Behavioral Analysis & BaseliningLa clave para detectar amenazas avanzadas

¿Quiénes somos y qué hacemos diferente?

Somos una empresa local con 34 empleados que nos dedicamos a proveer servicios de comunicaciones y ciberseguridad en la isla en instituciones bancarias, comercio y la industria de la salud.

¿Quiénes somos y qué hacemos diferente?

En VPNet entendemos y reconocemos que la guerra cibernética no se puede combatir con herramientas convencionales. Por eso nos hemos dado a la tarea de identificar y evaluar las plataformas más robustas de seguridad en la industria. Utilizando una combinación de productos hemos logrado traer al mercado la mejor línea de defensa contra los ataques cibernéticos.

Security Operation Center

Análisis de comportamiento

• El nuevo “buzzword” que ha declarado ineficientes a los antivirus tradicionales.

• Para analizar el comportamiento de un sistema, necesitamos capturar, almacenar y organizar toda la información que sea posible sin afectar el rendimiento.

• Es necesario usar agentes pequeños, pero altamente efectivos.

Análisis de comportamiento

• Requieren una gran capacidad de almacenaje en disco.

• Amplio procesamiento de análisis en un sistema dedicado fuera de las redes de producción tradicionales, “SIEM’s” como Splunk, QRadar, etc.

Baselining

• “Baselining” es un método para analizar el rendimiento de una red de computadoras. Este método se destaca por comparar el rendimiento actual a una métrica histórica o “baseline”.

• Dentro del análisis de seguridad, es el análisis de patrones de tráfico para detectar cambios en las tendencias rutinarias. ej. Usuarios comportándose diferente.

Incremento en los ataques “Non-Malware”

Tipos de ataque (“non-malware”)

1 2 3 4

1. Usuario de Firefox, llevado por mensaje “SPAM”.2. A través de Flash, se le envía la vulnerabilidad.3. Flash invoca Powershell, el cual opera en la memoria.4. Powershell se conecta a un servidor de control en donde baja comandos legítimos que buscan, encuentran datos sensitivos, y se los envían al atacante. Como verán, este ataque nunca descargó algún malware.

¿Qué necesitamos?

• Un buen “Security Information and Event Management - SIEM” con mucha capacidad de ingestión de datos.

• Toda la información/eventos que podamos obtener.

• Alta cantidad de almacenaje.

¿Qué necesitamos?

• Capacidad extraordinaria de CPU para analizar todos los datos de manera oportuna.

• Apoyo inteligente y actualizado, durante el 2016 un promedio de 20,000 nuevas firmas de “malware” fueron creados diariamente.

¿Qué necesitamos?

• Registros de sesión: “logfiles” configurar todos los sistemas para generar registros de sesión para todos los eventos de tráfico y sistemas.

• Agente inteligente para recolectar los datos alámbricos.

• Capaz de descifrar tráfico encriptado SSL/TLS.

• Detalles relevantes sobre las comunicaciones entre los “hosts”.

Datos alámbricos (Wire Data)

• Necesitamos ir más allá que un “WireShark” con datos en vivo.

• Los datos alámbricos complementan los datos de registro.

• Grandes cantidades de datos alámbricos pueden ser recolectados sin causar un impacto notable en los sistemas de producción.

Datos alámbricos (Wire Data)

• Tradicionalmente, estos han sido utilizados para descubrir y remediar asuntos relacionados al estado y rendimiento de una red.

• Pueden ser recolectados a través de múltiples protocolos (SSH, FTP, SMTP, IMAP, etc.)

Datos alámbricos

•

Datos alámbricos

Machine Learning

• Usa algoritmos para analizar los datos recolectados sobre usos de programas y patrones de tráfico.

• Lo que le toma dos días a un equipo IT para entender, un algoritmo ML lo puede comprender en un dia.

• Los algoritmos de ML tienen la capacidad de aprender y predecir basados en experiencias y resultados.

Machine Learning

• El análisis que toma ahora 24 horas, al dia siguiente le tomará 20 horas, y al siguiente 12 horas, y así sucesivamente.

• Mediante el “aprendizaje” y la “predicción”, el ML logra niveles que los humanos no pueden alcanzar, especialmente cuando se trata de tareas automatizadas.

“Streaming Prevention”• Al recolectar, correlacionar y analizar eventos de los

nodos en tiempo real, “Streaming Prevention” puede identificar y detener un ataque mientras se concibe. Esto se logra al evaluar el riesgo de cada evento en una secuencia o conglomerado, con cada evento nuevo provocando una nueva evaluación. Cuando el nivel de riesgo excede un umbral determinado, “Streaming Prevention” detiene el ataque automáticamente.

“Streaming Prevention”

“Streaming Prevention”• Como observamos en la gráfica anterior, “Streaming

Prevention” utiliza “event stream processing” (ESP), la misma tecnología que revolucionó el intercambio algorítmico en la bolsa de valores. Similar a aplicaciones dirigidas a ese propósito, “Streaming Prevention” actualiza continuamente un perfil de riesgo basado en un flujo constante de actividad nodal. Cuando múltiples eventos potencialmente maliciosos ocurren en sucesión, nuestro software detiene el ataque.

“Streaming Prevention”

Colaboración• Apoyo de inteligencia de amenazas

– La habilidad de las empresas de recolectar y analizar información de una variedad de fuentes sobre los vectores de amenazas más recientes y luego, utilizar esa información para ayudar a la detención de ataques.

– Suscribirse a los servicios de inteligencia de amenazas provistos por muchos vendedores de seguridad.

Colaboración

• Un mejor acercamiento es participar en un centro de intercambio de información y análisis, donde los datos de amenaza propios a la industria son compartidos y luego, incorporados en el análisis local y herramientas.

• Las direcciones de IP’s maliciosas y conocidas pueden entrar a los “firewalls” y bloquearlos, dominios maliciosos pueden ser agujereados (“dropped”) por servidores DNS y archivos maliciosos descargados pueden ser identificados por herramientas de monitoreo de red.

Colaboración

• Por ejemplo, nosotros usamos al menos 22 diferentes fuentes para inteligencia de amenazas y clasificación de reputación.

Conclusión

• No estamos solos. Para poder defenderse ante los altamente sofisticados y efectivos atacantes en la actualidad. Los programas de información de seguridad de la empresa deben ser lo suficientemente adaptables como para incluir nuevos métodos que lleven a una mejor toma de decisiones.

• Añadir inteligencia de amenazas a un programa de InfoSec ayuda a las empresas a priorizar las actividades de seguridad y a enfocarse en las áreas con más posibilidad de detener atacantes.

Q & A

¡Gracias por su atención!Referencias:

– Symantec Internet Security Threat Report– Splunk Stream App– Carbon Black Streaming Prevention– Carbon Black Threat Report– Timedoctor.com– How threat intelligence can give enterprise security

the upper hand by Nick Lewis