DETECCIÓN Y RESPUESTA ANTE AMENAZAS BASADAS EN INTELIGENCIA DESCRIPCIÓN GENERAL En la actualidad, las organizaciones deben aprender a lidiar con la infiltración constante. Evitar que los ciberatacantes ingresen en los ambientes de TI de la empresa se ha vuelto extremadamente difícil y, en algunos casos, imposible, debido a que los ataques diseñados específicamente pueden esquivar con facilidad las herramientas de detección de amenazas tradicionales y explotar las debilidades inherentes a las redes modernas. Sin embargo, la infiltración no siempre implica un robo de datos ni otras formas de daños para el negocio, especialmente si las organizaciones dominan la detección y la respuesta rápida ante ataques. Para detectar ataques antes de que provoquen daño, los equipos de seguridad deben alejarse de las formas pasivas de detección de amenazas, como las alertas de las herramientas de escaneo basadas en firmas. En su lugar, las organizaciones deben buscar intrusos activamente mediante un examen constante de su ambiente de TI para detectar signos sutiles de actividad maliciosa o sospechosa. Para identificar estos signos tempranos de problemas, las organizaciones deben desarrollar nuevas capacidades de análisis de datos y respuesta ante incidentes. No obstante, desarrollar nuevas capacidades puede ser extremadamente difícil para los equipos de seguridad que se ven afectados por escasez de personal y están sobrepasados por el alcance cada vez mayor de las aplicaciones, las infraestructuras y las amenazas. El reto que enfrentan la mayoría de los equipos de seguridad es cómo priorizar los problemas que deben resolverse en función de sus limitaciones, para distinguir las amenazas más graves de la innumerable cantidad de amenazas menores. Este reto se supera con la seguridad basada en inteligencia, una estrategia de seguridad de la información que ofrece la visibilidad, los datos analíticos y las medidas correctivas que las organizaciones necesitan para mitigar el riesgo de operar en un mundo digital. La seguridad basada en inteligencia aumenta la velocidad y la eficacia de la detección y la respuesta ante ciberamenazas mediante las siguientes acciones: •Ofrecer visibilidad de la actividad digital dentro de los logs, la red y los terminales. •Usar analítica avanzada a partir de orígenes de datos diversos para descubrir amenazas ocultas y guiar las decisiones sobre cómo ejecutar una respuesta eficaz y específica. •Usar detección de malware sin firmas en las redes y los terminales. •Aumentar la eficacia de los equipos de seguridad a través de procesos eficaces, automatización del flujo de trabajo, inteligencia de amenazas y educación. Para lograr una seguridad basada en inteligencia para la detección y respuesta ante amenazas, las organizaciones deben profundizar sus capacidades en cuatro áreas: 1.Monitoreo constante e integral de la red y los terminales, con funciones como, por ejemplo, la captura de paquetes completos y la detección de amenazas basada en el comportamiento en los hosts 2.Técnicas de analítica avanzadas que permiten procesar grandes volúmenes de información, como tráfico de red, en tiempo casi real para identificar comportamientos sospechosos y acelerar las investigaciones 3.Análisis de malware con métodos que no dependen de firmas de archivos y van directo al comportamiento real de los archivos ejecutables, con datos obtenidos en la red o en los terminales, para detectar actividad dañina Informe técnico de RSA 4.Prácticas de detección de incidentes y respuesta que alineen al personal de seguridad, los procesos y las tecnologías a fin de simplificar y acelerar los flujos de trabajo, para que así los equipos de operaciones de seguridad puedan dedicar menos tiempo a las tareas de rutina y más tiempo a la defensa de los recursos de alta prioridad y la resolución de las amenazas más riesgosas Detección y respuesta ante amenazas basadas en inteligencia CONTENIDO Descripción general......................................................................................................1 Un estado de vulnerabilidad constante......................................................................... 3 Detección y respuesta ante amenazas basadas en inteligencia............................... 3 Monitoreo de red y terminales: Ver todo........................................................................ 4 Visibilidad integral de redes y terminales............................................................... 4 Recopilación y análisis de datos en tiempo real......................................................5 Implementación en el lugar en que se necesita monitoreo.......................................5 Analítica avanzada: detección de amenazas ocultas......................................................5 Una sola plataforma integrada para el monitoreo y la analítica de la seguridad........5 Análisis oportuno de big data................................................................................ 6 Detección basada en comportamientos, no firmas..................................................7 Escalable sin desventajas de rendimiento..............................................................7 Análisis de malware: no confíe en nada.........................................................................7 Detección de malware basada en riesgos............................................................... 8 Correlación centralizada de actividad sospechosa en el terminal............................ 8 Alertas con prioridad para acelerar la investigación y corrección de malware.......... 8 Respuesta ante incidentes: acción rápida y centrada..................................................... 9 Preparación eficaz para las infracciones mediante práctica y planificación.............. 9 Respuesta ante incidentes impulsada por datos para obtener mejores resultados más rápido........................................................................................... 9 Contexto consolidado para acelerar la investigación.............................................10 Conclusión..................................................................................................................10 Soluciones de detección y respuesta ante amenazas basadas en inteligencia de RSA........................................................................................................................ 11 Página 2 Detección y respuesta ante amenazas basadas en inteligencia UN ESTADO DE VULNERABILIDAD CONSTANTE La mayoría de las organizaciones han sufrido infiltraciones externas en sus ambientes de TI. En muchos casos, los atacantes establecieron una presencia persistente. Esta afirmación no es alarmista; es una realidad generada por un tipo diferente de atacante que se aprovecha de las redes hiperconectadas actuales. En la actualidad, los atacantes más peligrosos no son activistas a tiempo parcial ni arribistas que buscan generar complicaciones o demostrar algo. Se trata de profesionales que buscan ganar dinero. Son estados nación en busca de impulsar su agenda estratégica. Y tienen muchas ventajas. El aumento de la interconexión entre los sistemas de TI y las aplicaciones aportó un nuevo nivel de eficacia y oportunidades para las organizaciones. Las redes están abiertas a más partners y cadenas de abastecimiento para facilitar procesos de negocio cada vez más colaborativos. Pero los atacantes también explotan esta apertura y tienen como blanco las vulnerabilidades en la cadena de valor para transformar la debilidad de los participantes menos seguros en una debilidad colectiva. Mientras tanto, la virtualización y la subcontratación de infraestructura de TI y aplicaciones ofrecen ventajas de eficacia que ya no pueden ignorarse. Pero el traslado hacia la nube también hace que las funciones de TI importantes queden fuera de las instalaciones, muchas veces distribuidas entre ubicaciones con diversas políticas y procedimientos de seguridad de la información. Los ambientes de TI interconectados actuales son más difíciles de defender y ofrecen muchos más lugares donde los intrusos pueden ocultar sus actividades. Cuando se combina con el hecho de que muchos atacantes modifican el malware para evitar la detección de las herramientas tradicionales de escaneo basado en firmas, como el software antivirus, los firewalls y los sistemas de detección de intrusiones, es claro que la infiltración se ha transformado en un estado constante. La cuestión es qué capacidad de adaptación desarrollan las organizaciones ante este estado de infracción permanente. Los equipos de seguridad, ya muy exigidos, no pueden concentrarse exclusivamente en impedir las infiltraciones. Deben balancear la prevención de ataques (una meta imposible) con técnicas complementarias para la detección y corrección de ataques. Las organizaciones actuales pueden ser vulnerables a la infiltración, pero eso no significa que el robo de datos o el daño a los negocios sea inevitable. Las organizaciones deben identificar y neutralizar proactivamente las amenazas dentro de su ambiente de TI antes de que los atacantes logren sus objetivos. La mejor forma de lograrlo es aprovechar la seguridad basada en inteligencia, una estrategia para resolver los retos más graves y sensibles de hoy. Detección y respuesta ante amenazas basadas en inteligencia La seguridad basada en inteligencia ayuda a las organizaciones a neutralizar las ciberamenazas antes de que generen problemas graves. La estrategia ofrece las siguientes capacidades: •Visibilidad sin precedentes de las redes y sus terminales, que captura y analiza grandes volúmenes de datos de seguridad relevantes •Analítica sofisticada para procesar los datos, identificar anomalías y, luego, alertar a las organizaciones sobre posibles problemas vinculados con sus recursos de información •Activación de procesos de respuesta ante incidentes para aumentar la eficacia y la eficiencia de la investigación y la corrección de amenazas Página 3 Detección y respuesta ante amenazas basadas en inteligencia La seguridad basada en inteligencia detiene los ciberataques antes de que provoquen daños Staging y extracción Persistencia ? Movimiento lateral libre Seguridad basada en inteligencia necesaria para la detección Detección tardía Punto típico de descubrimiento o notificación Compromiso del dominio Cadena de ataques Selección Transgresión inicial Posición inicial establecida en la red Aplicar la estrategia de seguridad basada en inteligencia a la detección y la respuesta ante incidentes implica que las organizaciones desarrollen capacidades en cuatro áreas interrelacionadas que son importantes para descubrir, investigar y responder a los ataques avanzados: 1.Monitoreo de red y terminales 2.Análisis avanzado de datos de seguridad 3.Identificación y análisis de malware 4.Respuesta ante incidentes y corrección de infracciones MONITOREO DE RED Y TERMINALES: VER TODO Ante el movimiento constante de flujos de datos a través de la red, la tentación (y, hasta hace poco, la única opción) era concentrar la recopilación de datos y la analítica en ciertas áreas problemáticas. Los equipos de seguridad generalmente recopilan y analizan logs de sistemas importantes, pero este enfoque de la detección de amenazas basado en los logs deja muchos puntos ciegos que pueden ser explotados por los adversarios experimentados. La seguridad basada en inteligencia apunta a eliminar los puntos ciegos, con una visibilidad integral de la red y los terminales, como servidores y equipos de los empleados. Visibilidad integral de redes y terminales Las soluciones de seguridad basada en inteligencia usan los logs como uno de los tantos orígenes de datos, pero logran una visibilidad mucho mayor al incorporar funciones de captura de paquetes de red. La captura de paquetes de red completos implica registrar, procesar, normalizar, analizar y reagrupar todo el tráfico de datos en cada una de las capas de la pila de red. A medida que se captura el tráfico de datos, se lo analiza y se lo etiqueta para facilitar los procesos posteriores de análisis de amenazas e investigación. Capturar y etiquetar los datos de red permite que los analistas de seguridad reconstruyan las sesiones y las actividades de los usuarios a fin de comprender no solo los detalles básicos, como a qué hora o a qué dirección IP específica se transmitieron los paquetes de datos, sino también exactamente qué información se envió en ambas direcciones y el daño resultante. La recopilación de paquetes completos y la reconstrucción de sesiones ayudan a las organizaciones a detectar anomalías de seguridad y reconstruir los incidentes de seguridad con precisión y detalle para poder investigar sus pérdidas y corregir problemas más rápida y eficazmente. Página 4 Detección y respuesta ante amenazas basadas en inteligencia Las soluciones de seguridad basada en inteligencia también ofrecen una visibilidad profunda de la actividad de los terminales, incluidos los servidores y laptops. Para detectar actividad sospechosa en los terminales que podría sugerir la presencia de malware y otras amenazas, las soluciones deben analizar qué ocurre en la memoria del equipo y qué se almacena en el disco físico. Al comparar los procesos en ejecución con los archivos del disco (sin depender de los sistemas operativos e hipervisores involucrados, que pueden ser manipulados por malware), las organizaciones obtienen información sobre si los ejecutables y los procesos del terminal son legítimos o han sido introducidos maliciosamente. Una vista profunda, como de rayos X, de los terminales y la detección automática de actividad sospechosa son clave para identificar e investigar las amenazas más rápido. Recopilación y análisis de datos en tiempo real Los datos de seguridad, como logs, paquetes de red y actividades de terminal, se recopilan desde diversos orígenes, se analizan y se almacenan de forma tal que la información es fácil de buscar y analizar en una ubicación central. Por ejemplo, los sistemas eficaces de recopilación de paquetes de red procesan el tráfico de datos y lo etiquetan a medida que se recopila para facilitar su posterior indexación, almacenamiento y análisis. Los datos de seguridad internos y la visibilidad aumentan gracias a la inteligencia de amenazas obtenida de orígenes externos. Los datos de amenazas externos permiten que las organizaciones aprendan de las experiencias ajenas para mejorar sus propias capacidades de detección de amenazas. Implementación en el lugar en que se necesita monitoreo Cuando se necesita visibilidad con urgencia, por ejemplo en medio de la investigación de un incidente real, la facilidad y la velocidad de implementación son muy importantes. Muchas veces, las herramientas de monitoreo de red y terminales pueden implementarse en el lugar donde se necesitan en unos pocos días. Esta implementación incluye la instalación de equipos con capacidad de captura de paquetes completos en los principales puntos de ingreso y egreso de la organización, así como la captura del tráfico de datos hacia y desde los sistemas de TI que manejan propiedad intelectual y otra información de gran valor. Los agentes de software que examinan en busca de actividad de malware en los terminales generalmente pueden distribuirse en cuestión de horas, según el tamaño y la escala de la implementación. ANALÍTICA AVANZADA: DETECCIÓN DE AMENAZAS OCULTAS La visibilidad sin precedentes creada por una estrategia de seguridad basada en inteligencia logra mucho más que capturar los datos forenses necesarios para recrear escenas de cibercrimen. Genera nuevas oportunidades para lograr una detección de amenazas mucho más proactiva y predictiva, para que las organizaciones puedan impedir infracciones graves y daños al negocio. Los sistemas de seguridad basada en inteligencia permiten nuevos enfoques del análisis y la generación de informes sobre los comportamientos de usuarios, equipos y recursos. Para ello, primero aprenden qué comportamientos son normales para un sistema, un usuario o un recurso en particular y, luego, detectan y alertan sobre signos sutiles cuando algo parece tener un comportamiento fuera de lo normal. Los sistemas de seguridad basada en inteligencia incorporan los siguientes principios: Una sola plataforma integrada para el monitoreo y la analítica de la seguridad Las operaciones de seguridad basada en inteligencia centralizan el monitoreo, la detección, el análisis, la investigación y la generación de informes de anomalías e incidentes. Los analistas pueden manejar terabytes de datos de logs, metadatos y sesiones de red recreadas con unos pocos clics. Como los detalles de las redes y los terminales están disponibles a través de un sistema centralizado y en una sola consola, los analistas no necesitan alternar entre diferentes herramientas y aplicaciones de seguridad. Las consultas aprovechan esta integración y le ahorran a los analistas mucho tiempo y esfuerzo. Es decir, las investigaciones que alguna vez implicaron días de trabajo ahora pueden realizarse en unos minutos. Página 5 Detección y respuesta ante amenazas basadas en inteligencia La integración de la tecnología es el factor que permite este alto grado de eficacia. La plataforma analítica debe funcionar con una variedad de herramientas que generan información de seguridad sobre los servidores, las redes, los terminales y otros sistemas de TI vitales. El procesamiento y la administración de metadatos permiten consolidar eventos, logs y datos de red de varios orígenes de forma que sean accesibles para el análisis, las alertas y la generación de informes centralizados. Esta integración va más allá de los sistemas internos, abarca también el uso de inteligencia de amenazas externa. Los feeds de inteligencia que puede recopilar directamente la plataforma analítica, que incluyen datos de comunidades de código abierto, dominios con etiquetas APT, listas negras y servidores proxy sospechosos, son clave para proporcionar detección oportuna de problemas de seguridad. Análisis oportuno de big data Los sistemas de seguridad basada en inteligencia capturan y analizan volúmenes masivos de datos que cambian rápidamente, provenientes de diferentes orígenes, y manejan terabytes de datos en tiempo real. El análisis de seguridad se estratifica para permitir diferentes tipos de detección. Por ejemplo, es posible capturar y analizar los datos en el momento en que atraviesan la red. Este tipo de análisis en el “momento de la captura” identifica las actividades sospechosas mediante la búsqueda de las herramientas, los servicios, las comunicaciones y las técnicas que suelen usar los atacantes, sin depender de logs, eventos o firmas de otros sistemas de seguridad. Algunos ejemplos de este análisis en el momento de la captura son la detección de programas de software fuera del navegador que ejecutan HTTP, protocolos sobre puertos no tradicionales y archivos ejecutables incorporados en archivos PDF. Además, estas herramientas sofisticadas pueden detectar signos sutiles de ataques a partir de la correlación de eventos que parecen inocuos de forma aislada, pero que son problemáticos en conjunto. Las técnicas analíticas combinan las entradas internas de varios orígenes gracias a los metadatos. Estos mecanismos de detección avanzada también funcionan como disparadores que pueden ofrecer advertencias tempranas de posibles infiltraciones. Estos flujos de información se procesan a medida que ocurren, por lo que las actividades sospechosas se identifican mientras todavía hay tiempo para que los equipos de seguridad detengan los ataques en curso. Con los sistemas de seguridad basada en inteligencia, los equipos de operaciones de seguridad también pueden ejecutar análisis de lotes sobre volúmenes enormes de datos de seguridad históricos. Estos datos son necesarios no solo para satisfacer los requisitos de retención y auditoría de datos de la mayoría de las empresas, sino que también son sumamente valiosos para descubrir tácticas de los adversarios cuya ejecución puede haber requerido varios meses o que, incluso, podrían estar en curso. Por ejemplo, el análisis de lotes de archivos de datos de seguridad puede ayudar a descubrir ciberataques no detectados previamente, en los cuales los datos ilícitos se transmiten esporádicamente en flujos breves y sigilosos a lo largo de semanas o meses. Estos tipos de ataques “bajos y lentos” son difíciles de detectar en el momento en que ocurren, porque están diseñados para parecer inofensivos al ocultarse bajo los procesos y los flujos de comunicación existentes. Estas técnicas generalmente se transforman en sospechosas recién cuando se ejecutan con un patrón particular a lo largo de un lapso específico. Los análisis detallados y automatizados de archivos de datos de seguridad permiten descubrir atacantes mientras están estableciendo su posición inicial, además de revelar pérdidas de información que las organizaciones ni siquiera habían percibido. En muchos casos, los análisis de lotes de datos de seguridad pueden revelar información valiosa sobre las técnicas del atacante e indicadores de vulnerabilidad que los equipos de seguridad pueden usar más adelante para detectar ataques similares. Lo que quizás es más importante, las técnicas de análisis de lotes ayudan a las organizaciones a identificar qué es “típico” dentro de un ambiente de TI para así poder identificar e investigar las desviaciones futuras respecto de esa normalidad, que generalmente indican problemas, a medida que aparecen. Página 6 Detección y respuesta ante amenazas basadas en inteligencia DETECCIÓN DE AMENAZAS BASADA EN INTELIGENCIA EN ACCIÓN Cuando no se detectan las infiltraciones, los ciberatacantes generalmente escalan los niveles de privilegios, se mueven en dirección lateral a través de los sistemas de TI y se enmascaran como usuarios legítimos una vez que obtienen acceso de nivel de dominio. Cuando los atacantes alcanzan este estado, no es posible detectarlos ni erradicarlos con herramientas de seguridad convencionales. En estos casos, los equipos de seguridad deben contener la amenaza mediante una “caza” proactiva y persistente. Estos principios se ilustran en un informe de investigación de amenazas de RSA sobre el uso creciente de shells web en los ciberataques. Un shell web contaminado puede ser un archivo independiente que solamente contiene el código de shell web o puede inyectar código malicioso directamente en páginas web legítimas. Dado que los shells web no se ajustan a las definiciones tradicionales de malware, son prácticamente indetectables para el software antivirus y para otras herramientas de seguridad tradicionales. Las vulneraciones con shell web son más eficaces que los troyanos y otras formas convencionales de malware por diversos motivos: •Tienen una baja tasa de detección debido a la variedad y al grado de personalización del código, y debido a que los atacantes pueden enmascarar sus actividades ilícitas como tráfico normal y como archivos en servidores web. •Permiten que los atacantes mantengan una persistencia baja en el ambiente de TI a través de diversos métodos de actualización y sustitución de puertas traseras maliciosas. •Se logra un ingreso inicial a través de vulnerabilidades del marco de trabajo de la aplicación web, en lugar de usar ataques de robo de identidad, que se identifican más fácilmente. •La conectividad se puede iniciar desde cualquier dirección de origen, por lo que el bloqueo de direcciones IP resulta ineficaz. •No es necesario que exista actividad de señales indicadoras. En el blog de RSA, puede encontrar información detallada sobre cómo la detección de amenazas basada en inteligencia ayudó a muchas empresas a identificar y corregir vulnerabilidades de shell web. Detección basada en comportamientos, no firmas Los sistemas de seguridad basada en inteligencia monitorean el ambiente de TI en busca de signos de comportamiento inusual de usuarios, aplicaciones, infraestructura y comunicaciones, no solo en busca de indicadores explícitos, como las firmas de malware identificadas previamente o las direcciones IP o dominios incluidos en listas negras. Los atacantes sofisticados saben cómo esquivar estos enfoques predecibles de monitoreo estático modificando líneas de código, provisionando una nueva máquina virtual en una nube pública o registrando un nuevo dominio de Internet como un sitio de comando y control o de descarga. Sin embargo, es mucho más difícil para los atacantes esquivar los sistemas de monitoreo de seguridad que buscan patrones y comportamientos inusuales. Tarde o temprano, el malware o los usuarios dañinos deben hacer algo fuera de lo común que infrinja las normas del sistema, y es entonces cuando los sistemas de analítica basada en inteligencia los detectan. Por ejemplo, para detectar malware, las soluciones de detección de amenazas en el terminal no buscan archivos “malos conocidos”, sino comportamientos sospechosos. A través de una comparación entre los programas en ejecución en la memoria y qué debería estar ejecutándose de acuerdo con los archivos que residen en el disco local, las herramientas de detección de malware son más capaces de identificar discrepancias y tener una vista directa y más confiable de la presencia de posible código ilícito. Los sistemas de seguridad basada en inteligencia establecen cómo debería ser el “buen” comportamiento dentro de un ambiente de TI mediante el monitoreo y el aprendizaje de varias actividades automáticas y humanas, desde qué puertos de los servidores se usan típicamente para las comunicaciones externas hasta las ubicaciones de inicio de sesión y hábitos individuales de los empleados. Cuando se observan actividades que no siguen esta norma, se les asigna un indicador para que luego sean evaluadas por analistas de seguridad. Si los analistas descartan un evento por ser un falso positivo, las herramientas de seguridad “aprenden” de la experiencia y hay menos probabilidad de que marquen con un indicador las instancias futuras. Escalable sin desventajas de rendimiento La recopilación y el análisis de datos se gestionan mediante una arquitectura informática distribuida, no mediante una base de datos monolítica centralizada. Al dividir la carga de trabajo entre varios nodos de cómputo, las organizaciones obtienen resultados más rápidos y un sistema altamente modular y escalable. Para activar la recopilación y el análisis de datos en un segmento de red o una sucursal nuevos, las organizaciones solo necesitan agregar un nodo nuevo. Este sistema modular y distribuido permite escalar de forma horizontal a medida que crecen los requisitos de analítica de datos de la organización, sin problemas de rendimiento ni un salto significativo en el costo. ANÁLISIS DE MALWARE: NO CONFÍE EN NADA El software dañino que los investigadores de los antivirus ya han identificado como malicioso no suele ser el malware empleado en ciberataques especializados. No obstante, algunas herramientas de seguridad todavía pretenden proteger a las organizaciones mediante el escaneo de los ambientes de TI a partir de firmas de malware que se puede alterar fácilmente. Los sistemas seguridad basada en inteligencia prescinden del escaneo basado en firmas debido a su clara ineficacia. En cambio, usan un enfoque “no confíe en nada” respecto de la detección de malware que presupone que todos los programas son dañinos, todas las comunicaciones son sospechosas, todos los equipos están contaminados y todos los sistemas operativos están dañados. Página 7 Detección y respuesta ante amenazas basadas en inteligencia Detección de malware basada en riesgos Las herramientas de detección de amenazas examinan el comportamiento de los equipos, las redes y los procesos para establecer si han sido afectados por malware. Estas herramientas no solo detectan incidentes, también evalúan el riesgo y asignan prioridades a las alertas de corrección. Por ejemplo, un archivo considerado malicioso puede recibir un puntaje de prioridad bajo si se establece que es un malware “común” que provoca más molestias que verdaderas amenazas. En cambio, los archivos que no tienen signos visibles de alteración pueden contener un archivo ejecutable de compilación personalizada, diseñado para ejecutarse únicamente cuando llega a determinados sistemas o cuando se ejecuta un comando oculto. Para descubrir este tipo de peligroso malware personalizado, los sistemas avanzados de detección de amenazas usan una serie de técnicas analíticas para calificar los niveles de riesgo de los archivos sospechosos. Por ejemplo, una organización puede establecer una regla para exigir que el sistema de seguridad analice todos los archivos ejecutables nuevos que ingresan en sus redes. El sistema de detección de malware sería el “área de prueba” para los nuevos archivos ejecutables, que se ejecutan en un ambiente en cuarentena donde se registra todo lo que hacen, y se eleva el puntaje de riesgo si se observan comportamientos sospechosos, como la modificación de los valores del registro o la sustitución de los DLL del sistema operativo. Por supuesto, el software legítimo también puede ejecutar este tipo de acciones, por ejemplo, para integrar funciones con el software existente o para instalar un parche. Pero si el archivo ejecutable nuevo tiene uno de estos comportamientos y, además, inicia conexiones de red inusuales, el puntaje de riesgo general aumenta drásticamente. La detección de malware basada en inteligencia correlaciona varios factores para tomar decisiones probabilísticas respecto del riesgo y presentar alertas priorizadas a los analistas de seguridad. En última instancia, estas personas son quienes se encargan de determinar la severidad de una amenaza, pero sus decisiones son mucho más veloces y precisas gracias al trabajo de investigación que realizan las herramientas de seguridad basada en inteligencia. Correlación centralizada de actividad sospechosa en el terminal Los resultados del escaneo de los terminales se envían a un servidor central, donde se identifican los archivos desconocidos y se indica la actividad sospechosa. Los archivos (incluidos los procesos, drivers, DLL, etc.) se analizan y se les asignan diferentes niveles de sospecha en función del comportamiento observado. Es posible correlacionar el comportamiento de los archivos globalmente con toda la empresa para ver si el posible malware está activo en un equipo y latente en otro. Las organizaciones también obtienen información sobre la frecuencia de un archivo particular en todo el ambiente. Por ejemplo, si un archivo particular se encuentra en miles de equipos en toda la empresa, posiblemente se trate de una aplicación de TI estándar y pueda excluirse de la vista de los analistas de seguridad durante una investigación. En cambio, si se identificara un archivo malicioso, las organizaciones podrían calcular rápidamente el alcance de la infección viendo al instante todos los equipos que tienen el mismo archivo malicioso. Alertas con prioridad para acelerar la investigación y corrección de malware Para minimizar la carga que deben enfrentar los analistas de seguridad, un enfoque de detección de malware basado en inteligencia aprende a partir de los resultados de escaneos anteriores y de un valor de base del ambiente, por lo que luego puede indicar automáticamente los archivos sospechosos desconocidos. Antes de presentarse a los analistas, los resultados del escaneo se comparan con un catálogo global de elementos que los analistas ya han investigado e incluido en una lista blanca, lo que significa que son archivos confiables. Los archivos confiables se quitan de los resultados del análisis a fin de eliminar rápidamente la información innecesaria para los analistas de seguridad. Página 8 Detección y respuesta ante amenazas basadas en inteligencia Las consolas de detección de amenazas de terminal no muestran solamente una lista de resultados del escaneo, también asignan prioridades a los posibles problemas para que los analistas puedan identificar cuál investigar primero. Para acelerar las investigaciones, la consola de detección de amenazas del terminal ofrece varios detalles sobre los posibles problemas. Por ejemplo, correlaciona los comportamientos sospechosos sobre un archivo (por ejemplo, driver, proceso, DLL) y luego revela lo que se sabe sobre el archivo (por ejemplo, el tamaño, los atributos o el hash MD5 del archivo) a través de análisis estáticos y heurísticos. Los analistas de seguridad usan las herramientas y la información de la consola para determinar si el archivo es malicioso y debe incluirse en una lista negra, o si no es malicioso y puede incluirse en la lista blanca. Si se considera que un elemento es malicioso, es posible identificar al instante todas las instancias del problema en la totalidad del ambiente de TI. Luego, una vez que se establezca una corrección, el equipo de operaciones de seguridad puede ejecutar las investigaciones forenses necesarias o limpiar todos los terminales afectados. RESPUESTA ANTE INCIDENTES: ACCIÓN RÁPIDA Y CENTRADA El tamaño y la complejidad cada vez mayores de los ambientes de TI han aumentado el alcance de las vulnerabilidades, pero esto no significa que todos los posibles puntos de entrada presenten un riesgo similar. Cuando se sospecha la presencia de un ataque o incidente verdadero, los equipos de seguridad deben actuar con rapidez para expulsar a los atacantes del ambiente de TI y mitigar el daño. Para lograrlo, se requiere planificación, capacitación del personal y, a veces, asistencia externa. Preparación eficaz para las infracciones mediante práctica y planificación Los equipos de seguridad bien preparados saben cuáles son los recursos de información valiosos de la organización y qué sistemas, aplicaciones y usuarios obtienen acceso a ellos. La concientización sobre estos parámetros ayuda a los analistas de seguridad a reducir su campo de investigación durante una infracción y, así, enfrentar los problemas más rápido y con mayor confianza. Los equipos de operaciones de seguridad deben realizar estudios de preparación para infracciones y simulacros de corrección para mejorar la velocidad y la eficacia de sus reacciones ante un ciberataque. Como parte de estos estudios, los equipos de seguridad deben hacer un inventario de los recursos de TI de gran valor que deben protegerse, revisar los flujos de trabajo para investigar y corregir incidentes, y evaluar las áreas de mejora. La planificación proactiva y la práctica llevan a las organizaciones a alinear sus políticas de seguridad con sus prioridades de negocios y con los requisitos normativos. De esta forma, las organizaciones pueden mejorar progresivamente sus capacidades de detección, administración y respuesta a amenazas. Optimiza la asignación de personal y las capacidades del equipo de operaciones de seguridad a fin de lograr la implementación de los recursos escasos que genere el mayor efecto posible. También proporciona capacitación especializada para mejorar las capacidades de respuesta ante incidentes del personal de seguridad. Respuesta ante incidentes impulsada por datos para obtener mejores resultados más rápido Con frecuencia, los equipos de operaciones de seguridad encuentran posibles rastros de una infiltración o una infracción, pero deben iniciar una investigación para comprender la causa. En muchos casos, las organizaciones dedican semanas o incluso meses a investigar las causas posibles, pero sin éxito. En esta situación, resulta útil convocar a personas con conocimiento y herramientas especializados para la respuesta ante incidentes (IR). Los especialistas en respuesta ante incidentes pueden implementar tecnología que captura la actividad de las redes y los terminales en los segmentos clave del ambiente de TI. A partir de los escaneos, los análisis y la información complementaria que generan estas tecnologías, los profesionales experimentados en IR generalmente pueden detectar en qué lugar y de qué forma se producen las infracciones de seguridad y desactivar los ciberataques en mucho menos tiempo que lo podrían hacer las organizaciones si trabajan por su cuenta. Página 9 Detección y respuesta ante amenazas basadas en inteligencia Contexto consolidado para acelerar la investigación Las soluciones de seguridad basada en inteligencia recopilan una gran variedad de información y detalles complementarios para facilitar las investigaciones de incidentes. Las alertas de varios sistemas de monitoreo se combinan en una misma consola de administración de seguridad, en la cual los analistas pueden examinar los detalles para ver los orígenes de datos, los equipos afectados y otra información sobre los incidentes con unos pocos clics del mouse. La consola de administración de seguridad también se integra con el software de administración de riesgo empresarial para brindar información contextual sobre la importancia para el negocio de los incidentes identificados y los sistemas afectados. Se asignan calificaciones de prioridad a cada incidente en función de los recursos de información involucrados, los riesgos que representan para la organización y la gravedad del problema de seguridad. En conjunto, esta información complementaria ayuda a los analistas a investigar los incidentes con mayor profundidad, precisión y velocidad. Asimismo, los sistemas de seguridad basada en inteligencia recopilan información de orígenes externos para enriquecer los datos de seguridad internos de la organización. El tablero de administración y plataforma de análisis de la seguridad identifica, combina y pone en práctica los mejores orígenes de inteligencia y contexto, tanto internos como externos a la organización, para acelerar la toma de decisiones de los analistas y los flujos de trabajo. CONCLUSIÓN La detección y respuesta ante amenazas basadas en inteligencia ayuda a las organizaciones a lograr estándares de seguridad altos y predecibles a pesar del impredecible ambiente de amenazas actual, que escala rápidamente. La detección de amenazas basada en inteligencia se fundamenta en una visibilidad completa de las redes y los terminales, y en la aplicación de técnicas avanzadas de analítica de datos para descubrir malware sin usar hashes o firmas exclusivamente. La respuesta a amenazas basada en inteligencia es manejada por el personal de seguridad, que cuenta con la ayuda de herramientas avanzadas de análisis de la seguridad y administración. Estas herramientas aumentan significativamente la velocidad y la precisión de las investigaciones de seguridad, ya que ofrecen contexto completo sobre los incidentes desde una sola consola de administración y asignan prioridades a los posibles problemas para su posterior evaluación. La seguridad basada en inteligencia permite lograr una eficacia sin precedentes en la detección y respuesta ante amenazas, ya que optimiza el trabajo conjunto del personal, los procesos y las tecnologías de seguridad de una organización. Las herramientas se integran para mejorar la visibilidad y la comprensión de los analistas de seguridad, y para permitir el análisis y la generación de informes centralizados. Las herramientas también sirven como guía de los flujos de trabajo de investigación y los procesos de corrección basados en procedimientos demostrados y en las políticas de la organización. Al brindar a los equipos de seguridad un conjunto armónico de herramientas y procesos, las organizaciones pueden minimizar el tiempo que los analistas de seguridad deben dedicar a los procesos de rutina y liberarlos para que se concentren en neutralizar las amenazas de prioridad elevada. El resultado final es una seguridad más sólida y ágil que no solo ayuda a las organizaciones a superar sus principales amenazas a la seguridad, sino también a operar en el mundo digital con mayor confianza. Página 10 Detección y respuesta ante amenazas basadas en inteligencia SOLUCIONES DE DETECCIÓN Y RESPUESTA ANTE AMENAZAS BASADAS EN INTELIGENCIA DE RSA RSA® Advanced Cyber Defense Practice ofrece una gama integral de soluciones para ayudar a sus clientes a proteger las actividades de la organización, aumentar la eficacia operativa y evolucionar al ritmo de un ambiente de amenazas dinámico. Los ataques especializados generalmente se concentran en el robo de recursos y datos importantes, y utilizan técnicas que eluden las defensas tradicionales. RSA ayuda a las organizaciones a mejorar sus capacidades de seguridad actuales y a implementar medidas de contraataque diseñadas para impedir que los ciberatacantes logren sus objetivos. Algunos de los servicios que ofrece RSA incluyen gap analysis, modelado de madurez, inteligencia de ciberamenazas y fortalecimiento de la infraestructura, así como desarrollo y automatización de las operaciones de seguridad. Los servicios están diseñados para ayudar a las organizaciones a converger sus capacidades técnicas y operacionales en un programa de seguridad unificado que alinee las prioridades de administración de riesgo y los objetivos del negocio. RSA destaca las medidas de prevención necesarias para proteger la organización, a las vez que se proporcionan servicios de respuesta y corrección de incidentes para reducir el tiempo de exposición ante una infracción y mitigar los ataques. RSA® Education Services ofrece cursos de capacitación sobre seguridad de la información destinados a personal de TI, desarrolladores de software, profesionales de seguridad y empleados generales de una organización. Los cursos son dirigidos por expertos en seguridad de RSA Advanced Cyber Defense Practice y combinan teoría, tecnología y ejercicios basados en escenarios para alentar el aprendizaje activo de los participantes. El plan de estudios actual incluye temas como, por ejemplo, el análisis de malware y la inteligencia de ciberamenazas. RSA Education Services también ofrece un taller sobre cómo enfrentar las amenazas avanzadas, como APT. Los cursos están diseñados para ofrecer el mayor volumen de información en el periodo más breve a fin de minimizar el tiempo fuera del personal. RSA® Enterprise Compromise Assessment Tool (ECAT) es una solución empresarial de detección y respuesta ante amenazas diseñada para monitorear y proteger los ambientes de TI frente a software no deseado y al malware más complejo, como rootkits profundamente ocultos, amenazas persistentes avanzadas (APT) y virus no identificados. RSA ECAT automatiza la detección de anomalías dentro de las aplicaciones informáticas y la memoria, y no depende de las firmas de virus. En lugar de analizar muestras de malware para crear firmas, RSA ECAT establece un nivel de base de anomalías a partir de las aplicaciones “buenas conocidas”, con un filtrado del ruido de fondo para descubrir la actividad maliciosa en los equipos comprometidos. La consola de RSA ECAT presenta una vista centralizada de las actividades en curso en la memoria del equipo, que puede usarse para identificar rápidamente el malware, independientemente de la existencia de una firma o de que el malware haya sido detectado anteriormente. Una vez que se identifica una instancia de una anomalía maliciosa, RSA ECAT puede escanear miles de equipos para identificar otros terminales que pueden haber sido comprometidos o estar en riesgo. Página 11 Adopción de seguridad basada en inteligencia RSA® Security Analytics está diseñada para entregar a las organizaciones de seguridad la concientización del contexto necesaria para enfrentar los problemas de seguridad más urgentes. Al analizar el tráfico de red y los datos de eventos de log, la solución RSA Security Analytics ayuda a las organizaciones a obtener una visión más integral de su ambiente de TI, lo que permite a los analistas de seguridad detectar las amenazas rápidamente, investigarlas y priorizarlas, tomar decisiones de corrección, implementar medidas y generar informes automáticamente. La arquitectura de datos distribuidos de la solución RSA Security Analytics recopila, analiza y archiva volúmenes masivos de datos (cientos de terabytes y más) a altas velocidades mediante varios modos de análisis. Esta solución también integra inteligencia de amenazas de RSA Live acerca de las herramientas, las técnicas y los procedimientos más recientes que utiliza la comunidad de atacantes a fin de alertar a las organizaciones sobre posibles amenazas activas en su empresa. RSA® Security Operations Management ayuda a los analistas a ser más eficientes a la hora de detectar incidentes de seguridad e infracciones de datos, y también responder a ellos, mediante una capa de coordinación centralizada para investigaciones de seguridad que integra personas, procesos y tecnología. La solución combina y conecta los sistemas y los procesos de seguridad para ofrecer contexto integrado para la respuesta ante incidentes. También ayuda a los equipos de seguridad a hacer un seguimiento y generar informes sobre los indicadores de rendimiento clave. El marco de trabajo de RSA Security Operations Management se basa en las mejores prácticas del sector para la respuesta ante incidentes y la administración de infracciones. ACERCA DE RSA RSA, la División de Seguridad de EMC, es el principal proveedor de soluciones de seguridad basada en inteligencia. RSA ayuda a las organizaciones líderes del mundo a superar los retos de seguridad más complejos y delicados: administrar los riesgos organizacionales, proteger el acceso móvil y la colaboración, prevenir el fraude en línea y proteger contra amenazas avanzadas. RSA proporciona controles ágiles para la verificación de la identidad, la detección de fraude, la protección de datos, una analítica sólida de la seguridad y funcionalidades de GRC líderes del sector, así como servicios de consultoría y asesoría brindados por expertos. Para obtener más información, visite www.mexico.emc.com/rsa. EMC2, EMC, el logotipo de EMC, RSA, Archer, FraudAction, NetWitness y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Microsoft y Outlook son marcas registradas de Microsoft. Todos los otros productos o servicios mencionados son marcas comerciales de sus respectivas empresas. © Copyright 2014 EMC Corporation. Todos los derechos reservados. mexico.emc.com/rsa H13402