LA CARRERA DE LA CIBER-SEGURIDAD

L

A

C

ARRERA

DE

LA

C

IBER

-S

EGURIDAD

CONTRA

EL

F

RAUDE

15/06/2015

Juan Santesmases

VP Business Development &

Product Management

15/06/2015

Malware Evolution 2

Contenidos

1. Volumen de muestras de Malware 2. Épocas del Malware

3. Panda Adaptive Defense a. Qué es

b. Características y Beneficios c. Cómo funciona

Volumen de Muestras de

Malware

Evolución del

volumen de muestras

de Malware

1ª Época

• Muy pocas muestras y familias de Malware

• Virus hechos por diversión, algunos muy dañinos, otros inocuos, pero no buscan nada más que eso.

• Propagación lenta (meses, años) ya que era a través de disquetes.

Algunos nombres de virus pertenecen a la localidad donde se creó o

descubrió.

• Análisis de todas las muestras por técnicos.

• Análisis estático de las muestras y desensamblado de las mismas (Reversing).

15/06/2015

2ª Época

• Comienza a aumentar el número de muestras

• Internet comienza a popularizarse tímidamente, comienzan a los virus de macro, gusanos de correo, etc..

• En general poca complejidad, utilizan ataques de ingeniería social por email pero su distribución es limitada, no se envían de forma masiva

• Tecnologías heurísticas

• Aumento frecuencia actualizaciones

15/06/2015

3ª Época

• Aparición de los gusanos de masivos que saturaban internet

• Via mail: I Love You

• Via exploits: Blaster, Sasser, SqlSlammer

• Tecnologías proactivas

• Dinámicas: Proteus

• Estáticas: KRE y Heurísticos de Machine Learning

• Identificación de procesos malware por sus acciones

• Un proceso en el equipo

• Accede a lista de contactos de email • Abre una conexión a internet por un puerto no estándar

• Abre múltiples conexiones usando puerto 25 • Se añade en una clave de autorun

• Hookea navegadores

15/06/2015

Sasser

15/06/2015

Tecnologías

proactivas estáticas

Reducción tiempos respuesta a 0 detectando el malware desconocido Algoritmos Machine Learning aplicados en los problemas clásicos de

clasificación.

El nuestro TAMBIÉN es un problema de “clases”: malware vs goodware.

4ª Época

• Los hackers cambiaron de perfil: Principal motivación del Malware es el

beneficio económico mediante troyanos bancarios y ataques de phishing.

• Se generalizan los

droppers/downloaders/EK

• El salto a la Inteligencia Colectiva. • Clasificación masiva de ficheros. • Entrega de conocimiento desde la nube.

15/06/2015

El salto a la

Inteligencia Colectiva

La entrega del conocimiento desde la nube como alternativa al fichero de firmas.

Escalabilidad de los servicios de entrega de firmas de malware a los clientes mediante la automatización completa de todos los procesos de backend (procesado, clasificación y detección).

15/06/2015

La llegada de Big

Data

 Working set actual de 12 TB  400K millones de registros  600 GB de muestras/día  400 millones de muestras almacenadas

Innovación: hacer viable el

procesamiento de datos derivado de la estrategia de IC aplicando tecnologías de Big Data.

5º Época

• Primer ciberataque masivo contra un país, Estonia, por parte de Rusia.

• Anonymous empieza una campaña contra organismos como la RIAA, la MPAA o la SGAE, entre otras, etc.).

• Profesionalización del Malware

• Uso de técnicas de marketing en campañas de spam.

• Distribución de diferentes variantes en función de horario/país

• Ransomware • APTs

• Detección por contexto

• No se analiza solo que hace un proceso, sino que se tiene en cuenta en qué contexto se está ejecutando...

15/06/2015

15/06/2015

15/06/2015

Malware Evolution 22

- Noviembre / Diciembre 2013 - 40 millones de tarjetas de

crédito/debito robadas

- Ataque a través de la empresa de mantenimiento de A/C

- TPVs

- Autoría incierta

- Borrado de información - Robo de TB de información

Carbanak

- Año 2013/2014

- 100 entidades afectadas

- Países afectados: Rusia, Ucrania, EEUU, Alemania, China

- Cajeros: 7.300.000 US$

- Transferencias: 10.000.000 US$ - Total estimado: 1.000.000.000 US$

¿Qué es Panda Adaptive Defense?

15/06/2015

Panda Adaptive Defense es un nuevo modelo de seguridad capaz de ofrecer protección completa para dispositivos y servidores mediante la clasificación del 100% de los procesos ejecutados en cada puesto y cada servidor de tu parque informático,

supervisando y controlando su comportamiento.

Más de 1.200 millones de aplicaciones ya clasificadas.

La nueva versión de Adaptive Defense (1.5) incluye el motor AV, añadiendo la

capacidad de desinfección, y posibilitando el reemplazo del antivirus de la empresa.

RESPUESTA… e información forense para investigar en profundidad cada intento de ataque VISIBILIDAD… y trazabilidad de cada acción realizada por las

aplicaciones en ejecución

PREVENCIÓN… y bloqueo en tiempo real y sin necesidad de ficheros de firmas de todos los ataques

Zero-day y dirigidos DETECCIÓN… y bloqueo de aplicaciones, aislando los sistemas para prevenir futuros ataques

15/06/2015

Adaptive Defense 26

Informes diarios e inmediatos.

Gestión sencilla y centralizada en una consola web

Mayor servicio, menor gestión Control preciso y configurable de las

aplicaciones en ejecución

Protección de sistemas vulnerables Protección ante ataques dirigidos hacia tu capital intelectual

Información forense.

Protección

Productividad

Identificación y bloqueo de programas no autorizados por la empresa

Solución ligera y fácil de desplegar

15/06/2015

Adaptive Defense 28

Diferencias Clave

 Categorizes all running processes on the endpoint

minimizing risk of unknown malware: Continuous monitoring

and attestation of all processes fills the detection gap of AV products

 Automated investigation of events significantly reduces manual intervention by the security team: Machine learning

and collective intelligence in the cloud definitively identifies goodware & blocks malware

 Integrated remediation of identified malware: Instant access

to real time and historical data provides full visibility into the timeline of malicious endpoint activity

Contra fabricantes

de AV Contra fabricantes de WL* Contra nuevos fabricantes de ATDs

Gap en la detección, no

clasifican todos los ejecutables Requieren creación y gestión de las listas blancas

Las soluciones perimetrales no cubren todos los vectores de

infección No son transparentes para los

usuarios finales y administradores (gestión falsos positivos,

cuarentenas, …)

El despliegue es laborioso y complejo

Supervidar entornos virtuales

(sandboxing) no es tan efectivo como supervisar entornos reales Los sistemas WL suponen

una costosa sobrecarga para el administrador

Otros ATDs previenen/bloquean los ataques, solo los detectan

¿Qué diferencia a Adaptive Defense?

* WL=Whitelisting. Bit9, Lumension, etc ** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc

15/06/2015

Panda Adaptive Defense 30

Capacidad de detección de nuevo malware* _{Tradicional (25)} Antivirus

Modelo Standard Modelo Extendido

Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%

Nuevo malware detectado en los primeros 7 días 93% 100% 100%

Nuevo malware detectado en los primeros 3 meses 98% 100% 100%

% detecciones de PAPS no detectadas por ningún antivirus _3,30%

Detección de Sospechosos SI NO (no hay incertidumbre)

Clasificación de ficheros _{Universal **} Agente

Ficheros clasificados automáticamente 60,25% 99,56%

Nivel de confianza de la clasificación 99,928% _{< 1 error / 100.000 ficheros} 99,9991%

* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y cookies no han sido incluidos en este estudio.

Adaptive Defense vs Antivirus Tradicionales

** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda Security

Como funciona Adaptive

Defense?

15/06/2015

Adaptive Defense 32

Un nuevo modelo de seguridad cloud en

tres fases

1ª Fase: Monitorización

minuciosa de cada una de las acciones que desencadenan los programas en los equipos.

2ª Fase: Análisis y correlación

de todas las acciones monitorizadas en todos los clientes gracias a técnicas de

inteligencia basadas en Data

Mining y Big Data.

3ª Fase: Fortificación y securización de los equipos,

impidiendo la ejecución de cualquier proceso sospechoso o

peligroso y alertando al administrador de la red.

15/06/2015

Adaptive Defense 34

+1,2 mil millones de aplicaciones ya categorizadas

+100 despliegues. Malware

detectado en 100% de los escenarios

+100,000 endpoints y servidores protegidos

+200,000 brechas de seguridad

mitigadas en el último año

+230,000 horas de recursos IT ahorrados  reducción de coste estimado de 14,2M€

Veamos un ejemplo…

Adaptive Defense

en números

15/06/2015

Adaptive Defense 36

Escenario

Concepto Valor

Duraciónd el PoC 60 días

Máquinas monitorizadas +/- 690

Máquinas con malware 73

Máquinas con malware

ejecutado 15

Máquinas con PUP 91

Archivos PUP ejecutados 13

Archivos ejecutables clasificados 27.942 Concepto Valor Malware bloquedo 160 PUP bloqueado 623 TOTAL amenazas mitigadas 783

Distribución del software por fabricante

sobre 100% de archivos ejecutados

15/06/2015

Adaptive Defense 38

Sandboxie

15/06/2015

Adaptive Defense 40

Opera Software

Dropbox Inc.

Aplicaciones

Vulnerables

Actividad aplicaciones

vulnerables:

- …

- (22 aplicaciones vulnerables en TODOS los puestos = 2074)

Inventario aplicaciones vulnerables:

- Excel v14.0.7 - v15.0 (279)

- Firefox v34.0 - v36 (178)

15/06/2015

Adaptive Defense 42

15/06/2015

Adaptive Defense 44

PUP (Spigot)

Potentially confidential information

extraction

15/06/2015

Adaptive Defense 46

Panda Endpoint Protection + Adaptive

Defense