Ataques selectivos avanzados: la necesidad de un sistema integrado

Informe Ataques selectivos avanzados: la necesidad de un sistema integrado Compartir el contexto en tiempo real permite la detección precoz de los at...
5 downloads 0 Views 469KB Size
Informe

Ataques selectivos avanzados: la necesidad de un sistema integrado Compartir el contexto en tiempo real permite la detección precoz de los ataques y la prevención de amenazas adaptable.

Informe

Índice Resumen ejecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Cómo conseguir una ventaja sostenible. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Bases para la prevención flexible de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Inmunización y adaptación, de punta a punta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Data Exchange Layer: organización en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 McAfee Threat Intelligence Exchange: aproveche el poder de la información. . . . . . . . . . . . . . . . . . . . . 6 Multiplicación de la protección para endpoints existente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Revisión de la profusa información para ofrecer una respuesta rápida y clara . . . . . . . . . . . . . . . . . . . . 7 Información compartida en todos los lugares, de manera instantánea. . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Caso 1: actuar en base a información colectiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Caso 2: incorporación de McAfee Advanced Threat Defense para el análisis en profundidad. . . . . . 9 Caso 3: detección precoz de ataques con McAfee Enterprise Security Manager. . . . . . . . . . . . . . . . . 10 Cambiar la dinámica de la lucha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Ataques selectivos avanzados: la necesidad de un sistema integrado

2

Informe

Resumen ejecutivo

Por segundo año consecutivo en la conferencia Black Hat, McAfee, parte de Intel Security, realizó una encuesta entre los profesionales de la seguridad, a fin de evaluar sus preocupaciones relacionadas con el malware avanzado que se utiliza en los ataques selectivos y de baja prevalencia. A pesar de las muchas inversiones en soluciones "mágicas", la detección sigue encabezando la lista de preocupaciones. Una detección adecuada pasa por la capacidad de filtrar la señal del ruido, y evitar los falsos positivos es ahora el segundo problema más importante para el 25 % de los encuestados. La protección y respuesta puntuales siguen generando el mayor grado de frustración.

35

35 %

36 % 2013 2014

28

25 % 20 %

21

22 % 17 % 13 %

14

11 %

7

9% 5%

3%

4%

0 Detección

Relación entre señal y ruido (detección de falsos positivos)

Protección (en tiempo real o bloqueo puntual)

Respuesta puntual (aviso de ataque)

Reparación del daño (erradicación del malware del entorno)

Otros

Figura 1. Los asistentes a la conferencia Black Hat indicaron que todavía tienen problemas para ofrecer protección contra el malware avanzado.

Estos problemas provienen de una integración insuficiente entre la inspección, la recopilación de información, el análisis y los elementos de aplicación de la arquitectura de seguridad. Estos son los pilares tecnológicos fundamentales del proceso de prevención/detección/respuesta de la respuesta a incidentes. La integración mejora la eficacia, de igual forma que compartir los datos y los procesos de control acelerado permite que todos los grupos de control aprovechen los puntos fuertes y las experiencias de los que les rodean. Se trata de un modo de prevención de amenazas adaptable que está sustituyendo rápidamente a las arquitecturas tradicionales no integradas en un momento en el que los equipos de seguridad se esfuerzan en conseguir una ventaja sostenible contra las amenazas complejas. En lugar de gestionar todas las interacciones con el malware como eventos aislados, un modelo de prevención de amenazas adaptable integra los procesos y datos a través de una capa de mensajería eficaz. Esto proporciona mayores niveles de inspección y análisis mediante una mayor información y conecta todos los componentes para generar y consumir la mayor cantidad de información práctica posible de cada contacto y proceso. El cambio a una prevención de amenazas adaptable ayuda a superar las barreras funcionales conocidas que obstaculizan la detección, la respuesta y cualquier opción de mejorar la prevención. Los silos de datos y los puntos de control complican las operaciones y aumentan el riesgo. Por ejemplo, los datos que genera cada control y el contexto de cada situación se capturan deficientemente y rara vez se comparten. Es posible que un firewall bloquee una carga útil procedente de un dominio no fiable, porque sabe sobre comunicaciones, no sobre malware. Si la carga útil procediera de un dominio de confianza, la permitiría. De igual forma, una solución antimalware podría bloquear cargas útiles desconocidas recibidas de direcciones maliciosas conocidas si pudiera pensar más allá de la carga útil o buscara dentro de la carga útil para tener en cuenta las direcciones IP.

Ataques selectivos avanzados: la necesidad de un sistema integrado

3

Informe

Funciones de seguridad no integradas como estas mantienen a las empresas en modo reactivo, empleando enormes recursos humanos en cada brecha. La ineficacia de los procesos agota los escasos recursos de investigación y alarga el tiempo que los datos y las redes están expuestos a determinados ataques. Estas islas de productos de seguridad, conjuntos de datos y operaciones ofrecen a los agresores más sofisticados espacios de vulnerabilidad y oportunidades para acceder, ocultarse e instalarse en su empresa.

Cómo conseguir una ventaja sostenible

¿Qué es un indicador de ataque? Un indicador de ataque es una construcción única de atributos desconocidos, indicadores de riesgo e información contextual (incluida información de la empresa y de riesgos) en una imagen dinámica y de la situación, que dirige la respuesta.

Gracias a McAfee® Threat Intelligence Exchange y la plataforma McAfee Security Connected, los profesionales de la seguridad tienen ahora un sistema de alto rendimiento que integra flujos de trabajo y datos para poner fin a las operaciones aisladas. De un modelo reactivo se pasa a una prevención de amenazas ágil, basada en la información. La información sobre amenazas local, global y de terceros y el conocimiento de las empresas se unen para facilitar la adopción de decisiones en tiempo de ejecución más inteligentes, mientras se realizan análisis en profundidad de los archivos sospechosos. El envío de información contextual de los ataques —lo que llamamos indicadores de ataque (IoA)— a los sistemas de detección en todos los vectores, contención y corrección permite a los analistas de seguridad conseguir una ventaja sostenible frente a los ataques selectivos avanzados. Mediante el aprovechamiento y la integración de las comunicaciones en tiempo real en las inversiones en soluciones de seguridad de McAfee existentes y de terceros, McAfee ayuda a las empresas a prevenir los riesgos y cerrar el vacío en la protección que existe entre la detección y la contención, de manera rentable. En este documento se describen cuatro casos prácticos que ponen de manifiesto la protección y el ahorro de costes que ofrece este innovador enfoque mediante McAfee Threat Intelligence Exchange: QQ

QQ

QQ

QQ

Mejora de la eficacia de los endpoints actuando en base a información sobre amenazas colectiva. (Integración con VirusScan® Enterprise y SiteAdvisor® Enterprise). Uso de la integración con VirusTotal para evaluar las aportaciones y medidas de otros proveedores antimalware, a fin de perseguir una determinada amenaza potencial en su propio entorno. Mejora de la detección del malware avanzado y la respuesta al mismo incorporando el análisis dinámico en entornos aislados (sandboxing) y el análisis estático, y conectando con los componentes de la red (añadir McAfee Advanced Threat Defense y productos para gateway). Situación de la información sobre amenazas colectiva en el contexto de secuencias históricas y de despliegue para actuar inmediatamente: detener ataques activos, investigar incidentes pasados y supervisar eventos futuros (añadir McAfee Enterprise Security Manager).

Bases para la prevención flexible de amenazas

McAfee Threat Intelligence Exchange utiliza McAfee Data Exchange Layer, un tejido de comunicación bidireccional que proporciona información de seguridad y una protección adaptable gracias a la simplicidad con la que se integran los productos y se comparten los contextos. McAfee Threat Intelligence Exchange obtiene y comparte datos de reputación, y facilita la toma decisiones de protección a través de la red en tiempo real. La infraestructura Security Connected ha incluido siempre la automatización y la integración. McAfee Threat Intelligence Exchange aprovecha Data Exchange Layer para cambiar la dinámica de prevención contra amenazas, gracias a la contextualización de la información ampliada y a la organización en tiempo real en todo el entorno.

Inmunización y adaptación, de punta a punta Los equipos de seguridad de la empresa obtienen control local sobre el malware potencial y la clasificación de amenazas, mientras que los componentes de seguridad comparten sus análisis de muestras de forma instantánea y actualizan su implementación como corresponda. McAfee Threat Intelligence Exchange utiliza Data Exchange Layer para conectar endpoints, gateways y otros componentes de seguridad en un excelente sistema de defensa contra ataques selectivos y avanzados.

Ataques selectivos avanzados: la necesidad de un sistema integrado

4

Informe

De esta forma, se reduce el riesgo, se consigue una ventaja sostenible gracias a que se optimizan y actualizan las protecciones contra futuros ataques. Además, se minimizan los costes operativos y el trabajo asociado a las medidas aisladas de protección frente a ataques selectivos avanzados.

ADMINISTRACIÓN DE LA SEGURIDAD

SEGURIDAD DE CONTENIDOS

• McAfee Enterprise Security Manager (SIEM)

• McAfee Email Gateway

• ePolicy Orchestrator

• McAfee Data Loss Prevention

• McAfee Threat Intelligence Exchange • McAfee Vulnerability Manager

• McAfee Web Gateway

SEGURIDAD PARA ENDPOINTS SEGURIDAD DE LA RED

• Suites McAfee Endpoint Security

• McAfee Advanced Threat Defense

• McAfee Data Center Security Suite

• McAfee Network Security Platform (IPS)

• McAfee Embedded Security

• McAfee Next Generation Firewall

• McAfee Device Control

• McAfee Firewall Enterprise

• McAfee Endpoint Encryption • Seguridad reforzada por hardware

Figura 2. McAfee Threat Intelligence Exchange y Data Exchange Layer crean un marco dinámico para conseguir una ventaja sostenible en la plataforma Security Connected.

Los componentes de McAfee Threat Intelligence Exchange funcionan con un sistema único de colaboración, compartiendo inmediatamente los datos relevantes entre redes, endpoints, datos, aplicaciones y otras soluciones de seguridad, optimizando la información de seguridad e implementando un sistema de protección adaptable. McAfee Threat Intelligence Exchange reduce a milisegundos el intervalo de días, semanas y meses que suele haber entre la detección y la contención de los ataques selectivos avanzados.

Data Exchange Layer: organización en tiempo real La simplicidad de integración que ofrece Data Exchange Layer reduce los costes operativos y de implementación. En lugar de realizar la integración mediante API de bajo nivel, en relación 1:1, el tejido de comunicaciones de Data Exchange Layer permite a los productos integrarse a través de un modelo de información común con distintas metodologías de comunicaciones. Gracias a esta capacidad, Data Exchange Layer admite la configuración automática de productos, reduciendo los errores y eliminando el esfuerzo requerido. Data Exchange Layer ofrece un tejido de comunicaciones bidireccional en tiempo real en el que los componentes conectados siempre están conectados. A través de una capa de abstracción, se mantiene la conexión entre endpoints, gateways y otros componentes de seguridad, para que puedan compartir información en tiempo real con independencia de su ubicación. Este modelo significa que puede trasladar el mando y control de la seguridad desde los controles locales hasta los nodos remotos situados en otras oficinas, incluso aunque se encuentren tras dispositivos de conversión de direcciones de red (NAT) remotos, como firewalls y gateways domésticos. La seguridad de las comunicaciones queda garantizada gracias al cifrado de todo el tráfico con Transport Layer Security (TLS), la obligación de autenticación mutua basada en certificados para todos los participantes y la implementación de la autorización que realiza la propia infraestructura. Este diseño garantiza la seguridad de las cargas útiles, así como la protección de la propia infraestructura contra ataques externos y apropiación indebida.

Ataques selectivos avanzados: la necesidad de un sistema integrado

5

Informe

Información de terceros sobre amenazas

McAfee Global Threat Intelligence

Software McAfee ePO

McAfee Threat Intelligence Exchange Server

McAfee Advanced Threat Defense

McAfee Enterprise Security Manager

Productos de partners

McAfee Data Exchange Layer Módulo VirusScan Enterprise de McAfee Threat Intelligence Exchange

McAfee Next Generation Firewall

McAfee Email Gateway

McAfee Network Security Platform

Otros productos

McAfee Web Gateway

Figura 3. Data Exchange Layer proporciona un marco de comunicaciones en tiempo real que permite a los distintos componentes de seguridad actuar de manera coordinada.

McAfee Threat Intelligence Exchange: aproveche el poder de la información McAfee Threat Intelligence Exchange hace posible que los administradores personalicen y hagan uso fácilmente de la información integral sobre amenazas procedente de fuentes de datos globales, como McAfee Global Threat Intelligence (McAfee GTI), VirusTotal o las aportaciones de terceros, además de la información local sobre amenazas procedente de los eventos en tiempo real y los datos históricos recibidos de endpoints, gateways y otros componentes de seguridad. Posteriormente puede recopilar, omitir, ampliar y adaptar la información recopilada para realizar las acciones oportunas en su propio entorno. Mediante el uso de listas inteligentes puede implementar sus propias listas blancas y listas negras de archivos y certificados, certificados asignados y utilizados por la empresa, así como otra información. La incorporación y el mantenimiento de información local sobre amenazas permite a McAfee Threat Intelligence Exchange identificar cada amenaza en el contexto de las actividades y el entorno operativo de cada organización. Además, los metadatos que se obtienen de los endpoints, gateways y otros componentes de seguridad se combinan, proporcionando visibilidad y facilitando medidas de protección adecuadas según el estado de amenazas de su organización.

Multiplicación de la protección para endpoints existente A diferencia de los análisis forenses tradicionales, que requieren el uso de herramientas y formación especializadas, así como gran cantidad de esfuerzo manual, McAfee Threat Intelligence Exchange convierte la información en protección automatizada según las reglas definidas por el equipo de TI. McAfee Threat Intelligence Exchange proporciona una protección para endpoints vanguardista, utilizando el módulo VirusScan Enterprise para tomar decisiones sobre ejecución de archivos más precisas. Cuando un host intenta ejecutar un archivo: QQ

QQ

QQ

VirusScan Enterprise busca en sus firmas locales. Si el archivo es desconocido, el módulo McAfee Threat Intelligence Exchange consulta a McAfee Threat Intelligence Exchange Server para descubrir los metadatos relativos al archivo. Si no se puede localizar ningún registro de este archivo, McAfee Threat Intelligence Exchange Server consulta la red de McAfee GTI alojada en la nube y devuelve la reputación global al host que ha efectuado la consulta.

Ataques selectivos avanzados: la necesidad de un sistema integrado

6

Informe

QQ

QQ

¿Qué le gustaría saber? Cuando un archivo inicialmente desconocido es identificado finalmente como malicioso por una fuente de información local o en la nube, o bien gracias a las investigaciones internas, McAfee Threat Intelligence Exchange Server ofrece detalles sobre los comportamientos de los agresores que ayudan a los responsables de la respuesta a incidentes a tomar medidas sobre el terreno: QQ

QQ

QQ

QQ

QQ

QQ

QQ

QQ

QQ

¿Está este archivo en alguno de mis endpoints? (Prevalencia) ¿Se ha ejecutado? (Fundamental para distinguir entre endpoints infectados y no infectados) ¿Dónde se ha ejecutado? (Dar prioridad a la lista de sistemas en peligro) ¿Cuál ha sido el primer sistema "infectado"? (Primer caso) ¿Qué máquinas tienen más probabilidades de estar afectadas por haber ejecutado un archivo que ahora se sabe que es malicioso? ¿Cómo se propaga el malware por mi entorno? (Trayectoria del archivo) ¿Dónde están los archivos que otros productos de seguridad no están bloqueando? ¿Qué archivos "grises" pueden incluirse en la lista negra o blanca? ¿Cuál es la reputación mundial de un determinado archivo frente a su reputación local en la empresa?

QQ

QQ

QQ

McAfee Threat Intelligence Exchange Server gestiona la consulta mediante los metadatos obtenidos que ya almacena sobre este archivo. Con la respuesta se incluyen los valores específicos de la empresa, como la reputación, prevalencia y antigüedad. A continuación, el módulo McAfee Threat Intelligence Exchange utiliza reglas para combinar el contexto observado de forma local (atributos de archivos, procesos y entornos) y la información sobre amenazas colectiva disponible, con el fin de crear una puntuación de riesgo. El módulo cliente aplica sus directivas para facilitar la decisión sobre si ejecutar o no ejecutar el archivo. McAfee Threat Intelligence Exchange Server registra el evento en su base de datos de conocimientos. Si más adelante un archivo desconocido se considera malicioso, también se puede indicar a VirusScan Enterprise que limpie el host, lo que detendría un proceso malicioso en ejecución.

Las directivas permiten personalizar el nivel de tolerancia al riesgo en el endpoint, definiendo varias condiciones de ejecución. Por ejemplo, una directiva puede tener tolerancia cero para los archivos desconocidos o "grises". Para esta directiva solo es necesario configurar una directiva que establezca que no se puede acceder a ningún archivo que no tenga una reputación conocida y aceptable. Cada empresa puede tener ideas distintas sobre en qué punto del espectro de riesgos es conveniente autorizar un archivo, o bien ponerlo en cuarentena o eliminarlo. La tolerancia normalmente varía según la clase e importancia estratégica de los distintos sistemas para la empresa. Si, posteriormente, el administrador decide que el archivo es seguro, puede simplemente añadir la aplicación bloqueada a una lista blanca. Asimismo, los administradores pueden decidir si van a permitir a los usuarios tomar una decisión sobre el archivo tras un mensaje que la solicita.

Revisión de la profusa información para ofrecer una respuesta rápida y clara La información sobre amenazas colectiva —global, local, de terceros y generada de forma manual— que se almacena gracias a McAfee Threat Intelligence Exchange Server proporciona visibilidad, contestando a las preguntas clave con datos instantáneos y que permiten actuar. Esta claridad proporciona una prueba evidente a tiempo de actuar y proteger su organización, en lugar de tener que esperar al juicio de un tercero, dejando a la empresa expuesta. Por ejemplo, los datos de prevalencia de la empresa indican qué máquinas han enviado una consulta sobre un archivo específico. La lista de sistemas afectados revelaría las tácticas y las intenciones del agresor y, lo que es más importante, limitaría el plazo de persistencia que tiene disponible. ¿Pertenecen todas las máquinas que reciben el archivo a un solo grupo de trabajo, como finanzas o desarrollo de software? Esto sería un indicio del tipo de datos confidenciales objetivo de los agresores. ¿Comparten los sistemas un perfil de aplicaciones? Esto indicaría que se trata de vulnerabilidades de tipo zero-day.

Información compartida en todos los lugares, de manera instantánea McAfee Threat Intelligence Exchange ayuda a las empresas a adaptar las defensas y contener totalmente las amenazas. Cuando un cliente de McAfee Threat Intelligence Exchange en el host decide bloquear o permitir la ejecución de un archivo, su decisión actualiza los registros de McAfee Threat Intelligence Exchange Server. La información obtenida de cada decisión puede aplicarse de distintas formas. McAfee Threat Intelligence Exchange pondrá de forma inmediata la reputación y los detalles de las decisiones a disposición de todas las contramedidas implicadas en la organización, incluidas las protecciones para endpoints, las defensas de gateways, como McAfee Network Security Platform, y productos de terceros. De esta forma, todos los productos de seguridad se actualizan al instante y aprenden unos de otros, ofreciendo una protección coherente y adaptada de forma local a una velocidad imposible de igualar por ningún otro proveedor u organización externa. El típico ataque sofisticado busca varios sistemas vulnerables, por lo que este tipo de método avanzado para compartir información en el entorno impide que un ataque específico ponga en riesgo o afecte a otros hosts. McAfee Threat Intelligence Exchange también ofrece la opción de reenviar la información recién obtenida de forma local a la nube de McAfee GTI con el fin de ayudar a otros suscriptores en la defensa de ataques similares.

Ataques selectivos avanzados: la necesidad de un sistema integrado

7

Informe

¿Qué le gustaría saber? (continúa) QQ

QQ

QQ

QQ

QQ

¿Cuántos archivos han sido identificados como maliciosos en las últimas horas? ¿Cuántos archivos detectados en mi entorno puede clasificarse como blancos, negros o grises? ¿Qué porcentaje del conjunto total de archivos son blancos, negros o grises según la versión del sistemas operativo Microsoft Windows de mi entorno? ¿Cuáles son los archivos menos prevalentes en mi entornos (atípicos, potencialmente maliciosos)? ¿Ha sido algún sistema operativo Microsoft Windows objetivo concreto de los ataques?

Los siguientes casos prácticos muestran cómo McAfee Threat Intelligence Exchange y Data Exchange Layer transforman la dinámica de la detección de amenazas, ampliando la información utilizable y la protección proactiva, desde la detección hasta la contención.

Caso 1: actuar en base a información colectiva El primer caso permite a los endpoints protegerse gracias a la información sobre amenazas optimizada localmente. Esta personalización habría permitido a los comerciantes de la red VISA, por ejemplo, implementar rápidamente una protección automatizada contra los hashes que VISA documentó en 2013 tras un ataque sobre el analizador de memoria1. Los administradores de la empresa reciben ahora el boletín e introducen los nuevos archivos hash en McAfee Threat Intelligence Exchange a través de la interfaz de administración. Posteriormente, cuando un sistema host encuentra el archivo sospechoso, el modulo McAfee Threat Intelligence Exchange impide su ejecución gracias al conocimiento personalizado ("estos hashes son maliciosos") proporcionado a través de la información sobre amenazas colectiva.

McAfee Global Threat Intelligence

VISA

Componentes principales

Software McAfee ePO

McAfee Threat Intelligence Exchange Server

Data Exchange Layer Módulo VirusScan Enterprise de McAfee Threat Intelligence Exchange

Figura 4. Los datos de terceros puede ser una mina de información

El malware (o los archivos sospechosos) descubiertos por los equipos internos pueden bloquearse de manera instantánea, sin tener que enviar una muestra y esperar a la actualización de firmas antivirus del proveedor. Cualquier otro incidente de otro endpoint que afecte a ese archivo se sumaría al número de prevalencias almacenado en McAfee Threat Intelligence Exchange Server, lo que ayuda a los administradores a determinar si están siendo atacados. Lo más importante para la organización es que un indicador de riesgo (un hash de archivo en este caso) puede generar una gran cantidad de información de gran valor, que puede compartirse en tiempo real. Además, el módulo McAfee Threat Intelligence Exchange interceptará el intento de ejecución de un archivo, y no simplemente las operaciones de lectura o escritura. Este tipo de defensa (contra ejecución de archivos) protege frente a comportamientos inusuales. Y esta funcionalidad permite a McAfee Threat Intelligence Exchange recopilar información de indicadores de ataque que se pueden compartir en todo el entorno en el momento que detectan. A diferencia de los indicadores de riesgo (IoC), que son eventos estáticos maliciosos conocidos e individuales, los indicadores de ataque se convierten en maliciosos en función de la situación y de lo que signifiquen para usted. Un indicador de ataque es una construcción única de atributos desconocidos, indicadores de riesgo e información contextual (incluida información de la empresa y de riesgos) en una imagen dinámica y de la situación, que dirige la respuesta. McAfee Threat Intelligence Exchange puede detectar y alertar sobre los eventos nuevos e inusuales del entorno, que aún no se hayan asociado a una amenaza o peligro conocido.

Ataques selectivos avanzados: la necesidad de un sistema integrado

8

Informe

Caso 2: incorporación de McAfee Advanced Threat Defense para el análisis en profundidad Un agresor que pretende apoderarse de datos de su empresa invierte en sutiles técnicas de programación de ocultación y en exploits de tipo zero-day. El archivo de malware resultante puede ser un ejemplar único o haberse observado tan solo algunas veces. Esta singularidad puede impedir que las contramedidas tradicionales basadas en firmas o en la reputación detecten de manera precisa la amenaza. Sin embargo, si los recursos existentes de McAfee Threat Intelligence Exchange no confirman el carácter malicioso de un archivo sospechoso, la tecnología puede eliminar cualquier incertidumbre transfiriendo dicho archivo a McAfee Advanced Threat Defense para someterlo a un análisis más profundo. McAfee Advanced Threat Defense incorpora detección de ataques selectivos avanzados gracias a un enfoque por capas que emplea innovadoras funciones de deconstrucción de malware en tiempo real. Entre ellas se incluye un potente sistema de descompresión que desmonta las técnicas de evasión, a fin de identificar el código del ejecutable original para determinar el comportamiento previsto. De esta forma, mientras las defensas de otros proveedores de entornos aislados pueden ser burladas incluso por las tácticas de codificación de malware más sencillas, McAfee Advanced Threat Defense combina varias técnicas pioneras de deconstrucción de código estático en tiempo real con análisis dinámico en entorno aislado, de modo que la detección emplea las propias técnicas de ocultación de los agresores contra ellos mismos. Esta combinación representa la tecnología antimalware avanzado más potente del mercado y equilibra de una forma real las necesidades de seguridad y de rendimiento. McAfee Global Threat Intelligence

Información de terceros

McAfee McAfee Threat Threat Intelligence Intelligence Exchange Server Exchange Server



NO

Software McAfee ePO

Módulo McAfee Threat Intelligence Exchange para endpoints

Módulo VirusScan de McAfee Threat Intelligence Exchange

Figura 5. Síntesis de información y reputación de la nube, la red y los endpoints.

Consiga protección de los endpoints a la red y viceversa. Cuando McAfee Threat Intelligence Exchange se utiliza con McAfee Advanced Threat Defense, la inmunidad frente a los ataques selectivos avanzados es mucho mayor. Se crea una moderna defensa contra amenazas en profundidad: una combinación de funciones de evaluación de comportamiento, reputación y basada en firmas tanto en la red como en los endpoints. La directiva puede indicar a los endpoints de McAfee que bloqueen las cargas útiles de reputación "conocida" y que posteriormente transfieran el archivo a McAfee Advanced Threat Defense para que lo examine y ofrezca un veredicto: inocente o culpable. Si se confirma la naturaleza maliciosa del archivo, el sistema publica esta información con una actualización de reputación a través de Data Exchange Layer, para ponerla a disposición de todas las contramedidas de la empresa. Por ejemplo, los endpoints con McAfee Threat

Ataques selectivos avanzados: la necesidad de un sistema integrado

9

Informe

Intelligence Exchange contarán con protección proactiva si el archivo intenta ejecutarse en el futuro, y los gateways de red pueden evitar que el archivo entre en la empresa. Las detecciones en los gateway de red se someten a este proceso de análisis detallado y además la información se transmite a los endpoints. Esta capacidad de compartir información y reputación pone de manifiesto las ventajas de la integración de endpoints y redes que ofrece la plataforma exclusiva Security Connected, como eliminar los ángulos muertos cuando la carga útil de distribuye fuera de banda. La conexión entre las soluciones de seguridad de McAfee que actúan en distintos vectores reduce drásticamente la exposición a nuevo malware, así como el tiempo de corrección y la necesidad de rediseñar la arquitectura de red. Utilice la integración con VirusTotal para evaluar las aportaciones y medidas de otros proveedores antimalware, a fin de perseguir una determinada amenaza potencial en su propio entorno.

Caso 3: detección precoz de ataques con McAfee Enterprise Security Manager Por último, muchas empresas desean aprovechar la visibilidad y la capacidad de correlación que proporciona McAfee Enterprise Security Manager para obtener más rápidamente información visual del panorama de las amenazas en sus entornos. La función de administración de información y eventos de seguridad (SIEM) de McAfee Enterprise Security Manager puede recopilar información práctica de McAfee Threat Intelligence Exchange y McAfee Advanced Threat Defense, y emplea un motor de base de datos patentado de alto rendimiento para recopilar y correlacionar datos de registros y eventos procedentes de cientos de fuentes de datos. Este conjunto de datos ampliado y diferenciado le permite responder a la pregunta: "¿Qué hosts de mi entorno muestran comportamientos que coincidan con información de amenazas reciente?", mientras trabaja para comprender los ataques y actuar contra ellos. Cada vez que McAfee Threat Intelligence Exchange identifica un nuevo evento malicioso (un "primer caso") e indica a los clientes que lo ejecuten o bloqueen, McAfee Enterprise Security Manager puede llamar la atención de los administradores sobre el evento y activar los flujos de trabajo de mitigación, como actualizar las directivas sobre endpoints prácticamente en tiempo real. Al vincular los procesos de prevención/detección/respuesta en un bucle cerrado, los flujos de trabajo y las listas de vigilancia de McAfee Enterprise Security Manager convierten los hallazgos de McAfee Threat Intelligence Exchange y SIEM en una mejor protección y gestión de riesgos para su empresa.

Estudie el pasado para corregir el futuro McAfee Enterprise Security Manager utiliza los elementos proporcionados por McAfee Advanced Threat Defense y McAfee Threat Intelligence Exchange para localizar eventos en los archivos de McAfee Enterprise Security Manager y alertar sobre otros eventos relacionados que puedan ocurrir en el futuro. Esto permitiría volver atrás en el tiempo y aprovechar la información recién obtenida para identificar otras interacciones maliciosas anteriores que pasaran desapercibidas en el momento de su entrada al sistema. Por ejemplo, el hash de archivo que resulta cuando se determina que un archivo es malicioso a través de McAfee Threat Intelligence Exchange o McAfee Advanced Threat Defense podría cargarse en una lista de vigilancia de SIEM. McAfee Enterprise Security Manager utiliza entonces la información almacenada en la lista de vigilancia para compararla con eventos históricos que hayan sido indexados o con nuevos eventos en tiempo real. Debido a que muchos productos generan hash de archivo —no solo McAfee Advanced Threat Defense, sino también otras soluciones de supervisión de la integridad de los archivos como McAfee Change Control, sistemas de prevención de intrusiones en red y en host, y motores antimalware de gateway de la Web-, el hecho de compartirlos aumenta la sensibilización frente a las actividades en toda la empresa. McAfee Threat Intelligence Exchange publica los datos de reputación sobre estos sistemas para imponer un bloqueo, y la solución McAfee Enterprise Security Manager proporciona un entorno en el que se reconstruye todos los incidentes con el fin de crear una imagen completa de las actividades maliciosas. Además de los hashes de archivos, McAfee Enterprise Security Manager podría aprovechar otro tipo de indicadores de ataque generados por McAfee Advanced Threat Defense y McAfee Threat Intelligence Exchange. En ambos casos se obtiene más información asociada a sus hallazgos, como nombres de archivos, información de IP, hashes de carga útil, prevalencia y nombre de host.

Ataques selectivos avanzados: la necesidad de un sistema integrado

10

Informe

Y no olvidemos que los informes de McAfee Advanced Threat Defense incluyen más información sobre los archivos asociados con el ataque. Cuando se despliegan juntos McAfee Advanced Threat Defense y McAfee Enterprise Security Manager, se puede realizar un filtrado con McAfee Enterprise Security Manager, basado en los archivos maliciosos generados por McAfee Advanced Threat Defense y, a continuación, analizar los eventos para localizar estos archivos según una serie de características. Una vez localizados los archivos, un investigador podría filtrar aún más ese subconjunto de datos con las direcciones IP y nombres de archivos proporcionados también por McAfee Advanced Threat Defense. McAfee Enterprise Security Manager informará sobre todos los resultados históricos específicos de atributos generados por McAfee Advanced Threat Defense y supervisará cualquier evento posterior. Al identificar los eventos en la secuencia de un ataque, McAfee Enterprise Security Manager puede iniciar la contención, corrección y adaptación automáticamente. Por ejemplo, los hosts implicados podrían recuperar una actualización de directivas inmediata, ponerse en cuarentena o analizarse.

Cambiar la dinámica de la lucha

Estos casos ilustran cómo recuperar la información mejor, más completa y aprovechable e incorporarla en sus defensas para impulsar acciones de protección automáticamente. Puede conectar sus operaciones de detección, análisis y protección en las capas de datos y flujos de trabajo para que compartan información, con el fin de ofrecer una seguridad para su empresa óptima y en tiempo real. Además, puede conocer, perseguir y eliminar las amenazas de manera eficaz en todo el entorno, actuando en función de información recibida en tiempo real y estudiando el pasado para proteger el futuro. La integración de esta información adaptable y las comunicaciones en tiempo real en la plataforma Security Connected permite a McAfee cambiar la dinámica de la lucha contra los ataques selectivos avanzados. McAfee Threat Intelligence Exchange enriquece la información sobre amenazas para formar los indicadores de ataque y actuar contra ellos, mientras que Data Exchange Layer añade contexto y organización a la plataforma McAfee Security Connected. Gracias a McAfee Advanced Threat Defense y McAfee Enterprise Security Manager, así como a su amplia gama de contramedidas entre los endpoints y la red, McAfee continúa proporcionando la protección contra amenazas más completa del sector, un sistema optimizado para conseguir una ventaja sostenible contra los ataques selectivos avanzados. Para obtener más información, visite: www.mcafee.com/es/solutions/incident-response/comprehensive-threat-protection.aspx www.mcafee.com/es/solutions/incident-response/index.aspx www.mcafee.com/es/products/threat-intelligence-exchange.aspx www.mcafee.com/es/products/advanced-threat-defense.aspx www.mcafee.com/es/products/siem/index.aspx

Acerca de Intel Security

McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected, su innovador enfoque de seguridad reforzada por hardware y su exclusiva red Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar soluciones y servicios de seguridad proactivos que protejan los sistemas, las redes y los dispositivos móviles de uso personal y empresarial en todo el mundo. Intel Security combina la experiencia y los conocimientos de McAfee con la innovación y el rendimiento demostrados de Intel para hacer de la seguridad un ingrediente fundamental en todas las arquitecturas y plataformas informáticas. La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar de forma segura en el mundo digital. www.intelsecurity.com. www.intelsecurity.com.

1. http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf McAfee. Part of Intel Security. Avenida de Bruselas n.° 22 Edificio Sauce 28108 Alcobendas Madrid, España Teléfono: +34 91 347 8500 www.intelsecurity.com

Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee, el logotipo de McAfee, ePolicy Orchestrator, McAfee ePO y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin previo aviso; se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Copyright © 2014 McAfee, Inc. 60945wp_it-takes-a-system_0214B