Presentación de PowerPoint
Transcripción
Presentación de PowerPoint
LA CARRERA DE LA CIBER-SEGURIDAD CONTRA EL FRAUDE 15/06/2015 Juan Santesmases VP Business Development & Product Management Contenidos 1. Volumen de muestras de Malware 2. Épocas del Malware 3. Panda Adaptive Defense a. Qué es b. Características y Beneficios c. Cómo funciona d. Historia de éxito Malware Evolution 15/06/2015 2 Volumen de Muestras de Malware Malware Evolution 15/06/2015 3 Evolución del volumen de muestras de Malware TARGETED ATTACKS ZERO-DAY ATTACKS DYNAMIC TROJANS Más de 200.000 nuevas muestras diarias SPYWARES BOTS TROJANS VIRUS 1.369 nuevas muestras diarias 100 nuevas muestras diarias Malware Evolution 15/06/2015 4 Épocas del Malware Malware Evolution 15/06/2015 5 1ª Época • Muy pocas muestras y familias de Malware • Virus hechos por diversión, algunos muy dañinos, otros inocuos, pero no buscan nada más que eso. • Propagación lenta (meses, años) ya que era a través de disquetes. Algunos nombres de virus pertenecen a la localidad donde se creó o descubrió. • Análisis de todas las muestras por técnicos. • Análisis estático de las muestras y desensamblado de las mismas (Reversing). Malware Evolution 15/06/2015 6 W32.Kriz Malware Evolution Jerusalem 15/06/2015 7 2ª Época • Comienza a aumentar el número de muestras • Internet comienza a popularizarse tímidamente, comienzan a los virus de macro, gusanos de correo, etc.. • En general poca complejidad, utilizan ataques de ingeniería social por email pero su distribución es limitada, no se envían de forma masiva • Tecnologías heurísticas • Aumento frecuencia actualizaciones Malware Evolution 15/06/2015 8 Melissa Malware Evolution Happy 99 15/06/2015 9 3ª Época • Aparición de los gusanos de masivos que saturaban internet • Via mail: I Love You • Via exploits: Blaster, Sasser, SqlSlammer • Tecnologías proactivas • Dinámicas: Proteus • Estáticas: KRE y Heurísticos de Machine Learning • Identificación de procesos malware por sus acciones • Un proceso en el equipo • Accede a lista de contactos de email • Abre una conexión a internet por un puerto no estándar • Abre múltiples conexiones usando puerto 25 • Se añade en una clave de autorun • Hookea navegadores Malware Evolution 15/06/2015 10 I love you Malware Evolution Blaster 15/06/2015 11 Sasser Malware Evolution 15/06/2015 12 Tecnologías proactivas estáticas Reducción tiempos respuesta a 0 detectando el malware desconocido Algoritmos Machine Learning aplicados en los problemas clásicos de clasificación. El nuestro TAMBIÉN es un problema de “clases”: malware vs goodware. Malware Evolution 15/06/2015 13 4ª Época • Los hackers cambiaron de perfil: Principal motivación del Malware es el beneficio económico mediante troyanos bancarios y ataques de phishing. • Se generalizan los droppers/downloaders/EK • El salto a la Inteligencia Colectiva. • Clasificación masiva de ficheros. • Entrega de conocimiento desde la nube. Malware Evolution 15/06/2015 14 Banbra Malware Evolution Tinba 15/06/2015 15 El salto a la Inteligencia Colectiva La entrega del conocimiento desde la nube como alternativa al fichero de firmas. Escalabilidad de los servicios de entrega de firmas de malware a los clientes mediante la automatización completa de todos los procesos de backend (procesado, clasificación y detección). Malware Evolution 15/06/2015 16 La llegada de Big Data Innovación: hacer viable el procesamiento de datos derivado de la estrategia de IC aplicando tecnologías de Big Data. Working set actual de 12 TB 400K millones de registros 600 GB de muestras/día 400 millones de muestras almacenadas Malware Evolution 15/06/2015 17 5º Época • Primer ciberataque masivo contra un país, Estonia, por parte de Rusia. • Anonymous empieza una campaña contra organismos como la RIAA, la MPAA o la SGAE, entre otras, etc.). • Profesionalización del Malware • Uso de técnicas de marketing en campañas de spam. • Distribución de diferentes variantes en función de horario/país • Ransomware • APTs • Detección por contexto • No se analiza solo que hace un proceso, sino que se tiene en cuenta en qué contexto se está ejecutando... Malware Evolution 15/06/2015 18 Reveton Malware Evolution Ransomware 15/06/2015 19 Malware Evolution 15/06/2015 20 APTs… Malware Evolution 15/06/2015 21 - Noviembre / Diciembre 2013 - Autoría incierta - 40 millones de tarjetas de - Borrado de información crédito/debito robadas - Robo de TB de información - Ataque a través de la empresa de mantenimiento de A/C - TPVs Malware Evolution 15/06/2015 22 Carbanak - Año 2013/2014 - Cajeros: 7.300.000 US$ - 100 entidades afectadas - Transferencias: 10.000.000 US$ - Países afectados: Rusia, Ucrania, EEUU, Alemania, China - Total estimado: 1.000.000.000 US$ Malware Evolution 15/06/2015 23 ¿Qué es Panda Adaptive Defense? Malware Evolution 15/06/2015 24 Panda Adaptive Defense es un nuevo modelo PREVENCIÓN… y bloqueo en tiempo real y sin necesidad de ficheros de firmas de todos los ataques Zero-day y dirigidos de seguridad capaz de ofrecer protección completa para dispositivos y servidores mediante la clasificación del 100% de los procesos ejecutados en cada puesto y cada servidor de tu parque informático, supervisando y controlando su comportamiento. Más de 1.200 millones de aplicaciones ya DETECCIÓN… y bloqueo de aplicaciones, aislando los sistemas para prevenir futuros ataques RESPUESTA… e información forense para investigar en profundidad cada intento de ataque clasificadas. VISIBILIDAD… y trazabilidad de cada acción realizada por las aplicaciones en ejecución La nueva versión de Adaptive Defense (1.5) incluye el motor AV, añadiendo la capacidad de desinfección, y posibilitando el reemplazo del antivirus de la empresa. Adaptive Defense 15/06/2015 25 Características y Beneficios Adaptive Defense 15/06/2015 26 Protección Gestión Control preciso y configurable de las aplicaciones en ejecución Informes diarios e inmediatos. Protección de sistemas vulnerables Gestión sencilla y centralizada en una consola web Protección ante ataques dirigidos hacia tu capital intelectual Mayor servicio, menor gestión Información forense. Productividad Identificación y bloqueo de programas no autorizados por la empresa Solución ligera y fácil de desplegar Adaptive Defense 15/06/2015 27 Diferencias Clave Categorizes all running processes on the endpoint minimizing risk of unknown malware: Continuous monitoring and attestation of all processes fills the detection gap of AV products Automated investigation of events significantly reduces manual intervention by the security team: Machine learning and collective intelligence in the cloud definitively identifies goodware & blocks malware Integrated remediation of identified malware: Instant access to real time and historical data provides full visibility into the timeline of malicious endpoint activity Minimal endpoint performance impact (<3%) Adaptive Defense 15/06/2015 28 ¿Qué diferencia a Adaptive Defense? Contra fabricantes de AV Contra fabricantes de WL* Contra nuevos fabricantes de ATDs Gap en la detección, no clasifican todos los ejecutables Requieren creación y gestión de las listas blancas Las soluciones perimetrales no cubren todos los vectores de infección No son transparentes para los usuarios finales y administradores (gestión falsos positivos, cuarentenas, …) El despliegue es laborioso y complejo Supervidar entornos virtuales (sandboxing) no es tan efectivo como supervisar entornos reales Los sistemas WL suponen una costosa sobrecarga para el administrador Otros ATDs previenen/bloquean los ataques, solo los detectan * WL=Whitelisting. Bit9, Lumension, etc ** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc Panda Adaptive Defense 15/06/2015 29 Adaptive Defense vs Antivirus Tradicionales Capacidad de detección de nuevo malware* Antivirus Tradicional (25) Modelo Standard Modelo Extendido Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100% Nuevo malware detectado en los primeros 7 días 93% 100% 100% Nuevo malware detectado en los primeros 3 meses 98% 100% 100% % detecciones de PAPS no detectadas por ningún antivirus Detección de Sospechosos 3,30% SI NO (no hay incertidumbre) * Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y cookies no han sido incluidos en este estudio. Clasificación de ficheros Agente Universal ** Ficheros clasificados automáticamente 60,25% 99,56% Nivel de confianza de la clasificación 99,928% 99,9991% < 1 error / 100.000 ficheros ** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda Security Panda Adaptive Defense 15/06/2015 30 Como funciona Adaptive Defense? Adaptive Defense 15/06/2015 31 Un nuevo modelo de seguridad cloud en tres fases 1ª Fase: Monitorización 2ª Fase: Análisis y correlación 3ª Fase: Fortificación y minuciosa de cada una de de todas las acciones securización de los equipos, las acciones que monitorizadas en todos los impidiendo la ejecución de desencadenan los clientes gracias a técnicas de cualquier proceso sospechoso o programas en los equipos. inteligencia basadas en Data peligroso y alertando al Mining y Big Data. administrador de la red. Adaptive Defense 15/06/2015 32 Arquitectura Panda Adaptive Defense Adaptive Defense 15/06/2015 33 Historia de Éxito Adaptive Defense 15/06/2015 34 +1,2 mil millones de aplicaciones ya categorizadas Adaptive Defense en números +100 despliegues. Malware detectado en 100% de los escenarios +100,000 endpoints y servidores protegidos +200,000 brechas de seguridad mitigadas en el último año +230,000 horas de recursos IT ahorrados reducción de coste estimado de 14,2M€ Veamos un ejemplo… Adaptive Defense 15/06/2015 35 Escenario Adaptive Defense Concepto Valor Malware bloquedo 160 PUP bloqueado 623 TOTAL amenazas mitigadas 783 Concepto Valor Duraciónd el PoC 60 días Máquinas monitorizadas +/- 690 Máquinas con malware 73 Máquinas con malware ejecutado 15 Máquinas con PUP 91 Archivos PUP ejecutados 13 Archivos ejecutables clasificados 27.942 15/06/2015 36 Distribución del software por fabricante sobre 100% de archivos ejecutados Adaptive Defense 15/06/2015 37 Skillbrains Adaptive Defense Igor Pavilov 15/06/2015 38 Sandboxie Holdings LLC Adaptive Defense Eolsoft 15/06/2015 39 Dropbox Inc. Adaptive Defense Opera Software 15/06/2015 40 Aplicaciones Vulnerables Inventario aplicaciones vulnerables: Actividad aplicaciones vulnerables: - Firefox v34.0 - v36 (178) -… - (22 aplicaciones vulnerables en TODOS los puestos = 2074) - Java v6 – v7 (80) Adaptive Defense - Excel v14.0.7 - v15.0 (279) 15/06/2015 41 Top Malware Adaptive Defense 15/06/2015 42 Top Malware Adaptive Defense 15/06/2015 43 PUP (Spigot) Adaptive Defense 15/06/2015 44 PUP (Spigot) Potentially confidential information extraction Adaptive Defense 15/06/2015 45 Panda Endpoint Protection + Adaptive Defense Adaptive Defense 15/06/2015 46 Muchas gracias