Advanced Malware Protection: una guía para el comprador

Transcripción

1 Advanced Malware Protection: una guía para el comprador

2 Lo que aprenderá En este documento se identifican las funcionalidades esenciales necesarias en una solución de protección contra malware avanzado y las preguntas clave que debe formularle a su proveedor, y se muestra cómo Cisco combate los ataques de malware avanzado actuales mediante una combinación de cuatro técnicas: Análisis avanzados Inteligencia colectiva de amenazas de seguridad globales Aplicación en diversos factores de forma (redes, terminales, dispositivos móviles, gateways seguros y sistemas virtuales) Análisis continuos y seguridad retrospectiva Introducción No hay dudas de que, en la actualidad, los atacantes cuentan con los recursos, la experiencia y la perseverancia para comprometer a cualquier organización, si disponen de tiempo suficiente. Las defensas tradicionales, incluidos los firewalls y antivirus de terminales, ya no funcionan contra estos ataques. El proceso de control de malware debe evolucionar y debe hacerlo rápidamente. Detectar los ataques de malware dirigidos y persistentes es un problema que supera lo que un producto o control puntual único puede abordar por su cuenta, de forma eficiente. La protección contra malware avanzado requiere un conjunto integrado de controles y un proceso continuo para detectar, confirmar, monitorear, analizar y solucionar estas amenazas antes, durante y después de un ataque. Preguntas que puede hacer a su proveedor Cómo utiliza los datos masivos para determinar el malware persistente? Cómo se analiza el malware para determinar exactamente su funcionamiento? De qué manera el análisis de malware actualiza automáticamente las funciones de detección? Cómo recopila información sobre las amenazas de malware emergentes? Cómo realiza los análisis continuos para la detección retrospectiva de malware? Es más factible que el problema empeore antes de que llegue a solucionarse. Con el surgimiento del malware polimorfo, las organizaciones enfrentan cientos de miles de nuevas muestras de malware por hora, y los atacantes pueden fiarse de herramientas de malware bastante sencillas para comprometer un dispositivo. El enfoque de listas negras, que consiste en comparar un archivo con firmas de malware dañino conocido, ya no es suficiente, y las nuevas técnicas de detección, como las zonas protegidas (sandboxing), no son 100% efectivas. Análisis avanzados y Collective Security Intelligence En un intento por prestar un mejor servicio a los clientes a raíz del aumento exponencial de malware conocido, los proveedores de protección tradicional de terminales introdujeron una funcionalidad de antivirus asistido en la nube que, en pocas palabras, migró las bases de datos de firmas a la nube. Esto permitió solucionar el inconveniente de tener que distribuir miles de millones de firmas de virus a todos los terminales cada cinco minutos, pero no pudo con la evolución del malware avanzado diseñado para evadir la detección basada en firmas. Mediante el diseño de malware que actúa pacientemente, los atacantes explotaron otra de las limitaciones del modelo de antivirus asistido por la nube: la mayoría de las tecnologías antimalware carecen de persistencia y contexto; se enfocan exclusivamente en la detección la primera vez que aparece un archivo (detección puntual). Sin embargo, lo que hoy es benigno fácilmente puede convertirse en malicioso en el futuro. La verdadera protección solo puede obtenerse con análisis continuos. Monitorear todo el tráfico de forma constante permite que el personal de seguridad rastree una infección hasta su origen si la disposición de un archivo cambia. Los programadores de malware avanzado usan diversas técnicas para ocultar la intención del malware y esto dificulta mucho más la detección. Estas innovaciones incluyen archivos polimorfos que mutan para engañar motores de firmas, descargadores sofisticados que obtienen malware a pedido de redes de comando y control (CnC), y troyanos borrables que eliminan sus propios componentes y dificultan la búsqueda y el análisis de malware por parte de los peritos investigadores. Esos son algunos ejemplos. Dado que el malware ya no puede identificarse según su apariencia, una defensa eficaz requiere nuevas técnicas para capturar y analizar el malware durante su ciclo de vida. Este nuevo modelo de inteligencia de seguridad proactiva permite entender qué hace el malware y a dónde se dirige. Las amenazas actuales pueden evadir las defensas que implementan estrategias puntuales y se ejecutarán y representarán un riesgo en un sistema bastante después del período inicial de detección. Necesita un enfoque de malware que se adapte tan rápidamente como las amenazas. Cisco adoptó un nuevo enfoque, más integral, para abordar estos desafíos en la detección del malware. Gracias a una huella global de miles de empresas y de millones de terminales, recogemos millones de muestras de malware por mes. Nuestros motores de análisis de Threat Grid, Cisco Talos Security Intelligence and Research Group (Talos), y nuestra nube de Collective Security Intelligence (CSI) analizan decenas de miles de atributos de software para separar el software benigno del malware. También analizamos características del tráfico de red para identificar el malware que busca redes CnC. Para la comparación, usamos nuestra extensa base de instalaciones de Advanced Malware Protection (AMP) en nuestras diferentes líneas de productos 1 para determinar la apariencia de la actividad de red y los archivos normales, tanto en el orden global como dentro de cada organización específica de un cliente. 1. Las funcionalidades de AMP ahora están disponibles como característica adicional con licencia en las soluciones de seguridad de correo electrónico y web de Cisco. Si desea obtener más información, visite

3 La detección del malware diseñado para evadir tácticas tradicionales de detección requiere incluso más sofisticación. Cisco usa modelos específicos para identificar el malware según su funcionamiento, no su apariencia. Por esto, es posible detectar nuevos tipos de ataques, incluso nuevos ataques de día cero. Para poder seguir el ritmo de cambio del malware, estos modelos se actualizan automáticamente en tiempo real en función de los métodos de ataque detectados por nuestros motores de análisis de Threat Grid y por Talos Security Intelligence and Research Group. La integración de nuestra tecnología Threat Grid en AMP también proporciona inteligencia de amenazas agregada y motores de análisis de malware estáticos y dinámicos (sandboxing). Ahora integrada en AMP, Threat Grid (también disponible como solución independiente) brinda a los equipos de seguridad una base de conocimientos de malware adicional proveniente de todo el mundo. Las organizaciones cuentan con fuentes de inteligencia con información contextual ofrecidas en formatos estándar para que se integren sin inconvenientes con las tecnologías de seguridad existentes; análisis de millones de muestras por mes a partir de más de 350 indicadores de comportamiento, lo que se traduce en miles de millones de artefactos; y una calificación de amenazas fácil de entender que permite que los equipos de seguridad prioricen las amenazas. Los motores de análisis de Threat Grid identifican la actividad del malware, incluidos el tráfico HTTP y DNS asociados, las transmisiones TCP/IP, los procesos que afecta y la actividad del registro. De esa manera, los equipos de seguridad pueden tener un mejor conocimiento de las posibles amenazas en las redes. Figura 1. Enfoque de seguridad de Cisco que lo protege antes, durante y después de un ataque, en múltiples vectores de ataque, y que proporciona análisis continuos y seguridad retrospectiva además de técnicas tradicionales de detección puntual. ANTES Descubrir Ejecutar Reforzar Continuidad del ataque DURANTE Detectar Bloquear Defender DESPUÉS Alcance Contener Corregir Los beneficios adicionales incluyen el análisis de la nube que evalúa los archivos durante un período extendido. Nuestras soluciones de AMP pueden emitir alertas mucho antes de que se analice el archivo por primera vez, aunque haya atravesado un punto de detección. Por último, estos beneficios se extienden a toda la comunidad de Cisco AMP. Siempre que cambia la disposición de un archivo, AMP envía una alerta. En ese caso, todas las organizaciones que usan Cisco AMP advierten de inmediato la existencia de un archivo malicioso, lo que ofrece inmunidad colectiva gracias al poder de la nube. La seguridad retrospectiva vuelve en el tiempo de la trayectoria de los ataques Los atacantes no se paralizan. Evalúan constantemente los controles de seguridad vigentes y modifican sus tácticas para adelantarse a las defensas. De hecho, antes de lanzar ataques, la mayoría de los atacantes prueban el malware con los principales productos antimalware. A medida que disminuye la eficiencia de los enfoques que utilizan listas negras, las empresas de seguridad dependen cada vez más de los análisis dinámicos basados en máquinas virtuales (VM) para exponer y estudiar el malware. Los atacantes responden adaptando sus tácticas: optan por no hacer nada o por demorar unas horas (o días) el ataque cuando se ejecuta en una VM. Suponen que el archivo evadirá la detección porque no hizo nada malicioso durante el período de evaluación. Por supuesto, una vez concluido el período de espera, el malware pone en riesgo el dispositivo. Lamentablemente, las tecnologías puntuales no pueden volver a analizar un archivo. Cuando un archivo se considera seguro, su estado no cambia aunque las técnicas de detección se hayan optimizado o el archivo manifieste un comportamiento de malware. Y lo que es peor, cuando el malware evade la detección, estos controles no pueden monitorear su propagación por el entorno, proporcionar visibilidad de las causas raíz ni identificar los gateways de malware posibles (sistemas que repetidamente se infectan con malware o que sirven como disparadores de infecciones más extensas). Seguridad retrospectiva Red Terminal Móvil Virtual Nube Correo electrónico y web El uso de análisis continuos permite examinar constantemente el comportamiento de los archivos y rastrear los procesos, las actividades de los archivos y las comunicaciones en el tiempo a fin de comprender el alcance total de una infección, determinar las causas raíz y corregir el problema. Esto le permite mirar hacia atrás y retroceder el tiempo de los ataques potenciales. La necesidad de seguridad retrospectiva surge cuando se advierte algún indicador de riesgo, como un activador de eventos, un cambio en la disposición de un archivo o un activador de indicadores de riesgo (IoC). Inteligencia de amenazas y análisis avanzados Protección puntual Análisis continuo y seguridad retrospectiva

4 El mejor enfoque es suponer que no existen medidas de detección 100% eficaces. Suponer que dichas medidas ofrecerán una protección total sobrestima la capacidad para defender los recursos críticos y subestima las capacidades de los adversarios para atacarlos. Las organizaciones deben suponer que los ataques evadirán sus defensas. Deben tener la capacidad para comprender el alcance y el contexto de una infección, contener rápidamente el daño, y eliminar la amenaza, las causas raíz y los gateways de malware. Esta funcionalidad requiere seguridad retrospectiva. Nuestra tecnología de seguridad retrospectiva le permite viajar en el tiempo y determinar cuáles fueron los dispositivos expuestos al malware independientemente de cuándo se identifique el archivo en riesgo. Dos características ofrecen esta funcionalidad: la trayectoria del archivo y los indicadores de riesgo (IoC). La trayectoria del archivo hace un seguimiento de cada archivo que atraviesa la red protegida y le brinda acceso a un historial completo de las acciones de cada dispositivo protegido que quedó expuesto. Los IoC usan la información de la trayectoria del archivo para crear un patrón de comportamiento que permita buscar malware presente en el sistema pero sin detectar. Seguimiento del malware mediante la trayectoria Si en algún momento futuro se demuestra que un archivo es malware, las opciones son limitadas con las defensas antimalware tradicionales. No puede entrar a una máquina del tiempo y bloquear el archivo cuando ingresó al sistema. Este ya forma parte del entorno y usted no tiene idea de cuánto se propagó o qué hizo. Aquí es donde la mayoría de los controles antimalware lo dejan a ciegas en cuanto al alcance total del problema e incapaz de resolverlo. Incorpore los datos masivos y análisis avanzados que constituyen la base de AMP. Nuestra funcionalidad de trayectoria permite determinar rápida y exactamente cómo el malware atravesó la organización. En algunos casos, puede limpiar los dispositivos afectados de forma inmediata y automática. La trayectoria muestra una correspondencia visual de cómo recorrieron los archivos la organización y de lo que hicieron en el sistema. Pero no se trata simplemente de una vista de la actividad de los archivos en la red. AMP puede mostrarle la actividad detallada de cada archivo ejecutable en un solo terminal, independientemente de la disposición del archivo. Con la capacidad, luego, para pasar de ver la actividad en un terminal a saber a qué otros terminales de la red extendida migraron los archivos maliciosos, los equipos de trabajo del área de seguridad cuentan con un potente nivel de visibilidad. Y más importante todavía, como AMP rastrea cada uso de cada archivo, usted puede encontrar el paciente cero (la primera víctima del malware) y cualquier otro dispositivo infectado para erradicar la infección por completo. Todos sabemos que si queda una sola instancia de malware después de la limpieza, la probabilidad de reinfección sigue siendo significativa. Además, la trayectoria no analiza solo la información relacionada con la actividad del archivo. También puede registrar información sobre el linaje, el uso, las dependencias, las comunicaciones y los protocolos del archivo. Permite determinar cuáles son los archivos que están instalando malware para facilitar un análisis rápido de la causa raíz de la actividad sospechosa o el malware detectados. Los equipos de seguridad pueden alternar entre la detección y el control durante un ataque, y comprender rápidamente el alcance de un ataque masivo y las causas raíz para detener con eficiencia otras infecciones. Figura 2. Pantalla de la trayectoria de un archivo que expone la propagación del malware con información sobre el punto de ingreso, la actividad del malware y los terminales comprometidos.

5 Determinar qué evento debe priorizarse y generar una respuesta inmediata representa un verdadero desafío cuando se presenta una gran cantidad de eventos de detección, especialmente de malware. Un solo evento, incluso un archivo malicioso bloqueado en un terminal, no siempre implica un riesgo. No obstante, cuando varios eventos, incluso diversas actividades aparentemente benignas, están correlacionados, el resultado puede aumentar considerablemente el riesgo de que un sistema se vea comprometido y que la amenaza sea inminente o se esté desarrollando. Los IoC identifican patrones, no huellas dactilares La funcionalidad de los indicadores de riesgo de AMP le permite realizar análisis más profundos para encontrar los sistemas que presentan síntomas de un riesgo activo. Esta funcionalidad va mucho más allá de lo que pueden ofrecer las tecnologías de detección puntual, ya que continúa capturando, analizando y comparando las actividades relacionadas con el malware después del primer análisis, lo que permite realizar un análisis automatizado y priorizar los riesgos. Por último, después de que el malware logra implantarse en una empresa, por lo general intenta comunicarse nuevamente con los servidores CnC o, bien, si lo controla directamente un atacante, comienza a realizar actividades de reconocimiento para hacer un movimiento lateral en busca del objetivo previsto. Cisco AMP supervisa la actividad de las comunicaciones en el terminal protegido y la compara contra Collective Security Intelligence para determinar si se generó algún riesgo y bloquea la comunicación y la distribución del malware en el terminal. Esto ofrece al personal de seguridad una ventaja perceptible para controlar la proliferación de malware en aquellos terminales que posiblemente no se encuentren bajo la protección de una red corporativa, como los que usan los trabajadores móviles o remotos. Además, la trayectoria y los IoC usan la actividad de la red capturada para acelerar la investigación y priorizar las amenazas. Figura 3. Pantalla de un tablero de Cisco AMP que muestra los IoC en un sistema.

6 Trabajo conjunto: ejecución en la red, en gateways seguros, en terminales físicos y virtuales, y en dispositivos móviles Ningún control de seguridad puede mantenerse aislado. La defensa contra el malware avanzado requiere gran coordinación entre las defensas de la red, el gateway y los terminales. Las herramientas de seguridad deben funcionar en conjunto, compartir información y correlacionar eventos si se desea aumentar la velocidad de detección y respuesta, y captar las intrusiones de malware antes de que se materialicen en violaciones de alto nivel. También necesita una consola de administración central que rastree las amenazas y las actividades de corrección en todos los niveles. Cisco proporciona un sistema integrado que utiliza inteligencia de seguridad basada en la nube, análisis de red avanzado y varios puntos de ejecución para garantizar que el malware avanzado no pase inadvertido en su organización. Las extensas funcionalidades de AMP de Cisco comienzan protegiendo la red para detectar y bloquear el malware mientras atraviesa las conexiones. Cuando un archivo ingresa a la red (o sale de ella), AMP para redes genera un registro del archivo y luego consulta al centro de administración Cisco FireSIGHT Management Center (Management Center) para determinar si el archivo está identificado como malicioso. Si Management Center nunca vio el archivo, lo verifica con Collective Security Intelligence y determina si el archivo se vio en la red de inteligencia de seguridad. Esta búsqueda ligera es un enfoque mucho más escalable que no modifica la latencia del sistema, en lugar de colocar cada archivo en una zona protegida de la red (sandboxing). En el caso de los archivos que se identifican como maliciosos, Management Center ofrece funcionalidades de trayectoria de archivos para comprender el contexto y el alcance de la exposición. En cada dispositivo protegido, también puede implementarse un agente ligero de protección contra malware para terminales de Cisco a fin de poder comparar todas las actividades de los archivos contra nuestra inteligencia de seguridad colectiva y el malware conocido. AMP para terminales no solo busca archivos maliciosos, sino que también detecta y bloquea el comportamiento del malware en dispositivos protegidos. Incluso si el archivo no se ha visto antes, los terminales están protegidos contra ataques de día cero. AMP para terminales también aprovecha las funcionalidades de trayectoria y seguridad retrospectiva, como se indicó anteriormente, para identificar el alcance de un ataque masivo y los dispositivos que requieren una solución inmediata. Si un archivo se marca como sospechoso, AMP realiza un análisis más exhaustivo del archivo. Como se explicó anteriormente, el análisis basado en la nube de Cisco determina exactamente lo que hace el archivo y perfila el ataque si se descubre que es malware. Ahora la tecnología está integrada con AMP para terminales, lo que proporciona fuentes de inteligencia adicionales, análisis estáticos y motores de análisis dinámicos para escudriñar aún más el malware. Este proceso genera IoC que pueden usarse para buscar malware que ya puede estar en la red. Al aprovechar estos perfiles de malware, AMP permite que una organización tome una postura proactiva frente a un ataque de malware. Si se detecta que un archivo es malicioso después del hecho (mediante la seguridad retrospectiva) o si se identifica en otro entorno que forma parte de la comunidad Cisco AMP, la nube de CSI envía la información actualizada a Management Center en su organización para que usted pueda bloquear el malware en la red o el terminal. De esta manera, logra inmunidad colectiva con el resto de la comunidad de Cisco AMP. Además, puede establecer reglas personalizadas para bloquear direcciones IP y archivos específicos si los administradores locales identifican un ataque localizado que requiere una acción inmediata. Cisco AMP para terminales también protege los dispositivos móviles. El conector móvil AMP utiliza la misma nube de inteligencia de seguridad colectiva para analizar rápidamente aplicaciones de Android en busca de posibles amenazas en tiempo real. Ahora que la visibilidad se extiende a los dispositivos móviles, puede saber rápidamente cuáles son los dispositivos que fueron infectados y cuáles son las aplicaciones que introdujeron malware en el sistema. Puede solucionar el ataque con potentes controles que permiten colocar aplicaciones específicas en una lista negra y así determinar qué aplicaciones se usarán en los dispositivos móviles que acceden a los recursos corporativos. Ahora, las funcionalidades de AMP también están disponibles en los gateways de seguridad web y correo electrónico de Cisco, Cisco Cloud Web Security y en Cisco ASA with FirePOWER Services. Con la incorporación de las funcionalidades de AMP en estos dispositivos, puede aumentar la detección y el bloqueo de malware avanzado en estos puntos de ingreso potenciales. Entre las funcionalidades críticas de AMP se encuentran la reputación de archivos y la colocación de archivos en zonas protegidas (sandboxing), como se describió anteriormente. Además, las alertas retrospectivas proporcionan análisis continuos de los archivos que atravesaron estos gateways mediante actualizaciones en tiempo real de la nube de CSI a fin de mantenerse al tanto de los niveles de amenazas cambiantes. Cuando un archivo malicioso se identifica como una amenaza, AMP alerta al administrador y proporciona visibilidad de las áreas y las aplicaciones de la red que pueden haberse infectado y cuándo. Como resultado, los clientes pueden identificar y abordar un ataque rápidamente, antes de que tenga la oportunidad de propagarse. Tal como lo describimos, el malware puede ingresar a la organización a través de múltiples vectores de ataque. Es fundamental tener visibilidad total de las actividades en toda la organización. Con nuestra red de inteligencia de seguridad global y con la capacidad para detectar, bloquear, rastrear, investigar y solucionar ataques masivos en el gateway, la red, los terminales, los dispositivos móviles y los sistemas virtuales, las organizaciones pueden eliminar los puntos ciegos inherentes a otros controles de seguridad que carecen de una amplia cobertura. Para obtener una lista completa de las implementaciones de AMP y sus funcionalidades, visite

7 AMP en acción A menudo, un ejemplo del mundo real es la mejor manera de comprender el poder que posee una solución integrada de protección contra malware avanzado. AMP permitió detectar un ataque de día cero de Java 48 horas antes de que se anunciara públicamente. En este caso, AMP para terminales detectó un comportamiento extraño en varios dispositivos. El cliente analizó los archivos con la nube de CSI y determinó que el archivo ciertamente era malware. El paso siguiente fue investigar el alcance del ataque y corregir la infección lo antes posible. El cliente usó la funcionalidad de trayectoria para encontrar los dispositivos expuestos a los archivos comprometidos o que habían manifestado los patrones de comportamiento del ataque. Luego de limpiar los dispositivos afectados, el cliente estableció reglas personalizadas para bloquear los archivos y los IoC. Pero estas reglas personalizadas fueron necesarias solo durante un período breve. Después del evento, todos los clientes de AMP recibieron el perfil del malware y lo inocularon para ese ataque en particular. Como los archivos y los indicadores se agregaron al motor de análisis de datos masivos, cada instancia de ese ataque se bloqueó antes de que tuviera la oportunidad de ingresar al dispositivo o la red. Este proceso también alertó a los clientes acerca del ataque, lo que les permitió buscar la amenaza en su propio entorno. Por lo tanto, una sola acción implicó la protección global de toda la base de clientes de Cisco AMP, incluso antes de la divulgación pública del ataque de día cero. Conclusión Aunque la industria reconozca que los ataques de malware avanzado requieren soluciones innovadoras para detectarlos y eliminarlos, muchísimas organizaciones, por defecto, orientan sus esfuerzos a la detección, ya sea que esto involucre conjuntos de detección en terminales tradicionales o defensas milagrosas. Es un fracaso garantizado, ya que la industria sigue presenciando casos de pérdidas de datos y amenazas de seguridad. Para poder defendernos eficientemente de los ataques modernos, la solución debe emplear análisis continuos y análisis de datos masivos para rastrear la actividad e interacción de los archivos en toda la red, en entornos físicos y virtuales, y en dispositivos móviles y terminales protegidos. Muchos ataques permanecen latentes durante el período de detección tradicional. Por eso, la capacidad para regresar y cambiar una identificación a maliciosa, y luego rastrear la trayectoria de esos archivos e indicadores en toda la organización, le permite contener y eliminar de manera más eficiente el daño de estos ataques avanzados. Por último, la protección contra malware avanzado debe ser relevante no solo para los dispositivos de terminales sino también para las redes, los dispositivos móviles y los sistemas virtuales a fin de proporcionar un nivel ubicuo y coherente de protección, dado que no se puede predecir el objetivo del próximo ataque. AMP proporciona lo siguiente: Flexibilidad en la implementación, pero usando a la vez una política uniforme, en terminales, redes, dispositivos móviles, gateways seguros y sistemas virtuales La nube de CSI, que le permite identificar y analizar los ataques emergentes incluso antes de que la industria los descubra La funcionalidad para identificar el malware retrospectivamente y, mediante la trayectoria, encontrar todas las instancias de ese malware dentro de la organización antes de que se propague La inmunidad colectiva que proporciona la comunidad global de Cisco AMP, que ofrece acceso a la investigación derivada de Talos y de las muestras de archivos vistas por millones de agentes de protección de AMP Para incluir las soluciones de Cisco AMP en su evaluación de seguridad, visite C /15