- Parte 1. Cómo mitigar APTs. Teoría aplicada
- Parte 2. Las 4 mejores estrategias de mitigación para el 85% de las amenazas
- Parte 3. Otras estrategias. Para una verdadera defensa blindada
- Parte 4. Hombre prevenido vale por dos: la Estrategia de Detección de Amenazas Persistentes
Avanzadas (APT)
Parte 3. Otras estrategias. Para una verdadera defensa blindada
En la parte 2 de esta serie, nos fijamos en cómo las 4 estrategias principales de mitigación de APTs de la lista de la ASD pueden proteger contra el 85 por ciento de todas las amenazas. Pero ¿qué pasa con el otro 15 por ciento? Ahí es donde entran en juego las otras medidas de la lista.
Si bien no existe el 100 por ciento de seguridad, Kaspersky recomienda aplicar un enfoque multi-capas para la seguridad informática, para lo cual ofrece una defensa muy eficaz contra amenazas conocidas y desconocidas. Las tecnologías de Kaspersky Lab ofrecen la mayor parte de las 35 estrategias de mitigación recomendadas por la ASD1. Veamos en detalle.
| Clasificación de la ASD | Estrategia de mitigación, nombre corto | Tecnologías de Kaspersky Lab |
| 1 | Lista blanca de aplicaciones | Lista blanca dinámica |
| 2 | Parchar vulnerabilidades en las aplicaciones | Vulnerability Assessment y Patch Management |
| 3 | Parchar vulnerabilidades en el sistema operativo | |
| 5 | Endurecimiento de la configuración de las aplicaciones del usuario | Web Control (bloqueo de scripts en navegadores web), Web Anti-Virus |
| 6 | Análisis dinámico automatizado de correo electrónico y contenidos web | Mail Anti-Virus y Web Anti-Virus, Security for Mail Server, Security for Internet Gateway, DLP for Mail y Collaboration add-ons |
| 7 | Mitigación de vulneraciones genéricas del sistema operativo | Prevención automática de exploits |
| 8 | HIDS / HIPS | System Watcher y Application Privilege Control |
| 12 | Cortafuegos de aplicaciones basadas en software para el tráfico de entrada | Advanced Firewall |
| 13 | Cortafuegos de aplicaciones basadas en software para el tráfico de salida | Advanced Firewall |
| 15 | Registro de sucesos del ordenador | Kaspersky Security Center |
| 16 | Registro de actividad de la red | Kaspersky Security Center |
| 17 | Filtrado de contenidos de correo | Kaspersky Security for Mail Sever |
| 18 | Filtrado de contenidos de Internet | Web Control |
| 19 | Lista blanca de dominios web | Web Control |
| 20 | Bloqueo de mensajes de correo fraudulentos | Anti-Spam |
| 22 | Solución antivirus en base al método heurístico y clasificaciones automáticas de reputación en Internet | Anti-Malware |
| 26 | Control de medios removibles y portátiles | Device Control |
| 29 | Inspección de archivos de Microsoft Office en estaciones de trabajo | Anti-Malware |
| 30 | Solución antivirus en base a firmas | Anti-Malware |
¿Cómo responden las tecnologías de Kaspersky Lab a las 35 Estrategias Principales de Mitigación de la ASD para software de seguridad especializado?
El Endurecimiento de la configuración de las aplicaciones del usuario, con la desactivación de la ejecución de códigos Java, etc. desde Internet respondió a la 5ª estrategia con la calificación de “excelente” en eficacia.
Entre otras estrategias, aparte de las cuatro más importantes, cubiertas por las soluciones de Kaspersky Lab, veamos el Endurecimiento de aplicaciones del usuario, que incluye la desactivación de la ejecución de códigos Java en el navegador. La tecnología Web Antivirus de Kaspersky admite esta técnica a través del análisis de contenidos del sitio HTTP. Se examinan los contenidos del sitio y, si es necesario, se lo bloquea, en base a las políticas de seguridad o a la presencia de amenazas. Los administradores pueden establecer políticas y normas para responder a las necesidades específicas de la compañía. Mientras Web Antivirus es capaz de bloquear la ejecución de scripts no deseados / peligrosos, el Control de aplicaciones de Kaspersky impide el uso de navegadores no autorizadas o no actualizados, visores de PDF y otros.
Su enfoque específico lo hace relevante sólo para los navegadores más populares; asimismo, todo el software utilizado debe estar configurado correctamente, y las funciones innecesarias o inseguras deben estar desactivadas, de acuerdo con los requisitos y políticas únicas de la organización. No es apropiado dejar que las soluciones de seguridad ajusten automáticamente las aplicaciones legítimas o desactiven sus funciones.
El Análisis automatizado dinámico de correo electrónico y contenidos web respondió a la 6ª estrategia con la calificación de “excelente” en eficacia.
El análisis automatizado dinámico de correo electrónico y de contenidos web que permite detectar contenidos y comportamientos sospechosos, respondió a la 6a. estrategia en la lista de la ASD, con la calificación de “excelente” en eficacia. Las capacidades de las soluciones Mail Anti-Malware y Web Anti-Malware de Kaspersky Lab, diseñadas en base a un análisis heurístico, altamente efectivo, encajan perfectamente con esta recomendación y son capaces de detectar malware que no se encuentra en las bases de datos Anti-Virus tradicionales.
Los analizadores suelen comenzar analizando los códigos de los tipos de contenidos sospechosos característicos en los programas maliciosos (análisis estático). Por ejemplo, muchos programas maliciosos buscan programas ejecutables, los abren y los modifican.
A pesar de su alto rendimiento, las tasas de detección del análisis estático de nuevos códigos maliciosos son bajas, mientras que la tasa de falsos positivos es alta. Las tecnologías de Kaspersky Lab utilizan una combinación de análisis dinámico y estático, emulando la ejecución de una aplicación en un entorno virtual seguro. Si bien el método dinámico requiere mucho más recursos del sistema que el estático, ofrece tasas mucho más altas de detección de programas maliciosos que el método estático, con tasas mucho más bajas de falsos positivos.
El Análisis automatizado dinámico de correo electrónico y contenidos de Internet también debe ser parte de cualquier solución especializada anti-APT completa. Kaspersky Lab considera que, además de un sólido análisis del tráfico de red, los sistemas de seguridad también deben analizar los archivos adjuntos y otros archivos descargados en la caja de arena (sandbox).
La mitigación de vulnerabilidades genéricas en el sistema operativo responde a la 7ª estrategia con la calificación de “excelente” en eficacia.
La mitigación de vulnerabilidades genéricas en los sistemas operativos puede implementarse con el uso de tecnologías nativas (como DEP, ASLR y EMET), pero el uso de herramientas y tecnologías de seguridad especializadas podría aumentar la protección a niveles significativamente más altos.
La Prevención Automática de Exploits de Kaspersky Lab (AEP) reduce significativamente el riesgo de ataques con exploits dirigidos, incluso en el caso de vulnerabilidades día cero. La AEP apunta sobre todo a exploits previamente desconocidos. Otros sistemas de seguridad informática, como Web Anti-virus, File Anti-virus e incluso el filtro anti-spam, se encargan de bloquear los objetos maliciosos genéricos, mejorando así significativamente la seguridad total del usuario final.
La tecnología Enhanced Mitigation Experience Toolkit de Microsoft (EMET) puede parecer, a primera vista, muy similar a la tecnología Automatic Exploit Prevention (AEP) de Kaspersky Lab. Es, sin embargo, una tecnología complementaria en lugar de competidora, que puede trabajar de forma conjunta con los productos de Kaspersky Lab para fortalecer aún más las defensas.
La tecnología de Microsoft bloquea la ejecución de exploits con técnicas como Data Execution Prevention (DEP) y Structured Execution Handling Overwrite Protection (SEHOP (SEHOP). EMET 5.0 también implementa Attack Surface Reduction (ASR), y evita que algunos plugins (como Java) se carguen en Internet Explorer.
Existe cierta superposición entre AEP de Kaspersky y EMET, pero las diferencias entre ambos productos superan por mucho a las similitudes. Además, AEP es sólo un componente de la estrategia de defensa multi-capas que ofrecen los productos corporativos y personales de Kaspersky Lab. El espectro completo de las tecnologías implementadas en los productos de Kaspersky, incluyendo Application Control (AC) y System Watcher (SW) entre muchas otras, supera el alcance de EMET.
El siguiente diagrama ilustra la interconexión entre AEP y EMET, así como la profunda integración entre SW y AEP en los productos de Kaspersky Lab.
Si bien EMET se posiciona sólo como una herramienta de mitigación, AEP se hace cargo de la detección de anomalías y de la mitigación de amenazas. Funciona así: System Watcher proporciona información sobre los principales sucesos del sistema. Esta información sobre el comportamiento del software se compara con las plantillas de funcionalidad y comportamiento malicioso típicos. En base a estos datos, AEP discierne y detecta comportamientos sospechosos en las aplicaciones. Esta tecnología de Kaspersky Lab proporciona un análisis de la situación actual, compara los datos de los sucesos anteriores, los archivos correspondientes, los procesos, las reputaciones etc. para tomar decisiones sobre si se debe permitir o bloquear una determinada aplicación.
En cuanto a la mitigación de la seguridad, AEP y EMET minimizan la probabilidad de explotación de vulnerabilidades, poniendo muchos obstáculos en el camino de las amenazas. Este enfoque bilateral es una ventaja clave de AEP. Implementa una defensa de alto grado contra exploits, con riesgos mínimos de compatibilidad. AEP de Kaspersky Lab es muy fácil de configurar y funciona sin ningún conflicto con el software instalado previamente.
Por varios años consecutivos, Kaspersky Endpoint Security for Business ha obtenido los mejores resultados en la prueba anti-exploits Real World Enterprise Security Exploit Prevention Test llevada a cabo por MRG Effitas. Las pruebas más recientes tuvieron lugar entre noviembre de 2013 y febrero de 2014, tras lo cual la solución de Kaspersky Lab fue galardonada con la certificación MRG Effitas.
Host-based Intrusion Detection/Prevention System respondió a la 8ª estrategia con la calificación de “excelente” en eficacia.
La funcionalidad entre System Watcher and Application Privilege Control de Kaspersky ofrece efectivos sistemas de detección/prevención de intrusiones en base Host (HIDS / HIPS).
System Watcher recopila datos sobre las acciones realizadas por las aplicaciones en los puntos finales y alimenta con esta información a otros componentes para ayudar a mejorar la protección. System Watcher toma decisiones de seguridad en base a los datos de las bases de datos de comportamientos peligrosos de aplicaciones actualizadas regularmente. Tras la detección de un nuevo virus o la modificación de un programa malicioso ya conocido, nuestros expertos añaden un nuevo patrón a la base de datos de heurística y la actualizan junto con las bases de datos antivirus de Kaspersky Lab. Esta tecnología permite bloquear otros programas maliciosos con un comportamiento similar y deshacer las acciones realizadas por las aplicaciones maliciosas.
Junto con las modificaciones del registro y las inyecciones de procesos, System Watcher también detiene las actividades de keylogging. Algunos signos de keylogging se mencionan en plantillas para la detección de comportamientos maliciosos.
Application firewall, que bloquea el tráfico entrante / saliente, respondió a las estrategias 12ª y 13ª con una calificación de “excelente” en eficacia.
Es posible implementar las estrategias 12ª y 13ª de la ASD para cortafuegos de software, con una simple modificación de la configuración predeterminada del cortafuegos de Kaspersky.
Los cortafuegos aplican reglas a todas las conexiones de red, ya sea bloqueando o permitiendo cualquier intento de conexión detectado. La protección contra varios tipos de ataque se lleva a cabo en dos niveles: red y aplicaciones.
El bloqueo de las conexiones innecesarias de red reduce las posibilidades de ataques potenciales limitando la exposición a los servicios de red. El bloqueo del tráfico de red saliente que no generen las aplicaciones de confianza evita que los ciberpiratas extraigan datos corporativos, es decir que los ataques multi-capas complejos tienen menos posibilidades de éxito.
El cortafuegos protege los datos personales almacenados en un nodo local al bloquear todas las amenazas que puedan ser potencialmente peligrosas para el sistema operativo mientras el nodo esté conectado a Internet o a una red LAN. Filtra todas las actividades de red mediante dos tipos de reglas: reglas de software de red y reglas de paquetes de red.
El registro de sucesos o actividades en la red respondió a las estrategias 15ª y 16ª con calificación de “excelente” en eficacia.
Kaspersky Security Center registra los sucesos en ordenadores y las actividades de la red. Los registros de sucesos se pueden visualizar en la Consola de Administración de Microsoft Windows estándar y también se pueden exportar en formato .evtx. Este registro centralizado es crucial para la administración efectiva del sistema.
Los registros son, sin embargo, mucho más útiles cuando se los utiliza junto con herramientas para la interpretación y la fácil generación de informes por parte de los responsables de seguridad. Es por eso que la solución de Kaspersky Lab soporta los principales sistemas de seguridad informática y de gestión de eventos (SIEM), como ArcSight y QRadar2. En esta etapa se transmitirán los sucesos más críticos de la seguridad, como las advertencias sobre contenidos no deseados, el bloqueo de acceso a archivos, las detecciones de diferentes tipos de programas maliciosos, y otros.
El filtrado de contenidos de correo electrónico respondió a la estrategia 17ª con calificación de “excelente” en eficacia.
Kaspersky Security for Mail Sever escanea mensajes de correo entrantes, salientes y almacenados, protege las últimas versiones de las principales plataformas de correo y de colaboración, incluyendo Microsoft Exchange, IBM Lotus Domino y servidores de correo basados en Linux. El filtrado inteligente de spam en la nube para Microsoft Exchange y servidores de correo basados en Linux, funciona en tiempo real para reducir significativamente la carga de tráfico causada por los mensajes no deseados.
La lista blanca de aplicaciones protege los puntos finales como parte de Kaspersky Endpoint Security. Controla la ejecución de los archivos descargados y los archivos adjuntos de correo. Kaspersky Endpoint Security también analiza los archivos PDF y Microsoft Word utilizando las bases de datos de reputación.
El Filtrado de contenidos de Internet respondió a la estrategia 18ª con una calificación de “excelente” en eficacia.
Web Anti-Virus de Kaspersky permite el filtrado de tráfico de Internet, protegiendo los sistemas contra programas maliciosos transportados a través de los protocolos HTTP y HTTPS. Este componente también analiza el tráfico FTP. Kaspersky Anti-Virus for Proxy Server filtra el tráfico de Internet utilizando las tecnologías heurística y de firmas, además de las calificaciones de reputación basadas en la nube. Web Control clasifica los contenidos antes de permitirlos o prohibirlos, en función de su naturaleza.
Cada página web abierta o cada archivo interceptado por el componente Web Anti-Virus se analiza en busca de códigos maliciosos y anomalías. Si una página web u otro objeto se considera peligroso, se bloqueará el acceso. Si la página web o el objeto no está infectado, se permitirá su carga normal. Esto mitiga los llamados ataques ‘Abrevadero’, con los que los ciberpiratas infectan sitios web legítimos populares (noticias, etc.) con el fin de acceder a los sistemas de los usuarios regulares. Los sitios con información técnica, útil para los administradores de sistemas, son blancos populares de los ciberdelincuentes que buscan infectar ordenadores con acceso a los derechos administrativos y a otra información crítica.
Los ataques tipo spearphishing y abrevadero son las formas más comunes de ataques dirigidos, pero no son los únicos. Las tecnologías de Kaspersky Lab evitan que las actividades maliciosas se lancen desde un sitio web, cualquiera que sea el método de ataque de los ciberdelincuentes. Pueden ser ingeniería social, enlaces a los resultados de búsqueda, etc.
La lista blanca de dominios respondió a la estrategia 19ª con una calificación de “excelente” en eficacia.
Web Controls de Kaspersky Lab permite que los administradores de sistemas desarrollen y mantengan listas blancas de dominios para sus organizaciones. Web Control filtra el tráfico HTTP / HTTPS de acuerdo a la política interna de una organización, por lo general bloqueando las redes sociales, música, vídeo y correo no corporativo durante el horario laboral.
Control web funciona de manera similar a los cortafuegos. El administrador crea un conjunto de reglas permitir/bloquear. Las propiedades de las reglas incluyen las cuentas de usuario, programaciones, contenidos y salidas. Las reglas se aplican en el orden que el administrador especifica y las páginas se procesan de acuerdo con la primera regla aplicable.
Las tecnologías heurística y de clasificación automatizada de reputación con base en Internet respondieron a la estrategia 22ª con una clasificación de “buena” en eficacia.
Advanced Anti-Malware, el núcleo de todos los productos de Kaspersky Lab, utiliza las tecnologías heurística y de clasificación automatizada de reputación con base en Internet, que son componentes esenciales de una seguridad informática efectiva. Los archivos y las reputaciones de URLs están disponibles a través de Kaspersky Security Network.
El Control de medios portátiles respondió a la estrategia 26 con una calificación de “buena” en eficacia.
La tecnología de Control de dispositivos de Kaspersky ayuda a mantener y proteger los medios removibles y portátiles. Permite que los administradores controlen varios dispositivos de la red corporativa y, de ser necesario, prohíbe el uso de algunos de ellos. El caso más popular de uso de este componente es el bloqueo de las unidades flash USB no autorizadas.
La inspección de estaciones de trabajo en busca de archivos de Microsoft Word respondió a la estrategia 29 con una clasificación de
buena en eficacia.
Los documentos de Microsoft Word son sólo uno de los tipos de archivos que Advanced Anti-Malware de Kaspersky Lab analiza. Este control es una adición útil a la herramienta Protected View incorporada en Microsoft Office y la extensión de seguridad Office File Validation.
La tecnología Anti-malware basada en firmas respondió a la estrategia 30 con una calificación de “buena” en eficacia.
El núcleo Advanced Anti-Malware de Kaspersky Lab usa una base de firmas de archivos tradicional, además de otros métodos de detección. Los productos de Kaspersky Lab interoperan de forma óptima con software de otras marcas en diferentes tipos de dispositivos, según las recomendaciones de estrategias de ASD. A los clientes que buscan seguir al pie de la letra esta estrategia de mitigación y elegir diferentes marcas para puntos finales y gateways, se les recomienda usar los productos de Kaspersky Lab en los puntos finales, pues nuestro éxito en múltiples pruebas independientes habla por sí mismo.
La combinación en capas múltiples del antimalware para archivos e Internet, el control de aplicaciones y dispositivos, el anti-phishing avanzado y otras tecnologías, se gestiona en su conjunto a través de una única consola en el Centro de Seguridad de Kaspersky, logrando una protección eficaz contra los ataques dirigidos. Cada una de las tecnologías mencionadas en esta serie forma parte de Kaspersky Endpoint Security for Business. Kaspersky Security for Mail Server está disponible sólo en el nivel Total; para el resto de las tecnologías, el nivel Avanzado es más que suficiente.
Liderazgo tecnológico de Kaspersky Lab: Más que un simple proveedor de seguridad.
Kaspersky Lab es más que un simple proveedor de seguridad que promete proteger su infraestructura informática contra casi cualquier amenaza. La seguridad informática está en nuestro ADN: Nuestras tecnologías se basan en la red de inteligencia global de Kaspersky Lab, Kaspersky Security Network, con más de 60 millones de voluntarios en todo el mundo. Esta nube de seguridad procesa más de 600.000 solicitudes por segundo.
Nuestro grupo de expertos en seguridad de primer nivel, Global Research and Analysis Team, es una parte integral de la estrategia de Kaspersky Lab. Su enfoque principal es el descubrimiento y análisis de nuevas armas cibernéticas, así como la predicción de nuevos tipos de amenazas. La reputación de Kaspersky Lab, consolidada por descubrir y mitigar las amenazas más sofisticadas y relevantes, como Epic Turla, Careto y Red October son el resultado de esta dedicación y compromiso con la investigación y el desarrollo.
La experiencia de Kaspersky Lab es reconocida y respetada entre las principales organizaciones de seguridad a nivel mundial. Es nuestro principio detectar y remediar cualquier ataque, independientemente de su origen o destino. Cooperamos y consultamos con Interpol, Europol y muchos CERTs nacionales.
Al ser una compañía completamente impulsada por la tecnología, más de un tercio de los empleados de Kaspersky Lab trabajan en investigación y desarrollo. Todas nuestras soluciones se desarrollan internamente en una sola base de código. Nuestro liderazgo y experiencia han quedado demostrados en múltiples pruebas independientes. En 2013 participamos en 79 pruebas y revisiones. Kaspersky Lab fue nombrada en el “Top-3” 61 veces y obtuvo el primer lugar 41 veces.
Todo esto en combinación hace que Kaspersky Lab tenga un profundo conocimiento sobre la mitigación de riesgos en la seguridad informática, por lo que sus soluciones se encuentran entre las mejores del mercado para implementar las estrategias de mitigación y la gestión de amenazas de su compañía.
1 Las Partes 1 y 2 de esta serie ofrecen más detalles sobre las Estrategias de Mitigación de Amenazas de la ASD.
2 Incluido en Kaspersky Security for Business 10 SP1; lanzamiento programado para la primavera de 2015