El laboratorio de malware avanzado de ElevenPaths

miércoles, 24 de mayo de 2017

El escenario actual está evolucionando hacia un nuevo contexto de amenazas avanzadas que la industria está tratando de contener mediante la implementación de diferentes tipos de soluciones. Desde ElevenPaths, se ha realizado un completo análisis a las 17 principales tecnologías del mercado, diseñadas para luchar contra este tipo de amenazas y focalizadas en el endpoint. Con el objetivo de tener una visión clara e independiente de los diferentes enfoques que los fabricantes han utilizado, se ha desarrollado una metodología propia que no sólo toma como base los parámetros más puramente técnicos, sino que también ha tenido en cuenta variables que permiten incluir las necesidades y perspectiva de los administradores y usuarios finales de la tecnología. Esta metodología se basa en seis grandes categorías:

  • Despliegue de la solución considerando principalmente las variables relativas a tipos de sistemas operativos para los que existe soporte, complejidad de despliegue y consumo de recursos.
  • Capacidades de prevención y bloqueo para identificar amenazas antes de que estas sean ejecutadas, prestando especial atención al número de falsos positivos obtenidos.
  • Una vez que las amenazas no se han detenido en una fase inicial de prevención, se evalúan las capacidades de detección para aportar datos sobre la calidad y cantidad de los modelados de amenazas que incorporan las soluciones.
  • Una vez que las amenazas se han materializado en el sistema se evalúan las capacidades de respuesta, referido principalmente a las capacidades de remediación y contención de la amenaza.
  • En una fase de postincidente se examinan las características forenses, que nos aportarán tanto cantidad como calidad de la información relacionadas con el incidente.
  • De forma paralela a los estados de las amenazas, se observan las capacidades de los datos relativos a análisis e inteligencia, los cuales aportan capacidades relativas a proporcionar información de contexto asociada a la amenaza, las tácticas utilizadas y al actor involucrado en la misma.

Para poder determinar el potencial de cada una de las soluciones, se han efectuado pruebas basadas en tres grupos de amenazas. La primera comprende tanto malware genérico, donde se enmarcarían mutaciones de muestras de reciente aparición de troyanos, ransomware, infostealer, gusanos, downloaders, exploits y macros maliciosas, como malas prácticas de uso del endpoint. En el grupo de malware avanzado se incluyen diferentes tipos de malware y exploits creados en el laboratorio de ElevenPaths, elaborados con diferentes lenguajes de programación y que incluyen técnicas de evasión de antivirus, sandbox o medidas específicas de protección de la solución desplegada. Finalmente, en las pruebas de contexto APT se incluyen muestras maliciosas, exploits y técnicas específicas para conseguir elevación de privilegios en sistemas, persistencia y robo de datos en los sistemas afectados con el objetivo de aproximarse al contexto de ataques avanzados (APT).


Figure 1. Ejemplo de resultado de una evaluación en el laboratorio de malware avanzado de ElevenPaths.


Conclusiones del análisis
Durante la ejecución de las pruebas de laboratorio se extrae, que si bien todas las soluciones pretenden resolver el mismo problema, existen diferentes aproximaciones con sus respectivas ventajas e inconvenientes. Las soluciones orientadas a la prevención se focalizan en conseguir que el número de amenazas que lleguen a impactar realmente sea muy bajo, poder trabajar de forma desatendida y con poco esfuerzo de optimización y análisis por parte de los equipo de seguridad. Por el contrario, su propia naturaleza limita la capacidad de trazabilidad de las amenazas, excepto en aquellas soluciones que incorporan también análisis con sandbox. Asimismo, en el caso de no detectarse una amenaza, este tipo de soluciones tendrán dificultad para identificar el incidente en estadios posteriores.

Las soluciones que se centran en la detección en base al comportamiento de la amenaza consiguen una mayor información para su estudio posterior. Bien es cierto que es necesario tener un equipo humano con mayor especialización y dedicación. El impacto tras materializarse una amenaza en determinadas ocasiones suele ser más alto, pero aportan trazabilidad y capacidades de respuesta suficiente como para detectar el incidente en fases posteriores, evitando así la propagación o persistencia de la amenaza materializada.

Las soluciones que toman como base la respuesta tienen como característica principal la obtención de información que será de utilidad para su posterior estudio principalmente ante APT y/o tras la consecución de una amenaza de cualquier índole llevada a cabo con éxito por un atacante. Su capacidad preventiva o de detección es menor y requieren analistas especializados para la comprensión de los datos que aportan.

Finalmente, las soluciones User Entitity Behaviour Analytics (UEBA, por sus siglas en inglés) se basan en el modelado del comportamiento de los usuarios y entidades en vez de tratar de modelar e identificar el propio malware. Los datos en los que se basa para el modelado proceden de diferentes elementos de red o endpoint y mediante técnicas de Machine Learning se identifican aquellos patrones anómalos de comportamiento que pueden ser indicios de que los usuarios hayan sido víctimas o causantes de un ciberataque.

Miguel Ángel de Castro Simón
(Senior Cybersecurity Analyst at ElevenPaths)

Nikolaos Tsouroulas
(Head of Cybersecurity Product Management at ElevenPaths)

*También te puede interesar:

No hay comentarios:

Publicar un comentario