Presentación de PowerPoint

LA CARRERA DE LA CIBER-SEGURIDAD
CONTRA EL FRAUDE
15/06/2015
Juan Santesmases
VP Business Development &
Product Management
Contenidos
1.
Volumen de muestras de Malware
2.
Épocas del Malware
3.
Panda Adaptive Defense
a. Qué es
b. Características y Beneficios
c. Cómo funciona
d. Historia de éxito
Malware Evolution
15/06/2015
2
Volumen de Muestras de
Malware
Malware Evolution
15/06/2015
3
Evolución del
volumen de muestras
de Malware
TARGETED ATTACKS
ZERO-DAY ATTACKS
DYNAMIC TROJANS
Más de 200.000
nuevas muestras
diarias
SPYWARES
BOTS
TROJANS
VIRUS
1.369 nuevas
muestras
diarias
100 nuevas
muestras
diarias
Malware Evolution
15/06/2015
4
Épocas del Malware
Malware Evolution
15/06/2015
5
1ª Época
•
Muy pocas muestras y familias de
Malware
•
Virus hechos por diversión, algunos
muy dañinos, otros inocuos, pero no
buscan nada más que eso.
•
Propagación lenta (meses, años) ya
que era a través de disquetes.
Algunos nombres de virus pertenecen
a la localidad donde se creó o
descubrió.
•
Análisis de todas las muestras por
técnicos.
•
Análisis estático de las muestras y
desensamblado de las mismas
(Reversing).
Malware Evolution
15/06/2015
6
W32.Kriz
Malware Evolution
Jerusalem
15/06/2015
7
2ª Época
•
Comienza a aumentar el número de
muestras
•
Internet comienza a popularizarse
tímidamente, comienzan a los virus de
macro, gusanos de correo, etc..
•
En general poca complejidad, utilizan
ataques de ingeniería social por email
pero su distribución es limitada, no se
envían de forma masiva
•
Tecnologías heurísticas
•
Aumento frecuencia actualizaciones
Malware Evolution
15/06/2015
8
Melissa
Malware Evolution
Happy 99
15/06/2015
9
3ª Época
• Aparición de los gusanos de masivos que
saturaban internet
• Via mail: I Love You
• Via exploits: Blaster, Sasser, SqlSlammer
• Tecnologías proactivas
• Dinámicas: Proteus
• Estáticas: KRE y Heurísticos de Machine
Learning
• Identificación de procesos malware por sus
acciones
• Un proceso en el equipo
• Accede a lista de contactos de email
• Abre una conexión a internet por un puerto
no estándar
• Abre múltiples conexiones usando puerto 25
• Se añade en una clave de autorun
• Hookea navegadores
Malware Evolution
15/06/2015
10
I love you
Malware Evolution
Blaster
15/06/2015
11
Sasser
Malware Evolution
15/06/2015
12
Tecnologías
proactivas estáticas
Reducción tiempos respuesta a 0
detectando el malware desconocido
Algoritmos Machine Learning aplicados
en los problemas clásicos de
clasificación.
El nuestro TAMBIÉN es un problema de
“clases”: malware vs goodware.
Malware Evolution
15/06/2015
13
4ª Época
• Los hackers cambiaron de perfil:
Principal motivación del Malware es el
beneficio económico mediante
troyanos bancarios y ataques de
phishing.
• Se generalizan los
droppers/downloaders/EK
• El salto a la Inteligencia Colectiva.
• Clasificación masiva de ficheros.
• Entrega de conocimiento desde la
nube.
Malware Evolution
15/06/2015
14
Banbra
Malware Evolution
Tinba
15/06/2015
15
El salto a la
Inteligencia Colectiva
La entrega del conocimiento desde la
nube como alternativa al fichero de
firmas.
Escalabilidad de los servicios de
entrega de firmas de malware a los
clientes mediante la automatización
completa de todos los procesos de
backend (procesado, clasificación y
detección).
Malware Evolution
15/06/2015
16
La llegada de Big
Data
Innovación: hacer viable el
procesamiento de datos derivado de la
estrategia de IC aplicando tecnologías
de Big Data.
 Working set actual de 12 TB
 400K millones de registros
 600 GB de muestras/día
 400 millones de muestras
almacenadas
Malware Evolution
15/06/2015
17
5º Época
• Primer ciberataque masivo contra un país,
Estonia, por parte de Rusia.
• Anonymous empieza una campaña contra
organismos como la RIAA, la MPAA o la SGAE, entre
otras, etc.).
• Profesionalización del Malware
• Uso de técnicas de marketing en campañas de
spam.
• Distribución de diferentes variantes en función
de horario/país
• Ransomware
• APTs
• Detección por contexto
• No se analiza solo que hace un proceso, sino
que se tiene en cuenta en qué contexto se está
ejecutando...
Malware Evolution
15/06/2015
18
Reveton
Malware Evolution
Ransomware
15/06/2015
19
Malware Evolution
15/06/2015
20
APTs…
Malware Evolution
15/06/2015
21
-
Noviembre / Diciembre 2013
-
Autoría incierta
-
40 millones de tarjetas de
-
Borrado de información
crédito/debito robadas
-
Robo de TB de información
-
Ataque a través de la empresa de
mantenimiento de A/C
-
TPVs
Malware Evolution
15/06/2015
22
Carbanak
-
Año 2013/2014
-
Cajeros: 7.300.000 US$
-
100 entidades afectadas
-
Transferencias: 10.000.000 US$
-
Países afectados: Rusia, Ucrania, EEUU,
Alemania, China
-
Total estimado: 1.000.000.000 US$
Malware Evolution
15/06/2015
23
¿Qué es Panda Adaptive Defense?
Malware Evolution
15/06/2015
24
Panda Adaptive Defense es un nuevo modelo
PREVENCIÓN… y bloqueo
en tiempo real y sin
necesidad de ficheros de
firmas de todos los ataques
Zero-day y dirigidos
de seguridad capaz de ofrecer protección
completa para dispositivos y servidores
mediante la clasificación del 100% de los
procesos ejecutados en cada puesto y cada
servidor de tu parque informático,
supervisando y controlando su
comportamiento.
Más de 1.200 millones de aplicaciones ya
DETECCIÓN… y
bloqueo de
aplicaciones,
aislando los
sistemas para
prevenir futuros
ataques
RESPUESTA… e
información
forense para
investigar en
profundidad
cada intento
de ataque
clasificadas.
VISIBILIDAD… y
trazabilidad de cada
acción realizada por las
aplicaciones en
ejecución
La nueva versión de Adaptive Defense
(1.5) incluye el motor AV, añadiendo la
capacidad de desinfección, y posibilitando el
reemplazo del antivirus de la empresa.
Adaptive Defense
15/06/2015
25
Características y Beneficios
Adaptive Defense
15/06/2015
26
Protección
Gestión
Control preciso y configurable de las
aplicaciones en ejecución
Informes diarios e inmediatos.
Protección de sistemas vulnerables
Gestión sencilla y centralizada
en una consola web
Protección ante ataques dirigidos
hacia tu capital intelectual
Mayor servicio, menor gestión
Información forense.
Productividad
Identificación y bloqueo de programas
no autorizados por la empresa
Solución ligera y fácil de desplegar
Adaptive Defense
15/06/2015
27
Diferencias Clave
 Categorizes all running processes on the endpoint
minimizing risk of unknown malware: Continuous monitoring
and attestation of all processes fills the detection gap of AV
products
 Automated investigation of events significantly reduces
manual intervention by the security team: Machine learning
and collective intelligence in the cloud definitively identifies
goodware & blocks malware
 Integrated remediation of identified malware: Instant access
to real time and historical data provides full visibility into the
timeline of malicious endpoint activity
 Minimal endpoint performance impact (<3%)
Adaptive Defense
15/06/2015
28
¿Qué diferencia a Adaptive Defense?
Contra fabricantes
de AV
Contra fabricantes
de WL*
Contra nuevos fabricantes
de ATDs
Gap en la detección, no
clasifican todos los ejecutables
Requieren creación y gestión
de las listas blancas
Las soluciones perimetrales
no cubren todos los vectores de
infección
No son transparentes para los
usuarios finales y administradores
(gestión falsos positivos,
cuarentenas, …)
El despliegue es
laborioso y complejo
Supervidar entornos virtuales
(sandboxing) no es tan efectivo
como supervisar entornos reales
Los sistemas WL suponen
una costosa sobrecarga
para el administrador
Otros ATDs previenen/bloquean
los ataques, solo los detectan
* WL=Whitelisting. Bit9, Lumension, etc
** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc
Panda Adaptive Defense
15/06/2015
29
Adaptive Defense vs Antivirus Tradicionales
Capacidad de detección de nuevo malware*
Antivirus
Tradicional (25)
Modelo Standard Modelo Extendido
Nuevo malware detectado en las primeras 24 horas
82%
98,8%
100%
Nuevo malware detectado en los primeros 7 días
93%
100%
100%
Nuevo malware detectado en los primeros 3 meses
98%
100%
100%
% detecciones de PAPS no detectadas por ningún antivirus
Detección de Sospechosos
3,30%
SI
NO (no hay incertidumbre)
* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y
cookies no han sido incluidos en este estudio.
Clasificación de ficheros
Agente
Universal **
Ficheros clasificados automáticamente
60,25%
99,56%
Nivel de confianza de la clasificación
99,928%
99,9991%
< 1 error / 100.000 ficheros
** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda
Security
Panda Adaptive Defense
15/06/2015
30
Como funciona Adaptive
Defense?
Adaptive Defense
15/06/2015
31
Un nuevo modelo de seguridad cloud en
tres fases
1ª Fase: Monitorización
2ª Fase: Análisis y correlación
3ª Fase: Fortificación y
minuciosa de cada una de
de todas las acciones
securización de los equipos,
las acciones que
monitorizadas en todos los
impidiendo la ejecución de
desencadenan los
clientes gracias a técnicas de
cualquier proceso sospechoso o
programas en los equipos.
inteligencia basadas en Data
peligroso y alertando al
Mining y Big Data.
administrador de la red.
Adaptive Defense
15/06/2015
32
Arquitectura Panda Adaptive Defense
Adaptive Defense
15/06/2015
33
Historia de Éxito
Adaptive Defense
15/06/2015
34
+1,2 mil millones de aplicaciones ya
categorizadas
Adaptive Defense
en números
+100 despliegues. Malware
detectado en 100% de los escenarios
+100,000 endpoints y servidores
protegidos
+200,000 brechas de seguridad
mitigadas en el último año
+230,000 horas de recursos IT
ahorrados  reducción de coste
estimado de 14,2M€
Veamos un ejemplo…
Adaptive Defense
15/06/2015
35
Escenario
Adaptive Defense
Concepto
Valor
Malware bloquedo
160
PUP bloqueado
623
TOTAL amenazas
mitigadas
783
Concepto
Valor
Duraciónd el PoC
60 días
Máquinas monitorizadas
+/- 690
Máquinas con malware
73
Máquinas con malware
ejecutado
15
Máquinas con PUP
91
Archivos PUP ejecutados
13
Archivos ejecutables
clasificados
27.942
15/06/2015
36
Distribución del software por fabricante
sobre 100% de archivos ejecutados
Adaptive Defense
15/06/2015
37
Skillbrains
Adaptive Defense
Igor Pavilov
15/06/2015
38
Sandboxie
Holdings LLC
Adaptive Defense
Eolsoft
15/06/2015
39
Dropbox Inc.
Adaptive Defense
Opera Software
15/06/2015
40
Aplicaciones
Vulnerables
Inventario aplicaciones vulnerables:
Actividad aplicaciones
vulnerables:
- Firefox v34.0 - v36 (178)
-…
- (22 aplicaciones vulnerables en TODOS los puestos = 2074)
- Java v6 – v7 (80)
Adaptive Defense
- Excel v14.0.7 - v15.0 (279)
15/06/2015
41
Top Malware
Adaptive Defense
15/06/2015
42
Top Malware
Adaptive Defense
15/06/2015
43
PUP (Spigot)
Adaptive Defense
15/06/2015
44
PUP (Spigot)
Potentially confidential information
extraction
Adaptive Defense
15/06/2015
45
Panda Endpoint Protection + Adaptive
Defense
Adaptive Defense
15/06/2015
46
Muchas gracias