Saltar al contenido principal
TECHNOLOGY

Defensas avanzadas contra ataques selectivos: Plataforma de KATA

Para detectar y responder de manera eficaz a las amenazas más complejas, incluidas las APT, se deben aplicar tecnologías avanzadas como el aprendizaje automático, el uso de sandbox y la búsqueda de amenazas automatizada y proactiva a los eventos y objetos procedentes de la infraestructura corporativa.

¿Cómo se protegen las empresas contra las APT?

Las amenazas avanzadas persistentes (APT) son campañas sofisticadas, a largo plazo y generalmente muy bien preparadas, diseñadas para burlar la protección de una sola capa.

El objetivo principal de una solución anti-APT/antiataques selectivos es aumentar el costo de montar un ataque hasta el punto en que tal acción ya no sea factible o económicamente viable. Lo logran mediante la aplicación de varias técnicas: cuantas más capas diferentes de detección se puedan aplicar y cuantos más puntos de entrada de ataque potenciales se supervisen, mayor será la probabilidad de que se descubra un ataque, sin que importe el tiempo y dinero que el atacante esté dispuesto a dedicarle.

La plataforma KATA, que combina Kaspersky Anti Targeted Attack con Kaspersky EDR, es un ejemplo de este tipo de solución empresarial. Sus capas de tecnología avanzada incluyen lo siguiente:

Análisis del tráfico de red. Este módulo cuenta con funciones de detección de comportamiento y analiza el tráfico y los objetos mediante la tecnología IDS y las reputaciones de URL:

  • La tecnología de detección de intrusiones combina tanto la detección de amenazas tradicional, como la avanzada, impulsada por un conjunto exclusivo de reglas IDS para el análisis del tráfico orientado hacia los ataques selectivos. Los conjuntos de reglas IDS se actualizan de forma automática y rápida.
  • Análisis de reputación de direcciones URL Las URL sospechosas o no deseadas se detectan en función de los datos de reputación de Kaspersky Security Network (KSN) global basada en la nube, que también tiene información sobre las URL y los dominios conectados a ataques selectivos.

Sandbox. El sandbox ejecuta los objetos sospechosos en sus propias máquinas virtuales para detectar actividades maliciosas. Este componente recibe tareas de ejecución de muestras que incluyen parámetros de virtualización basados en el origen del objeto evaluado y el propósito de la evaluación (por ejemplo tipo de SO(s), configuración del SO, entorno, parámetros de inicio de la muestra, duración de la ejecución).

Durante la ejecución de muestras, el sandbox recopila:

  • registros del comportamiento de la muestra (que incluye la lista de llamadas a funciones del sistema, la iteración con otros procesos y archivos, las actividades de la red, las URL, etc.)
  • volcados de memoria
  • los objetos descargados
  • el tráfico generado por la muestra

Una vez finalizada la ejecución, se almacenan los artefactos adquiridos y, a continuación, se procesan mediante un sistema de análisis exclusivo. Si se descubre que la muestra es maliciosa, se le atribuye un veredicto y se asignan los resultados a la base de conocimientos MITRE ATT&CK. Todos los datos recopilados se almacenan internamente para permitir un análisis más detallado de las tácticas y técnicas del adversario sin necesidad de solicitudes adicionales de sandbox, lo que permite ahorrar recursos del servidor.

Un conjunto completo de funciones, incluida la aleatorización del entorno del sistema operativo, la aceleración del tiempo en máquinas virtuales, las técnicas antievasión, la simulación de la actividad del usuario, etc., contribuyen a la alta eficacia de la detección basada en el comportamiento. Sandbox utiliza una serie de tecnologías patentadas y puede funcionar tanto en modo automático como manual.

Kaspersky Security Network (KSN) es una infraestructura de nube global que contiene veredictos de reputación y otro tipo de información sobre los objetos que procesa KATA Platform (archivos, dominios, URL, direcciones IP, etc.). KSN también ofrece detección mediante modelos de aprendizaje automático en la nube, como Cloud ML para Android: KATA Platform recopila los metadatos del archivo APK local y los envía a KSN, que responde con un veredicto creado por el modelo basado en el aprendizaje automático. Kaspersky Private Security Network (KPSN) es una solución privada basada en la nube que está disponible para organizaciones que no pueden enviar sus datos a la nube de KSN global, pero que aún desean beneficiarse de la base de datos de reputación global de Kaspersky. Además del acceso privado a nuestra base de datos global de inteligencia frente a amenazas, los veredictos de KATA Platform se almacenan en una base de datos de KPSN local y se comparten automáticamente con otros productos de Kaspersky implementados en la infraestructura organizativa para obtener una respuesta automatizada. Las organizaciones con KPSN implementada pueden beneficiarse de la reputación de los sistemas externos de terceros sin pasos intermedios a través de una API.

El analizador de ataques selectivos (TAA, Targeted Attack Analyzer) puede detectar acciones sospechosas utilizando la heurística mejorada de anomalías, lo que proporciona capacidades automatizadas de búsqueda de amenazas en tiempo real. Es compatible con el análisis automático de eventos y su correlación con un conjunto único de indicadores de ataque (IoA) generados por los buscadores de amenazas de Kaspersky. Cada vez que el TAA detecta un evento sospechoso importante, el especialista en seguridad de IT recibe una descripción por escrito, recomendaciones (como el modo de reducir el riesgo de repetición del evento detectado), así como una indicación de la confianza en el veredicto y la gravedad del evento para facilitar la clasificación. Los IoA se asignan a MITRE ATT&CK para proporcionar información detallada, incluida la técnica definida por ATT&CK utilizada, una descripción y las estrategias de mitigación. Esto significa que los usuarios pueden beneficiarse automáticamente de la investigación de amenazas de nivel superior sin sobrecargar a los peritos internos cualificados, lo que les permite dedicar tiempo a otras tareas complejas, como la investigación exhaustiva de incidentes y la búsqueda proactiva de amenazas. También puede también puede crear su propia base de datos de IoA personalizados, adecuados para su infraestructura o para su sector industrial en concreto.

Motor antimalware proactivo Al trabajar en un nodo central, con ajustes más agresivos que los activados en la configuración de endpoints, el motor analiza los objetos en búsqueda de código malintencionado o potencialmente peligroso, y envía objetos con contenido potencialmente malintencionado al sandbox. Esto se traduce en detecciones muy precisas que pueden tener mucha relevancia durante la fase de investigación de los incidentes.

Análisis de IoC KATA Platform permite la carga centralizada de IoC a partir de fuentes de datos de amenazas y admite el análisis programado automático de IoC, lo que agiliza el trabajo de los analistas. Los análisis retrospectivos de las bases de datos se pueden utilizar para enriquecer la calidad de la información sobre eventos y alertas de seguridad previamente marcados.

Verificación de certificados El módulo Certcheck comprueba la validez de los certificados firmados y la presencia de certificados sospechosos.

Los servicios de la plataforma KATA para expertos en seguridad de TI también incluyen lo siguiente:

Detección con reglas YARA YARA es una de las herramientas más utilizadas para buscar nuevas variantes de malware. Admite reglas de coincidencia complejas para buscar archivos con características y metadatos específicos, por ejemplo, cadenas que caractericen el estilo concreto de un codificador. Las reglas YARA personalizadas se pueden crear y cargar para analizar los objetos y buscar amenazas específicas para la organización.

Análisis retrospectivo. La automatización de la recopilación de datos, objetos y veredictos y su almacenamiento centralizado permiten realizar análisis retrospectivos mientras se investigan los ataques de varias etapas, incluso en situaciones en las que no se puede acceder a los endpoints vulnerables o cuando los cibercriminales hayan cifrado los datos. Además, los archivos guardados del tráfico web y de correo se pueden volver a analizar automáticamente periódicamente, aplicando las reglas de detección actualizadas más recientes.

Potente creador de consultas para la búsqueda proactiva de amenazas Los analistas pueden realizar consultas complejas para buscar comportamientos atípicos, eventos sospechosos y amenazas específicas a su infraestructura, con el fin de mejorar la detección temprana de actividades de delitos cibernéticos.

Kaspersky Threat Intelligence Portal Las consultas manuales sobre amenazas en nuestra base de conocimientos de Threat Intelligence proporcionan a los analistas de seguridad de IT un contexto adicional para la búsqueda de amenazas y una investigación eficaz.

La plataforma KATA usa diferentes fuentes para recopilar y acumular datos:

Los sensores de red reciben copias de todos los datos de tráfico, a partir de los que recuperan objetos y metadatos de red para un análisis más exhaustivo. Los sensores de red detectan las actividades en las distintas áreas del entorno de IT, lo que permite la detección ‘en tiempo casi real’ de las amenazas complejas en entornos de proxy, web y correo electrónico:

  • El sensor de red puede extraer información sobre el origen, el destino, el destino, el volumen de datos y la periodicidad del tráfico de red (incluso si el archivo está cifrado). Esta información suele ser suficiente para tomar una decisión sobre el nivel de sospecha que se debe aplicar y para detectar posibles ataques. Es compatible con los protocolos SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP y DNS.
  • El sensor de red puede interceptar el tráfico web y gestionar los objetos transmitidos por HTTPS mediante la integración con el servidor proxy a través del protocolo ICAP.
  • El sensor de correo electrónico admite la integración con servidores de correo a través de una conexión POP3 con la casilla de correo especificada. El sensor se puede configurar para que supervise cualquier conjunto de buzones de correo.

La plataforma también proporciona una respuesta automatizada a nivel de pasarela a las amenazas complejas, mediante Kaspersky Secure Mail Gateway y Kaspersky Web Traffic Security como sensores de red con todas las funciones que proporcionan servicios a KATA Platform.

Los sensores de endpoints (Kaspersky EDR) recopilan todos los datos necesarios de los endpoints en su infraestructura. Los agentes implementados en los endpoints supervisan constantemente los procesos, las interacciones, las conexiones de red abiertas, el estado del sistema operativo, los cambios en los archivos, etc. Envían los datos y la información recopilados relacionados con la detección de eventos sospechosos a KATA Platform para realizar estudios y análisis adicionales, así como para compararlos con los eventos detectados en otros flujos de información.

La plataforma KATA en uso

Mediante la implementación de las tecnologías mencionadas anteriormente en una arquitectura de servidor unificada y con administración centralizada, la plataforma KATA asegura posibles puntos de entrada de amenazas en niveles de red y endpoints, incluidos servidores web y de correo, PC, laptops, servidores y máquinas virtuales, lo que ofrece una perspectiva detallada de lo que sucede en la infraestructura de TI de su organización. KATA proporciona un conjunto completo de herramientas para la detección de amenazas multidimensionales, la investigación en profundidad, la búsqueda proactiva de amenazas y una respuesta centralizada a incidentes complejos

La plataforma KATA se integra con Kaspersky Endpoint Security for Business para ofrecer protección de endpoints, lo que incluye el bloqueo automático de amenazas y respuestas a incidentes complejos. La plataforma también se integra con Kaspersky Security Mail Gateway y Kaspersky Web Traffic Security para bloquear amenazas basadas en correo electrónico y en la web, y para proporcionar una respuesta automática a amenazas más complejas. Esta solución integral reduce al mínimo el tiempo y la energía que los equipos de seguridad de TI deben invertir en la protección contra amenazas avanzadas, gracias a la excelente automatización de las acciones defensivas, tanto en los niveles de red, como los de endpoints, enriquecidos con inteligencia de amenazas y administrados en una consola web única.

La plataforma KATA protege la infraestructura corporativa contra amenazas complejas y ataques selectivos sin necesidad de recursos adicionales. Integrada en su estrategia actual, la plataforma equipa a su equipo de seguridad de TI o los centros de operaciones de seguridad con la capacidad de contrarrestar amenazas complejas y ataques selectivos de manera confiable y eficaz, y complementa las tecnologías de protección existentes de otros fabricantes y la interacción con su SIEM.

Productos relacionados

Tecnologías relacionadas

Whitepaper

Reduce the risk of targeted attacks and advanced threats


Whitepaper

Advanced Threat Defense and Targeted Attack Risk Mitigation

Whitepaper

AI under Attack: How to Secure Machine Learning...

Resultados de referencia independientes