Protección de endpoints contra las amenazas persistentes ...
48
WHITE PAPER: TÉCNICO Protección de endpoints contra las amenazas persistentes avanzadas con Symantec Endpoint Protection 12.1 Guía de configuración para la protección contra las amenazas persistentes avanzadas
Transcript of Protección de endpoints contra las amenazas persistentes ...
WH
ITE
PA
PE
R: T
ÉC
NIC
O
Protección de endpoints contra
las amenazas persistentes
avanzadas con Symantec
Endpoint Protection 12.1
Guía de configuración para la
protección contra las amenazas
persistentes avanzadas
Introducción .......................................................................................................... 4
El desafío que plantean las amenazas persistentes avanzadas ........................ 4
Symantec Endpoint Protection 12.1 .................................................................... 6
Protección contra virus y spyware ...................................................................................... 7
¿Por qué debe utilizar el componente Protección contra virus y spyware? .............................. 7
Cómo implementar Protección contra virus y spyware ............................................................ 8
Cómo supervisar Protección contra virus y spyware en busca de actividad maliciosa ........... 10
Cómo probar el funcionamiento de Protección contra virus y spyware ................................. 11
Prevención de intrusiones (IPS) ........................................................................................ 11
¿Por qué debe utilizar Prevención de intrusiones (IPS)? ........................................................ 11
Cómo implementar IPS .......................................................................................................... 12
Cómo supervisar ataques de Prevención de intrusiones ........................................................ 14
Cómo probar Prevención de intrusiones ................................................................................ 15
Diagnóstico Insight de descargas (protección avanzada de descargas) ........................... 16
¿Por qué debe utilizar Diagnóstico Insight de descargas (protección avanzada de descargas)? .................................................................................... 16
Cómo implementar Diagnóstico Insight de descargas ........................................................... 17
Cómo supervisar Diagnóstico Insight de descargas en busca de actividad maliciosa ............ 21
Cómo probar el funcionamiento de la Protección mediante Diagnóstico Insight de descargas .......................................................................................................................... 21
SONAR............................................................................................................................... 23
¿Por qué debe utilizar SONAR? ............................................................................................... 23
Cómo implementar SONAR .................................................................................................... 24
Cómo supervisar SONAR en busca de actividad maliciosa ..................................................... 29
Cómo probar el funcionamiento de SONAR............................................................................ 30
Opciones de políticas basadas en reglas para brindar protección adicional ...... 31
Control de aplicaciones .................................................................................................... 31
¿Por qué debe utilizar Control de aplicaciones? ..................................................................... 31
Cómo implementar Control de aplicaciones .......................................................................... 32
Cómo supervisar Control de aplicaciones en busca de actividad ........................................... 34
Cómo probar el funcionamiento de Control de aplicaciones .................................................. 34
White Paper: Symantec Technical
Protección de endpoints contra las
amenazas persistentes avanzadas con
Symantec Endpoint Protection 12.1
Reconocimiento de aplicaciones ....................................................................................... 35
¿Por qué debe utilizar Reconocimiento de aplicaciones? ....................................................... 35
Cómo implementar Reconocimiento de aplicaciones ............................................................. 35
Cómo supervisar Reconocimiento de aplicaciones en busca de actividad maliciosa ............. 37
Cómo probar el funcionamiento de Reconocimiento de aplicaciones .................................... 37
Bloqueo del sistema .......................................................................................................... 39
¿Por qué debe utilizar Bloqueo del sistema? .......................................................................... 39
Cómo implementar Bloqueo del sistema ................................................................................ 39
Cómo supervisar Bloqueo del sistema en busca de actividad maliciosa ................................ 39
Cómo probar el funcionamiento de Bloqueo del sistema ....................................................... 40
Disminución de falsos positivos ........................................................................ 40
Prevención de falsos positivos .......................................................................................... 40
Corrección de falsos positivos .......................................................................................... 41
Incorporación de excepciones .......................................................................................... 41
Apéndices ............................................................................................................ 43
Reparación ........................................................................................................................ 43
Resumen: Protección en capas en SEP 12.1 ..................................................................... 45
Ofertas adicionales de Symantec para brindar protección contra amenazas persistentes avanzadas .................................................................... 47
Introducción Las amenazas persistentes avanzadas representan serios desafíos para las organizaciones de todos los tamaños. Los
desafíos relacionados con las amenazas persistentes avanzadas incluyen ciberataques diseñados para hacer todo tipo de
cosas, desde robo de datos confidenciales para obtener ganancias económicas y espionaje corporativo hasta sabotaje de
infraestructuras vitales. Estos ataques tienen objetivos específicos y se suelen llevar a cabo mediante software malicioso
sofisticado. La eficacia de la tecnología de análisis antivirus basado en archivos tradicional no alcanza cómo única
protección debido a que un software malicioso determinado asociado con una amenaza persistente avanzada tendrá una
prevalencia sumamente baja, es decir, no se verá ampliamente en Internet. El análisis antivirus basado en firmas tradicional
es reactivo, ya que una firma solo puede escribirse para detectar una amenaza ya conocida.
Symantec Endpoint Protection 12.1 (SEP 12.1) incluye tecnologías de protección que van más allá del análisis antivirus
tradicional para proteger de forma eficaz los endpoints contra el software malicioso sofisticado utilizado por las amenazas
persistentes avanzadas. Este informe proporciona pautas sobre cómo garantizar que las tecnologías de protección de SEP
estén habilitadas y en funcionamiento a fin de proporcionar la mejor protección para los endpoints.
El desafío que plantean las amenazas persistentes avanzadas En muchas ocasiones, las amenazas persistentes avanzadas utilizan software malicioso que es difícil de detectar mediante
el análisis antivirus tradicional y que está diseñado especialmente para ejecutarse durante períodos prolongados sin ser
advertido. Estas amenazas son orientadas y, por lo tanto, no tienen una gran distribución en Internet. Suelen crearse para
atacar objetivos específicos y están diseñadas para evadir la detección con el propósito de robar datos. El tipo de datos que
se desea obtener varía según el atacante y el objetivo (ganancia económica, nombres de usuario/contraseñas, propiedad
intelectual, etc.) del ataque.
Si bien los motivos y objetivos de las amenazas persistentes avanzadas pueden variar ampliamente, estas amenazas suelen
operar en etapas que son comunes en todos los ataques. Las etapas son las siguientes: incursión, detección, captura y
salida. A continuación, se las describe brevemente:
Symantec Endpoint Protection (SEP 12.1) ofrece protección avanzada gracias a que utiliza varias tecnologías para combatir
diversos métodos de ataque orientado que son prevalentes en el panorama actual de amenazas. Si bien este documento
detalla las configuraciones y prácticas recomendadas para utilizar SEP 12.1 contra vectores de amenaza modernos, estos
detalles solo forman parte de una estrategia general de seguridad. Muchas organizaciones cuentan con algún tipo de
solución de seguridad de endpoints instalada e implementada. Pueden producirse filtraciones e intrusiones cuando estas
protecciones basadas en tecnología no son admitidas por procesos y procedimientos de seguridad eficaces, realistas y
sólidos. Por ejemplo:
• ¿Se ha realizado un esfuerzo para clasificar los datos de la organización en función del posible daño que podría
ocasionar la exposición de los mismos?
• ¿Existen políticas (operacionales y basadas en tecnología) que reflejen el acceso de sistemas o individuos a los
datos confidenciales?
• ¿Existe un programa de concientización para educar a los usuarios finales sobre los métodos de ingeniería social
que son prevalentes en los ataques orientados?
• ¿La organización conoce los principios de seguridad operativa? ¿Se ha llevado a cabo una evaluación o auditoría
respecto de la cantidad de información disponible en línea, en las redes sociales o mediante motores de
búsqueda?
• ¿Se cifran los datos confidenciales en tránsito y en reposo?
• ¿Se ha investigado una estrategia de "traiga su propio dispositivo" (BYOD) y de usuario remoto no solo pensando
en la productividad, sino también para fines de cumplimiento y seguridad?
Todo esto parece mucho trabajo... y la verdad es que puede serlo. Se trata de preguntas serias que reflejan la realidad del
entorno operativo actual. Existen más cuestiones, además de un examen exhaustivo de estos aspectos, que no se
encuentran dentro del alcance de este documento. Sin embargo, como así lo indican las fallas de seguridad y riesgos que
aparecen comúnmente en la prensa, el riesgo de no responder ni abordar estas y otras preguntas puede resultar en graves
daños en términos de reputación, confianza y productividad. La siguiente guía se diseñó para ser parte de una metodología
basada en políticas de seguridad centrada en la información y basada en la tecnología.
Si desea leer material adicional, consulte el siguiente artículo:
http://www.symantec.com/threatreport/topic.jsp?id=best_practices
Symantec Endpoint Protection 12.1 SEP 12.1 utiliza un enfoque de varios niveles para brindar protección avanzada contra software malicioso nuevo y
desconocido utilizado por las amenazas persistentes avanzadas en endpoints. Además de los antivirus basados en archivos
tradicionales, SEP 12.1 proporciona tecnologías de protección que utilizan prevención de intrusiones (análisis de paquetes
de red), Diagnóstico Insight de descargas (protección avanzada de descargas con reputación) y SONAR (análisis basado en
comportamiento en tiempo real). Symantec Security Technology and Response (STAR) desarrolló estas tecnologías que se
instalan y habilitan de forma predeterminada en SEP 12.1.
Para obtener más información acerca de Symantec Security Technology and Response, consulte:
http://www.symantec.com/page.jsp?id=star
Como estas tecnologías STAR se instalan y habilitan de forma predeterminada, las siguientes secciones tienen el objetivo de
ayudar a los administradores a revisar su implementación y diseño de SEP 12.1 para confirmar que se están beneficiando
de estas tecnologías de protección de SEP 12.1 listas para usar.
Además de las tecnologías de protección desarrolladas por STAR, SEP 12.1 incluye protección basada en reglas adicional
que requiere configuración para habilitarse. Estas protecciones incluyen control de dispositivos y aplicaciones, bloqueo del
sistema e integridad del host, y se describen de manera más detallada en secciones posteriores.
Tenga en cuenta que este documento se centra en tecnologías de protección disponibles para clientes Windows. Symantec
Endpoint Protection también está disponible para clientes Macintosh y Linux, pero no se incluyen en este documento. Para
obtener más información sobre protección para Mac y Linux, consulte los siguientes artículos de la Base de conocimientos:
Descripción general de Symantec Endpoint Protection 12.1.4 para Mac
http://www.symantec.com/docs/HOWTO92146
Acerca de Symantec AntiVirus Client para Linux
http://www.symantec.com/docs/HOWTO17995
Protección contra virus y spyware
La Protección contra virus y spyware basada en archivos es el método tradicional para identificar archivos maliciosos
mediante la comparación de firmas con archivos maliciosos conocidos o familias de archivos maliciosos. Aunque sigue
siendo una parte importante de una estrategia de protección general, no es suficiente para brindar protección contra el
software malicioso nuevo y desconocido que utilizan las amenazas persistentes avanzadas. Protección contra virus y
spyware detecta archivos maliciosos mediante los siguientes métodos:
1) Protección de archivos en tiempo real (Auto-Protect): Auto-Protect analiza los archivos cuando se accede a
ellos o cuando se los modifica. Auto-Protect es el componente de análisis en tiempo real en SEP 12.1 y supervisa la
E/S de los archivos para detectar y bloquear el acceso a los archivos maliciosos. Auto-Protect analizará los
archivos a los que se acceda en recursos compartidos de red o unidades extraíbles (dispositivos USB, por ejemplo).
Si bien Auto-Protect no analiza archivos comprimidos en archivos guardados (.zip, .rar, etc.), Auto-Protect
analizará cualquier archivo extraído de un archivo guardado para evitar la ejecución o el acceso a código malicioso.
2) Análisis manuales y programados: los análisis manuales y programados analizan archivos del disco duro de los
sistemas locales en busca de código malicioso y, según la configuración, analizan todos los archivos de una unidad
de disco (análisis completo) o carpetas seleccionadas, puntos de carga y procesos en ejecución utilizados
comúnmente por software malicioso (análisis activo). Los análisis manuales y programados analizan los archivos
guardados. Los recursos compartidos de red pueden analizarse, pero por cuestiones de rendimiento, no se suele
recomendar. Los administradores pueden evitar que los usuarios analicen los recursos compartidos de red
mediante la solicitud de una contraseña para analizar las unidades de red.
3) Complementos de correo electrónico: el cliente SEP ofrece componentes de análisis de correo electrónico
opcionales para Exchange/Outlook, Domino/Notes e Internet/SMTP/POP3. El análisis se ejecuta en tiempo real e
incluye análisis en archivos guardados. Si no se utilizan los complementos de correo electrónico, es posible que
aparezcan archivos adjuntos maliciosos en la bandeja de entrada del usuario. No obstante, Auto-Protect analizará
todos los archivos adjuntos maliciosos si se intenta ejecutar o guardar un archivo adjunto en la unidad.
Nota: Si bien los complementos de correo electrónico proporcionan una capa adicional de protección en el
endpoint, Symantec Mail Security (para gateways y servidores de grupos de trabajo) debe formar parte de una
estrategia de protección general para analizar software malicioso en correos electrónicos. Consulte el apéndice
para obtener más información sobre otras soluciones de Symantec que proporcionan protección adicional contra
las amenazas persistentes avanzadas.
¿Por qué debe utilizar el componente Protección contra virus y spyware? Aunque la Protección contra virus y spyware no es suficiente para brindar protección contra las amenazas actuales, sigue
siendo un importante método de identificación y bloqueo de software malicioso conocido. Además de bloquear software
malicioso, Protección contra virus y spyware proporciona capacidades de detección y prevención que pueden ayudar a los
administradores a identificar sistemas infectados que intentan descargar software malicioso adicional.
Cómo implementar Protección contra virus y spyware Protección contra virus y spyware es un componente clave que se instala y habilita de forma predeterminada. Es importante
que el componente Protección contra virus y spyware esté actualizado para garantizar la mejor protección posible contra
las amenazas más recientes.
SEP 12.1 incluye varias políticas de Protección contra virus y spyware en la consola de administración que se crean
automáticamente durante la instalación del producto. La política predeterminada ofrecen equilibro entre seguridad y
rendimiento para la mayoría de los entornos. Sin embargo, también existe una política contra virus y spyware de alta
seguridad que se recomienda para aumentar la seguridad.
Tenga en cuenta que las opciones de configuración en la política de alta seguridad están bloqueadas y no pueden ser
modificadas por los usuarios finales para Protección contra virus y spyware, Diagnóstico Insight de descargas y SONAR.
Consulte el siguiente artículo de la Base de conocimientos para obtener más detalles sobre las opciones disponibles en las
políticas de Protección contra virus y spyware predeterminadas, lo que incluye la política de alta seguridad. Si desea mayor
protección, utilice la política de alta seguridad:
http://www.symantec.com/business/support/index?page=content&id=TECH173752
1) Instalación: Protección contra virus y spyware se selecciona de forma predeterminada durante la instalación o en
el momento de la creación de un paquete de instalación de SEP 12.1. Asegúrese de que el componente Protección
contra virus y spyware esté seleccionado durante la instalación o creación de un paquete de instalación del cliente.
2) Política de Protección contra virus y spyware: Auto-protect es un componente clave para análisis de archivos en
tiempo real. Se habilita de forma predeterminada para un cliente SEP administrado. Para confirmar que el
componente esté habilitado, en Symantec Endpoint Protection Manager, seleccione la política de Protección
contra virus y spyware correspondiente para el grupo de clientes que desea verificar y seleccione Editar política.
En la política, seleccione Auto-Protect y confirme que haya una marca de verificación junto a la opción Habiltar
(Enable) Auto-Protect como se muestra a continuación:
3) Interfaz de usuario del cliente: el estado de Protección contra virus y spyware aparece en la interfaz de usuario
del cliente que se muestra aquí. También se muestran la fecha de definición y el número de revisión. En promedio,
Symantec lanza tres revisiones de definiciones por día.
Para confirmar que Auto-Protect esté habilitado, haga clic en Opciones junto a Protección contra virus y spyware y
seleccione Cambiar configuración. Seleccione la pestaña Auto-Protect y confirme que haya una marca de
verificación junto a la opción Habilitar Auto-Protect para sistema de archivo (Enable File System Auto-
Protect) como se muestra a continuación:
4) Symantec Endpoint Protection Manager: En la consola, vaya a la página Clientes (clients) y seleccione la vista
Tecnología de protección (Protection Technology) como se muestra a continuación:
Cómo supervisar Protección contra virus y spyware en busca de actividad maliciosa Cuando Protección contra virus y spyware detecta archivos maliciosos, el cliente SEP 12.1 registra los eventos y los remite a
Symantec Endpoint Protection Manager. Para ver eventos de virus y spyware en la consola de administración, visite
Supervisar > Registros (Monitors > Logs), seleccione Tipo de registro > Riesgo (Log Type > Risk) y haga clic en Ver
registro.
Cuando se detecte un archivo malicioso, SEP 12.1 realizará una acción en el archivo. SEP utiliza una acción principal o, si no
se puede ejecutar una acción primaria, una acción secundaria. Las acciones posibles incluyen:
• Eliminar
• Poner en cuarentena
• Borrar
• Ignorar (solo registrar)
Por lo general, si la acción realizada es Eliminar, Poner en cuarentena o Borrar, el archivo malicioso se bloquea y repara
adecuadamente. No es necesario que los administradores tomen medidas adicionales en el endpoint que tuvo la detección.
Durante la revisión de los registros de riesgos en la consola de administración, es importante revisar el campo
Acción realizada.
Algunas detecciones de Protección contra virus y spyware pueden indicar que un equipo está en riesgo y se lo debe
investigar. Después de una detección, es posible que, en algunos casos, SEP 12.1 no pueda reparar completamente o
eliminar todos los rastros de una amenaza. Los siguientes ejemplos describen comportamientos que pueden indicar que
SEP 12.1 no pudo eliminar por completo una amenaza y que el equipo puede requerir una investigación más exhaustiva:
1) La acción realizada que figura en el registro de riesgos no coincide con las acciones principales o secundarias
configuradas. Esto puede indicar que SEP 12.1 no pudo bloquear correctamente el archivo y que es posible que el
equipo esté en riesgo.
2) Un sistema detecta repetidamente nuevo software malicioso. Esto puede indicar que una amenaza desconocida
está presente en un equipo y que actúa como un instalador de software malicioso, que intenta descargar software
malicioso adicional que, luego, es detectado por firmas de antivirus.
Cómo probar el funcionamiento de Protección contra virus y spyware Las capacidades de detección de virus y spyware se pueden probar con el archivo de prueba Eicar eicar.com. El archivo de
prueba Eicar no contiene una carga maliciosa, pero los distribuidores de antivirus detectan eicar como método de
garantizar que la protección contra virus esté activa. El archivo de prueba Eicar puede descargarse del siguiente sitio web:
www.eicar.org
Nota: El vínculo se proporciona solo a efectos prácticos, Symantec no está asociado con Eicar y no acepta ninguna
responsabilidad respecto del sitio web o el archivo de prueba.
Prevención de intrusiones (IPS)
¿Por qué debe utilizar Prevención de intrusiones (IPS)? Una manera en que las amenazas persistentes avanzadas pueden infiltrarse en sistemas es mediante ataques basados en
Web (por ejemplo, una descarga no autorizada, "watering hole" o vínculo malicioso en un correo electrónico, etc.).
Prevención de intrusiones, parte del componente Protección contra amenazas de red en SEP 12.1, es una tecnología de
protección clave y resulta particularmente eficaz en la fase de incursión de un ataque de amenazas persistentes avanzadas.
Prevención de intrusiones de red es una capa de defensa que evita que las amenazas conocidas y desconocidas lleguen a los
sistemas de los usuarios mediante el análisis y el bloqueo de los paquetes de red que atacan endpoints.
Prevención de intrusiones brinda protección contra vectores de infección comunes para endpoints empresariales y de
consumidores, lo que incluye:
• Detección de un sistema infectado con software malicioso (sistema infectado)
• Prevención básica de amenazas de sistema operativo (ataque de SO)
• Prevención de amenazas de descargas no autorizadas y ataques web (ataque web)
• Prevención de amenazas de aplicaciones engañosas y de ingeniería social (ataque de aplicación falsa)
• Prevención de bloqueo de IP, sitios web y dominios maliciosos (sitio malicioso)
La Política de prevención de intrusiones incluye un subcomponente denominado Prevención contra intrusiones de
navegador. Este componente funciona de manera similar al componente IPS central, pero en lugar de analizar paquetes de
red en la pila TCP/IP, Prevención contra intrusiones de navegador es un complemento del navegador que detecta ataques
que están ocultos en el nivel de red y que luego son procesados por los navegadores (Internet Explorer y Firefox). En
términos generales, Prevención contra intrusiones de navegador detecta una cantidad mucho menor de amenazas que el
componente IPS central, pero agrega una capa adicional para ataques de navegador ocultos específicos.
Prevención contra intrusiones de navegador resulta eficaz para bloquear ataques basados en red incluso en navegadores no
admitidos como Chrome. Asimismo, si Prevención contra intrusiones de navegador está deshabilitado, Prevención de
intrusiones de red, Diagnóstico Insight de descargas y SONAR continúan protegiendo los sistemas sin verse afectados.
Cómo implementar IPS Prevención de intrusiones es un componente clave que se instala y habilita de forma predeterminada. Para confirmar que
Prevención de intrusiones esté instalado y habilitado, compruebe lo siguiente:
1) Instalación: Prevención de intrusiones se selecciona de forma predeterminada durante la instalación o en el
momento de la creación de un paquete de instalación de SEP 12.1. Asegúrese de que el componente Prevención de
intrusiones esté seleccionado durante la instalación o creación de un paquete de instalación del cliente.
Nota: En SEP 12.1, Protección contra intrusiones forma parte de Protección contra amenazas de red. Si bien el
firewall de SEP también forma parte de Protección contra amenazas de red, los dos componentes pueden
instalarse por separado.
2) Política de prevención de intrusiones: la Política de prevención de intrusiones se habilita de forma
predeterminada para un cliente SEP administrado. Asegúrese de que esté habilitada. Para confirmar que esté
habilitada, en Symantec Endpoint Protection Manager, seleccione la Política de prevención de intrusiones
correspondiente para el grupo de clientes que desea verificar y seleccione Editar política. Confirme que haya una
casilla de selección junto a los de tipos de prevención de intrusiones:
3) Interfaz de usuario del cliente: el estado de Prevención de intrusiones aparece en la sección de Protección contra
amenazas de red de la interfaz de usuario del cliente que se muestra aquí. Las definiciones se lanzan según sean
necesarias, por lo general, todos los días.
Para confirmar que Prevención de intrusiones esté habilitado, haga clic en Opciones junto a Protección contra
amenazas de red y seleccione Cambiar configuración. Seleccione la pestaña Prevención de intrusiones y
confirme que Prevención de intrusiones esté seleccionada como se muestra a continuación:
4) Symantec Endpoint Protection Manager: En la consola, vaya a la página Clientes y seleccione la vista
Tecnología de protección como se muestra a continuación:
Nota: El componente Prevención de intrusiones es esencial para los usuarios de estaciones de trabajo y equipos portátiles.
Si bien Prevención de intrusiones está diseñado para tener un impacto mínimo en el rendimiento de la red y se admite en
sistemas operativos de servidor, es posible que pueda afectar levemente el rendimiento en algunos servidores que
requieren rendimiento de red sin latencia. Symantec recomienda instalar Prevención de intrusiones en servidores a menos
de que el rendimiento se vea afectado y la situación no se pueda solucionar con la ayuda del Soporte técnico de Symantec.
Consulte el siguiente artículo de la Base de conocimientos para conocer algunos ejemplos de servidores que no son
adecuados para IPS:
Prácticas recomendadas para el componente Sistema de prevención de intrusiones de Symantec Endpoint Protection
en servidores de alta disponibilidad o uso elevado de ancho de banda: http://www.symantec.com/docs/TECH162135
Cómo supervisar ataques de Prevención de intrusiones Cuando IPS detecta paquetes de red maliciosos, registra los eventos en el cliente SEP 12.1 y los remite a Symantec
Endpoint Protection Manager. Para ver eventos de Prevención de intrusiones en la consola de administración, visite
Supervisar > Registros (Monitors > Logs), seleccione Tipo de registro > Protección contra amenazas de red y
Contenido de registro > Ataques (Log Type > Network Threat Protection and Log Content > Attacks). Haga clic en Ver
registro.
Cuando Prevención de intrusiones detecta actividad de red maliciosa, registra cada detección en una de cinco categorías.
Las categorías, de mayor a menor gravedad, son las siguientes:
• Sistema infectado: el tipo de ataque Sistema infectado es la detección más grave de Prevención de intrusiones.
Esto significa que hay software malicioso en ejecución en el sistema y que está intentando comunicarse desde el
equipo en riesgo con un servidor C&C o de otro tipo como parte de una botnet. Se pueden utilizar variantes de
rootkits, que son difíciles de detectar con protección antivirus, en un ataque de amenazas persistentes avanzadas.
Entre las familias de rootkits comunes que se detectan como Sistema infectado, se incluyen familias de
herramientas de acceso remoto de rootkits ZeroAccess y BlackHole.
• Ataque de sistema operativo: las firmas IPS que activan este tipo de ataque indican que se protegió al sistema
del endpoint de un ataque y que se cayó la conexión. Si la dirección de origen proviene de una dirección IP interna,
esto puede indicar que un equipo en la red está infectado y que el ataque intenta propagarse aprovechando
vulnerabilidades (por ejemplo, MS RPC y LSASS). Debe comprobar la IP de origen para encontrar el sistema
potencialmente infectado. Amenazas como W32.Downadup/Conficker, Stuxnet y diversos bots se propagan de
esta manera.
• Ataque web: las firmas IPS que se activan con un prefijo de ataque web indican que se protegió un equipo de la
red de una descarga no autorizada y que se cayó la conexión.
• Ataque de aplicación falsa: nuevas variantes de software malicioso pueden tener éxito en la fase de incursión de
un ataque gracias al uso de aplicaciones engañosas que emplean técnicas de ingeniería social. Estas aplicaciones
cambian continuamente y existen millones de variantes, lo que hace que la detección solo con antivirus sea
irrealizable.
• Sitio malicioso: prevención de intrusiones puede bloquear direcciones IP, sitios web y dominios maliciosos
conocidos. Estos sitios pueden incluir combinaciones de amenazas (lo que incluye ataques de ingeniería social y
descargas no autorizadas), y la solución de reputación de dominio de Symantec ha indicado que alojan contenido
malicioso. Una alerta IPS con el prefijo “Sitio malicioso” indica que el sistema bloqueó el tráfico del sitio malicioso
y que se cayó la conexión.
Cómo probar Prevención de intrusiones Las capacidades de detección de Prevención de intrusiones se pueden probar con el archivo de prueba Eicar eicar.com. El
archivo de prueba Eicar no contiene una carga maliciosa, pero los distribuidores de antivirus detectan eicar como método
de garantizar que la protección de prevención de intrusiones esté activa. El archivo de prueba Eicar puede descargarse del
siguiente sitio web:
www.eicar.org
Nota: Symantec no tiene ninguna responsabilidad respecto del archivo de prueba o el sitio web de Eicar. El vínculo se
proporciona solo a efectos prácticos.
Cuando el archivo de prueba eicar se descarga en un equipo que ejecuta Prevención de intrusiones, el cliente SEP registra la
detección como “Ataque: cadena de prueba Eicar detectada” y aparece un mensaje en el endpoint como se muestra en la
siguiente captura de pantalla:
Las detecciones de Prevención de intrusiones tienen un número de Id. de seguridad (SID) que se puede utilizar para
encontrar más información sobre un ataque determinado en el sitio web de Symantec Security Technology and Response,
en el siguiente vínculo:
http://www.symantec.com/security_response/securityupdates/list.jsp?fid=sep&pvid=sep1213
Diagnóstico Insight de descargas (protección avanzada de descargas)
¿Por qué debe utilizar Diagnóstico Insight de descargas (protección avanzada de descargas)? Diagnóstico Insight de descargas puede bloquear archivos desconocidos en Internet y resulta particularmente eficaz para
detener nuevos ataques orientados. Diagnóstico Insight de descargas comprueba la reputación de los archivos de software
cuando ingresan en un equipo mediante actividades de Internet típicas y puede bloquear los archivos cuya reputación sea
mala o desconocida. Por ejemplo:
• Nuevos archivos de software descargados por Internet Explorer, Firefox, Chrome, etc. Diagnóstico Insight de
descargas comprueba los archivos descargados por el usuario y las descargas no autorizadas (no iniciadas por el
usuario).
• Archivos adjuntos en correos electrónicos cuando los usuarios guardan o inician estos archivos desde sus lectores
de correo electrónico.
• Archivos enviados mediante aplicaciones de mensajería instantánea antes de que los usuarios puedan guardar e
iniciar estos archivos en sus equipos.
• Archivos descargados por programas populares de uso compartido de archivos antes de que los usuarios puedan
guardar e iniciar estos archivos en sus equipos.
Diagnóstico Insight de descargas no comprueba otro software en los equipos protegidos, como aplicaciones activas que ya
estén instaladas y en ejecución. Solo comprueba nuevo software en el momento en que ingresa al equipo (por ejemplo,
software descargado). El objetivo es bloquear un alto porcentaje de nuevo software malicioso antes de que tenga la
posibilidad de ejecutarse, con un porcentaje mínimo de falsos positivos.
Como Diagnóstico Insight de descargas se configura en la política de Protección contra virus y spyware, se puede aplicar a
toda una empresa o se pueden asignar varias políticas a diferentes divisiones corporativas si estas tienen distintos niveles
de tolerancia a riesgos.
Cómo implementar Diagnóstico Insight de descargas Diagnóstico Insight de descargas se instala de forma predeterminada en la política de protección contra virus y spyware.
Para confirmar que Diagnóstico Insight de descargas esté instalado y habilitado, asegúrese de lo siguiente:
1) Instalación: Diagnóstico Insight de descargas (protección avanzada de descargas) se selecciona de forma
predeterminada durante la instalación o en el momento de la creación de un paquete de instalación de SEP 12.1.
Confirme que Diagnóstico Insight de descargas (protección avanzada de descargas) esté seleccionado durante la
instalación o creación de un paquete de instalación del cliente.
2) Política de Diagnóstico Insight de descargas (protección avanzada de descargas): Diagnóstico Insight de
descargas (protección avanzada de descargas) se habilita de forma predeterminada para un cliente SEP
administrado. Para confirmar que el componente esté habilitado, en Symantec Endpoint Protection Manager,
seleccione la política de Protección contra virus y spyware correspondiente para el grupo de clientes que desea
verificar y seleccione Editar política. Seleccione Protección de descargas (Download Protection) y confirme que
Diagnóstico Insight de descargas esté habilitado como se muestra a continuación:
¡Importante! Además de habilitar Diagnóstico Insight de descargas en la política de Protección contra virus y
Spyware, se debe habilitar de forma predeterminada la búsqueda Insight como se muestra aquí. Vaya a la página
Clientes y seleccione la pestaña Políticas en cada grupo en que desea habilitar Insight. Seleccione Configuración
de comunicaciones externas (Communications Settings).
En el cuadro de diálogo Configuración de comunicaciones externas (External Communications Settings),
asegúrese de que la opción Permitir búsquedas Insight para detección de amenazas (Allow Insight lookups for
threat detection (recommended) esté habilitada. La opción está habilitada de forma predeterminada.
Tenga en cuenta que Diagnóstico Insight de descargas requiere acceso a las URL que figuran a continuación para
buscar correctamente en la base de datos Insight de Symantec y recibir una respuesta respecto de la confiabilidad
de un archivo. Asegúrese de que los clientes SEP tengan acceso a las siguientes URL:
https://ent-shasta-mr-clean.symantec.com
https://ent-shasta-rrs.symantec.com
La habilitación de todos los tipos de envío ayuda a proporcionar la mejor protección para los clientes SEP. Como
mínimo, se debe marcar la casilla de selección que aparece resaltada arriba para que Diagnóstico Insight de
descargas pueda consultar la reputación de un archivo determinado.
3) Interfaz de usuario del cliente: en la interfaz de usuario del cliente, en el cuadro de diálogo Configuración de
Protección contra virus y spyware, seleccione la pestaña Diagnóstico Insight de descargas (Download Insight)
para confirmar que Diagnóstico Insight de descargas esté habilitado como se muestra aquí:
4) Symantec Endpoint Protection Manager: en la consola de administración, en la página Clientes, seleccione la
vista Tecnología de protección como se muestra a continuación:
Para realizar una búsqueda exitosa, los clientes SEP 12.1 deben tener acceso a Internet como se describe en el paso 2. Si un
cliente no tiene acceso a Internet, Diagnóstico Insight de descargas no hará detecciones.
Las opciones de configuración predeterminadas deben proporcionar protección adecuada contra el software malicioso
usado por las amenazas persistentes avanzadas, que suelen ser nuevas variantes nunca antes vistas por muchos usuarios.
Cómo supervisar Diagnóstico Insight de descargas en busca de actividad maliciosa Cuando Diagnóstico Insight de descargas detecta archivos desconocidos o sospechosos, registra los eventos en el cliente
SEP 12.1 y los remite a la consola de administración. Para ver eventos de Diagnóstico Insight de descargas en la consola de
administración, visite Supervisar > Registros, seleccione Tipo de registro > Riesgo y haga clic en Ver registro. Busque
eventos que hagan referencia a detecciones con la palabra “reputación” en el nombre de la amenaza.
Cómo probar el funcionamiento de la Protección mediante Diagnóstico Insight de descargas Diagnóstico Insight de descargas puede probarse mediante la descarga del archivo de prueba cloudcar.exe o mediante la
descarga de un archivo ejecutable de descargas creado por usted.
Cloudcar.exe se detectará como un archivo de mala reputación conocida aunque el archivo no sea malicioso. Se encuentra
disponible en el sitio web amtso.com.
http://www.amtso.org/feature-settings-check-cloud-lookup.html
También se puede utilizar un archivo ejecutable autoextraíble recientemente creado para probar Diagnóstico Insight de
descargas. La creación de un archivo ejecutable autoextraíble crea un archivo ejecutable no conocido en Internet.
Diagnóstico Insight de descargas bloqueará el archivo y le solicitará que advierta que el archivo aún no se ha comprobado.
Esto ilustra la eficacia de Diagnóstico Insight de descargas para detectar archivos ejecutables desconocidos y evitar que se
guarden o ejecuten en un equipo del usuario.
Diagnóstico Insight de descargas requiere acceso a las URL que figuran a continuación para buscar correctamente en la
base de datos Insight de Symantec y recibir una respuesta respecto de la confiabilidad de un archivo. Cuando pruebe
Diagnóstico Insight de descargas, asegúrese de que los clientes SEP tengan acceso a las siguientes URL:
https://ent-shasta-mr-clean.symantec.com
https://ent-shasta-rrs.symantec.com
Nota: Si los clientes no pueden conectarse a las URL mencionadas en función de su configuración proxy predeterminada tal
como se define en Internet Explorer, debe establecer las opciones adecuadas en la configuración de comunicaciones de
clientes en Symantec Endpoint Protectoin Manager. Para obtener información sobre cómo establecer la configuración
proxy, consulte el siguiente artículo de la Base de conocimientos.
Cómo especificar un servidor proxy para envíos de clientes y otras comunicaciones externas
http://www.symantec.com/docs/HOWTO55363
Diagnóstico Insight de descargas está diseñado para proporcionar protección contra el principal vector de ataque para
archivos maliciosos nuevos y desconocidos: archivos descargados en un sistema cliente por aplicaciones de tipo “portal”.
Las aplicaciones de tipo portal incluyen navegadores, clientes FTP, clientes de chat, clientes de correo electrónico, etc.
Tenga en cuenta que Diagnóstico Insight de descargas nunca realiza búsquedas en los siguientes archivos:
1) Archivos a los que se accede en el sistema de archivos local o recursos compartidos de red.
2) Archivos analizados por un análisis manual o programado (lo que incluye cuando se hace clic con el botón derecho
en un archivo y se selecciona Analizar ahora).
3) Archivos que no son ejecutables (por ejemplo, pdf, docx, etc.)
4) Archivos analizados por doscan.exe
5) Software malicioso entregado mediante el ataque a puntos vulnerables
Para obtener más información sobre Diagnóstico Insight de descargas, consulte el siguiente artículo de la Base de
conocimientos:
Administración de las detecciones de Diagnóstico Insight de descargas:
http://www.symantec.com/docs/HOWTO55252
SONAR
¿Por qué debe utilizar SONAR? La tecnología SONAR detecta amenazas en función de su comportamiento, sin depender de las firmas de archivos. Es eficaz
incluso contra nuevas variantes de software malicioso sofisticado como Duqu, StuxNet y Hydraq/Aurora, y rootkits con
software malicioso incorporado de orígenes como TidServ y ZeroAccess. Para minimizar el impacto en el rendimiento del
sistema, se crean reglas de comportamiento sospechoso mediante análisis humanos y análisis automáticos exhaustivos, y
se distribuyen mediante LiveUpdate.
SONAR combina las siguientes funciones:
• Supervisión del comportamiento en tiempo real de todos los procesos en ejecución en un equipo
• Clasificación humana y automatizada exhaustiva de comportamientos
• Eliminación o bloqueo en función del comportamiento de la amenaza y su posible impacto en el sistema
Como se trata de protección basada en comportamiento en tiempo real, SONAR supervisa el comportamiento de los
procesos mientras se ejecutan, por ejemplo, intentos de modificación de la página principal de un navegador, la instalación
de una barra de herramientas del navegador, el registro de pulsaciones de teclas y casi otros 1400 comportamientos.
Analiza el contexto integral de cada comportamiento gracias a que tiene en cuenta los siguientes factores:
• Origen: ¿el archivo original se descargó de un sitio de confianza, se copió de un recurso compartido de red o se
instaló desde un soporte portátil, etc.?
• Contenido: ¿el archivo original se cifró y “empaquetó” y se camufló mediante cifrado de alta entropía? ¿Qué
funciones de Windows importa? ¿El código se compiló con una solución comercial o con uno de los recopiladores
menos convencionales que suelen utilizar los hackers?
• Relaciones: ¿el proceso creó algún archivo ejecutable que se identificó como malicioso?
• Secuencias de comportamientos: ¿el proceso forma parte de una secuencia de comportamientos que identifica
familias de amenazas, por ejemplo, miembros de la familia de software antivirus falso “PC Scout”, que se inician
desde la carpeta temporal, escriben “AVE” en el registro de Windows, crean un archivo “hostinfo.txt” y modifican
la página principal del navegador, en ese orden?
La clasificación humana mejora el tiempo de respuesta porque es más rápido probar, analizar y crear reglas familia por
familia que instancia por instancia. También reduce los falsos positivos, ya que cada regla está respaldada no solo por una
gran cantidad de evidencia, sino también por los conocimientos y la experiencia de los profesionales de seguridad de
Symantec.
Características incidentales como firmas, empaquetado e incluso reputación ayudan a racionalizar la identificación y
eliminación de software malicioso, pero los comportamientos de los procesos son los que lo definen. Como SONAR
supervisa y bloquea los comportamientos de los procesos en tiempo real, proporciona una línea final de defensa contra
amenazas en endpoints. Gracias a que las reglas de clasificación de SONAR supervisan el comportamiento en tiempo real,
SONAR es inmune a las técnicas de ocultamiento utilizadas para evadir el análisis basado en firmas tradicional.
Cómo implementar SONAR SONAR se instala de forma predeterminada. Está habilitado de forma predeterminada en la política de protección contra
virus y spyware. Para confirmar que SONAR esté instalado y habilitado, asegúrese de lo siguiente:
1) Instalación: SONAR se selecciona de forma predeterminada durante la instalación o en el momento de la creación
de un paquete de instalación de SEP 12.1. Confirme que SONAR esté seleccionado en el conjunto de funciones de
instalación del cliente que se establece durante la instalación o creación de un paquete de instalación del cliente.
2) Política SONAR: SONAR se habilita de forma predeterminada para un cliente SEP administrado. Asegúrese de que
esté habilitado en Symantec Endpoint Protection Manager. Para confirmar que el componente esté habilitado, en
Symantec Endpoint Protection Manager, seleccione la política de Protección contra virus y spyware
correspondiente para el grupo de clientes que desea verificar y seleccione Editar política. Seleccione SONAR y
confirme que haya una casilla de selección junto a la opción Habilitar SONAR (Enable SONAR) como se muestra a
continuación:
La configuración predeterminada proporciona sólida protección para amenazas desconocidas y debe detectar
archivos maliciosos en función del comportamiento. La opción Habilitar modo intenso puede aumentar la tasa de
convicción de los archivos considerados de bajo riesgo, pero también puede aumentar la cantidad de falsos
positivos. En caso de falsos positivos, consulte el siguiente capítulo respecto de la disminución de los falsos
positivos.
¡Importante! Además de habilitar SONAR en la política de Protección contra virus y Spyware, se debe habilitar la
búsqueda Insight como se describe en la sección Diagnóstico Insight de descargas de este documento. Vaya a la
página Clientes y seleccione la pestaña Políticas en cada grupo en que desea habilitar SONAR. Seleccione
Configuración de comunicaciones externas (External Communications Settings) como se muestra aquí:
En el cuadro de diálogo Configuración de comunicaciones externas, asegúrese de que la opción Permitir
búsquedas Insight para detección de amenazas (Allow Insight lookups for threat detection (recommended)
esté seleccionada. La opción está seleccionada de forma predeterminada.
¡Importante! Al igual de Diagnóstico Insight de descargas, SONAR requiere acceso a las URL que figuran a
continuación para buscar correctamente en la base de datos Insight de Symantec y recibir una respuesta respecto
de la confiabilidad de un archivo.
https://ent-shasta-mr-clean.symantec.com
https://ent-shasta-rrs.symantec.com
Dado que SONAR requiere acceso a las mismas URL que Diagnóstico Insight de descargas, probar Diagnóstico
Insight de descargas puede ayudarlo a verificar que SONAR cuenta con el acceso a Internet adecuado para
detectar y detener correctamente software malicioso. La habilitación de tipos de envío adicionales ayuda a
proporcionar la mejor protección para los clientes SEP.
3) Interfaz de usuario del cliente: el estado de SONAR aparece en el estado de Protección proactiva contra
amenazas de la interfaz de usuario del cliente que se muestra aquí. Las definiciones para SONAR hacen referencia
a reglas creadas por humanos para secuencias de comportamiento malicioso, y las actualizaciones se realizan con
menos frecuencia que en el caso de IPS y la protección contra virus.
Nota: SONAR no utiliza firmas para identificar software malicioso de la misma forma en que lo hace el análisis
antivirus tradicional. Sin embargo, SONAR utiliza reglas creadas por humanos que le permiten supervisar
aplicaciones en busca de secuencias de comportamiento maliciosos, como con la familia AV falsa “PC Scout”
descrita anteriormente.
Las opciones de configuración de SONAR pueden confirmarse en la interfaz de usuario del cliente. Para ello, haga
clic en Opciones junto a Protección proactiva contra amenazas y seleccione Cambiar configuración. Confirme
que SONAR esté habilitado como se muestra aquí:
5) Symantec Endpoint Protection Manager: en la consola, vaya a la página Clientes (Clients) y seleccione la vista
Tecnología de protección como se muestra a continuación. Confirme que la opción Estado de SONAR (SONAR
Status) esté habilitada.
La configuración predeterminada debe ser adecuada para detectar una amenaza persistente avanzada. Sin embargo, puede
habilitar el modo intenso para aumentar la sensibilidad de SONAR para detectar actividad sospechosa. Tenga en cuenta que
la habilitación del modo intenso también puede aumentar las posibilidades de un falso positivo. Consulte el capítulo sobre
disminución de falsos positivos para obtener más información.
Además de las configuraciones específicas de SONAR, los envíos son una manera importante en que Symantec puede
ajustar las tecnologías SONAR para maximizar la precisión.
Cómo supervisar SONAR en busca de actividad maliciosa Cuando SONAR detecta archivos sospechosos o desconocidos, registra los eventos en el cliente SEP 12.1 y los remite a
Symantec Endpoint Protection Manager. Para ver eventos de SONAR en la consola de administración, seleccione
Supervisar > Registros, elija Tipo de registro > SONAR y haga clic en Ver registro.
Cómo probar el funcionamiento de SONAR SONAR detecta archivos maliciosos ejecutados en tiempo real en función del comportamiento de los archivos cuando se los
ejecuta. La ejecución de un análisis antivirus en un archivo no activará una detección de SONAR.
Es posible probar SONAR mediante la ejecución del archivo de prueba, socar.exe. El archivo puede descargarse del
siguiente artículo de la Base de conocimientos:
http://www.symantec.com/business/support/index?page=content&id=TECH216647
Tenga en cuenta que SONAR debe poder realizar una búsqueda Insight para aprovechar al máximo los beneficios de la
protección de SONAR. Si el cliente SEP no puede consultar Insight, SONAR no tomará determinaciones para evitar falsos
positivos.
Para garantizar que las búsquedas Insight funcione correctamente, asegúrese de que los clientes SEP tengan acceso a las
siguientes URL:
https://ent-shasta-mr-clean.symantec.com
https://ent-shasta-rrs.symantec.com
Opciones de políticas basadas en reglas para brindar protección adicional Además de las tecnologías de protección analizadas anteriormente, SEP 12.1 ofrece tecnologías de protección adicionales
que pueden ayudar a prevenir que software malicioso nuevo y desconocido pongan en riesgo los equipos de su red. Estas
tecnologías se basan principalmente en reglas que se instalan de forma predeterminada, pero que deben habilitarse y
configurarse para que se apliquen.
Las tecnologías de protección incluidas son las siguientes:
• Control de aplicaciones
• Reconocimiento de aplicaciones
• Bloqueo del sistema
• Integridad del host (parte de Symantec Protection Suite)
Control de aplicaciones
¿Por qué debe utilizar Control de aplicaciones? Además de utilizar la protección basada en reglas definidas por Symantec o firmas, los administradores también pueden
optar por agregar más protección a los endpoints mediante la creación de reglas de protección definidas por ellos mismos.
Estas reglas incluyen desde tareas simples como bloquear el acceso a archivos autorun.inf en todos los dispositivos
extraíbles, hasta tareas más complicadas como impedir el registro de objetos de ayuda del navegador o hacer que los
dispositivos USB sean de solo lectura en una ubicación específica.
De forma predeterminada, la política Control de aplicaciones y dispositivo contiene una serie de reglas de ejemplo, que se
pueden activar y ajustar muy fácilmente de ser necesario. Por ejemplo:
• Bloquear la ejecución de aplicaciones
• Bloquear la ejecución de programas desde unidades extraíbles
• Hacer que todas las unidades extraíbles sean de solo lectura
• Bloquear la escritura en unidades USB
• Registrar los archivos escritos en unidades USB
• Bloquear modificaciones al archivo host
• Bloquear el acceso a scripts
• Detener instaladores de software
• Bloquear el acceso a Autorun.inf
• Bloquear la herramienta de restablecimiento de contraseña
• Bloquear el uso compartido de archivos
• Impedir cambios en los puntos de carga de Windows Shell.
• Impedir cambios en el sistema mediante Internet Explorer o Firefox
• Impedir la modificación de archivos del sistema
• Impedir el registro de nuevos objetos de ayuda del navegador
• Impedir el registro de nuevas barras de herramientas
La tecnología de control de aplicaciones en Symantec Endpoint Protection es capaz de controlar el registro, el acceso a
archivos y carpetas, el inicio y la finalización de procesos, e intentos de carga de DLL. Se pueden escribir reglas avanzadas
para controlar cualquier combinación de estas actividades. Es posible permitir o impedir cualquier intento de cambio
gracias a las capacidades de monitoreo y registro totales si el administrador desea conocer qué está haciendo un proceso
en el endpoint.
Un componente muy eficaz del control de aplicaciones es su habilidad de controlar las aplicaciones en función de su hash.
Esta capacidad le permite crear reglas para hacer un lista negras de aplicaciones o bloquear aplicaciones que pueden ser
maliciosas, pero que aún no se encuentran en un conjunto de definiciones de antivirus o que no se han enviado a Symantec
para realizar un análisis más exhaustivo. Para controlar las aplicaciones por su hash, se utiliza la regla integrada Bloquear
la ejecución de aplicaciones.
Control de aplicaciones ofrece capacidades de protección avanzada y puede ser muy eficaz para prevenir el acceso a los
archivos, las claves de registro y que los procesos dependan de la configuración. Es por eso que es importante probar las
políticas antes de activarlas para supervisar comportamiento inesperado. Las políticas de Control de aplicaciones tienen un
modo de prueba y producción para que los administradores puedan supervisar más fácilmente los eventos en los que se
activan reglas de control de aplicaciones.
Cómo implementar Control de aplicaciones Para asegurarse de que Control de aplicaciones esté instalado y habilitado, siga los siguientes pasos:
1) Instalación: Control de aplicaciones se selecciona de forma predeterminada durante la instalación o en el
momento de la creación de un paquete de instalación de SEP 12.1. Asegúrese de que la casilla de selección
Control de aplicaciones y dispositivos (Application and Device Control) esté seleccionada durante la
instalación o creación de un paquete de instalación del cliente.
2) Control de aplicaciones está configurado en la política Control de aplicaciones y dispositivos. De forma
predeterminada, Control de aplicaciones está habilitado y bloquea los archivos autorun.inf en todos los
dispositivos extraíbles. Los administradores pueden optar por editar la política existente o crear una nueva si lo
desean. Las reglas de control de aplicaciones mejor escritas se centran en evitar comportamiento no deseado en
lugar de abordar comportamiento malicioso conocido, que requiere el conocimiento de una amenaza.
La siguiente captura de pantalla muestra las reglas integradas de Control de aplicaciones:
Para mejorar la protección contra la descarga y ejecución de amenazas avanzadas, se recomienda que los clientes
habiliten las siguientes reglas en la política de control de aplicaciones predeterminada:
• Bloquear modificaciones al archivo host (esto también puede implementarse con SONAR)
• Bloquear el acceso a scripts (si los scripts se utilizan para fines de administración, puede crear una carpeta de
excepciones en la política y ejecutar scripts de administración desde aquí)
• Bloquear el acceso a Autorun.inf
• Impedir cambios en los puntos de carga de Windows Shell.
• Impedir cambios en el sistema mediante Internet Explorer o Firefox
• Impedir la modificación de archivos del sistema
• Impedir el registro de nuevos objetos de ayuda del navegador
• Impedir el registro de nuevas barras de herramientas
Nota: La captura de pantalla muestra la política de Control de aplicaciones predeterminada de SEP 12.1 RU4. Las versiones
anteriores de SEP 12.1 tienen menos reglas integradas.
Cómo supervisar Control de aplicaciones en busca de actividad El Control de aplicaciones puede supervisarse desde la interfaz del cliente SEP y también desde Symantec Endpoint
Protection Manager. En la consola de administración, para ver todos los eventos seleccione Supervisar > Registros
(Monitors > Logs) y elija Tipo de registro > Control de aplicaciones y dispositivos y Contenido de registro > Control de
aplicaciones (Log Type > Application and Device Control; Log content > Application Control). Haga clic en Ver
registro.
En opciones de filtro avanzado, luego puede elegir entre distintos criterios para restringir la búsqueda. Los filtros
adicionales incluyen Gravedad, si una regla se activó en modo de prueba, Tipo de evento y Acción. Los eventos no son
necesariamente un signo de actividad maliciosa, pero es muy probable que estas reglas bloqueen los procesos maliciosos.
En la interfaz del cliente, vaya a Ver registros y, luego, junto a Administración de clientes, haga clic en Ver registros y
seleccione el Registro de control para ver todos los eventos de control de aplicaciones.
Cómo probar el funcionamiento de Control de aplicaciones Si la política de Control de aplicaciones y dispositivos predeterminada está aplicada en un endpoint, puede probar su
funcionalidad mediante la creación o copia de un archivo llamado autorun.inf en dispositivos de almacenamiento extraíble.
El archivo puede estar vacío. Control de aplicaciones solo busca el nombre. Debería recibir una notificación al cliente y se
bloqueará el archivo. Este evento se remitirá a Symantec Endpoint Protection Manager y puede verse también allí.
Reconocimiento de aplicaciones
¿Por qué debe utilizar Reconocimiento de aplicaciones? Reconocimiento de aplicaciones permite a un administrador comprender qué aplicaciones se inician en el entorno. Las
amenazas persistentes avanzadas están diseñadas para ser “lentas y sigilosas” e indetectables. En algunas situaciones, se
detectan amenazas que se encontraban latentes en las redes del cliente desde hace muchos meses. Reconocimiento de
aplicaciones le permite descubrir rápidamente si estas aplicaciones están en sus endpoints o no y, luego, lidiar con ellas
según corresponda. Reconocimiento de aplicaciones recopila datos de aplicaciones de todos los endpoints habilitados.
Luego, el administrador puede buscar en el hash de la aplicación, el nombre del archivo ejecutable, el editor, etc., y ver qué
clientes contienen el código. Una vez que se conoce eso, se pueden utilizar otras tecnologías de protección para eliminar
archivos o ponerlos en cuarentena según lo desee.
Cómo implementar Reconocimiento de aplicaciones Reconocimiento de aplicaciones puede controlarse desde Symantec Endpoint Protection Manager. De forma
predeterminada, la función está deshabilitada de manera global y los administradores deben asegurarse de habilitarla en el
nivel de sitios y también en el nivel de grupos individuales.
Para habilitar el reconocimiento de aplicaciones en el nivel del sitios de SEP, en la consola, vaya a Administración >
Servidores > Sitio local > Editar propiedades de sitio (Admin > Local Site (My Site) > Edit Site Properties) y asegúrese
de que esté habilitada la opción Realizar un seguimiento de todas las aplicaciones que los clientes ejecutan (Keep
track of every application that the client runs). Esta opción se habilita de forma predeterminada, pero se debe confirmar
como se muestra en la siguiente captura de pantalla:
Una vez que el sitio esté habilitado para el aprendizaje de aplicaciones, podrá optar por habilitar la función de manera
selectiva en una configuración por grupo. En cada grupo en el que desee habilitar Reconocimiento de aplicaciones,
seleccione el grupo y, luego, en la pestaña Políticas dentro del panel del grupo, seleccione Configuración de
comunicaciones como se muestra aquí:
Habilite la opción Reconocer aplicaciones que se ejecutan en los equipos cliente (Learn applications that run on the
client computers) como se muestra aquí (esta opción no se habilita de forma predeterminada):
Nota importante: Reconocimiento de aplicaciones requiere más espacio de almacenamiento en la base de datos de SEP.
Debe planificar eso y considerar habilitar el componente solo para ciertas ubicaciones o áreas del negocio. Debido a su
naturaleza, las tablas de reconocimiento de aplicaciones no se depuran y crecerán rápidamente después de que se habilita
la función inicialmente. Para conocer algunas prácticas recomendadas respecto de la habilitación de Reconocimiento de
aplicaciones, consulte el siguiente artículo de la Base de conocimientos:
http://www.symantec.com/docs/TECH134367
Cómo supervisar Reconocimiento de aplicaciones en busca de actividad maliciosa Es posible buscar datos de reconocimiento de aplicaciones por hash y una serie de distintas características de aplicaciones,
como tamaño, nombre y ruta de aplicación, entre otras. Las aplicaciones que no tienen una versión, descripción o fecha de
modificación reciente pueden requerir un análisis adicional.
Cómo probar el funcionamiento de Reconocimiento de aplicaciones Una vez que Reconocimiento de aplicaciones esté habilitado, deberá esperar, al menos, dos ciclos de latidos. A partir de ese
momento, verá todas las aplicaciones reconocidas. En la página Políticas (Policies), en Tareas (Tasks), haga clic en Buscar
aplicaciones (Search for Applications) como se muestra aquí:
En el cuadro de diálogo Buscar aplicaciones, busque en toda la estructura del grupo con los criterios seleccionados. En la
captura de pantalla que aparece aquí, ningún criterio de búsqueda devuelve una lista de todas las aplicaciones vistas en el
entorno hasta el momento.
Bloqueo del sistema
¿Por qué debe utilizar Bloqueo del sistema? Bloqueo del sistema es una tecnología eficaz que permite a los administradores avanzados tener control total respecto de lo
que las aplicaciones pueden iniciar en el entorno. Gracias a que toma una imagen de confianza y realiza una suma de
comprobación de todos los archivos ejecutables portátiles incluidos, se puede configurar SEP para que permita el inicio de
solo esos procesos de confianza en un endpoint.
Bloqueo del sistema se utiliza mejor en entornos donde la plataforma cliente no cambia casi nunca, o cambia en un entorno
controlado. Es ideal para entornos de equipos de escritorio virtuales, sistemas que raramente se actualizan o que no están
conectados a Internet y no pueden actualizarse automáticamente, Bloqueo del sistema no se diseñó para entornos donde
parches y aplicaciones legítimas deben actualizarse regularmente, ya que bloqueará las nuevas aplicaciones que no estén
incluidas en la lista de aplicaciones de confianza.
Bloqueo del sistema puede configurarse en modo de lista blanca, donde se confía en todas las sumas de comprobación de la
lista, o en modo de lista negra, donde se bloquean todas las sumas de comprobación de la lista. El modo de lista negra suele
usarse con listas de bloqueo de aplicaciones suministradas por el gobierno, donde los CERT proporcionan listas de archivos
dañinos conocidos y sus sumas de comprobación.
Cómo implementar Bloqueo del sistema La implementación de Bloqueo del sistema es un proceso de cuatro pasos:
1. Asegúrese de que el cliente SEP tenga el Control de aplicaciones y dispositivos instalado.
2. Realice una suma de comprobación de una imagen de la memoria o un cliente que desee bloquear.
a. La carpeta de instalación del cliente SEP contiene la aplicación checksum.exe, que se puede utilizar para
crear la lista de archivos y sus respectivas sumas de comprobación.
3. Cargue la lista de sumas de comprobación en Symantec Endpoint Protection Manager
a. Las listas se agregan en la consola en la pestaña Políticas, en Componentes de política > Listas de
huellas digitales de archivos.
4. Habilite Bloqueo del sistema en los grupos donde lo necesite.
a. En la página Clientes, seleccione el grupo. En la pestaña Políticas, haga clic en Bloqueo del sistema.
b. Seleccione la habilitación de Bloqueo del sistema.
c. Seleccione una lista de aplicaciones.
Cómo supervisar Bloqueo del sistema en busca de actividad maliciosa De forma similar a Control de aplicaciones, Bloqueo del sistema no bloquea específicamente actividad maliciosa, sino que
bloquea cualquier aplicación que no se haya indicado como de confianza y que puede ser maliciosa o no. Bloqueo del
sistema puede supervisarse en el cliente en el Registro de controles y en Symantec Endpoint Protection Manager en la
página Supervisión en la vista Registro de control de aplicaciones.
Cómo probar el funcionamiento de Bloqueo del sistema Es posible probar Bloqueo del sistema intentando ejecutar cualquier aplicación que no esté en la lista de aplicaciones de
confianza. El usuario recibirá un mensaje de error de Windows, y el cliente SEP registrará una entrada bloqueada en el
Registro de control.
Para obtener más información sobre Bloqueo del sistema, consulte el siguiente artículo de la Base de conocimientos:
Configuración del bloqueo del sistema
http://www.symantec.com/docs/HOWTO55130
Disminución de falsos positivos
Prevención de falsos positivos
SEP 12.1 no detectará archivos buenos conocidos como software malicioso. Existen varias maneras de garantizar que los
archivos buenos sean reconocidos como “buenos”. Los siguientes pasos lo ayudarán a evitar falsos positivos al utilizar SEP
12.1. Paso 1: Usar firmas digitales
Una de las maneras más simples de identificar que un archivo es bueno es conocer de dónde proviene y quién lo creó. Un
factor importante para crear confianza en que un archivo es bueno es comprobar su firma digital. Los archivos ejecutables
sin una firma digital tienen mayores posibilidades de ser identificados como no conocidos o de reputación baja.
• Las aplicaciones personalizadas o propias deben firmarse digitalmente con certificados digitales de clase 3.
• Los clientes deben insistir en que sus proveedores de software firmen digitalmente sus aplicaciones. Paso 2: Agregar a la lista blanca de Symantec
Symantec tiene una lista blanca cada vez más grande que incluye más de 25 millones de archivos buenos. Estos archivos se
usan para probar firmas antes de que se publiquen. Sus valores hash también se almacenan en línea y se utilizan para
evitar falsos positivos en el cliente SEP realizando búsquedas en la nube en tiempo real cada vez que una de nuestras
tecnologías de seguridad de cliente (por ejemplo, tecnología basada en el comportamiento SONAR, una huella digital, et.)
detecta un archivo. Esta lista blanca es una herramienta eficaz para evitar falsos positivos. Los clientes y proveedores
pueden agregar archivos a esta lista.
Los proveedores de software pueden solicitar que sus archivos ejecutables que agreguen a la lista blanca de Symantec en el
siguiente vínculo:
https://submit.symantec.com/whitelist/ Paso 3: Probar
La implementación inicial de SEP 12.1 durante una prueba piloto debe incluir equipos de prueba con imágenes
representativas del software que ejecuta en el entorno, lo que incluye aplicaciones comunes de otros fabricantes. Debe
supervisar posibles problemas durante la prueba piloto. Paso 4: Comentarios
Cada tecnología de seguridad de SEP 12.1 puede recopilar los datos que se envían a Symantec para medir y disminuir la
cantidad de falsos positivos mediante análisis, comparaciones heurísticas con conjuntos de datos recopilados y listas
blancas genéricas personalizadas. Puede habilitar que SEP envíe metadatos automáticamente cuando haga una detección.
Corrección de falsos positivos
Symantec desea conocer y corregir los falsos positivos. Contar con información sobre detecciones no solo permite a
Symantec corregir problemas actuales, sino también estudiar qué generó los falsos positivos para evitar que archivos
similares tengan los mismos problemas en el futuro.
Se pueden enviar notificaciones de falsos positivos de inmediato a Symantec mediante un formulario web. Todos los
posibles falsos positivos deben enviarse a https://submit.symantec.com/false_positive/.
• Es importante para la resolución de falsos positivos de reputación (Diagnóstico Insight de descargas) que se
incluyan el archivo o el valor SHA256 del archivo en el envío. (El valor hash de un archivo también está disponible
en avisos de herramientas de otros fabricantes del cliente).
• No se deben enviar falsos positivos mediante el sistema de envío de software malicioso. La URL mencionada debe
utilizarse para informar falsos positivos, independientemente del producto de Symantec en cuestión.
Una vez que se procese el envío y Symantec agregue el archivo a su lista blanca, la función de repetición de análisis de
cuarentena restaurará automáticamente el archivo puesto en cuarentena.
Incorporación de excepciones
Los administradores pueden agregar a la lista blanca archivos y dominios localmente mediante la configuración de
excepciones. Los administradores pueden agregar nuevas excepciones para archivos (por ejemplo, “El archivo X siempre es
seguro”) o dominios (por ejemplo, “Todos los archivos descargados del dominio http://somedomain.com son seguros”) de
dos maneras:
1) Agregue una exclusión de archivo o dominio en una Política de excepciones en Symantec Endpoint Protection
Manager. La política de excepciones puede utilizarse para agregar una nueva exclusión para una aplicación
empresarial desarrollada internamente o para agregar a una lista blanca el dominio de un nuevo proveedor
empresarial que ofrece aplicaciones de confianza utilizadas por los empleados.
Nota: Es posible configurar excepciones de SONAR mediante excepciones de archivos, carpetas y dominios web de
confianza. Es posible configurar excepciones de Diagnóstico Insight de descargas mediante excepciones de
dominios web de confianza.
2) También puede excluir archivos directamente en la vista Registros de eventos detectados agregando un archivo a
la lista blanca o confiando en el dominio de origen desde el cual se descargó el archivo como se muestra a
continuación:
Apéndices
Reparación
Si es posible que un sistema esté en riesgo, Symantec proporciona algunas herramientas adicionales para ayudarlo con los
pasos de reparación:
• Symantec Load Point Analysis: aprovecha las búsquedas Insight para analizar un sistema en áreas específicas que
el software malicioso suele usar como puntos de carga.
• Symantec Power Eraser: aprovecha Insight para realizar un análisis intenso, lo que incluye un análisis de rootkit
opcional que requiere el reinicio de un cliente.
Ambas herramientas están disponibles en la herramienta de solución de problemas SymHelp. SymHelp puede descargarse
desde la Base de conocimientos de Symantec y se puede acceder a ella desde el cliente SEP en Ayuda > Descargar
herramienta Symantec Help.
Tenga en cuenta que según el sistema que puede estar en riesgo, es posible que se deban realizar análisis forenses
adicionales antes de la reparación para comprender cómo pudo haberse generado la falla de seguridad y cuál podría ser su
impacto. Las herramientas aquí descritas no se diseñaron para proporcionar un análisis forense integral respecto de una
posible falla de seguridad.
Después de descargar la herramienta SymHelp, ejecútela y acepte el EULA en la primera pantalla para continuar. Como se
muestra aquí, haga clic en Ejecutar herramientas de análisis de amenazas (Run threat analysis tools) y seleccione
Symantec Load Point Analysis o Symantec Power Eraser.
Para realizar un análisis más intenso, que incluya búsquedas Insight en procesos en ejecución, seleccione Symantec Power
Eraser. La opción Incluir análisis de rootkit (Include a Rootkit Scan) requiere un reinicio y agrega un análisis orientado
para detectar rootkits durante el inicio. Haga clic en Analizar en busca de riesgos (Scan for Risks).
Nota: Al igual que en el caso de Diagnóstico Insight de descargas y SONAR, se requiere acceso a las URL de Symantec
Insight en Internet para incluir búsquedas de reputación en los procesos en ejecución y otros archivos de interés. Si
necesita establecer la configuración proxy adecuada, seleccione “Configuración” y escriba la información proxy apropiada.
Para obtener más información sobre Symantec Power Eraser, consulte el siguiente artículo de la Base de conocimientos:
http://www.symantec.com/business/support/index?page=content&id=TECH203683
Resumen: Protección en capas en SEP 12.1
Tecnologías de protección de Symantec Security Technology and Response (muy recomendado)
Componente Beneficio de protección
Virus y spyware
Análisis basado en firmas para detectar familias de amenazas y amenazas conocidas
• Análisis en tiempo real al acceder a archivos
• La heurística avanzada requiere acceso a Internet.
IPS
Análisis de paquetes de red entrantes y salientes en busca de actividades y cargas maliciosas
• Puntos vulnerables, kits de ataque, aplicaciones engañosas, etc.
• Bloquea hasta el 60% de todos los ataques
• Detecta tráfico saliente sospechoso (tráfico de origen)
Diagnóstico Insight de descargas
El motor de reputación basado en la nube detecta archivos de reputación buena, mala o desconocida durante la descarga.
• Requiere acceso a Internet para realizar búsquedas Insight
• Se aplica a archivos ejecutables (exe, dll, sys, ocx, etc.)
• Realiza consultas cuando se descargan archivos ejecutables (navegador, correo electrónico, cliente FTP, etc.)
SONAR
Análisis basado en comportamiento en tiempo real
• Detecta comportamientos maliciosos en tiempo real para bloquear amenazas nunca vistas
• Requiere acceso a Internet para realizar búsquedas Insight
Tecnologías de protección basadas en reglas adicionales (opcional, para casos de uso más avanzados)
Componente
Beneficio de protección
Control de aplicaciones y dispositivos
Políticas basadas en reglas para reforzar el sistema
• Control de las aplicaciones: bloquea autorun.inf, el acceso a archivos, el acceso al registro, el inicio de procesos, el acceso a unidades extraíbles, la carga de dll y muchas opciones adicionales.
• Device Control: bloquea o permite dispositivos por dispositivo o Id. de clase, por ejemplo, bloquea dispositivos USB, excepto por modelos admitidos explícitamente.
Reconocimiento de aplicaciones
Supervisa las aplicaciones sospechosas
• Supervisa las aplicaciones que se ejecutan en un entorno para ubicar archivos ejecutables potencialmente sospechosos
Bloqueo del sistema
Bloqueo del sistema
• Defina listas blancas o listas negras explícitas con una lista de huellas digitales de archivos
Algunos registros útiles para supervisar el estado de protección en Symantec Endpoint Protection Manager
Información Supervisión > Registros Comentario
Estado de definiciones y tecnologías de protección de cliente habilitadas
Tipo de registro: Estado del equipo
Tecnologías de protección instaladas y estado habilitado:
• Auto-Protect
• Firewall
• SONAR
• Diagnóstico Insight de descargas
• Prevención de intrusiones
• Protección de navegadores IE y Firefox (IPS de navegador)
• Versión de producto del cliente
• Fecha y revisión de definiciones
Errores de búsqueda Insight
Tipo de registro: Sistema Contenido de registro: eventos de cliente
En la columna de eventos, busque: “Errores de tiempo de espera agotado de comprobación de reputación”
• Los errores de Insight pueden afectar la efectividad de Diagnóstico Insight de descargas, SONAR y heurística avanzada
Software malicioso: Virus y spyware Diagnóstico Insight de descargas
Tipo de registro: riesgo
• Diagnóstico Insight de descargas: detecciones con la palabra Reputación en el nombre del riesgo, por ejemplo “WS.Reputación.1”
Software malicioso: Prevención de intrusiones
Tipo de registro: protección contra amenazas de red Contenido de registro: ataques
Prevención de intrusiones de mayor a menor gravedad:
• Sistema infectado
• Ataque de sistema operativo
• Ataque web
• Ataque de aplicación falsa
• Sitio web malicioso
Software malicioso: SONAR
Tipo de registro: SONAR
• SONAR requiere acceso a Internet para completar correctamente las búsquedas Insight a fin de evitar falsos positivos.
Control de aplicaciones
Tipo de registro: Control de aplicaciones y dispositivos Contenido de registro: Control de aplicaciones
• Las políticas de control de aplicaciones pueden configurarse en modo de solo registro para fines de supervisión.
• Pruebe las políticas de Control de aplicaciones antes de habilitarlas en producción.
Ofertas adicionales de Symantec para brindar protección contra amenazas persistentes avanzadas Symantec Endpoint Protection es tan solo una forma importante de protegerse contra amenazas persistentes avanzadas.
Symantec tiene ofertas adicionales para ayudar a los clientes a estar protegidos de amenazas persistentes avanzadas. Entre
ellas, se incluyen las siguientes:
Symantec Critical System Protection
http://www.symantec.com/critical-system-protection
Las organizaciones líderes utilizan Symantec Critical System Protection para proteger los datacenters de datos físicos y
virtuales. Mediante funciones de detección (HIDS) y prevención de intrusiones (HIPS) basadas en host, Symantec ofrece una
solución integral comprobada para la seguridad de los servidores. Obtenga protección total para VMware vSphere, detenga
los ataques dirigidos y de día cero, y consiga visibilidad en tiempo real y control del cumplimiento de políticas con Symantec
Critical System Protection.
Symantec Web Gateway
http://www.symantec.com/web-gateway
Symantec Web Gateway protege a las organizaciones contra varios tipos de software malicioso provenientes de la Web y
brinda a las organizaciones la flexibilidad de implementar este producto como appliance virtual o en hardware físico. Con el
respaldo de Insight, la innovadora tecnología de filtrado de software malicioso basado en reputación de Symantec, Web
Gateway se basa en una red global de más de 210 millones de usuarios para identificar nuevas amenazas antes de que
provoquen interrupciones en las organizaciones.
Symantec Messaging Gateway
http://www.symantec.com/messaging-gateway
Symantec Messaging Gateway permite a las organizaciones proteger su infraestructura de correo electrónico y
productividad con protección en tiempo real contra software malicioso y spam, protección contra ataques orientados,
filtrado de contenidos avanzado, prevención contra la pérdida de datos y cifrado de correo electrónico eficaces y precisos.
Messaging Gateway es una solución sencilla de administrar y captura más del 99% del spam con menos de un falso positivo
en un millón. Proteja el perímetro de su correo electrónico y actúe rápidamente ante las nuevas amenazas de la mensajería
con la solución líder del mercado en seguridad de la mensajería.
Symantec Managed Security Services
http://www.symantec.com/managed-security-services
Organizaciones de todo el mundo confían en Symantec Managed Security Services para la creación y el mantenimiento de
un programa de administración de incidentes resistente y flexible. Symantec ofrece presencia y escala global para
satisfacer las necesidades incluso de las empresas más grandes. Todos los meses, Symantec Managed Security Services:
• Analiza más de 275.000 millones de entradas del registro
• Identifica más de 40.000 posibles eventos de seguridad
• Escala más de 4.000 eventos graves validados
Symantec es un proveedor líder de servicios administrados de seguridad desde hace más de una década y ha sido
reconocido regularmente por publicaciones y analistas líderes del mercado.
Acerca de Symantec Symantec es
un líder mundial
en soluciones de seguridad,
almacenamiento y administración de
sistemas que ayudan a las empresas y
a los consumidores a proteger y
administrar su información. Con
sede central en Mountain View,
California (EE. UU.), Symantec está
presente en más de 40 países.
Si desea obtener más información,
visite www.symantec.com/la.
Para obtener información sobre las
oficinas y los números de contacto
de los diferentes países, visite
nuestro sitio web. Para obtener
información sobre productos en los
Estados Unidos, llame al número de
teléfono gratuito 1 (800) 745 6054.
Symantec América Latina
9155 South Dadeland Blvd.,
Suite 1100
Miami, FL 33156
Teléfono: 305-671-2300
Fax: 305-671-2350
http://www.symantec.com/la/
http://www.symantec.com.mx/
Sede Mundial de Symantec
350 Ellis St.
Mountain View, CA 94043 USA
+1 (650) 527 8000
+1 (800) 721 3934
www.symantec.com
Copyright © 2014 Symantec Corporation. Todos los derechos reservados. Symantec y el
logotipo de Symantec son marcas comerciales
o marcas comerciales registradas en los Estados Unidos y otros países por Symantec
Corporation o sus filiales. Los demás nombres
pueden ser marcas comerciales de sus respectivos propietarios.
10/10
