Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1

Por T. Grey

Seamos honestos, muchas organizaciones no tienen el conocimiento ni la capacitación necesaria para encontrar e identificar amenazas de malware que no están en la base de datos de malware de nuestras herramientas de seguridad de TI. Esperamos la aparición de parches y alertas utilizando las herramientas que ya tenemos, esperando tener el presupuesto suficiente para que podamos permitirnos herramientas avanzadas que analicen el comportamiento en la red en tiempo real y tener suficiente hardware para que estas herramientas no ralenticen demasiado la red para los usuarios.

La realidad es que hasta las organizaciones que poseen un grande presupuesto de seguridad de TI no están encontrando las amenazas de forma oportuna. Una parte del problema es que la mayoría de las herramientas tiene que reconocer si un archivo es malicioso para tomar medidas en su contra. Puede tomar días, semanas o incluso meses hasta que las herramientas de seguridad actualicen sus bases de datos en contra de las nuevas amenazas. En caso de un malware especializado que no ha sido utilizado en ninguna otra organización o que sea el resultado de un ataque de personal interno, una amenaza podría nunca ser identificada generalmente como maliciosa. Las organizaciones también pueden tener sistemas operativos anticuados que ya no sean parcheados pero que no pueden ser actualizados hasta un ciclo presupuestario futuro.

Hablaré y haré demonstraciones sobre este tema en el CEIC de 2015 en Las Vegas.

¿Podrían existir amenazas no identificadas en mis sistemas aunque tenga herramientas de seguridad de TI?

El primer paso para proteger su infraestructura de TI es conocer si existen problemas más allá de las alertas proporcionadas por sus herramientas de seguridad de TI. Esto significa tener un proceso para auditar de manera proactiva amenazas o archivos desconocidos que puedan ser indicadores de problemas potenciales. Una gran cantidad de las herramientas de seguridad de TI pueden ayudarle si ya sabe lo que está buscando o si las herramientas ya saben lo que están buscando. Esto puede parecer un poco raro, pero usted necesita una manera de identificar amenazas desconocidas aunque no sepa lo que está buscando.

La mayoría de las organizaciones tienen herramientas que utilizan “listas negras” para identificar archivos no deseados en la organización así como “listas blancas” para identificar archivos que son definitivamente seguros o que son conocidos como archivos de las aplicaciones de confianza de la organización. Muchos archivos pueden no encajarse en ninguna de las dos categorías y las herramientas de seguridad de TI pueden dejarlos pasar sin alertar a los administradores o sin crear un registro en el sistema de gestión de cambios de TI. Algunos ejemplos pueden ser los siguientes:

    •    Una nueva versión no aprobada de aplicaciones aprobadas descargadas por los usuarios
    •    Versiones obsoletas o sin parches de aplicaciones aprobadas todavía en uso dentro de la organización
    •    Un nuevo malware desconocido que no es identificado por las herramientas de seguridad de TI
    •    Un malware conocido que es polimórfico (se modifica a cada nueva infección)
    •    Aplicaciones no aprobadas instaladas intencionalmente por el usuario
    •    Aplicaciones no aprobadas instaladas por el mal uso de los privilegios de administrador
    •    Código desconocido que reside en el sistema pero sin estar activo

La gama de archivos que pueden ser encontrados es casi infinita, y a menudo pueden parecer estar más allá de la capacidad de gestión de un pequeño equipo. Dicho esto, existe una manera para que los equipos puedan identificar rápidamente archivos sospechosos sin la necesidad de mucha capacitación y con una cantidad razonable de hardware.

Usted necesita de una solución que pueda mejorar a su equipo sin importar su nivel de destreza.

Cómo EnCase puede ayudar a identificar rápidamente archivos desconocidos o sospechosos en toda la organización 

EnCase Cybersecurity permite que las organizaciones construyan rápidamente representaciones de configuraciones aprobadas de usuarios, servidores o dispositivos. A pesar que una auditoría de cumplimento más robusta puede ser realizada por EnCase Cybersecurity cuando se combina a EnCase Analytics, EnCase Cybersecurity puede realizar de manera independiente una serie de tareas de cumplimento, seguridad de TI y respuesta a incidentes, incluyendo una análisis de perfil de sistema para identificar rápidamente archivos no autorizados o procesos ocultos entre miles de computadoras. Estos archivos son los que no caben en una lista blanca ni en una lista negra. No es necesario que su equipo tenga una pericia especial en o investigaciones forenses. Los archivos desconocidos serán fácilmente destacados en un informe al final del trabajo. Crear los trabajos es tan fácil como duplicar un trabajo anterior. EnCase no le especificará si los archivos desconocidos son buenos, malos, seguros o maliciosos pero le llevará a dar ese importante primer paso para encontrar proactivamente problemas potenciales mismo que su equipo de seguridad no sabe qué buscar. 

Casos de uso para EnCase Cybersecurity pueden incluir cualquiera de los siguientes:

    •    Identificar proactivamente archivos maliciosos no encontrados por otras herramientas de seguridad TI
    •    Encontrar código o aplicaciones anteriormente desconocidos en servidores, estaciones de trabajo o computadoras portátiles
    •    Identificar aplicaciones que pueden facilitar el fraude o el mal uso de las computadoras
    •    Auditar versiones aprobadas y niveles de parche del software aprobado
    •    Responder rápidamente a las alertas de otras herramientas de seguridad identificando otras amenazas que podrían haber ingresado exitosamente en un sistema que esté bajo ataque
    •    Verificar la eficacia de la política actual de seguridad de TI según los cambios de red y de usuarios que ocurren con el tiempo
    •    Proporcionar un seguimiento continuo de los sistemas operativos que están fuera de soporte y que ya no son parcheados

En la segunda parte de este artículo, analizaremos algunos ejemplos rápidos para encontrar amenazas de manera proactiva utilizando EnCase en sistemas operativos soportados por el fabricante o cuyo soporte está finalizando. El ejemplo debe ser oportuno puesto que el soporte de Windows Server 2003 finalizará el 15 de julio 2015, o cerca de 4 meses después de la publicación de este artículo. La organización que expondremos trabaja principalmente en Win7 y Win8, pero todavía tiene algunas máquinas con Win2003 que no serán actualizadas hasta el próximo ciclo presupuestario en 2016.

Manténgase atento a la segunda parte de este artículo para ver a EnCase en acción encontrando proactivamente amenazas desconocidas.


TEMAS RELACIONADOS

Visión General de la Integración con EnCase: EnCase & Splunk

Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español

Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos

Dé un "Me Gusta" a Nuestra Página en Facebook

EnCase® Cybersecurity y HP Arcsight Express se Unen para Entregar Administración y Recuperación de Eventos Críticos Post-Detección

 

No hay comentarios :

Publicar un comentario