Manual de Adaptive Defense

Tabla de Contenidos

Tabla de Contenidos ... 2

1. Prólogo ... 6

1.1. ¿A quién está dirigida esta guía? ... 6

1.2. Iconos ... 6

2. Introducción ... 8

2.1. Características principales de Adaptive Defense. ... 8

2.2. Perfil de Usuario de Adaptive Defense ... 9

2.3. Arquitectura general del servicio Adaptive Defense ... 9

2.3.1. Servidor Adaptive Defense ... 10

2.3.2. Servidor Web de la consola de administración... 11

2.3.3. Equipos protegidos con Adaptive Defense ... 11

2.3.4. Servidor Logtrust de conocimiento acumulado ... 11

2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense ... 12

3. Conceptos básicos de Adaptive Defense ... 14

3.1. Características del servicio de protección en el endpoint ... 14

3.1.1. El ratio de detección ... 14

3.1.2. El ratio de clasificación ... 14

3.1.3. La fiabilidad de la clasificación ... 14

3.2. Modelo Adaptive Defense ... 14

3.3. Clasificación de procesos en Adaptive Defense... 15

3.3.1. Procesos conocidos ... 15

3.3.2. Procesos desconocidos ... 15

3.3.3. Tipos de procesos conocidos ... 16

3.4. Análisis de eventos ... 16

3.5. Confidencialidad de los datos del cliente ... 17

3.5.1. Directrices de los datos recogidos por el servicio ... 17

3.5.2. Información recogida de las máquinas ... 18

3.5.3. Privacidad de la información recogida ... 19

4. Instalación y puesta en marcha servicio Adaptive Defense ... 21

4.1. Checklist de pasos y requisitos necesarios. ... 21

4.2. Fase de aprendizaje ... 28

4.3. Fase de bloqueo de Malware (hardening) ... 29

5. Estado de la seguridad y visibilidad de los equipos ... 31

5.1. Estado del servicio Adaptive Defense ... 31

5.2. Estado de la seguridad del parque informatico ... 31

5.2.1. Programas maliciosos... 32

5.2.2. Investigando en nuestro laboratorio ... 32

5.2.3. Programas vulnerables ... 33

5.2.4. Programas potencialmente no deseados... 34

5.2.5. Top riesgo Usuarios ... 34

5.2.6. Top Riesgo Equipos ... 35

5.3. Informes detallados de la actividad de las amenazas ... 36

5.3.2. Programas en investigación ... 37

5.3.3. Programas vulnerables ... 39

5.3.4. Programas potencialmente no deseados (PUP) ... 39

5.3.5. Usuarios con más riesgo... 40

5.3.6. Equipos auditados ... 41

5.4. Informe ejecutivo ... 41

6. Configuración del comportamiento de Adaptive Defense ... 43

6.1. Programas clasificados ... 43

6.1.1. Ejecutar programas concretos clasificados como Malware... 43

6.2. Programas sin clasificar ... 43

6.2.1. Modo auditoría ... 44

6.2.2. Modo de bloqueo de programas en proceso de clasificación (Modo Extendido) ... 44

6.2.3. Modo de ejecución limitada de programas en proceso de clasificación (modo Deep Hardenig) ... 44

6.2.4. Modo de ejecución completa de programas en proceso de clasificación (modo Hardenig) ... 45

7. Análisis forense y prevención de ataques ... 47

7.1. Modo Deep hardening e infección por Malware desconocido ... 47

7.2. Análisis forense y prevención de ataques de equipos infectados ... 47

7.2.1. Análisis forense mediante las tablas de acciones ... 47

7.2.2. Análisis forense mediante grafos de ejecución ... 51

7.2.3. Diagramas ... 52

7.2.4. Nodos ... 52

7.2.5. Líneas y flechas ... 54

7.2.6. La línea temporal ... 54

7.2.7. Zoom in y Zoom out ... 55

7.2.8. Timeline (línea temporal) ... 55

7.2.9. Filtros ... 56

7.2.10. Movimiento de los nodos y zoom general del grafo ... 56

7.3. Interpretación de las tablas de acciones y grafos de actividad ... 57

7.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A ... 58

7.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf ... 59

7.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT ... 60

7.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F ... 62

8. Análisis de conocimiento y búsquedas avanzadas ... 65

8.1. Acceso al entorno LogTrust ... 65

8.2. Descripción de las tablas Adaptive Defense ... 65

8.2.1. Tabla Alert ... 67 8.2.2. Tabla Drivers ... 71 8.2.3. Tabla Filesdwn ... 72 8.2.4. Tabla hook ... 76 8.2.5. Tabla Install ... 78 8.2.6. Tabla Monitoredopen ... 79

8.2.9. Tabla Registry ... 85

8.2.10. Tabla Socket ... 88

8.2.11. Tabla Toast ... 92

9. Anexo I: Integración con productos SIEM ... 96

10. Anexo II: Acuerdos de Nivel de Servicio ... 98

10.1. Servicio de Preventa y Migración ... 98

10.2. Servicio de Soporte Técnico ... 98

10.3. Nuestra Infraestructura en la Nube ... 99

1. Prólogo

¿A quién está dedicada esta guía?

1. Prólogo

Esta guía contiene información y procedimientos de uso para obtener el máximo beneficio del producto Adaptive Defense.

1.1. ¿A quién está dirigida esta guía?

La presente documentación está dirigida a administradores de red que necesiten proteger los equipos Windows del parque informático de la empresa frente a las amenazas y ataques dirigidos avanzados (APTs).

Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada sin intervención del administrador de la red, también provee de información muy detallada y fácil de comprender sobre los procesos y programas ejecutados por los usuarios en los equipos de la empresa, ya sean amenazas conocidas o desconocidas como programas legítimos.

Para que el administrador de la red pueda interpretar correctamente la información ofrecida y extraer conclusiones que alimenten nuevas iniciativas para fortalecer la seguridad de la empresa son necesarios conocimientos técnicos de entornos Windows a nivel de procesos, sistema de ficheros y registro, así como entender los protocolos de red más frecuentemente utilizados.

1.2. Iconos

En esta guía aparecen los siguientes iconos:

Información adicional, como, por ejemplo, un método alternativo para realizar una determinada tarea.

Sugerencias y recomendaciones.

2. Introducción

Características principales

Perfil de Usuario

Arquitectura general

2. Introducción

Adaptive Defense es un servicio de seguridad gestionado basado en la supervisión, control y clasificación de los procesos ejecutados en el parque informático en base su comportamiento y naturaleza.

A diferencia de los antivirus tradicionales, Adaptive Defense utiliza un nuevo concepto de seguridad que le permite adaptarse de forma precisa al entorno particular de cada empresa, supervisando la ejecución de todas las aplicaciones y aprendiendo constantemente de las acciones desencadenadas por cada uno de los procesos.

Tras un breve periodo de aprendizaje Adaptive Defense es capaz de ofrecer un nivel de protección muy superior al de un antivirus tradicional, así como ofrecer una información valiosa sobre el contexto en el que se sucedieron los problemas de seguridad para poder determinar su alcance e implantar las medidas necesarias para evitar que se vuelvan a repetir.

Adaptive Defense es un servicio Cloud y por lo tanto no requiere de nueva infraestructura de control en la empresa, manteniendo de esta manera un TCO bajo.

2.1. Características principales de Adaptive Defense.

Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada frente a amenazas y ataques avanzados y dirigidos a las empresas, a través de cuatro pilares:

 Visibilidad en tiempo real de cada acción realizada por las aplicaciones en ejecución.

 Detección de amenazas mediante la clasificación automática de todos los ficheros y procesos de la red utilizando técnicas Machine Learning en entornos de explotación de información Big Data.

 Respuesta mediante análisis forense para investigar en profundidad el alcance de cada intento de intrusión.

 Prevención mediante información que ayudará al administrador de la red a evitar ataques dirigidos similares en el futuro.

2.2. Perfil de Usuario de Adaptive Defense

Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad sin intervención del administrador de la red, también provee información muy detallada y comprensible sobre la actividad de los procesos ejecutados por los usuarios en toda la infraestructura de IT de la empresa. Esta información puede ser utilizada por el administrador para delimitar claramente el impacto de posibles problemas y adaptar sus protocolos de seguridad y así evitar situaciones equivalentes en el futuro.

Todos los usuarios con un Agente Adaptive Defense instalado en su equipo disfrutarán de un servicio de seguridad con garantías, impidiendo la ejecución de programas que supongan una amenaza para el desarrollo de la empresa.

2.3. Arquitectura general del servicio Adaptive Defense

Adaptive Defense es un servicio avanzado de seguridad basado en el análisis del comportamiento de los procesos ejecutados en el parque de cada cliente.

El análisis de los procesos se realiza aplicando técnicas de Machine Learning en infraestructuras Big Data alojadas en la nube de forma que el cliente no tiene que instalar hardware ni recursos adicionales en sus oficinas.

Según la figura Adaptive Defense está formado por varios elementos:

 Servidor Adaptive Defense

 Servidor web de la consola de administración

 Equipos protegidos con Adaptive Defense

 Equipo del administrador de red que accede a la consola web

 Servidor Logtrust de explotación en tiempo real del conocimiento acumulado

 Servidores SIEM del cliente compatibles con Adaptive Defense A continuación se detallan los diferentes roles de la arquitectura mostrada.

2.3.1. Servidor Adaptive Defense

El servidor Adaptive Defense recopila todas las acciones realizadas por los procesos de usuario y enviadas desde los Agentes instalados en los equipos del cliente. Mediante técnicas de aprendizaje, evalúa su comportamiento y dicta una clasificación por cada proceso en ejecución, que es devuelta al Agente para ejecutar una decisión.

El servidor Adaptive Defense está formado por una granja de servidores alojada en la nube que configura un entorno de explotación Big Data donde se aplican reglas Machine Learning de forma continuada para clasificar cada proceso ejecutado.

Las ventajas de este nuevo modelo de análisis de procesos en la nube frente al adoptado por los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son varias:

 El porcentaje de error al clasificar un proceso ejecutado en multitud de endpoints a lo largo del tiempo es del 99’9991% (menos de 1 error cada 100.000 ficheros analizados) con lo que el número de falsos positivos y falsos negativos es cercano a cero.

 El retraso en la clasificación de los procesos vistos por primera vez es mínimo ya que el Agente Adaptive Defense envía las acciones que desencadena cada proceso y el servidor las analiza buscando patrones sospechosos. Adicionalmente para los ficheros ejecutables encontrados en el equipo del usuario y que sean desconocidos para la plataforma Adaptive Defense el agente enviará el fichero al servidor para su análisis.

El impacto en el rendimiento de la red del cliente debido al envío de los ejecutables desconocidos está configurado para pasar completamente desapercibido. Un fichero

desconocido se envía una sola vez para todos los clientes que usan Adaptive Defense. Además se han implementado mecanismos de gestión del ancho de banda y limites por Agente y hora, con el objetivo de minimizar el impacto en la red del cliente.

 El consumo de recursos de CPU en el equipo del usuario es mínimo y está estimado en un 2% frente al 5%-15% de las soluciones de seguridad tradicionales, ya que todo el proceso de análisis y clasificación se realiza en la nube. El Agente instalado simplemente recoge la clasificación enviada por el servidor Adaptive Defense y ejecuta una acción correctora.

 El análisis en la nube libera al cliente de instalar y mantener infraestructuras de hardware y software junto al pago de licencias y gestión de garantías, con lo que el TCO desciende significativamente.

Consulta el Anexo 2 para información sobre la disponibilidad de la plataforma Adaptive Defense y los tiempos de clasificación.

2.3.2. Servidor Web de la consola de administración

Toda la gestión de Adaptive Defense se realiza a través de la consola web accesible para el administrador desde la URL

https://paps.pandasecurity.com/paps

La consola web es compatible con los navegadores más comunes y es accesible desde cualquier lugar y en cualquier momento utilizando cualquier dispositivo que tenga instalado un navegador compatible.

Consulta el Capítulo 4: Instalación y puesta en marcha servicio Adaptive Defense para verificar si tu navegador es compatible con el servicio.

La consola web es responsive de modo que es accesible desde móviles y tablets en cualquier momento y lugar.

2.3.3. Equipos protegidos con Adaptive Defense

El Agente Adaptive Defense es un pequeño componente software que ocupa algo menos de 20MB y que tiene que estar instalado en todas las máquinas del parque informático susceptibles de sufrir problemas de seguridad.

El modo de funcionamiento del Agente consiste en recoger información sobre todos los eventos que se producen en las máquinas, enviándolos al Servidor Adaptive Defense. Toda la información recogida corresponde a los eventos de software y los componentes que los producen. No se recoge información ni documentos del usuario.

El Agente enviará en tiempo real toda la información al Servidor Adaptive Defense para su explotación y clasificación.

El Agente Adaptive Defense se instala sin problemas en máquinas con otras soluciones de seguridad

2.3.4. Servidor Logtrust de conocimiento acumulado

Adaptive Defense se entrega opcionalmente con un servicio de almacenamiento para todo el conocimiento generado por los equipos del cliente, con un registro de cada acción realizada por los procesos que se ejecutan en el parque de IT, ya sean Goodware como Malware. De esta forma es posible relacionar y visualizar de forma flexible todos los datos recogidos para obtener información adicional sobre las amenazas y sobre el uso que los usuarios están dando a los equipos de la empresa.

Consulta el Capítulo 8 para configurar y sacar provecho del servicio de análisis de conocimiento y búsquedas avanzadas.

2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense

Adaptive Defense se integra con soluciones SIEM de proveedores externos enviando los datos recogidos sobre la actividad de todas las aplicaciones ejecutadas en los puestos. Esta información se entrega al SIEM ampliada con todo el conocimiento de la plataforma Adaptive Defense y podrá ser explotada por los sistemas de que disponga el cliente.

A continuación se listan los sistemas SIEM compatibles con Adaptive Defense:

 QRadar

 AlienVault

 ArcSight

 LookWise

 Bitacora

Consulta el Anexo 1 Integración con productos SIEM para obtener más información sobre la integración de Adaptive Defense con SIEMs de terceros.

3. Conceptos

básicos de

Adaptive

Defense

Características del servicio de protección en el

endpoint

Modelo Adaptive Defense

Clasificación de procesos

Análisis de eventos

Confidencialidad de los datos

3. Conceptos básicos de Adaptive Defense

Adaptive Defense es un servicio de seguridad garantizada basado en un modelo de protección completamente diferente al utilizado en los antivirus tradicionales, ya sea On Premise, Cloud o mono puesto.

3.1. Características del servicio de protección en el endpoint

Desde el punto de vista de la protección de los equipos de la red, son tres los parámetros fundamentales a la hora de ofrecer un producto de seguridad fiable: el ratio de detección, el ratio de clasificación y la precisión en la clasificación de los ficheros analizados. A estos tres parámetros se debe de añadir un cuarto adicional que los recoge: el factor temporal.

3.1.1. El ratio de detección

El ratio de detección responde a la pregunta de “¿Cuantos virus conoce la solución de seguridad?”

Se trata del porcentaje de muestras diferentes que el proveedor de seguridad reconoce, frente al número de muestras totales en circulación.

3.1.2. El ratio de clasificación

El ratio de clasificación responde la pregunta de “¿Cuantos ficheros conoces?”

Indica el porcentaje de ficheros que el proveedor ya ha reconocido para poder emitir una clasificación, frente al total de ficheros que circula por la red del cliente.

3.1.3. La fiabilidad de la clasificación

La fiabilidad de la clasificación mide el nivel de certeza en el veredicto emitido a la hora de etiquetar un elemento como Goodware o Malware. O dicho de otro modo es la probabilidad de que un elemento conocido cambie su clasificación, bien porque inicialmente fue clasificado como Goodware y sea posteriormente reclasificado como Malware o viceversa.

3.2. Modelo Adaptive Defense

En el modelo propuesto la actividad de clasificación y detección de Malware también se realiza en local con los conocidos métodos heurísticos del sistema tradicional pero la principal novedad es la recopilación automática de las acciones desencadenadas por cada proceso ejecutado en los equipos del cliente, y su posterior estudio utilizando técnicas de Machine Learning en los entornos Big Data desplegados dentro de la infraestructura del proveedor de seguridad.

De esta forma cada Agente instalado en el equipo del cliente registra todas las acciones y cambios en el sistema que producen cada uno de los procesos que el usuario ejecuta. Estas acciones perfectamente detalladas son enviadas al proveedor, produciéndose un minado de

datos de comportamiento continuo y en tiempo real. Así es como Adaptive Defense conoce las características y comportamiento de todos y cada uno de los ficheros que circulan en las redes de sus clientes.

Debido a que una misma solución de software ejecutada en muchos clientes puede generar grupos de acciones diferentes dependiendo de cómo sea utilizada, el proveedor tendrá acceso a multitud de ejecuciones de un mismo programa, disponiendo así de un volumen de evidencias adicionales muy valioso e imposible de replicar en el modelo tradicional que, una vez cruzadas y explotadas con tecnologías de análisis estadístico sobre plataformas Big Data, permitirán una clasificación casi instantánea y automática en la mayoría de los casos de todos y cada uno de los procesos que ejecuta cada cliente, con un grado de fiabilidad muy próximo al 100%.

3.3. Clasificación de procesos en Adaptive Defense

El proceso de clasificación consiste en determinar la peligrosidad de cada programa ejecutado en la empresa del cliente

En un primer nivel el sistema distingue entre dos estados.

 Procesos conocidos

 Procesos desconocidos

3.3.1. Procesos conocidos

Se trata de procesos ya registrados y analizados por Adaptive Defense o con ciertas características que los convierten en procesos conocidos sin necesidad de analizarlos. En este último grupo entrarían los programas que forman parte del sistema operativo o programas firmados digitalmente por una entidad certificadora conocida.

Todos los procesos conocidos por Adaptive Defense llevan un hash asociado de forma que el Agente pueda preguntar al Servidor Adaptive Defense si es conocido o no, y si lo es poder recuperar su clasificación.

3.3.2. Procesos desconocidos

Son los procesos nuevos para el sistema y por lo tanto sin hash de identificación ni clasificación asociada. En función de la configuración del servicio se permitirá o no su ejecución en el equipo del cliente. En el caso de que se permita su ejecución el Agente enviará al servidor los eventos generados por cada ejecución del proceso en cada uno de los equipos de usuario. En el momento en que el número de eventos sea lo suficientemente relevante en el Servidor Adaptive Defense se emitirá una clasificación y el proceso pasara a estado Conocido.

3.3.3. Tipos de procesos conocidos

Dentro de los procesos conocidos existen dos tipos: Goodware y Malware/PUPS.

Goodware: Goodware es un proceso conocido cuyo comportamiento desde el momento en que fue visto por primera vez en un equipo hasta el presente es seguro. Un proceso puede ser Goodware por varias razones:

 Por pertenecer a la distribución base del sistema operativo y venir firmado digitalmente por una entidad emisora de certificados de confianza

 Por haber sido monitorizada su ejecución una o más veces, y por lo tanto los eventos generados ya han sido estudiados por Adaptive Defense.

Malware / PUP: Adaptive Defense analiza el comportamiento de los procesos en ejecución y evalúa la peligrosidad de sus acciones. Si un proceso ha realizado acciones peligrosas en el pasado para el equipo o la red donde se encontraba en ejecución Adaptive Defense lo catalogará como Malware o como un programa potencialmente no deseado para todos los clientes del servicio.

3.4. Análisis de eventos

Adaptive Defense basa su funcionamiento en tres pilares fundamentales: un Agente instalado en el endpoint del cliente, un sistema de análisis automatizado en la nube y un equipo de expertos en Panda Labs que estudia las amenazas más complicadas que los sistemas automáticos no pueden resolver por sí solos.

El Agente instalado en cada equipo del cliente monitoriza cada uno de los procesos en ejecución y envía todos los eventos a la nube, donde se explota este conocimiento para determinar de forma automática para la mayor parte de los casos la peligrosidad de los procesos ejecutados.

El número de tipos de acciones registradas y enviadas al proveedor es muy exhaustivo, una lista de las más importantes se detalla a continuación:

 Descarga de ficheros

 Instalación de software

 URLs de descarga

 Modificación del fichero de Hosts

 Edad del fichero

 Creación / instalación de drivers

 Captura de ventanas

 Creación y modificación de ficheros ejecutables

 Carga de DLLs

 Creación de servicios

 Mapeo de ficheros ejecutables

 Borrado y renombrado de ficheros

 Creación de carpetas

 Creación y apertura de archivos

 Creación y modificación de ramas del registro

 Creación de hilos en procesos remotos

 Destrucción de procesos

 Acceso a la SAM

 Acceso a datos (alrededor de 200 formatos de fichero)

3.5. Confidencialidad de los datos del cliente

El nuevo modelo de protección de Adaptive Defense requiere obtener información de las acciones realizadas por las aplicaciones instaladas en los equipos del cliente.

3.5.1. Directrices de los datos recogidos por el servicio

La recogida de datos en Adaptive Defense estrictamente unas directrices generales que se listan a continuación

 Se recoge únicamente información relativa a ficheros ejecutables de Windows, (fichero .exe, .dll,…) que se ejecutan / cargan en el equipo del usuario. No se recoge ninguna información sobre ficheros de datos.

 Los atributos de los ficheros se envían normalizados retirando la información referente al usuario logueado. Así por ejemplo las rutas de ficheros se normaliza como LOCALAPPDATA\nombre.exe en lugar de c:\Users\NOMBRE_DE_USUARIO \AppData \Local\nombre.exe)

 Las URLS recogidas son únicamente las de descarga de ficheros ejecutables. No se recogen URLs de navegación de usuarios.

 No existe nunca la relación dato-usuario dentro de los datos recogidos.

3.5.2. Información recogida de las máquinas

La información del entorno de ejecución (hardware y software del equipo) recogida por el servicio es la siguiente:

 Nombre del equipo.

 Sistema operativo.

 Service Pack.

 Grupo en el que el PC protegido está incluido.

 IP por defecto de la máquina.

 MAC.

 Direcciones IP asignadas al PC en los diferentes adaptadores de red.

 MAC para los diferentes adaptadores de red.

 Memoria Ram en MBytes.

Como información imprescindible para soportar el nuevo modelo de protección, Adaptive Defense envía información sobre las acciones que realizan las aplicaciones ejecutadas en cada equipo del usuario.

Atributo Dato Descripción Ejemplo

Fichero Hash Hash del fichero al que hace _{referencia el evento} N/A

URL Url Dirección desde donde se ha _{descargado un ejecutable} http://www.Malware.com/ejecu_table.exe

Path Path Ruta normalizada en la que se encuentra el fichero al que hace

referencia el evento APPDATA\

Registro Clave/Valor Clave del registro de Windows y su _{contenido relacionado}

HKEY_LOCAL_MACHINE\SOFTWA RE\Panda Security\Panda Research\Minerva\Version = 3.2.21

Operación Id Operación

Identificador de operación realizada en el evento

(creación/modificación/carga/.. de ejecutable, descarga de ejecutable, comunicación,…)

El evento de tipo 0 indica la ejecución de un ejecutable

Comunicación Protocolo /Puerto/ Dirección

Recoge el evento de comunicación de un proceso (no su contenido) junto con el protocolo y dirección

Malware.exe envía datos por UDP en el puerto 4865

Software Software _Instalado Recoge la lista de software instalado en el endpoint según el API de Windows

Office 2007, Firefox 25, IBM Client Access 1.0

Adicionalmente puede ser necesario enviar ficheros ejecutables a nuestra plataforma de Inteligencia Colectiva. Para reducir el consumo de ancho de banda sólo se envían ficheros ejecutables a la plataforma de Inteligencia Colectiva en caso de no estar aún presentes. Al enviarse únicamente ficheros ejecutables nos aseguramos que en ningún caso contendrán información confidencial del usuario / cliente.

3.5.3. Privacidad de la información recogida

Toda la información recogida se almacena únicamente en nuestra plataforma cloud de Windows Azure.

La información no es compartida con terceros salvo en el caso de que los clientes:

 Quieran recibir en su sistema SIEM información sobre las alertas y datos de seguridad que son recogidos por Adaptive Defense. La información recogida se enviará a los SIEM de los clientes por un protocolo seguro establecido por el cliente.

 Usen la plataforma Logtrust, la plataforma de explotación en tiempo real del conocimiento acumulado con el que Adaptive Defense se integra por defecto. La información es enviada a Logtrust por HTTPS y se almacena en los CPDs de Logtrust.

Toda la información que se envía a la nube es cifrada con algoritmos de encriptación fuertes como BlowFish.

Finalmente, la información recogida en el equipo del usuario por el Agente es almacenada temporalmente en una carpeta de almacenamiento cifrada.

4. Instalación y

puesta en

marcha

Checklist de pasos y requisitos necesarios

Fase de aprendizaje

Fase de bloqueo de Malware

4. Instalación y puesta en marcha servicio Adaptive Defense

En este capítulo se detallan los pasos necesarios para finalizar correctamente una instalación del servicio y su posterior puesta en marcha.

4.1. Checklist de pasos y requisitos necesarios.

1º Comprobar la compatibilidad del Agente Adaptive Defense con los equipos a proteger. Los sistemas Windows compatibles con el Agente son los siguientes:

 Sistemas operativos (estaciones): Windows XP SP2 o superior (Vista, Windows 7, 8 y 8.1) en plataformas de 32 y 64 bits.

 Sistemas operativos (servidores): Windows Server 2003, Windows Server 2008, Windows Server 2012 en cualquiera de sus configuraciones y arquitecturas.

2º Comprobar que se cumplen los prerrequisitos en cada equipo a instalar

El Agente es una aplicación que requiere de los siguientes componentes estándar, generalmente ya instalados en el equipo del usuario:

 .NET Framework versión 2.0 SP2 o cualquiera de las versiones superiores que lo incluyan.

Si no se encuentra se requerirá su instalación manual

 Visual C++ 2008 Redistributable Package. Si no se encuentra el instalador lo descargará

e instalará por sí mismo.

3º Comprobar que se cumplen los prerrequisitos de conectividad

El agente se comunica por defecto a través del protocolo HTTPS con el servidor de modo que requiere acceso por el puerto 443 a Internet con los destinos:

https://paps.pandasecurity.com https://rpuws.pandasecurity.com https://rpkws.pandasecurity.com

https://prws2.pandasecurity.com/PAPS/Login.aspx/

En el caso de utilizarse un proxy para acceder a Intenet se deben de configurar las credenciales correspondientes en el portal web antes de la descarga del instalador (ver paso 4º).

Adicionalmente, el Agente tiene la capacidad de conmutar de conexión por proxy a conexión directa y viceversa automáticamente, permitiendo así el envío de eventos para equipos en movilidad conectados a redes no corporativas (sin proxy).

4º Generación del paquete de instalación

La generación del paquete de instalación introduce cierta información en el instalador que facilitará al administrador el posterior despliegue y configuración del Agente.

Configuración del proxy de salida a Internet: Si el acceso a Internet de la red es a través de un proxy, primero se deberá de configurar la información para su utilización en la Consola web. De este modo se generará un instalador MSI preparado para poder ser usado en la red.

Si se van a utilizar varios proxys diferentes se deberá generar un instalador personalizado para cada uno de ellos y gestionar el despliegue en cada red correspondiente.

Para generar un paquete de instalación hay que hacer click en el botón Añadir equipos en el dashboard y rellenar los campos relativos al proxy si el acceso a internet de los agentes es de esta manera.

Una vez introducidos los datos y salvados se puede proceder a la descarga del MSI en el equipo local para comentar su despliegue.

El instalador es único y contiene tanto la versión del Agente compatible con sistemas de 32 bits como la de 64 bits.

Instalación del Agente en equipos con otros antivirus instalados: Adaptive Defense es compatible con los antivirus de endpoint tradicionales y se puede instalar como complemento para proteger los equipos del cliente contra ataques dirigidos y avanzados.

5º Descarga y distribución del instalador

El fichero instalador MSI puede ser distribuido de varias formas en la red del cliente, dependiendo del número de equipos, su localización y otros factores.

Instalación manual: El instalador MSI puede ser compartido en una carpeta de red de donde los usuarios lo recogerán e instalarán manualmente, o también puede ser enviado por email.

La instalación del Agente requiere permisos de administrador local del equipo. Según la configuración del equipo el UAC requerirá confirmar la instalación o introducir la contraseña de administrador.

El programa de instalación no necesita ninguna información adicional.

Si el paquete Visual C++ 2008 Redistributable Package no está instalado en el equipo el instalador lo descargará e instalara de forma automática.

Una vez terminado el proceso de instalación el Agente Adaptive Defense se actualizará con el nuevo conocimiento.

El Agente Adaptive Defense está preparado para pasar inadvertido para el usuario y no admite ningún tipo de configuración desde el mismo equipo.

Instalación centralizada mediante Políticas de grupo (GPO): Si el parque de equipos es muy grande puede usarse la infraestructura de Active Directory existente para desplegar el instalador o cualquier otro software de instalación remota. De esta manera el administrador de red no tendrá que desplazarse a los equipos uno por uno y podrá realizar una instalación silent en los equipos de la red que considere oportuno.

A continuación se muestran los pasos de una instalación mediante una GPO (Group Policy Object).

 Descarga del instalador Adaptive Defense y compartición: Colocar el instalador

Adaptive Defense en una carpeta compartida que sea accesible por todos aquellos

equipos que vayan a recibir el Agente.

 Abrir el applet “Active Directory Users and Computers” y crear una nueva OU (Organizational Unit) de nombre “Adaptive Defense”.

 Abrir el snap-in Group Policy Management y en Domains seleccionar la UO recién

creada para bloquear la herencia.

 Añadir un nuevo paquete de instalación que contendrá el Agente Adaptive Defense. Para ello se nos pedirá que añadamos el instalador a la GPO.

 Una vez añadido mostramos las propiedades y en la pestaña Deployment, Advanced seleccionamos el check box que evita la comprobación entre el sistema operativo de destino y el definido en el instalador.

 Finalmente añadimos en la OU Adaptive Defense creada anteriormente en “Active Directory Users and Computers” a todos los equipos de la red que queramos enviar el Agente.

6º Comprobación de la instalación del Agente

La instalación del Agente crea los siguientes elementos en los equipos:

 RUTA DE INSTALACIÓN: ficheros correspondientes a los servicios instalados.

- %programfiles%\Panda Security\Minerva Suite\

 RUTA DE TRABAJO: Contiene la caché y diversos ficheros temporales de los eventos de actividad de la máquina recogidos

- %ProgramData%\Minerva

 SERVICIOS: la instalación registra 2 nuevos servicios cuyos ejecutables se encuentran firmados digitalmente por Panda Security, S.L. al igual que todos los ficheros de la solución:

- Minerva Agent (RMMsvc.exe): Recopila y envía los eventos observados en el equipo. - Minerva Updater (MinervaUpdater.exe): Genera las actualizaciones del agente.

 REGISTRO: se crea la siguiente rama de registro con diversas configuraciones entre las que

se encuentra el identificador de cliente, url del frontal del servicio, datos de proxy, etc…

- HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\Panda Research\Minerva

Cambio de los datos de conexión a través de Proxy: Una vez que el Agente está instalado y funcionando ya no es posible cambiar los datos de conexión a través de proxy desde la consola del servicio. En su lugar se utiliza el programa SetMinervaProxy.zip descargable desde

http://www.pandasecurity.com/resources/tools/paps/setminervaproxy.zip

Una vez descargado descomprimir el archivo (contraseña: panda) en la carpeta de instalación de Adaptive Defense y lanzar una ventana de línea de comandos con permisos de

Administrador. Teclear el siguiente comando, indicando la información correspondiente a los nuevos datos de configuración del proxy:

Si se quiere desactivar el proxy y usar una conexión directa puedes ejecutar el siguiente comando:

SetMinervaProxy.exe Activate=0 7º Actualización del Agente

El Agente dispone de un servicio denominado Minerva Updater. Este servicio se encarga entre otras tareas, de la actualización del Agente, descargando desde el Servidor Adaptive Defense los datos de actualización publicados.

La actualización es completamente transparente para el usuario final y puede ser monitorizada a través del Dashboard y de informes diarios accesibles en la Consola web.

Consulta el Capítulo 5: Estado de la seguridad y visibilidad de los equipos para más información acerca de los informes y el dashboard.

Una vez completada la instalación de los Agentes en el parque de equipos el servicio comenzará a auditar los procesos ejecutados en las máquinas para proceder a su clasificación.

4.2. Fase de aprendizaje

La fase de aprendizaje es un periodo de tiempo que comienza en el momento en que la instalación del Agente se ha completado y dura entre 2 días y 1 semana dependiendo del número de aplicaciones que se ejecuten en ese equipo. Durante este tiempo el Agente comienza a monitorizar los eventos que ocurren en la máquina enviando al servidor Adaptive Defense aquellos que consideran relevantes.

Los Agentes también enviarán a los frontales únicamente aquellas muestras no registradas en el conocimiento de Panda Security hasta el momento. Un fichero se enviará una sola vez desde una máquina. El uso de ancho de banda está limitado y es monitorizado por el propio Agente. Una vez recibida en el Servidor la información recogida por los Agentes, ésta pasa al backend del servicio donde se aplican diferentes tecnologías para resolver los elementos desconocidos y/o potencialmente maliciosos e identificar software potencialmente vulnerable.

Durante la fase de aprendizaje el comportamiento de Adaptive Defense con respecto al Goodware, Malware y ficheros desconocidos es el siguiente:

 Goodware: se permite su ejecución de forma normal

 Malware: se bloquea su ejecución

 Ficheros desconocidos: Inicialmente se permite su ejecución hasta que Adaptive Defense concluya que se trata de Goodware o Malware. Una vez clasificado el

conocimiento se difunde a todos los equipos que utilizan el servicio de protección. Si un equipo ejecutó un programa sin clasificar en su momento y que posteriormente ha resultado ser Malware el sistema bloqueará cualquier intento de ejecución posterior y marcará el equipo como infectado en la sección Alertas.

Consulta el capítulo 5: Estado de la seguridad y visibilidad de los equipos para más información acerca de las Alertas.Consulta el Capítulo3: Conceptos básicos de Adaptive Defense para más información sobre Goodware, Malware y ficheros desconocidos.

Al final de la fase de aprendizaje el 100% de las aplicaciones ejecutadas por los usuarios son clasificadas como Goodware o Malware.

4.3. Fase de bloqueo de Malware (hardening)

Una vez terminada la fase de aprendizaje Adaptive Defense comenzará a proteger el equipo según sea la configuración elegida por el administrador de red.

Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para más información.

5. Estado de la

seguridad y

visibilidad de

los equipos

Estado del servicio

Estado de la seguridad

Informes detallados de la actividad de las

amenazas

Informe ejecutivo

5. Estado de la seguridad y visibilidad de los equipos

En este capítulo se mostrarán las diferentes formas de visualizar el estado de la seguridad del parque informático en Adaptive Defense así como el estado del servicio.

5.1. Estado del servicio Adaptive Defense

El Dashboard es la pantalla principal de Adaptive Defense y su propósito es representar gráficamente tanto el estado de la seguridad de la red del cliente como del servicio contratado. De este modo se facilita la localización con un solo vistazo de los principales problemas encontrados en la red.

Para mostrar el estado del servicio Adaptive Defense se vale de 3 widgets que reportan al administrador la información indicada a continuación:

- El widget situado a la izqierda muestra el estado del servicio “Activo” o “Inactivo” - El widget central muestra el número de dispositivos protegidos por Adaptive Defense.

Para añadir nuevos dispositivos hacer clic en el botón “Añadir equipos…” tal y como se explica en el Capítulo 4: Instalación y puesta en marcha

- En el widget de la derecha se indican los equipos del cliente que, teniendo un Agente Adaptive Defense correctamente instalado no se han comunicado con el servidor en los últimos, 3, 7 y 30 dias.

5.2. Estado de la seguridad del parque informatico

El Dashboard en su parte central representa gráficamente el estado de la seguridad mediante 6 widgets que se actualizan en tiempo real y muestran un aspecto particular de la red del cliente en un momento concreto. Se puede hacer clic sobre cada widget para conseguir un desglose de los datos mostrados con mayor detalle.

Todos los contadores incluidos en el Dashboard muestran el número de amenazas o programas únicos diferentes encontrados en el parque informático del cliente y en el periodo de tiempo establecido por el administrador. De esta manera si una misma amenaza o programa

Mediante la herramienta de filtrado situada en la parte superior se puede cambiar el intervalo de tiempo establecido para mostrar datos del último dia, última semana, último mes y última año.

Las amenazas desinfectadas o programas vulnerables actualizados no desaparecen de los contadores o los dashboards en el intervalo de tiempo elegido, si bien al elegir un intervalo de tiempo posterior al momento de la desinfección ya no serán mostradas.

5.2.1. Programas maliciosos

Este widget muestra el número de amenazas de tipo Malware encontradas. Ofrece los siguientes datos:

- Número de amenazas únicas encontradas en todo el parque informático del cliente - Ejecutados: amenazas que se llegaron a ejecutar en el equipo del usuario

- Acceden a datos: amenazas encontradas que acceden a los ficheros del usuario - Dispositivos afectados: número de equipos que contienen malware

- Conexión exterior: número de amenazas que acceden a otros equipos para el envio o recepción de datos

Este widget muestra los programas desconcidos encontrados en la red del cliente que, en un análisis preliminar han mostrado un comportamiento sospechoso, aunque están pendientes de ser clasificados definitivamente por los técnicos de Panda Security. En el plazo de 24 horas estos programas son clasificados como Goodware o Malware.

Ofrece los siguientes datos:

- Numero de programas sospechosos que están siendo analizados en los laboratorios de Panda Secuirty encontrados desde la instalación y puesta en marcha del servicio Adaptive Defense

- Ejecutados: programas potencialmente peligrosos que se llegaron a ejecutar en el equipo del usuario

- Acceden a datos: programas potencialmente peligrosos encontrados que acceden a los ficheros del usuario

- Dispositivos afectados: número de equipos que contienen programas potencialmente peligrosos

- Conexión exterior: número de programas potencialmente peligrosos que acceden a equipos externos para el envio o recepción de datos

5.2.3. Programas vulnerables

Este widget muestra el número de programas que contienen alguna vulnerabilidad aprovechable por malware y PUPs para infectar los equipos de la red del cliente.

- Número de programas que contienen algún tipo de vulnerabilidad aprovechable por malware y PUPs encontrados desde la instalación y puesta en marcha del servicio Adaptive Defense

- Ejecutados: programas vulnerables que se llegaron a utilizar en el equipo del usuario - Acceden a datos: programas vulnerables encontrados que acceden a los ficheros

del usuario

- Dispositivos afectados: número de equipos que tienen programas vulnerables instalados

- Conexión exterior: número de programas vulnerables que acceden a equipos remotos para el envio o recepción de datos

5.2.4. Programas potencialmente no deseados

Este widget refleja los PUPS (Potentialy Unwanted Programs) encontrados en la red del cliente. Ofrece los siguientes datos:

- Numero de programas potencialmente peligrosos encontradas desde la instalación y puesta en marcha del servicio Adaptive Defense

- Ejecutados: programas potencialmente peligrosos que se llegaron a ejecutar en el equipo del usuario

- Acceden a datos: programas potencialmente peligrosos encontradas que acceden a los ficheros del usuario

- Dispositivos afectados: número de equipos que contienen programas potencialmente peligrosos

- Conexión exterior: número de programas potencialmente peligrosos que acceden a equipos remotos para el envio o recepción de datos

Este widget muestra a los cuatro usuarios de la red cuyos dispositivos tienen un mayor peligro de infección. Para ello se muentran los cuatro conceptos vistos anteriormente agrupados por usuario:

- Número de programas maliciosos

- Número de programas potencialmente no deseados (PUP) - Número de programas en investigación

- Número de programas vulnerables

Este widget muestra a los cuatro equipos de la red con mayor peligro de infección. Para ello se muentran los cuatro conceptos vistos anteriormente agrupados por equipos:

- Número de programas maliciosos

- Número de programas potencialmente no deseados (PUP) - Número de programas en investigación

- Número de programas vulnerables

5.3. Informes detallados de la actividad de las amenazas

Haciendo clic en los diferentes paneles del Dashboard se muestran informes y listados detallados del malware o del software vulnerable encontrado en la red del cliente.

El contenido de todas las tablas mostradas se puede ordenar haciendo clic en los campos cabecera y en la parte inferior se encuentra el sistema de paginación para una navegación mas cómoda.

5.3.1. Programas maliciosos

En este informe se muestra un listado de las amenazas encontradas en los equipos protegidos con Adaptive Defense.

En la parte superior se encuentra la herramienta de búsqueda:

El filtro (1) restringe la búsqueda indicada en el textbox (2) de escritura situado a su derecha al campo seleccionado:

 Todos: el string de búsqueda se aplicará sobre los campos Computer, Name y Date

 Equipo: el string de búsqueda se aplicará sobre el nombre del equipo

 Nombre: el string de búsqueda se aplicará sobre el nombre del Malware

 Fecha: el string de búsqueda se aplicará sobre la fecha de la detección

El filtro (3) muestra las amenazas que satisfagan los criterios seleccionados

 Ejecutado: el Malware se llegó a ejecutar y equipo está infectado

 No Ejecutado: Malware detectado por la protección contra vulnerabilidades

 Bloqueado: Malware conocido por Adaptive Defense y bloqueada su ejecución

 Permitido: Malware conocido por Adaptive Defense pero su ejecución se permite al

estar incorporado en la pestaña Exceptions del menú lateral Settings.

 Acceso a ficheros de datos: el Malware realizó accesos a disco para recoger

información del equipo o para crear ficheros y los recursos necesarios para su ejecución

 Comunicaciones: el Malware abrió sockets de comunicación con cualquier máquina,

incluido localhost

Los campos de la tabla son los siguientes:

- Equipo: equipo donde se realizó la detección - Nombre: nombre del Malware

- Ruta: Path completo donde reside el fichero infectado

- Estado: el Malware se llegó a ejecutar y el equipo puede estar infectado - Accede a datos: indica si la amenaza envía o recibe datos de otros equipos.

- Comunica con el exterior: la amenaza se comunica con equipos remotos para enviar o recibir datos.

- Fecha: fecha de la detección del Malware en el equipo

5.3.2. Programas en investigación

En este informe se muestra un listado de aquellos ficheros que, sin haber sido completada su clasificación, de una forma preliminar Adaptive Defense ha detectado algun riego en su ejecución.

El filtro (2) permite restringir la búsqueda indicada en el textbox (1) de escritura indicando la probabilidad de que el programa potencialmente malicioso será en realidad una amenaza:

 Media

 Alta

 Muy Alta

Los campos de la tabla son los siguientes: - Nombre: nombre del Malware

- Equipos ejecutado: Número de equipos que ejecutaron el programa potencialmente peligroso. Haciendo clic en el número se obtiene un listado de los equipos con su nombre y la ruta del fichero potencialmente peligroso. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina.

- Equipos sin ejecutar: Número de equipos donde Adaptive Defense encontró el programa potencialmente peligroso pero no se llegó a ejecutar. Haciendo clic en el número se obtiene un listado de los equipos con su nombre y la ruta del fichero potencialmente peligroso. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina.

- Accede a datos: indica si la amenaza envía o recibe datos de otros equipos.

- Comunica con el exterior: la amenaza se comunica con equipos remotos para enviar o recibir datos.

5.3.3. Programas vulnerables

En este informe se muestra un listado de aquellos programas que contienen vulnerabilidades conocidas y aprovechables por el malware y las amenazas avanzadas para infectar el equipo. En la parte superior se encuentra la herramienta de búsqueda:

Los campos de la tabla son los siguientes:

- Nombre: nombre del programa considerado vulnerable - Versión: Path completo donde reside el fichero infectado - Fabricante: Empresa que programó el software

- Equipos ejecutado: Número de equipos que ejecutaron el programa considerado vulnerable. Haciendo clic en el número se obtiene un listado de los equipos con su nombre. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina.

- Equipos sin ejecutar: Número de equipos donde Adaptive Defense encontró el el programa considerado vulnerable pero que no se llegó a ejecutar. Haciendo clic en el número se obtiene un listado de los equipos con su nombre. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina.

5.3.4. Programas potencialmente no deseados (PUP)

En este informe se muestra un listado de los PUPS (Potentially Unwanted Programs) encontrados en los equipos protegidos con Adaptive Defense.

En la parte superior se encuentra la herramienta de búsqueda equivalente a la de Progrmamas Maliciosos:

En la parte superior se encuentra la herramienta de búsqueda:

El filtro (1) restringe la búsqueda indicada en el textbox (2) de escritura situado a su derecha al campo seleccionado:

 Todos: el string de búsqueda se aplicará sobre los campos Computer, Name y Date

 Fecha: el string de búsqueda se aplicará sobre la fecha de la detección

El filtro (3) muestra las amenazas que satisfagan los criterios seleccionados

 Ejecutado: el PUP se llegó a ejecutar y equipo está infectado

 No ejecutado: PUP detectado por la protección contra vulnerabilidades

 Bloqueado: PUP conocido por Adaptive Defense y bloqueada su ejecución

 Permitido: PUP conocido por Adaptive Defense pero su ejecución esta permitida por

orden del administrador del sistema.

 Acceso a ficheros de datos: el PUP realizó accesos a disco para recoger información del

equipo o para crear ficheros y los recursos necesarios para su ejecución

 Comunicaciones: el PUP abrió sockets de comunicación con cualquier máquina,

incluido localhost

Los campos de la tabla son los siguientes:

- Equipo: equipo donde se realizó la detección - Nombre: nombre del PUP

- Ruta: Path completo donde reside el fichero PUP

- Estado: el PUP se llegó a ejecutar y el equipo puede estar comprometido - Accede a datos: indica si el PUP envía o recibe datos de otros equipos.

- Comunica con el exterior: el PUP se comunica con equipos remotos para enviar o recibir datos.

- Fecha: fecha de la detección del PUP en el equipo

5.3.5. Usuarios con más riesgo

En este informe se muestra un listado ordenado por importancia de los usuarios de la red con más amenazas encontradas en su equipo.

Los campos de la tabla informe son los siguientes:

- Usuario: usuario asociado al proceso ejecutado

- Programas maliciosos: número de programas maliciosos ejecutados por el usuario - Programas en investigación: numero de programas potencialmente maliciosos

ejecutados por el usuario

- Programas Vulnerables: número de programas considerados como vulnerables y utilizados por el usuario

5.3.6. Equipos auditados

En este informe se muestra un listado de todos los equipos auditados de la red. Los campos de la tabla informe son los siguientes:

- Equipo: equipo auditado. Haciendo clic en el nombre se mostrará la información de la máquina

- Sistema Operativo: versión del sistema operativo instalada en el equipo del usuario - Programas Maliciosos: número de programas maliciosos ejecutados en el equipo - Programas en investigación: numero de programas potencialmente maliciosos

ejecutados en el equipo

- Programas vulnerables: número de programas considerados como vulnerables y utilizados en el equipo

- Programas potencialmnte no deseados: número de PUPs ejecutados en el equipo - Última conexión: timestamp de la ultima conexión del equipo al servidor de Adaptive

Defense

5.4. Informe ejecutivo

En la parte superior del Dashboard se encuentra el botón para generar un informe ejecutivo. Este informe reúne de forma resumida toda la informacion mostrada en el Dashboard y en los informes, lista para descargar en pdf o imprimir.

6. Configuración

del

comportamiento

Programas clasificados

Programas sin clasificar

6. Configuración del comportamiento de Adaptive Defense

Adaptive Defense es un servicio gestionado que libera al administrador de la red de la mayor parte de la carga de trabajo asociada a productos basados en listas blancas / negras y excepciones. De esta manera Panda Security cataloga de forma automática la seguridad de todos los procesos ejecutados en cada equipo del cliente sin requerir ninguna intervención manual.

El comportamiento de Adaptive Defense es configurable para dos grupos de programas:

 Para programas clasificados

 Para programas sin clasificar

El administrador de la red deberá de solicitar a Panda Security el cambio de configuración del comportamiento de Adaptive Defense que considere apropiado, según sea el uso de la red de dispositivos de su empresa.

6.1. Programas clasificados

Los programas conocidos por Adaptive Defense son clasificados como Goodware o Malware. Según sea la clasificación del programa que se intenta ejecutar la acción por defecto será:

 Goodware: el servicio permite la ejecución del programa o proceso

 Malware: el servicio impide por defecto la ejecución del programa o proceso.

6.1.1. Ejecutar programas concretos clasificados como Malware

En los casos en los que el usuario necesite utilizar algún programa que esté catalogado como Malware o como Programa no deseado (herramientas de hacking, barras de navegadores etc) puede resultar conveniente permitir su ejecución controlada aunque Adaptive Defense los haya clasificado como potenciales amenazas.

6.2. Programas sin clasificar

Más del 99% de los programas encontrados en los equipos de los usuarios están clasificados en los sistemas de Adaptive Defense, no obstante, los que todavía queden sin clasificar pueden ser ejecutados o bloqueados temporalmente hasta su clasificación.

En caso de bloqueo Adaptive Defense permite la notificación al usuario del motivo del bloqueo, permitir su ejecución condicional según la decisión que tome el propio usuario o ser bloqueado de forma silenciosa.

El proceso de clasificación es una tarea continua en los servidores de Adaptive Defense y tras un breve periodo de tiempo los programas bloqueados en un principio por carecer de clasificación podrán ejecutarse si Adaptive Defense ha determinado que son lícitos.

6.2.1. Modo auditoría

En el modo auditoria Adaptive Defense solo informa de las amenazas detectadas pero no bloquea el Malware encontrado. Este modo es útil para probar la solución de seguridad o para comprobar que la instalación del producto no comprometa el buen funcionamiento del equipo.

6.2.2. Modo de bloqueo de programas en proceso de clasificación (Modo

Extendido)

En entornos donde la seguridad sea prioridad, y con el objetivo de ofrecer una protección de máximas garantías, Adaptive Defense deberá ser configurado el Modo Extendido para bloquear la ejecución del software en proceso de clasificación. De esta forma se podrá garantizar la ejecucion únicamente del software lícito.

Al configurar este modo de funcionamiento en equipos o servidores donde el software cambie de forma habitual, la ejecución de estos programas no se permitirá hasta que estén clasificados. El proceso de clasificación es instantáneo en algunas ocasiones aunque en otras se realizará de forma automática en nuestra plataforma BigData en cuestión de minutos. Si el programa es especialmente complejo la labor de clasificación es realiza por nuestros expertos, normalmente en menos de 24 horas. Por esta razón, este modo es recomendado para equipos y servidores donde no se instale habitualmente nuevo software.

Es posible configurar Adaptive Defense para que en el Modo Extendido pregunte al usuario del equipo si desea permitir o no la ejecución de los programas en proceso de clasificación. Este modo tiene el riesgo de que el usuario final permita ejecutar Malware creyendo que es un software lícito; por esta razón se recomienda su configuración únicamente en equipos gestionados por usuarios avanzados.

6.2.3. Modo de ejecución limitada de programas en proceso de

clasificación (modo Deep Hardenig)

En el Modo Deep Hardening se permite la ejecución de los programas desconocidos ya instalados en el equipo del usuario aunque sus acciones serán igualmente enviadas al Servidor Adaptive Defense para su estudio. Para prevenir ataques de tipo Zero-day y similares los programas desconocidos que vienen del exterior (Internet, correo y otros) serán bloqueados hasta su clasificación. Una vez recogida y explotada la cantidad de evidencia suficiente, Adaptive Defense clasificará estos programas como Goodware o Malware, generando en este último caso una alerta al administrador para su posterior análisis forense.

Una vez clasificados los programas que vienen del exterior se permitirá o se bloqueará su entrada y ejecución dependiendo de la clasificación (Goodware o Malware) que hayan obtenido.

El Modo Deep Hardening se recomienda en entornos donde se producen cambios constantes en el software instalado en los equipos de los usuarios o se ejecutan muchos programas desconocidos, como por ejemplo programas de creación propia En estos escenarios puede no ser viable esperar a que Adaptive Defense aprenda de ellos para clasificarlos.

6.2.4. Modo de ejecución completa de programas en proceso de

clasificación (modo Hardenig)

En el Modo Hardening se permite la ejecución de los programas desconocidos aunque Adaptive Defense siempre recogerá evidencia hasta completar su clasificación. Una vez clasificado el programa el Agente procederá a su bloqueo si resultó ser Malware, generando una alerta al administrador para su posterior análisis forense con el objetivo de valorar el impacto en la empresa.

7. Análisis forense

y prevención de

ataques

Modo Deep hardening e infección por Malware

desconocido

Análisis forense y prevención de ataques

Interpretación de las tablas de acciones y

grafos de actividad

7. Análisis forense y prevención de ataques

Adaptive Defense es un servicio gestionado que se adapta al ecosistema de aplicaciones particular de cada empresa para ofrecer una protección que permita clasificar el 100% del software utilizado en cada cliente; sin embargo es posible que aparezcan incidencias de seguridad relacionadas con el modo de configuración elegido por el administrador de la red o debido a infecciones anteriores a la puesta en marcha del servicio.

7.1. Modo Deep hardening e infección por Malware desconocido

En el modo Deep hardening es posible que algunos de los programas desconocidos por Adaptive Defense y que residan en el equipo del usuario puedan ser ejecutados, con lo que si el programa contenía Malware el equipo podría quedar comprometido.

Adaptive Defense clasificará los programas desconocidos cuando tenga las evidencias suficientes, generalmente dentro de las primeras 24 horas desde la primera ejecución, generando una alerta al administrador y bloqueando a partir de ese momento el programa clasificado como amenaza.

7.2. Análisis forense y prevención de ataques de equipos infectados

Cuando la red del cliente ha sido infectada es necesario determinar hasta qué punto ha resultado comprometida y cómo protegerla de futuros ataques.

El Malware de nueva generación se caracteriza por pasar inadvertido durante largos periodos de tiempo, que aprovecha para acceder a datos sensibles o a la propiedad intelectual generada por la empresa. Su objetivo es obtener una contrapartida económica, bien realizando chantaje cifrando los documentos de la empresa, bien vendiendo la información obtenida a la competencia, entre otras estrategias comunes a este tipo de ataques informáticos.

Sea cual sea el caso, se hace imprescindible determinar las acciones que desencadenó el Malware en la red para poder tomar las medidas oportunas. Adaptive Defense es capaz de monitorizar de forma continuada todas las acciones desencadenadas por las amenazas y almacenarlas para mostrar el recorrido de las mismas, desde su primera aparición en la red hasta su neutralización.

Adaptive Defense presenta de forma visual este tipo de información de dos maneras: a través de tablas de acciones y diagramas de grafos.

7.2.1. Análisis forense mediante las tablas de acciones

que abrirá un diálogo con información del equipo seleccionado. Haciendo clic en cualquier otra columna se muestra un panel desplegables con el contenido de la tabla de acciones. Los campos incluidos para describir de forma general la amenaza son:

 Ruta: Path del ejecutable que contiene el Malware.

 Tiempo de exposición: tiempo que la amenaza ha permanecido en el sistema.

 Usuario: esto no lo tengo claro.

 MD5: Adaptive Defense muestra el hash del Malware que utilizara para su posterior

consulta en VirusTotal o Google utilizando los botones Search in Google y Search in VirusTotal

 Ciclo de vida del Malware en el equipo: es una tabla con el detalle de cada una de las

acciones desencadenadas por la amenaza.

En la tabla de acciones de la amenaza solo se incluyen aquellos eventos relevantes ya que la cantidad de acciones desencadenadas por un proceso es tan alta que impediría extraer información útil para realizar un análisis forense.

El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma es más fácil seguir el curso de la amenaza.

A continuación se detallan los campos incluidos en la tabla de acciones:

 Fecha: fecha de la acción

 Nº veces: número de veces que se ejecutó la acción. Una misma acción ejecutada

varias veces de forma consecutiva solo aparece una vez en el listado de acciones con el campo times actualizado.

 Acción: acción realizada. A continuación se indica una lista de las acciones que

pueden aparecer en este campo:

- File Download - Socket Used - Accesses Data - Executed By - Execute - Created By - Create - Modified By - Modify - Loaded By - Load - Installed By - Install - Mapped By

- Map - Deleted By - Delete - Renamed By - Rename - Killed By - KillsP rocess

- Remote Thread Created By - Creates Remote Thread - Kills Process:

- Remote Thread Created By - Creates Remote Thread - Opened Comp By - Open Comp - Created Comp By - Create Comp

- Creates Reg Key To Exe - Modifies Reg key To Exe

 Path/URL/Clave de Registro /IP:Puerto: es la entidad de la acción. Según sea el tipo de

acción podrá contener:

- Clave de Registro: para todas las acciones que impliquen modificación del registro de Windows

- IP:Puerto: para todas las acciones que impliquen una comunicación con un equipo local o remoto

- Path: para todas las acciones que impliquen acceso al disco duro del equipo - URL: para todas las acciones que impliquen el acceso a una URL

 Hash del Fichero/Valor del Registro/Protocolo-Dirección/Descripción: es un campo que

complementa a la entidad. Según sea el tipo de acción podrá contener:

- Hash del fichero: para todas las acciones que impliquen acceso a un fichero - Valor del Registro: para todas las acciones que impliquen un acceso al registro - Protocolo-Dirección: para todas las acciones que impliquen una comunicación con

un equipo local o remoto. Los valores posibles son - TCP

- UDP

- Bidireccional - Desconocido - Descripción