Defensas avanzadas contra ataques dirigidos: KATA Platform

¿Cómo se pueden proteger las empresas frente a las amenazas persistentes avanzadas?

Las llamadas amenazas persistentes avanzadas son sofisticadas, están dirigidas, son a largo plazo y, por lo general, son campañas de ataques sumamente preparadas por un profesional y están diseñadas para eludir la protección de una capa.

El objetivo principal de una solución anti-APT/antiataques dirigidos es incrementar el coste para montar un ataque hasta el punto en el que tal ejercicio ya no sea factible o económicamente viable. Estas soluciones dependen de la aplicación de varias técnicas: cuantos más niveles de detección diferentes se puedan implementar y supervisar los puntos de entrada de ataques más potenciales, mayor será la probabilidad de descubrirse un ataque, independientemente del tiempo y el dinero que esté dispuesto a invertir el atacante.

KATA Platform, que combina Kaspersky Anti Targeted Attack con Kaspersky EDR, es un ejemplo de este tipo de solución empresarial. Sus niveles de tecnología avanzada incluyen:

Análisis del tráfico de red. Este módulo cuenta con funciones de detección de comportamiento y analiza el tráfico y los objetos mediante la tecnología IDS y las reputaciones de URL:

• La tecnología de detección de intrusiones combina tanto la detección de amenazas tradicional como la avanzada, impulsada por un conjunto exclusivo de reglas IDS para el análisis del tráfico, orientado hacia los ataques dirigidos. Los conjuntos de reglas IDS se actualizan de forma automática y rápida.
• Análisis de la reputación de la URL. Las URL sospechosas o no deseadas se detectan en función de los datos de reputación de Kaspersky Security Network (KSN) global basada en la nube, que también tiene información sobre las URL y los dominios conectados a ataques dirigidos.

Sandbox.El sandbox ejecuta objetos sospechosos en sus propias máquinas virtuales para detectar actividad maliciosa. El sandbox recibe tareas de ejecución de muestra con parámetros de virtualización basados en el origen del objeto evaluado y el propósito de la evaluación (por ejemplo, tipo de sistemas operativos, configuración del sistema operativo, entorno, parámetros de inicio de muestra, duración de la ejecución).

Durante la ejecución de muestras, el sandbox recopila:

• registros del comportamiento de la muestra (también la lista de llamadas a funciones del sistema, la iteración con otros procesos y archivos, las actividades de la red, las URL, etc.)
• volcados
• objetos instalados
• tráfico generado por la muestra

Una vez finalizada la ejecución, se almacenan los artefactos adquiridos y, a continuación, se procesan mediante un sistema de análisis exclusivo. Si se descubre que la muestra es maliciosa, se atribuirá un veredicto y se atribuirán los resultados asignados a la base de conocimientos de MITRE ATT&CK. Todos los datos recopilados se almacenan internamente para permitir un análisis más detallado de las tácticas y técnicas del adversario sin necesidad de solicitudes adicionales de Sandbox, lo que permite ahorrar recursos del servidor.

Un conjunto completo de funciones, incluida la aleatorización del entorno del sistema operativo, la aceleración del tiempo en máquinas virtuales, las técnicas antievasión, la simulación de la actividad del usuario, etc., contribuyen a una detección basada en comportamiento muy eficaz. El sandbox utiliza una serie de tecnologías patentadas y puede funcionar tanto en modo automático como manual.

Kaspersky Security Network (KSN) es una infraestructura de nube global que contiene veredictos de reputación y otro tipo de información sobre los objetos que procesa KATA Platform (archivos, dominios, URL, direcciones IP, etc.). KSN también ofrece detección mediante modelos de aprendizaje automático en la nube, como Cloud ML para Android:la Platform recopila los metadatos del archivo APK local y los envía a KSN, que responde con un veredicto creado por el modelo basado en el aprendizaje automático. Una solución privada basada en la nube Kaspersky Private Security Network (KPSN) está disponible para organizaciones que no pueden enviar sus datos a la nube global de KSN, pero que aún desean beneficiarse de la base de datos de reputación global de Kaspersky. Además del acceso privado a nuestra base de datos global de inteligencia frente a amenazas, los veredictos de KATA Platform se almacenan en una base de datos de KPSN local y se comparten automáticamente con otros productos de Kaspersky implementados en la infraestructura organizativa para obtener una respuesta automatizada. Las organizaciones con KPSN implementado pueden beneficiarse de la reputación de los sistemas externos de terceros sin pasos intermedios a través de una API.

El Analizador de ataques dirigidos (TAA)puede detectar acciones sospechosas basadas en la heurística mejorada de anomalías, lo que proporciona capacidades automatizadas de búsqueda de amenazas en tiempo real. Es compatible con el análisis automático de eventos y su correlación con un conjunto único de indicadores de ataque (IOA) generados por los buscadores de amenazas de Kaspersky. Cada vez que el TAA detecta una anomalía, el especialista en seguridad de IT recibe una descripción por escrito, recomendaciones (como el modo de reducir el riesgo de repetición del evento detectado), así como una indicación de la confianza en el veredicto y la gravedad del evento para facilitar la clasificación. Todos los IoA se asignan a MITRE ATT&CK para proporcionar información detallada, incluida la técnica definida por ATT&CK utilizada, una descripción y las estrategias de mitigación. Esto significa que puede beneficiarse automáticamente de la investigación de amenazas de nivel superior sin sobrecargar a los expertos internos altamente cualificados, lo que les permite dedicar tiempo a otras tareas complejas, como la investigación exhaustiva de incidentes y la búsqueda de amenazas. También puede crear su propia base de datos de IoA personalizados, adecuados para su infraestructura concreta, por ejemplo, o para su sector industrial.

Motor antimalware mejorado.Al trabajar en un nodo central, con ajustes más agresivos que los activados en la configuración de endpoints, el motor analiza los objetos para buscar código malintencionado o potencialmente peligroso, así como enviando objetos con contenido potencialmente malintencionado al sandbox. Esto se traduce en detecciones muy precisas que pueden tener mucha relevancia durante la fase de investigación de los incidentes.

Análisis de IoC.KATA Platform permite la carga centralizada de IoC a partir de fuentes de datos de amenazas y admite el análisis automático programado de IoC, lo que agiliza el trabajo de los analistas. Los análisis retrospectivos de las bases de datos se pueden utilizar para enriquecer la calidad de la información sobre eventos e incidentes de seguridad previamente marcados.

Verificación de certificados.El módulo Certcheck comprueba la validez de los certificados firmados y la presencia de certificados sospechosos.

Los servicios de KATA Platform para expertos de seguridad de IT también incluyen:

Detección con reglas YARA. YARA es una de las herramientas más utilizadas habitualmente para buscar nuevas variantes de malware. Admite reglas de coincidencia complejas para buscar archivos con características y metadatos específicos, por ejemplo, cadenas que caractericen el estilo concreto de un codificador. Las reglas YARA personalizadas se pueden crear y cargar para analizar los objetos y buscar amenazas específicas en la organización.

Análisis retrospectivo.La automatización de la recopilación de datos, objetos y veredictos y su almacenamiento centralizado permiten realizar análisis retrospectivos mientras se investigan los ataques de varias etapas, incluso en situaciones en las que no se pueda acceder a los endpoints vulnerables o cuando los cibercriminales hayan cifrado los datos. Además, los archivos guardados del tráfico web y de correo se pueden volver a analizar automáticamente periódicamente, aplicando las reglas de detección actualizadas más recientes.

Potente creador de consultas flexible para la búsqueda proactiva de amenazas. Los analistas pueden realizar consultas complejas en la búsqueda de comportamiento atípico, eventos sospechosos y amenazas específicas a su infraestructura, con el fin de mejorar la detección temprana de actividades de cibercrimen.

Acceso a Kaspersky Threat Intelligence Portal.Las consultas manuales sobre amenazas en nuestra base de conocimientos de Threat Intelligence proporcionan a los analistas de seguridad de IT un contexto adicional para la búsqueda de amenazas y una investigación eficaz.

La KATA Platform agrega datos para análisis de diferentes fuentes:

Un sensor de red recibe copias de todos los datos de tráfico, a partir de los que recuperan objetos y metadatos de red para un análisis más exhaustivo. Los sensores de red detectan las actividades en las distintas áreas del entorno de IT, lo que permite la detección ‘en tiempo casi real’ de las amenazas complejas en entornos de proxy, web y correo electrónico:

• El sensor de red puede extraer información sobre el origen, el destino, el destino, el volumen de datos y la periodicidad del tráfico de red (incluso si el archivo está cifrado). Esta información suele ser suficiente para tomar una decisión sobre el nivel de sospecha que se debe aplicar y para detectar posibles ataques. Los protocolos SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP y DNS son compatibles.
• El sensor de red puede interceptar el tráfico web y gestionar los objetos transmitidos por HTTPS mediante la integración con el servidor proxy a través del protocolo ICAP.
• El sensor de correo electrónico admite la integración con servidores de correo a través de una conexión POP3 y SMTP con el buzón de correo especificado. El sensor se puede configurar para que supervise cualquier conjunto de buzones de correo.

Además del análisis completo del tráfico de red, la plataforma puede proporcionar una respuesta automatizada a nivel de pasarela a las amenazas complejas, mediante Kaspersky Secure Mail Gateway y Kaspersky Web Traffic Security como sensores de red con todas las funciones que proporcionan servicios a KATA Platform.

Los sensores de endpoints (Kaspersky EDR)recopilan todos los datos necesarios de los endpoints en su infraestructura. El agente implementado en los endpoints supervisa constantemente los procesos, las interacciones, las conexiones de red abiertas, el estado del sistema operativo, los cambios en los archivos, etc. A continuación, envía los datos y la información recopilados relacionados con la detección de eventos sospechosos a KATA Platform para realizar estudios y análisis adicionales, así como para compararlos con los eventos detectados en otros flujos de información.

KATA Platform en uso

Mediante la implementación de las tecnologías mencionadas anteriormente en una arquitectura de servidor unificada y con administración centralizada, KATA Platform asegura posibles puntos de entrada de amenazas en niveles de red y endpoint, incluidos servidores web y de correo, PC, portátiles, servidores y máquinas virtuales, y ofrece una perspectiva detallada de lo que sucede en la infraestructura de IT de su organización. KATA ofrece a sus especialistas en seguridad de IT un conjunto de herramientas integral para la detección multidimensional de amenazas, la investigación en profundidad, la búsqueda proactiva de amenazas y una respuesta centralizada ante incidentes complejos.

KATA Platform se integra con Kaspersky Endpoint Security for Business para ofrecer protección de endpoints que incluye el bloqueo automático de amenazas y respuestas a incidentes complejos. También se integra estrechamente con Kaspersky Security Mail Gateway y Kaspersky Web Traffic Security para bloquear amenazas basadas en correo electrónico y en la web, y para proporcionar una respuesta automática a las amenazas más complejas. Esta solución integral reduce significativamente el tiempo y la energía que sus equipos de seguridad de IT necesitan para invertir en protección avanzada contra amenazas, gracias a la automatización óptima de acciones defensivas, tanto a nivel de red como de endpoint, enriquecidas con inteligencia de amenazas y administradas a través de una única consola web.

KATA Platform protege la infraestructura corporativa frente a amenazas complejas y ataques dirigidos, sin necesidad de atraer recursos adicionales. Integrada en su estrategia actual, la plataforma equipa a su equipo de seguridad de IT o SOC para contrarrestar amenazas complejas y ataques dirigidos de manera fiable y eficaz, complementando las tecnologías de protección existentes de terceros y apoyando la interacción con su SIEM.