1

Check Point: atrapar el Malware en la Caja de Arena

Check-point-logoLa frase ”conoce a tu enemigo como a ti mismo” se cita a menudo en la seguridad TI. Pero con la cantidad abrupta y complejidad de los ataques cibernéticos es una tarea enorme conocer al enemigo. Los adversarios que surgen diariamente usan una variedad desconcertante de amenazas de malware para tratar de interrumpir las operaciones o filtrar los datos confidenciales.

Y las organizaciones permanecen vulnerables a los ataques de día cero dado el volumen de malware nuevo que se puede esconder a plena vista en archivos insignificantes. Por lo tanto, puede que no sepamos todo sobre todos los enemigos la tecnología de seguridad nueva puede revelar inteligencia vital que se puede usar para identificar y anular los riesgos nuevos que surgen a diario.

El crimen cibernético se ha vuelto un gran negocio y como en cualquier otro negocio los criminales desean crecer las ganancias y la participación de mercado. Para incrementar la posibilidad de éxito, atacan cientos, incluso miles de empresas. En 2012 se crearon y distribuyeron a diario un promedio de 70.000 a 100.000 pruebas nuevas de malware – más de diez veces al día que en 2011 y 100 veces más que en 2006.

El reporte de seguridad 2013 de Check Point descubrió que el 63%de las organizaciones están infectadas con bots y más de la mitad son infectadas con malware nuevo al menos una vez al día. Mantener el ritmo con este crecimiento masivo es imposible para enfoques antimalware convencionales.   

Sin embargo así como los controles de la frontera de un país usarán varios métodos para observar a la gente que ingresa al país e identificar a aquellos que son una amenaza las técnicas de seguridad nuevas han hecho posible examinar los correos electrónicos, archivos y datos que entran a una red mediante correos o como descargas web en tiempo real. Los archivos maliciosos se pueden aislar en el gateway al borde de la red o en la nube según decida la organización para evitar la infección en primer lugar – brindando una capa externa de protección contra ataques sin impactar el flujo del negocio.  

Escanear para detectar malware

En el entorno virtual de la caja de arena el archivo se abre y monitorea para ver cualquier comportamiento inusual en tiempo real como intentos de hacer cambios anormales de registro o conexiones de red. Si el comportamiento del archivo es sospechoso o malicioso, se bloquea y se pone en cuarentena para prevenir cualquier infección posible antes de que pueda alcanzar a la red y causar daño. En esta fase se pueden tomar más acciones para determinar y clasificar amenazas nuevas con el fin de hacer la identificación más fácil.

Construir la caja de arena

Seleccionar archivos que son sospechosos y que necesitan inspección – por ejemplo la ruta a la caja de arena – ocurre en línea en los gateways de seguridad de la organización o en la nube, utilizando un agente junto al servidor de correo de la empresa. Se pueden escoger los archivos con tráfico codificado enviado dentro de la organización en túneles SSL y TLS, que de otra manera esquivarían muchas implementaciones de seguridad estándares en la industria.

El proceso de selección se realiza utilizando una combinación de métodos de análisis integrales y de otro tipo. Por ejemplo si ejemplos del mismo archivo ya se han almacenado en el gateway o por el agente de correo electrónico, el sistema considera que el archivo puede ser parte de un intento masivo de phishing para varios empleados. Este enfoque optimiza y acelera el análisis al escoger solamente archivos sospechosos para una inspección más profunda. Cuando se escogen los archivos se suben a la caja de arena que contiene el motor de emulación el cual corre en el gateway de seguridad o en la nube. 

Todo este proceso ocurre transparentemente para la mayoría de los archivos – que significa que incluso en el raro evento de que un archivo se inspeccione y se compruebe que esta ‘limpio’, el destinatario no notará ninguna pausa en su servicio de correo electrónico. La información acerca de la actividad de archivos detectados esta luego disponible para el equipo de TI en un reporte de amenazas detallado.

Compartir información de amenazas mundialmente

Este es el principio detrás del servicio ThreatCloud de Check Point que ayuda a diseminar el conocimiento adquirido sobre un enemigo nuevo. De la misma forma que organizaciones de salud mundiales colaboran para combatir enfermedades emergentes, desarrollar vacunas y otros tratamientos el enfoque colaborador de ThreatCloud cierra la ventana de tiempo entre el descubrimiento de un ataque nuevo y la capacidad de defenderse. Una vez que se ha rastreado una amenaza nueva los detalles (Incluyendo descriptores clave como la dirección IP, URL o DNS) se suben a ThreatCloud y se comparten automáticamente con los suscriptores a nivel mundial. Por ejemplo si se usa una amenaza nueva como un ataque dirigido a un banco en Hong Kong y se identifica por emulación de amenazas la firma nueva se puede aplicar a los gateways mundiales en minutos. Al vacunar a las organizaciones contra el ataque antes de que se esparza la infección la emulación de amenazas reduce la posibilidad de que un brote se trasforme en una epidemia mejorando la seguridad para todos.

Conéctese a la actualidad tecnológica e informática cada mañana. ¡Suscríbase gratis a nuestro Newsletter!