HayCanal.com

Threat Emulation, una técnica clave para prevenir ataques dirigidos de día cero

Threat Emulation, una técnica clave para prevenir ataques dirigidos de día cero

Los cibercriminales usan actualmente una variedad desconcertante de amenazas de malware para tratar de interrumpir la operativa de negocio o filtrar datos confidenciales y las organizaciones se mantienen vulnerables a los ataques de día cero debido al gran volumen de nuevo malware que se puede esconder a la vista en archivos aparentemente inocuos.

El malware sigiloso, la técnica de ataque más frecuente, es difícil de detectar y está diseñada para operar por debajo del radar de los equipos de TI. En la mayoría de estos nuevos tipos de malware el código está oculto en los formatos de archivos más comunes que todos utilizamos en el trabajo –emails y sus adjuntos, incluyendo documentos de Word, PDFs, hojas de cálculo de Excel, etc.-. Los kits de herramientas de los que disponen los hackers pueden esconder estos scripts ejecutables para ocultar las acciones de tipo malicioso, lo que puede suponer un cambio en el registro del ordenador del usuario o la descarga de un archivo ejecutable que puede ser capaz de infectar la red.

A pesar de tener defensas por capas gracias a una solución IPS o un IDS puede ayudar a bloquear algunas acciones de malware, estas opciones no son capaces de frenar las infecciones que alcanzan la red y se extienden a través de ella. Para los nuevos ataques, o incluso para las variantes de ataques ya conocidos, no existen firmas que las defensas convencionales puedan detectar. Mientras que los antivirus, anti-spyware y soluciones similares de seguridad son útiles para la “limpieza” de las secuelas de un ataque, se muestran ineficaces como defensa frente a nuevos ataques.

Sin embargo, las nuevas técnicas de seguridad han hecho posible la capacidad de escrutar los correos electrónicos, archivos y datos que entran en la red mediante correos o como descargas web, en tiempo real. Los archivos maliciosos se pueden aislar en el gateway, en el perímetro de la red o en la nube, según decida la organización, para evitar la infección en el contacto inicial brindando una capa externa de protección contra ataques sin impactar en el flujo del negocio.

El proceso de aislamiento y evaluación se realiza utilizando una técnica denominada emulación de amenazas, que permite observar el interior de los archivos sospechosos que llegan al gateway –ya sea como adjuntos de correo o como descargas web- con el fin de inspeccionar su contenido en un área en cuarentena conocida como “sandbox”. Esta versión virtualizada y autónoma de un entorno informático actúa como una zona segura para poder poner en funcionamiento diversas aplicaciones que puede ser potencialmente peligrosas o destructivas.

En el entorno virtual de la “sandbox” el archivo se abre y se monitorea para detectar cualquier comportamiento inusual en tiempo real como, por ejemplo, intentos de hacer cambios anormales de registro o conexiones de red. Si el comportamiento del archivo es sospechoso o malicioso, se bloquea y se pone en cuarentena para prevenir cualquier infección posible antes de que pueda alcanzar a la red y causar daño. En esta fase se pueden tomar más acciones para determinar y clasificar amenazas nuevas con el fin de hacer la identificación más fácil.

La selección de los archivos que son sospechosos y que necesitan inspección – es decir, encaminarlos a la sandbox – ocurre, bien en línea en los gateways de seguridad de la organización o en la nube, utilizando un agente junto al servidor de correo de la empresa. Se pueden incluso interceptar los archivos enviados con protocolos encriptados dentro de la organización, usando túneles SSL y TLS, que de otra manera esquivarían muchas implementaciones de seguridad estándares en la industria.

Detección de amenazas

Los archivos cargados en el motor de emulación son copiados y se ejecutan en los diferentes entornos virtuales de sistemas operativos y aplicaciones. Tras esto, son sometidos a un proceso de inspección de cinco etapas:

1. Si la instancia virtualizada del programa da error, o intenta descomprimir o sustituir un documento diferente, entonces es marcado como malicioso. Además, si el archivo  intenta llamar a .dll o .exe, esto nos señala asimismo un comportamiento anormal y potencialmente malicioso.

2. Se chequea el registro virtual para detectar  intentos de cambio por parte del archivo, un sello distintivo del software malicioso y una acción que un documento ordinario nunca debería intentar.

3. Tanto los sistemas de ficheros como los procesos se chequean para detectar de intentos de modificación. De nuevo, un documento ordinario no debería intentar hacer ningún cambio.

4. El motor de emulación controla, asimismo, cualquier intento de comunicación vía web- por ejemplo, contactar con un centro C&C (Command and Control) o la descarga de malware.

5. Por último, el motor registra y genera un informe con toda la actividad realizada por el archivo, incluyendo varias capturas de pantalla del entorno de la sandbox  y, además, crea una “huella digital” del archivo de modo que ésta pueda ser identificada rápidamente en detecciones posteriores.

Los archivos maliciosos detectados por el motor de emulación son puestos en cuarentena para que no lleguen al usuario y no puedan infectar la red. Incluso el código malware desarrollado para detectar cuándo es ejecutado en un entorno virtualizado no es inmune a la tecnología de la sandbox. Este malware intenta camuflar sus acciones o actuar de una manera benigna mientras que se halla en dicho entorno para poder evitar su detección. Sin embargo, esta actividad de “encubrimiento” realmente ayuda a identificar las intenciones maliciosas, ya que el motor de emulación de amenazas controla ese intento de disfrazarse y registra la actividad sospechosa del archivo.

Todo este proceso ocurre transparentemente para la mayoría de los archivos – lo que significa que incluso en la circunstancia excepcional de que un archivo se inspeccione y se compruebe que esta ‘limpio’, el destinatario no notará ninguna pausa en su servicio de correo electrónico. La información acerca de la actividad de los archivos detectados esta luego disponible para el equipo de TI en un reporte de amenazas detallado.

Compartiendo información de amenazas de manera global

¿Y si después de la detección y el bloqueo de un archivo mediante la tecnología de emulación, las organizaciones fueran capaces de compartir esta información sobre la nueva amenaza para ayudar a otros a evitar esa misma infección? A fin de cuentas, se ha recogido la “huella digital” de la nueva amenaza y se ha desarrollado una firma para su detección, lo que significa que es posible prevenir una infección más amplia.   Este es el principio detrás del servicio ThreatCloud de Check Point, que ayuda a diseminar el conocimiento adquirido. De la misma forma que organizaciones de salud mundiales colaboran para combatir enfermedades emergentes, desarrollar vacunas y otros tratamientos, el enfoque colaborador de ThreatCloud minimiza la ventana de tiempo entre el descubrimiento de un ataque nuevo y la capacidad de defenderse.

Una vez que se ha rastreado una amenaza nueva los detalles (Incluyendo descriptores clave como la dirección IPS, URL o DNS) se suben a ThreatCloud y se comparten automáticamente con los suscriptores a nivel mundial. Por ejemplo, si se usa una amenaza nueva como un ataque dirigido a un banco en Hong Kong y se identifica por emulación de amenazas, la firma nueva se puede aplicar a todos los gateways mundiales en minutos. Al vacunar a las organizaciones contra el ataque antes de que la infección  se extienda, la emulación de amenazas reduce la posibilidad de que un brote se trasforme en una epidemia mejorando la seguridad para todos.

De este modo, incluso cuando los cibercriminales dirigen sus ataques a cientos o miles de compañías, la emulación de amenazas puede desempeñar un papel clave en la protección de las organizaciones contra los nuevo malware y ataques de “día cero”. El uso de la emulación es  uno de los métodos más robustos para proteger las redes de las empresas, creando una nueva y primera línea de defensa frente al malware.

 

Mario García, director general de Check Point para España y Portugal

 

 

 

Mario García de Check Point


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos