Site icon Panda Security Mediacenter

Cómo Endpoint Detection & Response dio origen al Threat Hunting

Cómo Endpoint Detection & Response dio origen al Threat Hunting

En el pasado, la tipología de las amenazas permitía fiarse de una solución de ciberseguridad basada en firmas para proteger la organización contra el malware. Incluso se mandaba un disquete con las actualizaciones cada mes y solía ser suficiente. Las soluciones basadas en firmas son muy eficaces y precisas en cuanto a descubrir malware conocido.

Pero este modelo dejó de ser efectivo cuando las técnicas polimorfas (la compresión y el cifrado) aumentaron la proliferación del malware y, en consecuencia, las firmas dejaron de ser suficientes. Frente a cifras como las más de 300.000 nuevas muestras de malware detectadas  cada día en PandaLabs, se necesitaba una mayor protección.

El heurístico (especular si un archivo se parece a una variante de un malware conocido) y el análisis local del comportamiento (sandboxing) son capaces de identificar variantes del malware conocido. Sin embargo, estas técnicas son menos precisas y requieren más recursos en el dispositivo local.

En ese contexto, cualquier archivo sospechoso tiene que ser evaluado por el equipo de seguridad informática para asegurarse de que no se permite la ejecución de ningún archivo malicioso y que no se ponga en cuarentena ningún archivo legítimo, algo que podría recargar a los recursos e incapacitar al sistema. Permitir que se ejecute cualquier evento que no se haya identificado como sospechoso o como malware, aunque no esté clasificado, supone un riesgo enorme.

A estas soluciones tradicionales les cuesta reconocer las amenazas de día cero, aquellas nuevas que aparecen antes de que los proveedores de seguridad publiquen protección específica,  puesto que, al no tener referencias previas sobre ella, la visión que tiene de su actividad es muy limitada. Esto ha forzado la adopción de un nuevo enfoque de ciberseguridad: el planteamiento de clasificar el 100% de los procesos y la asimilación del modelo de confianza cero, donde ningún proceso puede ejecutarse hasta que se verifique como goodware.

Todos los procesos desconocidos se analizan y clasifican antes de permitir su ejecución, y todos los archivos sospechosos se clasifican de manera activa, ya sea como malware o como goodware, gracias a un servicio gestionado. ¿Cómo ocurre esto?

Panda Security propone un nuevo paradigma

En el año 2010, Panda Security empezó a desarrollar un nuevo sistema desde cero. Durante los cinco años siguientes, fuimos incorporando todo nuestro conocimiento, tanto de malware como de goodware, se añadieron fuentes externas de indicadores y aplicamos técnicas de Machine Learning para que empezara a aprender comportamientos que le permitiesen clasificar todos los nuevos ejecutables de archivo de manera automática. Esta solución se convirtió en Panda Adaptive Defense.

Cuando encontramos un proceso que no conocemos, el Machine Learning interpresa su comportamiento, lo analiza, lo correlaciona y lo clasifica. Pero hay la más mínima duda, lanza una consulta a nuestro laboratorio para que los expertos de nuestro laboratorio lo analicen y tomen una decisión. Para PandaLabs, en la gran mayoría de los casos (99,985%) este proceso es automático. Para el resto, tenemos un equipo de analistas de seguridad que lo analizan y lo clasifican, creando reglas y respuestas que mejoran la inteligencia de nuestras detecciones automáticas.

El valor de este círculo virtuoso de 100% atestación fue revelado por el Director Técnico de PandaLabs con su afirmación «Para Panda, el malware basado en ficheros está bajo control». Por lo tanto, el riesgo de una infección debido al malware basado en archivos se reduce prácticamente a cero.

Esta clasificación automática ha reducido drásticamente la intervención manual en el proceso de clasificación. Entonces, ¿qué hacen nuestros expertos de PandaLabs ahora?

El malware basado en ficheros es solo uno de muchos vectores de ataque

Cuando Panda Security empezó a desarrollar esta tecnología para ofrecer la clasificación del 100% de los procesos, proporcionó la información contextual para poder reconocer y catalogar un gran abanico de actividades potencialmente anómalas en los endpoint (que evaden las técnicas tradicionales),

Esta nueva familia de soluciones de seguridad fue denominada como Endpoint Detection & Response. En 2013, esta tecnología fue reconocida por los analistas como uno de los avances más importantes que hicimos los proveedores de seguridad en el endpoint. Y es que, para detectar este tipo de ataques, hace falta tener una visibilidad completa de todos los procesos que estén ocurriendo en cada endpoint.

Caza proactiva de las ciberamenazas

En vez de responder de manera reactiva a las amenazas de malware, nuestros analistas de seguridad llevan a cabo servicios de Threat Hunting activo. Utilizando la información que hemos recogido durante nuestros 30 años de experiencia en la industria, buscan nuevas amenazas y comparan las hipótesis con los datos recopilados con nuestra solución EDR para comprobar su legitimidad. Una vez demostrada, cada técnica nueva de detección se suma a los cientos de técnicas ya existentes en nuestra inteligencia de Threat Hunting & Investigation Service.

Las reglas del Threat Hunting automático incluyen actividades como:

Nuestro servicio de Threat Hunting e investigación genera para nuestros clientes alertas sobre cualquier comportamiento anómalo, y se apoya en nuestro equipo técnico para remediar y aumentar la ciber-resiliencia.

Si un atacante quiere entrar en una red, y tiene suficiente tiempo y suficientes recursos, al final lo logrará. No es una cuestión de SI lo conseguirá, sino de CUÁNDO lo hará.

Esto se logra con varios métodos:

Tras utilizar una de estas puertas de entrada, el hacker establece su “campo base” y comienza un avanece ofensivo, hay varios objetivos, tales como :

Puesto que hemos impedido que el hacker utilice malware basado en ficheros, solo podría conseguir estos objetivos utilizando técnicas Living-off-the-Land (LotL), en las que el hacker aprovecha software legítimo que ya está instalado (como PowerShell o el Directorio activo) para sus fines maliciosos. Como por ejemplo:

A muchas organizaciones les cuesta enfrentarse a estos ataques Living-off-the-Land porque sus defensas tradicionales no son capaces de pararlos. Hace falta una visibilidad absoluta para descurbrir las acciones en su contexto y poder identificar estas amenazas.

Recomendaciones

Para proteger a tu organización, existen ciertas medidas necesarias que hay que tomar. La primera es mantener actualizados y parchear todos los sistemas y aplicaciones para cerrar cualquier vulnerabilidad que puedan utilizar los atacantes como puerta de entrada. La siguiente medida es educar a todos los usuarios sobre los ciber-riesgos a los que se enfrenta la organización y establecer protocolos para resolver cualquier incidente en sus fases más tempranas, llegado el caso. Proteger los datos personales es una necesidad y una exigencia, ya que este activo tan valioso suele ser uno de los objetivos principales de los ciberatacantes. Por último, hay que proteger todos los equipos, servidores y sistemas virtuales con tecnología EDR para asegurar que la totalidad de los endpoints se beneficien de una ciberseguridad avanzada y adaptativa.

Exit mobile version