Según Gartner, las herramientas de defensa tradicionales fallan en proteger a las empresas de ataques focalizados y malware avanzado. En 2013, las empresas gastarán más de US$ 13.000 millones en firewalls, sistemas de detección de intrusiones (IPSs), plataformas de protección de terminales y gateways de Web seguros. Con todo, los ataques focalizados avanzados (advanced targeted attacks ó ATAs) y el malware avanzado sigue siendo plaga en las empresas. Un analista de Gartner propone nuevos abordajes para mejorar la eficiencia contra estos ataques.
Para ayudar a los gerentes de seguridad a elegir y desplegar las soluciones más efectivas de tecnologías de defensa contra las amenazas persistentes avanzadas (Advanced Persistent Threats o APT), desarrolló un marco que contempla cinco estilos de defensa de amenazas avanzadas. Este marco donde las ATAs y el malware está en las filas, en tanto las columnas representa el marco temporal en el que la solución es más efectiva. Hay que observar que nosotros, al igual que, muchos proveedores brindamos soluciones con características de estilos adyacentes.
Estilo 1 – Análisis del tráfico de la red
Este estilo incluye un amplio rango de técnicas de análisis de tráfico de red. Por ejemplo, patrones anómalos de tráfico de DNS son un fuerte indicador de actividades de botnets. Los registros de NetFlow (y otros tipos de registro de flujo) brindan la habilidad para establecer horizontes de patrones de tráfico normal y resaltar los patrones anómalos que representan un entorno comprometido. Algunas herramientas combinan análisis de protocolo y análisis de contenido.
Estilo 2 – Análisis forenses de la red
Las herramientas forenses de red proveen una completa captura de paquetes y almacenamiento de tráfico de red, y proveen herramientas analíticas y de reportes para soportar la respuesta a incidentes, y las necesidades de investigación y de análisis de amenazas avanzadas. La habilidad de esas herramientas de extraer y retener metadatos diferencian a estas soluciones enfocadas en seguridad de las herramientas de captura de paquetes orientadas al comprador de operaciones de redes.
Estilo 3 — Análisis de cargas
Al usar un entorno de prueba (sandbox), la técnica del análisis de la carga (Payload Analysis) es usada para detectar malware y ataques enfocados casi en tiempo real. Las soluciones de análisis de carga proveen reportes detallados acerca del comportamiento de malware, pero no habilitan la capacidad luego de producido el compromiso de monitorear el comportamiento de la terminal a través de varios días, semana so meses. Las empresas que busquen esa capacidad necesitarán usar funciones de respuesta a incidentes de las soluciones en el Estilo 5 (Análisis forense de terminales). Los entornos de arenero pueden residir en locación del cliente o en la nube.
Estilo 4 — Análisis de comportamiento de terminal
Hay más de un abordaje para el análisis del comportamiento de terminales para defender contra ataques enfocados. Varios proveedores se enfocan en el concepto de contención de aplicaciones para proteger los terminales, al aislar aplicaciones y archivos en contenedores virtuales. Otras innovaciones en este estilo incluyen configuración del sistema, monitoreo de memoria y procesos para ataques de bloques, y técnicas para asistir con respuestas a incidentes en tiempo real. Una estrategia enteramente diferente para la defensa de ATAs es restringir la ejecución de aplicaciones a sólo las buenas aplicaciones conocidas, un sistema que se conoce como “whitelisting”.
Estilo 5 — Análisis forense de terminales
Este estilo sirve como una herramienta para los equipos de respuesta de incidentes. Los agentes de terminales recogen datos del huésped que monitorean. Esas soluciones son útiles para señalar qué computadoras fueron comprometidas por malware, y destacar comportamientos específicos del malware.
Debido a los desafíos en el combate de ataques enfocados y malware, las organizaciones conscientes de la problemática de seguridad deberían planificar la implementación de al menos dos estilos de este marco propuesto. Este framework es útil para destacar qué combinaciones de estilos son las más complementarias. La protección efectiva viene de combinar tecnologías de diferentes filas (por ejemplo redes/cargas, cargas/terminales o redes/terminales). La misma lógica aplica a la combinación de estilos de diferentes columnas, según Gartner (diferentes horizontes temporales). El abordaje más efectivo es combinar estilos diagonalmente a través del marco propuesto.
Si necesita un diagnóstico o implementar políticas de seguridad en su empresa no dude en contactarnos. Con gusto lo ayudaremos a encontrar la solución que mejor se adapte a su organización. Info: info@brainlabs.com.
Más información aquí.