Analizamos la evolución del malware y la próxima generación Endpoint Protection contra los ataques dirigidos: Adaptive Defense.
Más información: http://www.pandasecurity.com/spain/enterprise/solutions/advanced-threat-protection/
Panda Adaptive Defense 360 - Cyber Extortion Guide
Panda Adaptive Defense - La evolución del malware
1. Evolución del Malware y la
Próxima Generación Endpoint
Protection contra los Ataques
Dirigidos
2. 02/07/2015Malware Evolution 2
Contenidos
1. Volumen de muestras de Malware
2. Épocas del Malware
3. Panda Adaptive Defense
a. Qué es
b. Características y Beneficios
c. Cómo funciona
d. Historia de éxito
6. 1ª Época
• Muy pocas muestras y familias de
Malware
• Virus hechos por diversión, algunos
muy dañinos, otros inocuos, pero no
buscan nada más que eso.
• Propagación lenta (meses, años) ya
que era a través de disquetes.
Algunos nombres de virus pertenecen
a la localidad donde se creó o
descubrió.
• Análisis de todas las muestras por
técnicos.
• Análisis estático de las muestras y
desensamblado de las mismas
(Reversing).
02/07/2015Malware Evolution 6
8. 2ª Época
• Comienza a aumentar el número de
muestras
• Internet comienza a popularizarse
tímidamente, comienzan a los virus de
macro, gusanos de correo, etc..
• En general poca complejidad, utilizan
ataques de ingeniería social por email
pero su distribución es limitada, no se
envían de forma masiva
• Tecnologías heurísticas
• Aumento frecuencia actualizaciones
02/07/2015Malware Evolution 8
10. 3ª Época
• Aparición de los gusanos de masivos que
saturaban internet
• Via mail: I Love You
• Via exploits: Blaster, Sasser, SqlSlammer
• Tecnologías proactivas
• Dinámicas: Proteus
• Estáticas: KRE y Heurísticos de Machine
Learning
• Identificación de procesos malware por sus
acciones
• Un proceso en el equipo
• Accede a lista de contactos de email
• Abre una conexión a internet por un puerto
no estándar
• Abre múltiples conexiones usando puerto 25
• Se añade en una clave de autorun
• Hookea navegadores
02/07/2015Malware Evolution 10
13. Tecnologías
proactivas estáticas
Reducción tiempos respuesta a 0
detectando el malware desconocido
Algoritmos Machine Learning aplicados
en los problemas clásicos de
clasificación.
El nuestro TAMBIÉN es un problema de
“clases”: malware vs goodware.
02/07/2015Malware Evolution 13
14. 4ª Época
• Los hackers cambiaron de perfil:
Principal motivación del Malware es el
beneficio económico mediante
troyanos bancarios y ataques de
phishing.
• Se generalizan los
droppers/downloaders/EK
• El salto a la Inteligencia Colectiva.
• Clasificación masiva de ficheros.
• Entrega de conocimiento desde la
nube.
02/07/2015Malware Evolution 14
16. El salto a la
Inteligencia Colectiva
La entrega del conocimiento desde la
nube como alternativa al fichero de
firmas.
Escalabilidad de los servicios de
entrega de firmas de malware a los
clientes mediante la automatización
completa de todos los procesos de
backend (procesado, clasificación y
detección).
02/07/2015Malware Evolution 16
17. La llegada de Big
Data
Working set actual de 12 TB
400K millones de registros
600 GB de muestras/día
400 millones de muestras
almacenadas
Innovación: hacer viable el
procesamiento de datos derivado de la
estrategia de IC aplicando tecnologías
de Big Data.
02/07/2015Malware Evolution 17
18. 5º Época
• Primer ciberataque masivo contra un país,
Estonia, por parte de Rusia.
• Anonymous empieza una campaña contra
organismos como la RIAA, la MPAA o la SGAE, entre
otras, etc.).
• Profesionalización del Malware
• Uso de técnicas de marketing en campañas de
spam.
• Distribución de diferentes variantes en función
de horario/país
• Ransomware
• APTs
• Detección por contexto
• No se analiza solo que hace un proceso, sino
que se tiene en cuenta en qué contexto se está
ejecutando...
02/07/2015Malware Evolution 18
22. 02/07/2015Malware Evolution 22
- Noviembre / Diciembre 2013
- 40 millones de tarjetas de
crédito/debito robadas
- Ataque a través de la empresa de
mantenimiento de A/C
- TPVs
- Autoría incierta
- Borrado de información
- Robo de TB de información
23. 02/07/2015Malware Evolution 23
Carbanak
- Año 2013/2014
- 100 entidades afectadas
- Países afectados: Rusia, Ucrania, EEUU,
Alemania, China
- Cajeros: 7.300.000 US$
- Transferencias: 10.000.000 US$
- Total estimado: 1.000.000.000 US$
24. ¿Qué es Panda Adaptive Defense?
02/07/2015Malware Evolution 24
25. 02/07/2015Adaptive Defense 25
Panda Adaptive Defense es un nuevo modelo
de seguridad capaz de ofrecer protección
completa para dispositivos y servidores
mediante la clasificación del 100% de los
procesos ejecutados en cada puesto y cada
servidor de tu parque informático,
supervisando y controlando su
comportamiento.
Más de 1.200 millones de aplicaciones ya
clasificadas.
La nueva versión de Adaptive Defense
(1.5) incluye el motor AV, añadiendo la
capacidad de desinfección, y posibilitando el
reemplazo del antivirus de la empresa.
RESPUESTA… e
información
forense para
investigar en
profundidad
cada intento
de ataque
VISIBILIDAD… y
trazabilidad de cada
acción realizada por las
aplicaciones en
ejecución
PREVENCIÓN… y bloqueo
en tiempo real y sin
necesidad de ficheros de
firmas de todos los ataques
Zero-day y dirigidos
DETECCIÓN… y
bloqueo de
aplicaciones,
aislando los
sistemas para
prevenir futuros
ataques
27. 02/07/2015Adaptive Defense 27
Informes diarios e inmediatos.
Gestión sencilla y centralizada
en una consola web
Mayor servicio, menor gestión
Control preciso y configurable de las
aplicaciones en ejecución
Protección de sistemas vulnerables
Protección ante ataques dirigidos
hacia tu capital intelectual
Información forense.
Protección
Productividad
Identificación y bloqueo de programas
no autorizados por la empresa
Solución ligera y fácil de desplegar
Gestión
28. 02/07/2015Adaptive Defense 28
Diferencias Clave
Categorizes all running processes on the endpoint
minimizing risk of unknown malware: Continuous monitoring
and attestation of all processes fills the detection gap of AV
products
Automated investigation of events significantly reduces
manual intervention by the security team: Machine learning
and collective intelligence in the cloud definitively identifies
goodware & blocks malware
Integrated remediation of identified malware: Instant access
to real time and historical data provides full visibility into the
timeline of malicious endpoint activity
Minimal endpoint performance impact (<3%)
29. Contra fabricantes
de AV
Contra fabricantes
de WL*
Contra nuevos fabricantes
de ATDs
Gap en la detección, no
clasifican todos los ejecutables
Requieren creación y gestión
de las listas blancas
Las soluciones perimetrales
no cubren todos los vectores de
infección
No son transparentes para los
usuarios finales y administradores
(gestión falsos positivos,
cuarentenas, …)
El despliegue es
laborioso y complejo
Supervidar entornos virtuales
(sandboxing) no es tan efectivo
como supervisar entornos reales
Los sistemas WL suponen
una costosa sobrecarga
para el administrador
Otros ATDs previenen/bloquean
los ataques, solo los detectan
02/07/2015Panda Adaptive Defense 29
¿Qué diferencia a Adaptive Defense?
* WL=Whitelisting. Bit9, Lumension, etc
** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc
30. 02/07/2015Panda Adaptive Defense 30
Capacidad de detección de nuevo malware*
Antivirus
Tradicional (25)
Modelo Standard Modelo Extendido
Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%
Nuevo malware detectado en los primeros 7 días 93% 100% 100%
Nuevo malware detectado en los primeros 3 meses 98% 100% 100%
% detecciones de PAPS no detectadas por ningún antivirus 3,30%
Detección de Sospechosos SI NO (no hay incertidumbre)
Clasificación de ficheros
Agente
Universal **
Ficheros clasificados automáticamente 60,25% 99,56%
Nivel de confianza de la clasificación 99,928%
99,9991%
< 1 error / 100.000 ficheros
* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y
cookies no han sido incluidos en este estudio.
Adaptive Defense vs Antivirus Tradicionales
** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda
Security
32. 02/07/2015Adaptive Defense 32
Un nuevo modelo de seguridad cloud en
tres fases
1ª Fase: Monitorización
minuciosa de cada una de
las acciones que
desencadenan los
programas en los equipos.
2ª Fase: Análisis y correlación
de todas las acciones
monitorizadas en todos los
clientes gracias a técnicas de
inteligencia basadas en Data
Mining y Big Data.
3ª Fase: Fortificación y
securización de los equipos,
impidiendo la ejecución de
cualquier proceso sospechoso o
peligroso y alertando al
administrador de la red.
35. 02/07/2015Adaptive Defense 35
+1,2 mil millones de aplicaciones ya
categorizadas
+100 despliegues. Malware
detectado en 100% de los escenarios
+100,000 endpoints y servidores
protegidos
+200,000 brechas de seguridad
mitigadas en el último año
+230,000 horas de recursos IT
ahorrados reducción de coste
estimado de 14,2M€
Veamos un ejemplo…
Adaptive Defense
en números
36. 02/07/2015Adaptive Defense 36
Escenario
Concepto Valor
Duraciónd el PoC 60 días
Máquinas monitorizadas +/- 690
Máquinas con malware 73
Máquinas con malware
ejecutado 15
Máquinas con PUP 91
Archivos PUP ejecutados 13
Archivos ejecutables
clasificados
27.942
Concepto Valor
Malware bloquedo 160
PUP bloqueado 623
TOTAL amenazas
mitigadas
783