Llegamos a ustedes gracias a:



Columnas de opinión

5 cosas que debe saber sobre el malware antes de expulsarlo

Por: Shel Sharma, director de gestión de producto de Cyphort

[14/04/2014] En los ambientes de red de hoy en día, el malware que escapa a las defensas legacy es generalizado y produce alguna clase de actividad cada tres minutos. Por desgracia, la mayor parte de esta actividad es intrascendente para el negocio. Se podría pensar que sería una buena noticia, ¿verdad? El problema es que quienes responden a los incidentes no tienen una buena manera de distinguir entre el malware intrascendente del (potencialmente) altamente dañino. Como resultado, gastan mucho tiempo y recursos persiguiendo pistas falsas, mientras que la verdadera actividad maliciosa se desliza.
Agregue a las noches en vela ese resultado de la revisión compulsiva de alertas de malware en el panel de control, que muestran cientos de advertencias de actividad maliciosa. Con una impresionante lista de malware que analizar y muchas horas en el día, no es de sorprender que los titulares sobre brechas en la seguridad se están convirtiendo en la norma.
La realidad es que la defensa avanzada de malware es una tarea compleja, una que requiere no solo la habilidad para detectar malware -lo cual en ambientes complejos de red ya es difícil-, sino también para priorizar acciones que ofrezcan los mejores resultados. Al reducir el ciclo de vida de un ataque activo en incluso unos cuantos días, se puede reducir en millones el impacto económico de un ataque.
Así que ¿cómo aceleramos las cosas?
El contexto es el antídoto para la incertidumbre creada por la gran cantidad de alertas de malware. ¿Cómo puede usted ganar ese contexto? El primer paso es sabe qué buscar. Una vez que entiende lo que debe ser, puede comenzar a automatizar su colección de datos y a hacer correlaciones.
Puestas así las cosas, he aquí las cosas que debería buscar antes de decidir llevar a cabo alguna acción.
Intención
El malware viene en todos los tamaños y formas. Mientras que la mayoría de malware probablemente se contente con mostrar a sus usuarios publicidad no deseada o tentarlos a descargar más juegos gratis, existe malware avanzado con verdaderas intenciones de hacer daño, con sofisticados ataques dirigidos. La severidad de la intención puede variar desde ser parte de una botnet que envía mensajes de spam a todo el mundo, hasta amenazas dirigidas diseñadas para robar información y crear interrupciones. Entender la verdadera intención del malware puede ser difícil, pero hay varios signos reveladores que pueden ser usados como un camino hacia el mismo.
* Complejidad (evasión): A pesar de que no hay absolutos cuando se trata de malware; en general, más esfuerzo en evasión significa una amenaza más crítica. Si una pieza de código ejecutable intenta "demasiado duro" evadir la detección, por ejemplo, mediante el cifrado de la carga, puede ser considerado más peligrosa que el malware que no lo hace.
* Sofisticación de entrega: Cuánto esfuerzo y personalización fue realizado para hacer llegar el malware a su organización es un buen indicador de la sofisticación y de las habilidades del atacante, y también es un buen indicador de la intención. Un malware propagándose a través de un mensaje entregado de forma personalizada a sus empleados es probablemente más dañino que una infección en forma de un e-mail masivo.
* Funcionalidad cuestionable: Si el código del malware incluye funciones cuestionables, como por ejemplo, llamadas para capturar golpes de teclas o capturas de pantalla, probablemente sea más severo.
Servicios en línea como VirusTotal pueden ser un recurso muy útil para revisar la reputación e intención del malware.
Objetivos
Aunque los atacantes avanzados pueden hacer incursiones en la red haciendo que el malware dé saltos hasta que encuentre lo que están buscando, el sentido común dicta ir primero tras de las amenazas que apuntan a los usuarios y dispositivos más sensibles.
Para hacer esto, debe clasificar los dispositivos, redes y usuarios en su organización, en base a qué tan crítica es la información almacenada en un determinado dispositivo o sistema, o por qué tan crítica es la información a la que los usuarios tienes acceso. Esto se realiza mejor a través de:
* Mantenga una lista de las redes y subredes críticas en su organización
* Mantenga una lista de grupos críticos de Active Directory en base a la sensibilidad de los usuarios, por ejemplo: finanzas, centro de datos, personal ejecutivo, etc.
* Use una solución de administración de direcciones IP o un appliance similar para mantener un mapeo en tiempo real de los dispositivos, direcciones IP, redes y usuarios. Esta información será crítica para determinar la prioridad de una amenaza cuando usted ve una descarga de malware o una alerta de comando y control.
La fuente
La fuente de una infección es también un indicador importante de qué tan malicioso es el malware. Piense en quiénes son sus principales enemigos y en dónde se encuentran, y si la fuente del malware puede ser rastreada hasta ellos. Esto no será siempre posible de hacer, pero cuando pueda, esto lo alertará inmediatamente de la severidad de un ataque y lo ayudará con la priorización de su acción.
El modo más simple de encontrar adversarios es intentar y conseguir geo localizarlos basándose en la dirección IP de la URL de descarga y en la dirección IP de comando y control. Hay varios recursos en Internet que pueden ayudarlo a geo localizar una dirección IP y también ofrecen datos asociados de reputación.
Severidad
Con menos del 10% de las descargas de malware que dan como resultado una infección, no hay razón para perseguir las alertas de descarga de malware que no se hayan arraigado. Por lo tanto, saber dónde radica el malware en la cadena de muerte -por ejemplo, número de descargas, número de infecciones y número de callbacks de comando y control- es un claro indicador de la severidad y puede ser de extrema ayuda en priorizar la solución.
Si ve un montón de descargas de un tipo de malware, pero ningún tráfico de comando y control, probablemente ocurra que el software antivirus es capaz de atraparlo, o que todos sus sistemas están parchados adecuadamente y no son vulnerables al mismo. Por otro lado, si ve un montón de tráfico de comando y control en un dispositivo infectado específico, es probable que el malware esté extrayendo información o causando algún otro daño y deba ser contenido lo antes posible.
Arreglos básicos
Tener una clara comprensión de cómo detener el malware para que no se expanda y controlar el daño es crítico para mitigar las amenazas. He aquí tres fundamentos para la mitigación de amenazas:
* Identifique y bloquee la fuente de infección: Una vez que ha decidido ejecutar acciones, es obvio que usará un firewall y/o dispositivos Secure Web Gateway para bloquear el acceso a la URL donde está hospedado el malware. Si se determina que el e-mail es la fuente del malware, envíe información a los usuarios para que no abran archivos adjuntos sospechosos.
 
* Identifique y bloquee el tráfico de comando y control: Mire el firewall y las bitácoras web para determinar la dirección IP de CnC y bloquee las comunicaciones hacia/desde el mismo.
 
* Identifique y limpie los dispositivos infectados: Esta es la acción más costosa y dolorosa de las acciones de mitigación. Típicamente, una limpieza de dispositivo requerirá volver a cargar la imagen de un sistema, lo cual consume tiempo y también hace que los empleados sean improductivos, ya que pierden acceso al dispositivo durante el tiempo que dura la limpieza. Asegúrese de que sus usuarios hacen backups regulares de sus dispositivos.
Aunque los ataques de alto perfil continuarán dominando los titulares, todo no es pesimismo. Hay un conjunto cada vez más amplio de métodos para prevención y defensa contra ataques; y aunque los chicos malos evolucionan en sus métodos, también lo hacen los chicos buenos. Y aunque suene a cliché, cuando se trata de ataques avanzados, una pizca de prevención equivale a una tonelada de remedio.
Shel Sharma, CSO (EE.UU.)