes de disponer de AdaptiveDefense 360, EPICSA disponía de una solución antivirus (AdminSecure de Panda Security), con buenos ratios de detección y capacidades que se ajustaban muy bien a las necesidades de seguridad de la empresa, pero la evolución de las amenazas hizo que naciera el requisito de reforzarse más, de ampliar su protección; en definitiva, el antivirus se quedaba corto. Cómo se destaca en el informe del Parlamento Europeo de diciembre de 2015 sobre las mayores ciber-amenazas del año, el 50% del malware de nueva generación no es detectado por los programas antivirus tradicionales. Este malware reside en los ordenadores corporativos como un troyano, programa informático dañino que no lo parece durante un tiempo, hasta que forma parte de

2 un ciberataque. En el 19% de los casos este malware además tiene capacidades de gusano siendo capaz de replicarse entre ordenadores de una misma organización o a otras por diversos medios de transporte. Los objetivos de este malware suelen ser el robo de identidades, contraseñas y datos financieros de los usuarios y el ciber-espionaje de las organizaciones para ser usadas en ciberataques que ENISA (Agencia de la EU sobre Seguridad de la Información) estima entre 260 y 340 miles de millones de Euros, en pérdidas anuales para la economía de la EU En el acuerdo alcanzado en diciembre de 2015 por el Consejo de Ministros y la presidencia de la UE se especifica que las empresas comunitarias tendrán que garantizar que las infraestructuras digitales usadas para desarrollar sus servicios son suficientemente robustas para soportar este tipo de ciberataques. Entre otras medidas acordadas también se establece la necesidad de ser capaz de registrar los detalles técnicos de los ataques detectados y poder compartirlos de con las instituciones relevantes de la UE para fortalecer su mercado digital único. Algunos aspectos de la Solución TI favorables para su adopción son: Que el fabricante o fabricantes de la solución cumplan los requerimientos de: privacidad de datos de la UE, seguridad como el ENS (Esquema Nacional de Seguridad), o bien sean empresas españolas o comunitarias sujetas a su legislación. Que sea una solución destacada por los analistas del mercado de Software en las funcionalidades requeridas como EDR (frente amenazas avanzadas) y como registro forense abierto (interoperable) de los detalles de ataques detectados La confianza y satisfacción con las soluciones previas de Panda en EPICSA OBJETIVOS PERSEGUIDOS El objetivo general de EPICSA era conseguir proteger de forma más robusta y adaptada a sus necesidades, los puestos de trabajo, servidores de todo tipo, correo electrónico (de forma no intrusiva) y conseguir disponer de una herramienta de gestión centralizada que consiguiera protegerles frente a las amenazas más avanzadas existentes; todo ello desde una plataforma basada en cloud que no requiriera la instalación de nuevos recursos hardware ni inversión de mucho tiempo para poner en marcha esta seguridad. Por todos estos condicionantes, y la experiencia sobre este tipo de amenazas dentro del contexto tecnológico actual de EPICSA, es necesario dotarse de una solución TI para el final de la cadena de protección, los puestos de trabajo y sus servidores, con los siguientes requerimientos: Haber demostrado la capacidad de detectar, detener y registrar las nuevas amenazas basadas en Malware, aunque sea muy avanzadas y totalmente desconocidas para los antivirus de mercado, así como cualquier uso malintencionado del software lícito disponible para los usuarios Ser compatible con la gran mayoría de sistemas operativos Windows, aplicaciones y sistemas de seguridad prexistentes en los puestos de trabajo y servidores (Windows 10 (32 y 64-bit) Windows 8.1 (32 y 64-bit), Windows 8 (32 y 64-bit), Windows 7 (32 y 64-bit), Windows Vista (32y 64- bit), Windows XP (32 y 64-bit) y Windows 2000 Professional Que permita cumplir con los requerimientos de compartición de los detalles de ciber-ataques detectados y sufridos con las autoridades de la UE, mediante procedimientos compatibles

3 con los actuales (CNPIC, etc ) así como extensiones propios que a su vez puedan aprovechar de forma preventiva la recepción de los detalles de ataques de otras organizaciones AdaptiveDefense 360 fue la solución elegida. AdaptiveDefense 360 es el primer y único servicio de seguridad informática que combina el antivirus tradicional más efectivo y la última tecnología de protección avanzada con la capacidad de clasificar todos los procesos en ejecución. AdaptiveDefense 360 es un servicio de detección y respuesta capaz de clasificar cada proceso de todos los ordenadores de EPICSA de forma precisa, permitiendo ejecutar únicamente lo que es lícito. Las funcionalidades de AdaptiveDefense 360 se fundamentan en un nuevo modelo de seguridad basado en 3 principios: Adaptive 360 dispone de un SIEM en la nube: es un servicio explotación en tiempo real del conocimiento acumulado complementario que importa y analiza de forma automática y en tiempo

4 real toda la información generada por AdaptiveDefense 360. El SIEM facilita las búsquedas de información relativa a la seguridad del parque informático del cliente y ayuda al generar vistosas gráficas para interpretar los datos registrados por los agentes de AdaptiveDefense 360. Este sistema ha ayudado mucho a EPICSA a la hora de complementar la información ofrecida por AdaptiveDefense 360 para establecer nuevos protocolos de resolución y profundizar en las técnicas de análisis forense mostradas en el capítulo Análisis forense. FASES DEL PROYECTO RECURSOS EMPLEADOS Dado que la las soluciones de seguridad elegidas están basadas en cloud, no se requieren recursos hardware, software ni personales adicionales a los que EPICSA ya disponía. En el parque informático residían dos soluciones de Panda: AdminSecure, una solución antimalware on-premise que requería de un software servidor instalado en la red de EPICSA (más antigua); y EndpointProtection, un servicio antimalware basado en la nube (este antimalware es la evolución de AdminSecure). Se trataba de migrar desde dicho entorno al escenario final deseado: que todos los PCs y servidores tuvieran instalado un agente ligero de AdaptiveDefense 360. Esta migración fue rápida ya que Panda dispone de una herramienta de migración que de forma ágil y transparente de cara a los usuarios, actualizó las máquinas que tenían instalado el agente de AdminSecure a EndpointProtection. Y cuando los agentes ya tenían el agente de EndpointProtection, la activación en la nube de AdaptiveDefense 360 lanzo la actualización automática de los agentes para dotarles de la capa de protección adicional (protección avanzada). Las fases del proyecto podemos resumirlas en: 1. Migración automática de los agentes de AdminSecure a EndpointProtection 2. Actualización automática de los agentes con EndpointProtection a AdaptiveDefense Configuración de las funcionalidades de seguridad avanzada para conseguir el blindaje completo de todos los equipos y servidores. Este punto es el más interesante del proyecto, ya que gracias a estas configuraciones y funcionalidades se consiguieron prevenir las infecciones de amenazas persistentes avanzadas y zeroday, que tanto preocupaban a EPICSA. De forma muy sencilla, el agente de AdaptiveDefense consigue monitorizar todas las acciones que se efectúan en los puestos de trabajo y servidores con el fin de mantener el sistema completamente limpio. Una de las mayores preocupaciones de EPICSA era la infección por Cryptolocker en sus diferentes modalidades. Los antivirus tradicionales, por su modo de funcionamiento son incapaces de detectar y prevenir estas amenazas ransomware y AdaptiveDefense 360, en cualquiera de sus modos de funcionamiento detecta este malware y es capaz de detenerlo. Esta solución tiene 3 modalidades de trabajo: Audit, Hardening y Lock. La activación de estos modos depende de lo restrictivos que se quiera ser a la hora de proteger los sistemas.

5 A continuación se explican los 3 modos de funcionamiento: Audit: en este modo se rastreará toda la actividad de los programas ejecutados en los equipos pero no actuará ante ninguna detección. Hardening: Los programas maliciosos y potencialmente maliciosos serán eliminados. Los programas desconocidos que vienen de Internet permanecerán bloqueados hasta que el laboratorio de Panda determine si se trata de malware o no. El resto de programas desconocidos inicialmente se permitirán y pasarán a ser analizados Lock: Los programas maliciosos y potencialmente maliciosos serán eliminados. Los programas desconocidos permanecerán bloqueados hasta que nuestro laboratorio determine si se trata de malware o no. En cualquiera de estos modos se generan trazas/logs que permiten al administrador revisar las detecciones a un nivel muy detallado (ver el equipo, nombre, ruta de detección, si se ejecutó o no el fichero, si se comunica con el exterior, fecha) y a su vez poder desplegar estos eventos para ver el tiempo de exposición, el ciclo de vida de dicho malware, las apariciones en el parque e incluso consultar los resultados de la búsqueda de dicho malware en Google y/o VirusTotal. También se permite generar un gráfico de actividad que de forma muy inteligible muestra el recorrido de dicho malware. Otro punto interesante es la capacidad de la solución para detectar PUPs (PotentiallyUnwantedPrograms), que, a pesar de no poder ser considerados como malware, son elementos que molestan e interfieren con la actividad laboral del usuario en el sistema. Ejemplos de PUPs son las toolbars que se instalan en los navegadores sin pedir permiso de ello al usuario. MEJORAS EN LA DETECCIÓN Hasta el 2015, la Diputación de Cádiz disponía de una protección que consideraba apropiada para su actividad. El antimalware de panda security le protegía frente a las amenazas que circulaban en la red y del malware que entraba de fuera. Pero desde hace un año la protección que brindan las soluciones de EPP (EndpointProtectionPlatform), entre las que se ubican los antivirus tradicionales, no es suficiente. Los antivirus siguen siendo necesarios; son productos muy reactivos que protegen frente a las amenazas conocidas. El problema es que los malos acaban encontrando una forma de entrar en los sistemas. Además de proteger, empezó a ser preciso disponer de herramientas que permitieran detectar las nuevas amenazas. Con AdaptiveDefense 360, el antivirus evoluciona para convertirse en una solución de blindaje de seguridad completo que detecta cualquier amenaza, venga de donde venga y sea del tipo que sea. El secreto está en la forma que tiene esta solución de trabajar: monitorizar absolutamente todo lo que se encuentra en la máquina para determinar qué es goodware y qué es malware y actuar consecuentemente. Gracias a los logs y a las alertas que genera la herramienta, a través de la consola

6 web, el administrador puede revisar todas las detecciones que se han hecho, visualizar gráficamente la actividad del malware y actuar en consecuencia. CONCLUSIONES DE LA ENTIDAD El mayor cambio experimentado con la adopción de esta solución por parte de EPICSA es la liberación de los técnicos en lo referente al tiempo que se precisaba dedicar para resolver situaciones derivadas de las numerosas infecciones por ransomware que se venían sufriendo ya que, tras la detección, se tenían que hacer tareas de localización, aislamiento y recuperación de datos de las copias de seguridad que precisaban en algunos casos incluso varios días para normalizar la situación. Todo lo anterior, sumado a la disponibilidad de un soporte en castellano que se puede conectar al entorno rápidamente y en cualquier momento y que nos soluciona problemas por teléfono, in situ o por correo, sin necesidad de tener que pasar por intermediarios, hacen de la solución AdaptiveDefense 360 de Panda, la mejor herramienta de seguridad para EPICSA. ANEXO: LA NUBE DE PANDA ADAPTIVE DEFENSE AdaptiveDefense, está alojada en la nubeazure de Microsoft, lo cual aporta también grandes ventajas en cuanto a confianza y ahorro de costes. A continuación algunos datos interesantes sobre AZURE. QUÉ INFORMACIÓN ES ENVIADA / GUARDADA EN LA NUBE? En este apartado se muestra la información que es enviada a la nube por los agentes de AdaptiveDefense que se instalan en cada Endpoint para ofrecer una garantía de protección completa en portátiles, estaciones y servidores Windows. El nuevo modelo de protección de AdaptiveDefense requiere recoger información de lo que hacen las aplicaciones. La continua monitorización de las acciones realizadas por las aplicaciones y el posterior análisis de estos datos con técnicas de machine learning en nuestros entornos Big data es lo que nos permite ofrecer una protección de garantías a los clientes. Los datos recogidos por el servicio AdaptiveDefense siguen las siguientes directrices: Se recoge únicamente información relativa a ficheros ejecutables de Windows, (fichero.exe,.dll,...) que se ejecutan / cargan en la máquina. Los atributos de dichos ficheros se envían normalizados intentando evitar en lo posible que contengan información referente al usuario logueado. Así por ejemplo las rutas de ficheros se normaliza como LOCALAPPDATA\nombre.exe en lugar de c:\users\nombre_de_usuario \AppData \Local\nombre.exe.

7 Las URLS recogidas son únicamente las de descargas de ficheros ejecutables. No se recogen URLs de navegación de usuarios. No existe nunca la relación dato-usuario dentro de los datos recogidos. En ningún caso AdaptiveDefense envía información personal a la nube. La información de la regogida de las máquinas es la siguiente: Nombre del equipo. Sistema operativo. Service Pack. Grupo en el que el PC protegido es incluido. IP por defecto de la máquina. MAC. Direcciones IP asignadas al PC en los diferentes adaptadores de red. MAC para los diferentes adaptadores de red. Memoria Ram en MB. QUÉ CERTIFICACIONES DE SEGURIDAD TIENE LA PLATAFORMA DONDE SE ALOJAN LOS DATOS? Windows Azure corre sobre Microsoft Global FoundationServices (GFS): Windows Azureoperates in the Microsoft Global FoundationServices (GFS) infrastructure. El siguiente documento muestra información sobre la gestión de la seguridad que se hace en Global FoundationServices (GFS), la infraestructura Cloud de Microsoft en la cual corre Windows Azure: structure.pdf Las certificaciones de Windows Azure: ISO/IEC 27001:2005 StatementonAuditingStandards No. 70 (SAS 70) Type I and II Sarbanes-Oxley (SOX) PaymentCardIndustry Data Security Standard (PCI DSS) Federal Information Security Management Act (FISMA) Adicionalmente tenemos información más detallada sobre la certificación en: certification-from-the-british-standards-institute.aspx Windows Azure cumple con los requisitos de seguridad definidos por Cloud Security Alliance, Cloud Control Matrix. Se adjunta párrafo del Whitepaper: Oursecurityframeworkbasedon ISO enablescustomers to evaluatehow Microsoft meetsorexceedsthesecuritystandards and implementationguidelines. ISO defines how to implement, monitor, maintain, and continuallyimprovetheinformation Security Management System (ISMS). In addition, the GFS infrastructureundergoesanannual American Institute of CertifiedPublicAccountants (AICPA) Statement of AuditingStandards (SAS) No. 70 audits, whichwill be replacedwithan AICPA StatementonStandardsforAttestationEngagements (SSAE) No. 16 audit and an International StandardsforAssuranceEngagements (ISAE) No audit. Planningforan SSAE 16 audit of Windows Azureisunderway.

8 Para aquellos clientes que vayan a hacer uso del servicio de monitorización y correlación de eventos (SIEM), deben saber que cuentan con las medidas de seguridad física del CPD de Amazon. Amazon cuenta con todas las principales certificaciones del mercado destacando: ISO/IEC SOC 1/SSAE 16/ISAE 3402 (previously, SAS70) PaymentCardIndustry Data Security Standard (PCI DSS) Federal Information Security Management Act (FISMA) DÓNDE ESTÁ UBICADA LA PLATAFORMA WINDOWS AZURE? Windows Azure contiene nodos en diferentes ubicaciones en todo el mundo. Actualmente Panda Security tiene ubicado su datacenter en Irlanda. Se adjunta foto del datacenter de Irlanda.