detección y respuesta ante amenazas basadas en

Anuncio
DETECCIÓN Y RESPUESTA ANTE AMENAZAS
BASADAS EN INTELIGENCIA
DESCRIPCIÓN GENERAL
En la actualidad, las organizaciones deben aprender a lidiar con la infiltración
constante. Evitar que los ciberatacantes ingresen en los ambientes de TI de la empresa
se ha vuelto extremadamente difícil y, en algunos casos, imposible, debido a que los
ataques diseñados específicamente pueden esquivar con facilidad las herramientas de
detección de amenazas tradicionales y explotar las debilidades inherentes a las redes
modernas. Sin embargo, la infiltración no siempre implica un robo de datos ni otras
formas de daños para el negocio, especialmente si las organizaciones dominan la
detección y la respuesta rápida ante ataques.
Para detectar ataques antes de que provoquen daño, los equipos de seguridad deben
alejarse de las formas pasivas de detección de amenazas, como las alertas de las
herramientas de escaneo basadas en firmas. En su lugar, las organizaciones deben
buscar intrusos activamente mediante un examen constante de su ambiente de TI para
detectar signos sutiles de actividad maliciosa o sospechosa. Para identificar estos
signos tempranos de problemas, las organizaciones deben desarrollar nuevas
capacidades de análisis de datos y respuesta ante incidentes.
No obstante, desarrollar nuevas capacidades puede ser extremadamente difícil para los
equipos de seguridad que se ven afectados por escasez de personal y están
sobrepasados por el alcance cada vez mayor de las aplicaciones, las infraestructuras
y las amenazas. El reto que enfrentan la mayoría de los equipos de seguridad es cómo
priorizar los problemas que deben resolverse en función de sus limitaciones, para
distinguir las amenazas más graves de la innumerable cantidad de amenazas menores.
Este reto se supera con la seguridad basada en inteligencia, una estrategia de
seguridad de la información que ofrece la visibilidad, los datos analíticos y las medidas
correctivas que las organizaciones necesitan para mitigar el riesgo de operar en un
mundo digital. La seguridad basada en inteligencia aumenta la velocidad y la eficacia
de la detección y la respuesta ante ciberamenazas mediante las siguientes acciones:
•Ofrecer visibilidad de la actividad digital dentro de los logs, la red y los terminales.
•Usar analítica avanzada a partir de orígenes de datos diversos para descubrir
amenazas ocultas y guiar las decisiones sobre cómo ejecutar una respuesta eficaz
y específica.
•Usar detección de malware sin firmas en las redes y los terminales.
•Aumentar la eficacia de los equipos de seguridad a través de procesos eficaces,
automatización del flujo de trabajo, inteligencia de amenazas y educación.
Para lograr una seguridad basada en inteligencia para la detección y respuesta ante
amenazas, las organizaciones deben profundizar sus capacidades en cuatro áreas:
1.Monitoreo constante e integral de la red y los terminales, con funciones como, por
ejemplo, la captura de paquetes completos y la detección de amenazas basada en el
comportamiento en los hosts
2.Técnicas de analítica avanzadas que permiten procesar grandes volúmenes de
información, como tráfico de red, en tiempo casi real para identificar comportamientos
sospechosos y acelerar las investigaciones
3.Análisis de malware con métodos que no dependen de firmas de archivos y van
directo al comportamiento real de los archivos ejecutables, con datos obtenidos en
la red o en los terminales, para detectar actividad dañina
Informe técnico de RSA
4.Prácticas de detección de incidentes y respuesta que alineen al personal de
seguridad, los procesos y las tecnologías a fin de simplificar y acelerar los flujos de
trabajo, para que así los equipos de operaciones de seguridad puedan dedicar
menos tiempo a las tareas de rutina y más tiempo a la defensa de los recursos de
alta prioridad y la resolución de las amenazas más riesgosas
Detección y respuesta ante amenazas basadas en inteligencia
CONTENIDO
Descripción general......................................................................................................1
Un estado de vulnerabilidad constante......................................................................... 3
Detección y respuesta ante amenazas basadas en inteligencia............................... 3
Monitoreo de red y terminales: Ver todo........................................................................ 4
Visibilidad integral de redes y terminales............................................................... 4
Recopilación y análisis de datos en tiempo real......................................................5
Implementación en el lugar en que se necesita monitoreo.......................................5
Analítica avanzada: detección de amenazas ocultas......................................................5
Una sola plataforma integrada para el monitoreo y la analítica de la seguridad........5
Análisis oportuno de big data................................................................................ 6
Detección basada en comportamientos, no firmas..................................................7
Escalable sin desventajas de rendimiento..............................................................7
Análisis de malware: no confíe en nada.........................................................................7
Detección de malware basada en riesgos............................................................... 8
Correlación centralizada de actividad sospechosa en el terminal............................ 8
Alertas con prioridad para acelerar la investigación y corrección de malware.......... 8
Respuesta ante incidentes: acción rápida y centrada..................................................... 9
Preparación eficaz para las infracciones mediante práctica y planificación.............. 9
Respuesta ante incidentes impulsada por datos para obtener mejores
resultados más rápido........................................................................................... 9
Contexto consolidado para acelerar la investigación.............................................10
Conclusión..................................................................................................................10
Soluciones de detección y respuesta ante amenazas basadas en inteligencia
de RSA........................................................................................................................ 11
Página 2
Detección y respuesta ante amenazas basadas en inteligencia
UN ESTADO DE VULNERABILIDAD CONSTANTE
La mayoría de las organizaciones han sufrido infiltraciones externas en sus ambientes
de TI. En muchos casos, los atacantes establecieron una presencia persistente. Esta
afirmación no es alarmista; es una realidad generada por un tipo diferente de atacante
que se aprovecha de las redes hiperconectadas actuales.
En la actualidad, los atacantes más peligrosos no son activistas a tiempo parcial ni
arribistas que buscan generar complicaciones o demostrar algo. Se trata de profesionales
que buscan ganar dinero. Son estados nación en busca de impulsar su agenda estratégica.
Y tienen muchas ventajas.
El aumento de la interconexión entre los sistemas de TI y las aplicaciones aportó un
nuevo nivel de eficacia y oportunidades para las organizaciones. Las redes están
abiertas a más partners y cadenas de abastecimiento para facilitar procesos de negocio
cada vez más colaborativos. Pero los atacantes también explotan esta apertura y tienen
como blanco las vulnerabilidades en la cadena de valor para transformar la debilidad
de los participantes menos seguros en una debilidad colectiva. Mientras tanto,
la virtualización y la subcontratación de infraestructura de TI y aplicaciones ofrecen
ventajas de eficacia que ya no pueden ignorarse. Pero el traslado hacia la nube también
hace que las funciones de TI importantes queden fuera de las instalaciones, muchas
veces distribuidas entre ubicaciones con diversas políticas y procedimientos de
seguridad de la información.
Los ambientes de TI interconectados actuales son más difíciles de defender y ofrecen
muchos más lugares donde los intrusos pueden ocultar sus actividades. Cuando se
combina con el hecho de que muchos atacantes modifican el malware para evitar la
detección de las herramientas tradicionales de escaneo basado en firmas, como el
software antivirus, los firewalls y los sistemas de detección de intrusiones, es claro que
la infiltración se ha transformado en un estado constante. La cuestión es qué capacidad
de adaptación desarrollan las organizaciones ante este estado de infracción permanente.
Los equipos de seguridad, ya muy exigidos, no pueden concentrarse exclusivamente
en impedir las infiltraciones. Deben balancear la prevención de ataques (una meta
imposible) con técnicas complementarias para la detección y corrección de ataques.
Las organizaciones actuales pueden ser vulnerables a la infiltración, pero eso no significa
que el robo de datos o el daño a los negocios sea inevitable. Las organizaciones deben
identificar y neutralizar proactivamente las amenazas dentro de su ambiente de TI antes
de que los atacantes logren sus objetivos. La mejor forma de lograrlo es aprovechar la
seguridad basada en inteligencia, una estrategia para resolver los retos más graves
y sensibles de hoy.
Detección y respuesta ante amenazas basadas en inteligencia
La seguridad basada en inteligencia ayuda a las organizaciones a neutralizar las
ciberamenazas antes de que generen problemas graves. La estrategia ofrece las
siguientes capacidades:
•Visibilidad sin precedentes de las redes y sus terminales, que captura y analiza
grandes volúmenes de datos de seguridad relevantes
•Analítica sofisticada para procesar los datos, identificar anomalías y, luego, alertar
a las organizaciones sobre posibles problemas vinculados con sus recursos
de información
•Activación de procesos de respuesta ante incidentes para aumentar la eficacia y la
eficiencia de la investigación y la corrección de amenazas
Página 3
Detección y respuesta ante amenazas basadas en inteligencia
La seguridad basada en inteligencia detiene los ciberataques antes de que
provoquen daños
Staging
y extracción
Persistencia
?
Movimiento
lateral libre
Seguridad basada en
inteligencia necesaria
para la detección
Detección
tardía
Punto típico de
descubrimiento
o notificación
Compromiso
del dominio
Cadena de
ataques
Selección
Transgresión
inicial
Posición inicial
establecida
en la red
Aplicar la estrategia de seguridad basada en inteligencia a la detección y la respuesta
ante incidentes implica que las organizaciones desarrollen capacidades en cuatro áreas
interrelacionadas que son importantes para descubrir, investigar y responder a los
ataques avanzados:
1.Monitoreo de red y terminales
2.Análisis avanzado de datos de seguridad
3.Identificación y análisis de malware
4.Respuesta ante incidentes y corrección de infracciones
MONITOREO DE RED Y TERMINALES: VER TODO
Ante el movimiento constante de flujos de datos a través de la red, la tentación (y, hasta
hace poco, la única opción) era concentrar la recopilación de datos y la analítica en
ciertas áreas problemáticas. Los equipos de seguridad generalmente recopilan
y analizan logs de sistemas importantes, pero este enfoque de la detección de amenazas
basado en los logs deja muchos puntos ciegos que pueden ser explotados por los
adversarios experimentados.
La seguridad basada en inteligencia apunta a eliminar los puntos ciegos, con una
visibilidad integral de la red y los terminales, como servidores y equipos de los empleados.
Visibilidad integral de redes y terminales
Las soluciones de seguridad basada en inteligencia usan los logs como uno de los
tantos orígenes de datos, pero logran una visibilidad mucho mayor al incorporar
funciones de captura de paquetes de red. La captura de paquetes de red completos
implica registrar, procesar, normalizar, analizar y reagrupar todo el tráfico de datos en
cada una de las capas de la pila de red. A medida que se captura el tráfico de datos, se
lo analiza y se lo etiqueta para facilitar los procesos posteriores de análisis de amenazas
e investigación. Capturar y etiquetar los datos de red permite que los analistas de
seguridad reconstruyan las sesiones y las actividades de los usuarios a fin de comprender
no solo los detalles básicos, como a qué hora o a qué dirección IP específica se
transmitieron los paquetes de datos, sino también exactamente qué información se
envió en ambas direcciones y el daño resultante. La recopilación de paquetes completos
y la reconstrucción de sesiones ayudan a las organizaciones a detectar anomalías de
seguridad y reconstruir los incidentes de seguridad con precisión y detalle para poder
investigar sus pérdidas y corregir problemas más rápida y eficazmente.
Página 4
Detección y respuesta ante amenazas basadas en inteligencia
Las soluciones de seguridad basada en inteligencia también ofrecen una visibilidad
profunda de la actividad de los terminales, incluidos los servidores y laptops. Para detectar
actividad sospechosa en los terminales que podría sugerir la presencia de malware
y otras amenazas, las soluciones deben analizar qué ocurre en la memoria del equipo
y qué se almacena en el disco físico. Al comparar los procesos en ejecución con los
archivos del disco (sin depender de los sistemas operativos e hipervisores involucrados,
que pueden ser manipulados por malware), las organizaciones obtienen información
sobre si los ejecutables y los procesos del terminal son legítimos o han sido
introducidos maliciosamente. Una vista profunda, como de rayos X, de los terminales
y la detección automática de actividad sospechosa son clave para identificar e investigar
las amenazas más rápido.
Recopilación y análisis de datos en tiempo real
Los datos de seguridad, como logs, paquetes de red y actividades de terminal, se recopilan
desde diversos orígenes, se analizan y se almacenan de forma tal que la información es
fácil de buscar y analizar en una ubicación central. Por ejemplo, los sistemas eficaces de
recopilación de paquetes de red procesan el tráfico de datos y lo etiquetan a medida
que se recopila para facilitar su posterior indexación, almacenamiento y análisis.
Los datos de seguridad internos y la visibilidad aumentan gracias a la inteligencia de
amenazas obtenida de orígenes externos. Los datos de amenazas externos permiten
que las organizaciones aprendan de las experiencias ajenas para mejorar sus propias
capacidades de detección de amenazas.
Implementación en el lugar en que se necesita monitoreo
Cuando se necesita visibilidad con urgencia, por ejemplo en medio de la investigación
de un incidente real, la facilidad y la velocidad de implementación son muy importantes.
Muchas veces, las herramientas de monitoreo de red y terminales pueden implementarse
en el lugar donde se necesitan en unos pocos días. Esta implementación incluye la
instalación de equipos con capacidad de captura de paquetes completos en los principales
puntos de ingreso y egreso de la organización, así como la captura del tráfico de datos
hacia y desde los sistemas de TI que manejan propiedad intelectual y otra información
de gran valor. Los agentes de software que examinan en busca de actividad de malware
en los terminales generalmente pueden distribuirse en cuestión de horas, según el
tamaño y la escala de la implementación.
ANALÍTICA AVANZADA: DETECCIÓN DE AMENAZAS OCULTAS
La visibilidad sin precedentes creada por una estrategia de seguridad basada en
inteligencia logra mucho más que capturar los datos forenses necesarios para recrear
escenas de cibercrimen. Genera nuevas oportunidades para lograr una detección de
amenazas mucho más proactiva y predictiva, para que las organizaciones puedan
impedir infracciones graves y daños al negocio. Los sistemas de seguridad basada en
inteligencia permiten nuevos enfoques del análisis y la generación de informes sobre
los comportamientos de usuarios, equipos y recursos. Para ello, primero aprenden qué
comportamientos son normales para un sistema, un usuario o un recurso en particular
y, luego, detectan y alertan sobre signos sutiles cuando algo parece tener un
comportamiento fuera de lo normal.
Los sistemas de seguridad basada en inteligencia incorporan los siguientes principios:
Una sola plataforma integrada para el monitoreo y la analítica de la seguridad
Las operaciones de seguridad basada en inteligencia centralizan el monitoreo, la detección,
el análisis, la investigación y la generación de informes de anomalías e incidentes.
Los analistas pueden manejar terabytes de datos de logs, metadatos y sesiones de red
recreadas con unos pocos clics. Como los detalles de las redes y los terminales están
disponibles a través de un sistema centralizado y en una sola consola, los analistas
no necesitan alternar entre diferentes herramientas y aplicaciones de seguridad.
Las consultas aprovechan esta integración y le ahorran a los analistas mucho tiempo
y esfuerzo. Es decir, las investigaciones que alguna vez implicaron días de trabajo ahora
pueden realizarse en unos minutos.
Página 5
Detección y respuesta ante amenazas basadas en inteligencia
La integración de la tecnología es el factor que permite este alto grado de eficacia.
La plataforma analítica debe funcionar con una variedad de herramientas que generan
información de seguridad sobre los servidores, las redes, los terminales y otros sistemas
de TI vitales. El procesamiento y la administración de metadatos permiten consolidar
eventos, logs y datos de red de varios orígenes de forma que sean accesibles para el
análisis, las alertas y la generación de informes centralizados.
Esta integración va más allá de los sistemas internos, abarca también el uso de inteligencia
de amenazas externa. Los feeds de inteligencia que puede recopilar directamente la
plataforma analítica, que incluyen datos de comunidades de código abierto, dominios
con etiquetas APT, listas negras y servidores proxy sospechosos, son clave para
proporcionar detección oportuna de problemas de seguridad.
Análisis oportuno de big data
Los sistemas de seguridad basada en inteligencia capturan y analizan volúmenes
masivos de datos que cambian rápidamente, provenientes de diferentes orígenes,
y manejan terabytes de datos en tiempo real. El análisis de seguridad se estratifica para
permitir diferentes tipos de detección. Por ejemplo, es posible capturar y analizar los
datos en el momento en que atraviesan la red. Este tipo de análisis en el “momento
de la captura” identifica las actividades sospechosas mediante la búsqueda de las
herramientas, los servicios, las comunicaciones y las técnicas que suelen usar los
atacantes, sin depender de logs, eventos o firmas de otros sistemas de seguridad.
Algunos ejemplos de este análisis en el momento de la captura son la detección de
programas de software fuera del navegador que ejecutan HTTP, protocolos sobre puertos
no tradicionales y archivos ejecutables incorporados en archivos PDF.
Además, estas herramientas sofisticadas pueden detectar signos sutiles de ataques
a partir de la correlación de eventos que parecen inocuos de forma aislada, pero que
son problemáticos en conjunto. Las técnicas analíticas combinan las entradas internas
de varios orígenes gracias a los metadatos. Estos mecanismos de detección avanzada
también funcionan como disparadores que pueden ofrecer advertencias tempranas de
posibles infiltraciones. Estos flujos de información se procesan a medida que ocurren,
por lo que las actividades sospechosas se identifican mientras todavía hay tiempo para
que los equipos de seguridad detengan los ataques en curso.
Con los sistemas de seguridad basada en inteligencia, los equipos de operaciones de
seguridad también pueden ejecutar análisis de lotes sobre volúmenes enormes de
datos de seguridad históricos. Estos datos son necesarios no solo para satisfacer los
requisitos de retención y auditoría de datos de la mayoría de las empresas, sino que
también son sumamente valiosos para descubrir tácticas de los adversarios cuya
ejecución puede haber requerido varios meses o que, incluso, podrían estar en curso.
Por ejemplo, el análisis de lotes de archivos de datos de seguridad puede ayudar
a descubrir ciberataques no detectados previamente, en los cuales los datos ilícitos se
transmiten esporádicamente en flujos breves y sigilosos a lo largo de semanas o meses.
Estos tipos de ataques “bajos y lentos” son difíciles de detectar en el momento en que
ocurren, porque están diseñados para parecer inofensivos al ocultarse bajo los procesos
y los flujos de comunicación existentes. Estas técnicas generalmente se transforman en
sospechosas recién cuando se ejecutan con un patrón particular a lo largo de un lapso
específico. Los análisis detallados y automatizados de archivos de datos de seguridad
permiten descubrir atacantes mientras están estableciendo su posición inicial, además
de revelar pérdidas de información que las organizaciones ni siquiera habían percibido.
En muchos casos, los análisis de lotes de datos de seguridad pueden revelar información
valiosa sobre las técnicas del atacante e indicadores de vulnerabilidad que los equipos
de seguridad pueden usar más adelante para detectar ataques similares. Lo que quizás
es más importante, las técnicas de análisis de lotes ayudan a las organizaciones
a identificar qué es “típico” dentro de un ambiente de TI para así poder identificar
e investigar las desviaciones futuras respecto de esa normalidad, que generalmente
indican problemas, a medida que aparecen.
Página 6
Detección y respuesta ante amenazas basadas en inteligencia
DETECCIÓN DE AMENAZAS BASADA EN
INTELIGENCIA EN ACCIÓN
Cuando no se detectan las infiltraciones,
los ciberatacantes generalmente escalan los
niveles de privilegios, se mueven en dirección
lateral a través de los sistemas de TI y se
enmascaran como usuarios legítimos una
vez que obtienen acceso de nivel de
dominio. Cuando los atacantes alcanzan
este estado, no es posible detectarlos ni
erradicarlos con herramientas de seguridad
convencionales. En estos casos, los equipos
de seguridad deben contener la amenaza
mediante una “caza” proactiva y persistente.
Estos principios se ilustran en un informe de
investigación de amenazas de RSA sobre el
uso creciente de shells web en los
ciberataques. Un shell web contaminado
puede ser un archivo independiente que
solamente contiene el código de shell web
o puede inyectar código malicioso
directamente en páginas web legítimas.
Dado que los shells web no se ajustan a las
definiciones tradicionales de malware,
son prácticamente indetectables para el
software antivirus y para otras herramientas
de seguridad tradicionales. Las vulneraciones
con shell web son más eficaces que los
troyanos y otras formas convencionales de
malware por diversos motivos:
•Tienen una baja tasa de detección debido
a la variedad y al grado de personalización
del código, y debido a que los atacantes
pueden enmascarar sus actividades
ilícitas como tráfico normal y como
archivos en servidores web.
•Permiten que los atacantes mantengan
una persistencia baja en el ambiente de
TI a través de diversos métodos de
actualización y sustitución de puertas
traseras maliciosas.
•Se logra un ingreso inicial a través de
vulnerabilidades del marco de trabajo
de la aplicación web, en lugar de usar
ataques de robo de identidad, que se
identifican más fácilmente.
•La conectividad se puede iniciar desde
cualquier dirección de origen, por lo que
el bloqueo de direcciones IP resulta
ineficaz.
•No es necesario que exista actividad de
señales indicadoras.
En el blog de RSA, puede encontrar
información detallada sobre cómo la
detección de amenazas basada en
inteligencia ayudó a muchas empresas
a identificar y corregir vulnerabilidades
de shell web.
Detección basada en comportamientos, no firmas
Los sistemas de seguridad basada en inteligencia monitorean el ambiente de TI en
busca de signos de comportamiento inusual de usuarios, aplicaciones, infraestructura
y comunicaciones, no solo en busca de indicadores explícitos, como las firmas de
malware identificadas previamente o las direcciones IP o dominios incluidos en listas
negras. Los atacantes sofisticados saben cómo esquivar estos enfoques predecibles de
monitoreo estático modificando líneas de código, provisionando una nueva máquina
virtual en una nube pública o registrando un nuevo dominio de Internet como un sitio
de comando y control o de descarga. Sin embargo, es mucho más difícil para los
atacantes esquivar los sistemas de monitoreo de seguridad que buscan patrones
y comportamientos inusuales. Tarde o temprano, el malware o los usuarios dañinos
deben hacer algo fuera de lo común que infrinja las normas del sistema, y es entonces
cuando los sistemas de analítica basada en inteligencia los detectan.
Por ejemplo, para detectar malware, las soluciones de detección de amenazas en el
terminal no buscan archivos “malos conocidos”, sino comportamientos sospechosos.
A través de una comparación entre los programas en ejecución en la memoria y qué
debería estar ejecutándose de acuerdo con los archivos que residen en el disco local,
las herramientas de detección de malware son más capaces de identificar discrepancias
y tener una vista directa y más confiable de la presencia de posible código ilícito.
Los sistemas de seguridad basada en inteligencia establecen cómo debería ser el
“buen” comportamiento dentro de un ambiente de TI mediante el monitoreo y el
aprendizaje de varias actividades automáticas y humanas, desde qué puertos de los
servidores se usan típicamente para las comunicaciones externas hasta las ubicaciones
de inicio de sesión y hábitos individuales de los empleados. Cuando se observan
actividades que no siguen esta norma, se les asigna un indicador para que luego sean
evaluadas por analistas de seguridad. Si los analistas descartan un evento por ser un
falso positivo, las herramientas de seguridad “aprenden” de la experiencia y hay menos
probabilidad de que marquen con un indicador las instancias futuras.
Escalable sin desventajas de rendimiento
La recopilación y el análisis de datos se gestionan mediante una arquitectura informática
distribuida, no mediante una base de datos monolítica centralizada. Al dividir la carga
de trabajo entre varios nodos de cómputo, las organizaciones obtienen resultados más
rápidos y un sistema altamente modular y escalable. Para activar la recopilación y el
análisis de datos en un segmento de red o una sucursal nuevos, las organizaciones solo
necesitan agregar un nodo nuevo. Este sistema modular y distribuido permite escalar de
forma horizontal a medida que crecen los requisitos de analítica de datos de la
organización, sin problemas de rendimiento ni un salto significativo en el costo.
ANÁLISIS DE MALWARE: NO CONFÍE EN NADA
El software dañino que los investigadores de los antivirus ya han identificado como
malicioso no suele ser el malware empleado en ciberataques especializados. No obstante,
algunas herramientas de seguridad todavía pretenden proteger a las organizaciones
mediante el escaneo de los ambientes de TI a partir de firmas de malware que se puede
alterar fácilmente.
Los sistemas seguridad basada en inteligencia prescinden del escaneo basado en
firmas debido a su clara ineficacia. En cambio, usan un enfoque “no confíe en nada”
respecto de la detección de malware que presupone que todos los programas son
dañinos, todas las comunicaciones son sospechosas, todos los equipos están
contaminados y todos los sistemas operativos están dañados.
Página 7
Detección y respuesta ante amenazas basadas en inteligencia
Detección de malware basada en riesgos
Las herramientas de detección de amenazas examinan el comportamiento de los
equipos, las redes y los procesos para establecer si han sido afectados por malware.
Estas herramientas no solo detectan incidentes, también evalúan el riesgo y asignan
prioridades a las alertas de corrección. Por ejemplo, un archivo considerado malicioso
puede recibir un puntaje de prioridad bajo si se establece que es un malware “común”
que provoca más molestias que verdaderas amenazas. En cambio, los archivos que no
tienen signos visibles de alteración pueden contener un archivo ejecutable de
compilación personalizada, diseñado para ejecutarse únicamente cuando llega
a determinados sistemas o cuando se ejecuta un comando oculto. Para descubrir este
tipo de peligroso malware personalizado, los sistemas avanzados de detección de
amenazas usan una serie de técnicas analíticas para calificar los niveles de riesgo de
los archivos sospechosos.
Por ejemplo, una organización puede establecer una regla para exigir que el sistema de
seguridad analice todos los archivos ejecutables nuevos que ingresan en sus redes.
El sistema de detección de malware sería el “área de prueba” para los nuevos archivos
ejecutables, que se ejecutan en un ambiente en cuarentena donde se registra todo
lo que hacen, y se eleva el puntaje de riesgo si se observan comportamientos
sospechosos, como la modificación de los valores del registro o la sustitución de los
DLL del sistema operativo. Por supuesto, el software legítimo también puede ejecutar
este tipo de acciones, por ejemplo, para integrar funciones con el software existente
o para instalar un parche. Pero si el archivo ejecutable nuevo tiene uno de estos
comportamientos y, además, inicia conexiones de red inusuales, el puntaje de riesgo
general aumenta drásticamente.
La detección de malware basada en inteligencia correlaciona varios factores para tomar
decisiones probabilísticas respecto del riesgo y presentar alertas priorizadas a los
analistas de seguridad. En última instancia, estas personas son quienes se encargan de
determinar la severidad de una amenaza, pero sus decisiones son mucho más veloces
y precisas gracias al trabajo de investigación que realizan las herramientas de seguridad
basada en inteligencia.
Correlación centralizada de actividad sospechosa en el terminal
Los resultados del escaneo de los terminales se envían a un servidor central, donde se
identifican los archivos desconocidos y se indica la actividad sospechosa. Los archivos
(incluidos los procesos, drivers, DLL, etc.) se analizan y se les asignan diferentes niveles
de sospecha en función del comportamiento observado. Es posible correlacionar el
comportamiento de los archivos globalmente con toda la empresa para ver si el posible
malware está activo en un equipo y latente en otro. Las organizaciones también
obtienen información sobre la frecuencia de un archivo particular en todo el ambiente.
Por ejemplo, si un archivo particular se encuentra en miles de equipos en toda la
empresa, posiblemente se trate de una aplicación de TI estándar y pueda excluirse de
la vista de los analistas de seguridad durante una investigación. En cambio, si se
identificara un archivo malicioso, las organizaciones podrían calcular rápidamente el
alcance de la infección viendo al instante todos los equipos que tienen el mismo
archivo malicioso.
Alertas con prioridad para acelerar la investigación y corrección de malware
Para minimizar la carga que deben enfrentar los analistas de seguridad, un enfoque de
detección de malware basado en inteligencia aprende a partir de los resultados de
escaneos anteriores y de un valor de base del ambiente, por lo que luego puede indicar
automáticamente los archivos sospechosos desconocidos. Antes de presentarse a los
analistas, los resultados del escaneo se comparan con un catálogo global de elementos
que los analistas ya han investigado e incluido en una lista blanca, lo que significa que
son archivos confiables. Los archivos confiables se quitan de los resultados del análisis
a fin de eliminar rápidamente la información innecesaria para los analistas de seguridad.
Página 8
Detección y respuesta ante amenazas basadas en inteligencia
Las consolas de detección de amenazas de terminal no muestran solamente una lista de
resultados del escaneo, también asignan prioridades a los posibles problemas para que
los analistas puedan identificar cuál investigar primero. Para acelerar las investigaciones,
la consola de detección de amenazas del terminal ofrece varios detalles sobre los
posibles problemas. Por ejemplo, correlaciona los comportamientos sospechosos sobre
un archivo (por ejemplo, driver, proceso, DLL) y luego revela lo que se sabe sobre el
archivo (por ejemplo, el tamaño, los atributos o el hash MD5 del archivo) a través de
análisis estáticos y heurísticos. Los analistas de seguridad usan las herramientas y la
información de la consola para determinar si el archivo es malicioso y debe incluirse en
una lista negra, o si no es malicioso y puede incluirse en la lista blanca. Si se considera
que un elemento es malicioso, es posible identificar al instante todas las instancias del
problema en la totalidad del ambiente de TI. Luego, una vez que se establezca una
corrección, el equipo de operaciones de seguridad puede ejecutar las investigaciones
forenses necesarias o limpiar todos los terminales afectados.
RESPUESTA ANTE INCIDENTES: ACCIÓN RÁPIDA Y CENTRADA
El tamaño y la complejidad cada vez mayores de los ambientes de TI han aumentado el
alcance de las vulnerabilidades, pero esto no significa que todos los posibles puntos de
entrada presenten un riesgo similar. Cuando se sospecha la presencia de un ataque
o incidente verdadero, los equipos de seguridad deben actuar con rapidez para expulsar
a los atacantes del ambiente de TI y mitigar el daño. Para lograrlo, se requiere
planificación, capacitación del personal y, a veces, asistencia externa.
Preparación eficaz para las infracciones mediante práctica y planificación
Los equipos de seguridad bien preparados saben cuáles son los recursos de información
valiosos de la organización y qué sistemas, aplicaciones y usuarios obtienen acceso
a ellos. La concientización sobre estos parámetros ayuda a los analistas de seguridad
a reducir su campo de investigación durante una infracción y, así, enfrentar los problemas
más rápido y con mayor confianza.
Los equipos de operaciones de seguridad deben realizar estudios de preparación para
infracciones y simulacros de corrección para mejorar la velocidad y la eficacia de sus
reacciones ante un ciberataque. Como parte de estos estudios, los equipos de seguridad
deben hacer un inventario de los recursos de TI de gran valor que deben protegerse,
revisar los flujos de trabajo para investigar y corregir incidentes, y evaluar las áreas de
mejora. La planificación proactiva y la práctica llevan a las organizaciones a alinear sus
políticas de seguridad con sus prioridades de negocios y con los requisitos normativos.
De esta forma, las organizaciones pueden mejorar progresivamente sus capacidades de
detección, administración y respuesta a amenazas. Optimiza la asignación de personal
y las capacidades del equipo de operaciones de seguridad a fin de lograr la
implementación de los recursos escasos que genere el mayor efecto posible. También
proporciona capacitación especializada para mejorar las capacidades de respuesta ante
incidentes del personal de seguridad.
Respuesta ante incidentes impulsada por datos para obtener mejores
resultados más rápido
Con frecuencia, los equipos de operaciones de seguridad encuentran posibles rastros
de una infiltración o una infracción, pero deben iniciar una investigación para
comprender la causa. En muchos casos, las organizaciones dedican semanas o incluso
meses a investigar las causas posibles, pero sin éxito. En esta situación, resulta útil
convocar a personas con conocimiento y herramientas especializados para la respuesta
ante incidentes (IR). Los especialistas en respuesta ante incidentes pueden
implementar tecnología que captura la actividad de las redes y los terminales en los
segmentos clave del ambiente de TI. A partir de los escaneos, los análisis y la
información complementaria que generan estas tecnologías, los profesionales
experimentados en IR generalmente pueden detectar en qué lugar y de qué forma se
producen las infracciones de seguridad y desactivar los ciberataques en mucho menos
tiempo que lo podrían hacer las organizaciones si trabajan por su cuenta.
Página 9
Detección y respuesta ante amenazas basadas en inteligencia
Contexto consolidado para acelerar la investigación
Las soluciones de seguridad basada en inteligencia recopilan una gran variedad de
información y detalles complementarios para facilitar las investigaciones de incidentes.
Las alertas de varios sistemas de monitoreo se combinan en una misma consola de
administración de seguridad, en la cual los analistas pueden examinar los detalles para
ver los orígenes de datos, los equipos afectados y otra información sobre los incidentes
con unos pocos clics del mouse. La consola de administración de seguridad también se
integra con el software de administración de riesgo empresarial para brindar información
contextual sobre la importancia para el negocio de los incidentes identificados y los
sistemas afectados. Se asignan calificaciones de prioridad a cada incidente en función
de los recursos de información involucrados, los riesgos que representan para la
organización y la gravedad del problema de seguridad. En conjunto, esta información
complementaria ayuda a los analistas a investigar los incidentes con mayor profundidad,
precisión y velocidad.
Asimismo, los sistemas de seguridad basada en inteligencia recopilan información de
orígenes externos para enriquecer los datos de seguridad internos de la organización.
El tablero de administración y plataforma de análisis de la seguridad identifica, combina
y pone en práctica los mejores orígenes de inteligencia y contexto, tanto internos como
externos a la organización, para acelerar la toma de decisiones de los analistas y los
flujos de trabajo.
CONCLUSIÓN
La detección y respuesta ante amenazas basadas en inteligencia ayuda a las
organizaciones a lograr estándares de seguridad altos y predecibles a pesar del
impredecible ambiente de amenazas actual, que escala rápidamente. La detección de
amenazas basada en inteligencia se fundamenta en una visibilidad completa de las
redes y los terminales, y en la aplicación de técnicas avanzadas de analítica de datos para
descubrir malware sin usar hashes o firmas exclusivamente. La respuesta a amenazas
basada en inteligencia es manejada por el personal de seguridad, que cuenta con la
ayuda de herramientas avanzadas de análisis de la seguridad y administración.
Estas herramientas aumentan significativamente la velocidad y la precisión de las
investigaciones de seguridad, ya que ofrecen contexto completo sobre los incidentes
desde una sola consola de administración y asignan prioridades a los posibles
problemas para su posterior evaluación.
La seguridad basada en inteligencia permite lograr una eficacia sin precedentes en la
detección y respuesta ante amenazas, ya que optimiza el trabajo conjunto del personal,
los procesos y las tecnologías de seguridad de una organización. Las herramientas se
integran para mejorar la visibilidad y la comprensión de los analistas de seguridad,
y para permitir el análisis y la generación de informes centralizados. Las herramientas
también sirven como guía de los flujos de trabajo de investigación y los procesos de
corrección basados en procedimientos demostrados y en las políticas de la organización.
Al brindar a los equipos de seguridad un conjunto armónico de herramientas y procesos,
las organizaciones pueden minimizar el tiempo que los analistas de seguridad deben
dedicar a los procesos de rutina y liberarlos para que se concentren en neutralizar las
amenazas de prioridad elevada. El resultado final es una seguridad más sólida y ágil
que no solo ayuda a las organizaciones a superar sus principales amenazas a la seguridad,
sino también a operar en el mundo digital con mayor confianza.
Página 10
Detección y respuesta ante amenazas basadas en inteligencia
SOLUCIONES DE DETECCIÓN Y RESPUESTA ANTE AMENAZAS
BASADAS EN INTELIGENCIA DE RSA
RSA® Advanced Cyber Defense Practice ofrece una gama integral de soluciones para
ayudar a sus clientes a proteger las actividades de la organización, aumentar la eficacia
operativa y evolucionar al ritmo de un ambiente de amenazas dinámico. Los ataques
especializados generalmente se concentran en el robo de recursos y datos importantes,
y utilizan técnicas que eluden las defensas tradicionales. RSA ayuda a las organizaciones
a mejorar sus capacidades de seguridad actuales y a implementar medidas de contraataque
diseñadas para impedir que los ciberatacantes logren sus objetivos. Algunos de los
servicios que ofrece RSA incluyen gap analysis, modelado de madurez, inteligencia de
ciberamenazas y fortalecimiento de la infraestructura, así como desarrollo y automatización
de las operaciones de seguridad. Los servicios están diseñados para ayudar a las
organizaciones a converger sus capacidades técnicas y operacionales en un programa
de seguridad unificado que alinee las prioridades de administración de riesgo y los
objetivos del negocio. RSA destaca las medidas de prevención necesarias para proteger
la organización, a las vez que se proporcionan servicios de respuesta y corrección de
incidentes para reducir el tiempo de exposición ante una infracción y mitigar los ataques.
RSA® Education Services ofrece cursos de capacitación sobre seguridad de la información
destinados a personal de TI, desarrolladores de software, profesionales de seguridad
y empleados generales de una organización. Los cursos son dirigidos por expertos en
seguridad de RSA Advanced Cyber Defense Practice y combinan teoría, tecnología
y ejercicios basados en escenarios para alentar el aprendizaje activo de los participantes.
El plan de estudios actual incluye temas como, por ejemplo, el análisis de malware y la
inteligencia de ciberamenazas. RSA Education Services también ofrece un taller sobre
cómo enfrentar las amenazas avanzadas, como APT. Los cursos están diseñados para
ofrecer el mayor volumen de información en el periodo más breve a fin de minimizar el
tiempo fuera del personal.
RSA® Enterprise Compromise Assessment Tool (ECAT) es una solución empresarial de
detección y respuesta ante amenazas diseñada para monitorear y proteger los ambientes
de TI frente a software no deseado y al malware más complejo, como rootkits
profundamente ocultos, amenazas persistentes avanzadas (APT) y virus no identificados.
RSA ECAT automatiza la detección de anomalías dentro de las aplicaciones informáticas
y la memoria, y no depende de las firmas de virus. En lugar de analizar muestras de
malware para crear firmas, RSA ECAT establece un nivel de base de anomalías a partir
de las aplicaciones “buenas conocidas”, con un filtrado del ruido de fondo para
descubrir la actividad maliciosa en los equipos comprometidos. La consola de RSA ECAT
presenta una vista centralizada de las actividades en curso en la memoria del equipo,
que puede usarse para identificar rápidamente el malware, independientemente de la
existencia de una firma o de que el malware haya sido detectado anteriormente.
Una vez que se identifica una instancia de una anomalía maliciosa, RSA ECAT puede
escanear miles de equipos para identificar otros terminales que pueden haber sido
comprometidos o estar en riesgo.
Página 11
Adopción de seguridad basada en inteligencia
RSA® Security Analytics está diseñada para entregar a las organizaciones de seguridad
la concientización del contexto necesaria para enfrentar los problemas de seguridad
más urgentes. Al analizar el tráfico de red y los datos de eventos de log, la solución RSA
Security Analytics ayuda a las organizaciones a obtener una visión más integral de su
ambiente de TI, lo que permite a los analistas de seguridad detectar las amenazas
rápidamente, investigarlas y priorizarlas, tomar decisiones de corrección, implementar
medidas y generar informes automáticamente. La arquitectura de datos distribuidos de
la solución RSA Security Analytics recopila, analiza y archiva volúmenes masivos de
datos (cientos de terabytes y más) a altas velocidades mediante varios modos de
análisis. Esta solución también integra inteligencia de amenazas de RSA Live acerca de
las herramientas, las técnicas y los procedimientos más recientes que utiliza la
comunidad de atacantes a fin de alertar a las organizaciones sobre posibles amenazas
activas en su empresa.
RSA® Security Operations Management ayuda a los analistas a ser más eficientes a la
hora de detectar incidentes de seguridad e infracciones de datos, y también responder
a ellos, mediante una capa de coordinación centralizada para investigaciones de
seguridad que integra personas, procesos y tecnología. La solución combina y conecta
los sistemas y los procesos de seguridad para ofrecer contexto integrado para la
respuesta ante incidentes. También ayuda a los equipos de seguridad a hacer un
seguimiento y generar informes sobre los indicadores de rendimiento clave. El marco de
trabajo de RSA Security Operations Management se basa en las mejores prácticas del
sector para la respuesta ante incidentes y la administración de infracciones.
ACERCA DE RSA
RSA, la División de Seguridad de EMC, es el principal proveedor de soluciones de
seguridad basada en inteligencia. RSA ayuda a las organizaciones líderes del
mundo a superar los retos de seguridad más complejos y delicados: administrar los
riesgos organizacionales, proteger el acceso móvil y la colaboración, prevenir el
fraude en línea y proteger contra amenazas avanzadas. RSA proporciona controles
ágiles para la verificación de la identidad, la detección de fraude, la protección de
datos, una analítica sólida de la seguridad y funcionalidades de GRC líderes del
sector, así como servicios de consultoría y asesoría brindados por expertos.
Para obtener más información, visite www.mexico.emc.com/rsa.
EMC2, EMC, el logotipo de EMC, RSA, Archer, FraudAction, NetWitness y el logotipo de RSA son marcas registradas
o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Microsoft y Outlook son
marcas registradas de Microsoft. Todos los otros productos o servicios mencionados son marcas comerciales de
sus respectivas empresas. © Copyright 2014 EMC Corporation. Todos los derechos reservados.
mexico.emc.com/rsa
H13402
Documentos relacionados
Descargar