- Parte 1. Cómo mitigar APTs. Teoría aplicada
- Parte 2. Las 4 mejores estrategias de mitigación para el 85% de las amenazas
- Parte 3. Otras estrategias. Para una verdadera defensa blindada
- Parte 4. Hombre prevenido vale por dos: la Estrategia de Detección de Amenazas Persistentes
Avanzadas (APT)
Parte 2. Las 4 mejores estrategias de mitigación para el 85% de las amenazas
En la Parte 1 de esta serie, nos referimos a la importancia de la mitigación de APTs, destacando algunas de las teorías y enfoques para el éxito (en su mayoría las 35 Estrategias Principales de Mitigación de la ASD). Esta segunda parte analiza con mayor profundidad el enfoque de las “4 Estrategias Principales de Mitigación”, eficaces contra al menos el 85 por ciento de todos los ataques dirigidos.
En la Parte 1, Kaspersky Lab clasificó los 35 puntos de la ‘Estrategia de Mitigación’ de la ASD en cuatro áreas lógicas clave, cada una de las cuales debe ser considerada como parte de una estrategia eficaz de mitigación de amenazas:
| Medidas | Breve descripción |
| Administrativas | Capacitación, seguridad física |
| Redes | Estas medidas son más fáciles de implementar a nivel de hardware de red |
| Administración del sistema | El sistema operativo contiene todo lo necesario para su implementación |
| Soluciones especializadas de seguridad | Se puede utilizar software de seguridad especializado |
Se deben considerar1 los cuatro tipos de estrategias. Los investigadores de Kaspersky Lab han demostrado que los ciberdelincuentes utilizan una amplia variedad de técnicas para acceder a información corporativa confidencial. Las empresas deben responder de la misma manera, utilizando una variedad de estrategias de mitigación, desde la capacitación de los empleados hasta el uso de tecnologías heurísticas y en la nube muy sofisticadas, para cubrir todos los frentes posibles. Esta es la única vía para la mitigación exitosa de las modernos APTs.
Kaspersky Lab no se limita a proteger contra las APTs los componentes seleccionados de la infraestructura informática. Como organización impulsada por la tecnología, hemos trazado las estrategias según nuestra visión de una estrategia defensiva de varias capas de alta efectividad que creemos se ajusta bien a la lista de la ASD. La seguridad efectiva tiene que ser multi-capas, con Advanced Anti-Malware en el núcleo de capas adicionales de mecanismos de Mitigación de APTs , tales como Control de aplicaciones, Gestión de vulnerabilidades y otros.
Además de las zonas lógicas de las estrategias, también hay clasificaciones de las amenazas, útiles para su mitigación. En base a nuestros datos estadísticos recopilados durante un largo período, Kaspersky Lab estima que un 67% de los intentos de ataques está compuesto de virus conocidos con firmas identificadas y catalogadas. Cuando el archivo se inicia y ejecuta a través de una lista negra, se lo detiene de inmediato si hay una coincidencia en la lista negra. Kaspersky aplica otras tecnologías diseñadas para detectar programas maliciosos desconocidos, las cuales permiten identificar el 32% de estos ataques. El último, pero muy importante 1% de las amenazas, consiste en programas maliciosos avanzados, que son la esencia de las APTs. Las soluciones de seguridad corporativas deben ser capaces de mitigar todos estos tipos posibles de amenazas.
Para tener una sólida protección, se deben aplicar las 35 Estrategias Principales de Mitigación de la ASD de esta lista.
Las soluciones de Kaspersky Lab cumplen tres de las cuatro principales estrategias
Diecinueve de las treinta y cinco estrategias que figuran en el cuadro anterior se pueden implementar utilizando software especializado de seguridad informática. Las soluciones de Kaspersky Lab responden a la mayor parte de ellas con tecnologías eficaces para la aplicación de tres de las cuatro principales estrategias de mitigación: Control de aplicaciones / Listas blancas dinámicas y Evaluación de vulnerabilidades/Gestión de parches. Veámoslas con mayor detenimiento:
| Clasificación de la ASD | Estrategia de mitigación | Tecnologías de Kaspersky Lab | Productos de Kaspersky Lab |
| 1 | Lista blanca | Lista blanca dinámica | Kaspersky Endpoint Security for Business. Kaspersky Security for Virtualization | Light Agent. |
| 2 | Parchar vulnerabilidades en las aplicaciones | Vulnerabilities Assessment y Patch Management | Kaspersky Endpoint Security for Business niveles Advanced y Total. |
| 3 | Parchar vulnerabilidades en el sistema operativo |
Es crucial para proporcionar a los administradores del sistema la capacidad de gestionar todas las funciones de apoyo a las estrategias a través de un único y conveniente punto de control. Para los productos de Kaspersky Lab ofrecemos Kaspersky Security Center (KSC) como consola centralizada.
Application Whitelisting en Kaspersky Endpoint Security for Business y Kaspersky Security for Virtualization.
La Lista blanca de aplicaciones es la estrategia anti-APT más valiosa que una organización puede adoptar. Forma una poderosa capa de protección contra los componentes ejecutables de los APTs, incluyendo los aún desconocidos. El interés en el control de aplicaciones para equipos de escritorio y servidores ha aumentado constantemente en los últimos 5 años.
La solución de Kaspersky Lab implementa la Lista blanca dinámica (Dynamy Whitelisting). Según Gartner2, las mejores implementaciones de control de aplicaciones incluyen listas blancas de software ‘seguro’ proporcionadas por el proveedor, seguimiento automático de los cambios aprobados y actualizados continuamente desde una base de datos en la nube, que hacen que sea de verdad ‘dinámica’. El Control de aplicaciones junto a la Lista blanca dinámica pueden ayudar a proteger los sistemas y proporcionar a los administradores el control total sobre las aplicaciones que se pueden ejecutar en los puntos finales, independientemente del comportamiento del usuario final. Asimismo, es capaz de bloquear o permitir determinadas aplicaciones especificadas. El escenario más seguro, la Denegación Predeterminada, implica bloquear la ejecución de cualquier aplicación que no haya sido específicamente autorizada por el administrador. Esto significa que los componentes de un ataque dirigido que son esencialmente aplicaciones no se podrán ejecutar, con lo que el desarrollo del ataque queda eficazmente neutralizado. Con la implementación de este escenario, Kaspersky Lab se asegura de que todos los componentes no modificados del sistema operativo sigan funcionando sin interrupción.
En cuanto al Control de aplicaciones y la Lista blanca dinámica, Gartner recomienda la creación de un inventario y de imágenes “Gold”. La creación de inventario permite que los administradores del sistema obtengan una visión completa de todo el software instalado en todos los sistemas de la empresa. Esta información es vital. No se puede controlar lo que no se sabe que se tiene y los mejores planes de implementación de listas blancas comienzan con un inventario. Una vez completado, todos los registros sobre el software instalado en la red corporativa se almacenarán en una sola base de datos y en un formato adecuado que facilite su análisis.
Una imagen ‘Gold’ es una plantilla pre-construida de la instalación perfecta que cada compañía elige: todas las aplicaciones corporativas críticas y los ajustes se implementarán según las mejores prácticas y se ajustarán para ejecutarse con un rendimiento óptimo. Gartner también ha identificado la tecnología del Control de aplicaciones como una de las funciones de seguridad tradicional más útiles para la protección de los sistemas corporativos3. Kaspersky cree que estas medidas para la defensa de infraestructuras críticas deberían ser obligatorias.
Kaspersky Lab ha desarrollado sus propias tecnologías de Control de aplicaciones y Lista blanca, integrándolas a la perfección con el resto de componentes de seguridad en Kaspersky Endpoint Security for Business. Kaspersky Security for Virtualization | Light Agent y Kaspersky Security for Mobile también incorporan esta tecnología. El Control de aplicaciones móviles (Mobile Application Control) no incluye aún la Lista blanca dinámica, pero es posible configurar un escenario Default Deny para los móviles corporativos.
Con una división dedicada a listas blancas, el servicio de Lista blanca de Kaspersky Lab proporciona continuamente bases de datos actualizadas de las aplicaciones verificadas como legítimas, confiables y seguras. La base de datos de Listas blancas de Kaspersky actualmente incluye información sobre 1 400 millones de archivos ejecutables únicos, compilados por un equipo dedicado de analistas. En 2013, después de exhaustivas pruebas aplicadas por el independiente AV-Test Institute, recibió el Certificado de Servicio Aprobado de Listas blancas. También vale la pena mencionar que el Control de aplicaciones con Listas blancas dinámicas y Denegación predeterminada de Kaspersky consiguió las mejores puntuaciones en todas las pruebas independientes en las que participó.4
Para ayudar en la implementación del Control de aplicaciones y la Lista blanca, incluyendo muchas funciones automatizadas, Kaspersky Systems Management (disponible como parte de Kaspersky Endpoint Security for Business o como un conjunto independiente de herramientas) proporciona el Inventario y las herramientas de creación y procesamiento de imagenes, cumpliendo el consejo de Gartner.
Vulnerability Assessment y Patch Management en Kaspersky Endpoint Security for Business.
En la segunda y la tercera posición en la lista de medidas anti-APTs, los parches para aplicaciones y el sistema operativo son componentes esenciales para el éxito de cualquier estrategia de mitigación de amenazas. Las vulnerabilidades de “riesgo extremo” en las aplicaciones corporativas, los sistemas operativos y otro software que utilizan las organizaciones, pueden permitir la ejecución no autorizada de códigos por parte de ciberdelincuentes, con consecuencias negativas para la compañía.
Los componentes Gestión de parches y Evaluación de vulnerabilidades de Kaspersky Lab se implementan como parte de nuestra tecnología de Sistemas de Gestión, integrándolos en la más amplia gestión día a día de sistemas, para facilitar su uso. Analicemos lo que hace cada uno de estos componentes.
La Evaluación de vulnerabilidades es un elemento crítico en la protección de compañías contra ataques que involucran explotación de vulnerabilidades en software, incluyendo ataques dirigidos. Un departamento de informática que use la Evaluación de vulnerabilidades podrá detectar con prontitud vulnerabilidades en el software corporativo que los ciberdelincuentes podrían explotar, y tomar sin demora medidas para cerrar estas brechas de seguridad mediante la Gestión de parches.
Se aplica un agente especial de software en el punto final para detectar vulnerabilidades. Su función es analizar las versiones del sistema operativo Windows y otro software instalado, y compararlas con los registros de la base de datos de vulnerabilidades de Kaspersky Lab, que están en constante actualización. Nuestra base de datos contiene toda la información necesaria sobre vulnerabilidades en aplicaciones populares de terceros. La Evaluación de vulnerabilidades fue diseñada para su uso conjunto con la Administración de parches para neutralizar las vulnerabilidades de software con prontitud y eficacia.
La Gestión de parches ayuda a mantener permanente actualizados los puntos finales, lo que permite neutralizar los riesgos de ataques con exploits. Los sistemas de Gestión de parches de Kaspersky Lab ofrecen a los administradores de sistemas un alto nivel de automatización, y pueden usarse en lugar de o junto con WSUS de Microsoft.
Las tecnologías Evaluación de vulnerabilidades y deGestión de parches de Kaspersky Lab están disponibles en los niveles Advanced y Total de Kaspersky Endpoint Security for Business.
En cuanto al número de ‘parches administrados’, la solución de Kaspersky Lab es líder del mercado, ganando el primer lugar por el número de productos parchados y de marcas. La eficacia de la solución de Gestión de parches de Kaspersky Lab ha sido comprobada en pruebas independientes, incluyendo la última realizada por AV-test.
Veamos una vez más las tecnologías desde el punto de vista de la clasificación de amenazas, que hemos mencionado al principio del documento. El Control de aplicaciones junto a la Lista blanca, la Evaluación de vulnerabilidades y la Gestión de parches tienen el propósito de mitigar las amenazas desconocidas como parte de cualquier APT. Para las amenazas más avanzadas, Kaspersky Lab también ofrece Automated Exploit Prevention, System Watcher y Default Deny
Las tecnologías Control de aplicaciones, Lista blanca dinámica, Evaluación de vulnerabilidades y Gestión de parches de Kaspersky Lab, Dynamic Whitelisting, implementan 3 aspectos las 4 estrategias principales de mitigación eficaz. Un aspecto importante de los ataques dirigidos (explotar vulnerabilidades de software) podría mitigarse eficazmente aplicando estas medidas. Pero la defensa blindada necesita algo más que estas 4 estrategias. En la tercera parte de este documento, analizaremos en detalle el resto de las útiles estrategias anti-APTs.
1 Descritas en la Parte 1 de Estrategias para Mitigar APTs
2 Cómo implementar con éxito el Control de aplicaciones, ID Gartner G00246912
3 Panorama competitivo: Protección de infraestructuras críticas, ID Gartner G00250700
4 Para ver en detalle los resultados de las pruebas por favor vaya a estas páginas: 1, 2 y 3.