panda adaptive defense - la evolución del malware
TRANSCRIPT
Evolución del Malware y la
Próxima Generación Endpoint
Protection contra los Ataques
Dirigidos
02/07/2015Malware Evolution 2
Contenidos
1. Volumen de muestras de Malware
2. Épocas del Malware
3. Panda Adaptive Defense
a. Qué es
b. Características y Beneficios
c. Cómo funciona
d. Historia de éxito
02/07/2015Malware Evolution 3
Volumen de Muestras de
Malware
Evolución del
volumen de muestras
de Malware
100 nuevas
muestras
diarias
1.369 nuevas
muestras
diarias
Más de 200.000
nuevas muestras
diarias
VIRUS
SPYWARES
BOTS
TROJANS
TARGETED ATTACKS
ZERO-DAY ATTACKS
DYNAMIC TROJANS
02/07/2015Malware Evolution 4
02/07/2015Malware Evolution 5
Épocas del Malware
1ª Época
• Muy pocas muestras y familias de
Malware
• Virus hechos por diversión, algunos
muy dañinos, otros inocuos, pero no
buscan nada más que eso.
• Propagación lenta (meses, años) ya
que era a través de disquetes.
Algunos nombres de virus pertenecen
a la localidad donde se creó o
descubrió.
• Análisis de todas las muestras por
técnicos.
• Análisis estático de las muestras y
desensamblado de las mismas
(Reversing).
02/07/2015Malware Evolution 6
02/07/2015Malware Evolution 7
W32.Kriz Jerusalem
2ª Época
• Comienza a aumentar el número de
muestras
• Internet comienza a popularizarse
tímidamente, comienzan a los virus de
macro, gusanos de correo, etc..
• En general poca complejidad, utilizan
ataques de ingeniería social por email
pero su distribución es limitada, no se
envían de forma masiva
• Tecnologías heurísticas
• Aumento frecuencia actualizaciones
02/07/2015Malware Evolution 8
02/07/2015Malware Evolution 9
Melissa Happy 99
3ª Época• Aparición de los gusanos de masivos que
saturaban internet
• Via mail: I Love You
• Via exploits: Blaster, Sasser, SqlSlammer
• Tecnologías proactivas
• Dinámicas: Proteus
• Estáticas: KRE y Heurísticos de Machine
Learning
• Identificación de procesos malware por sus
acciones
• Un proceso en el equipo
• Accede a lista de contactos de email
• Abre una conexión a internet por un puerto
no estándar
• Abre múltiples conexiones usando puerto 25
• Se añade en una clave de autorun
• Hookea navegadores
02/07/2015Malware Evolution 10
02/07/2015Malware Evolution 11
I love you Blaster
Sasser
02/07/2015Malware Evolution 12
Tecnologías
proactivas estáticas
Reducción tiempos respuesta a 0
detectando el malware desconocido
Algoritmos Machine Learning aplicados
en los problemas clásicos de
clasificación.
El nuestro TAMBIÉN es un problema de
“clases”: malware vs goodware.
02/07/2015Malware Evolution 13
4ª Época
• Los hackers cambiaron de perfil:
Principal motivación del Malware es el
beneficio económico mediante
troyanos bancarios y ataques de
phishing.
• Se generalizan los
droppers/downloaders/EK
• El salto a la Inteligencia Colectiva.
• Clasificación masiva de ficheros.
• Entrega de conocimiento desde la
nube.
02/07/2015Malware Evolution 14
02/07/2015Malware Evolution 15
Banbra Tinba
El salto a la
Inteligencia Colectiva
La entrega del conocimiento desde la
nube como alternativa al fichero de
firmas.
Escalabilidad de los servicios de
entrega de firmas de malware a los
clientes mediante la automatización
completa de todos los procesos de
backend (procesado, clasificación y
detección).
02/07/2015Malware Evolution 16
La llegada de Big
Data
Working set actual de 12 TB
400K millones de registros
600 GB de muestras/día
400 millones de muestras
almacenadas
Innovación: hacer viable el
procesamiento de datos derivado de la
estrategia de IC aplicando tecnologías
de Big Data.
02/07/2015Malware Evolution 17
5º Época• Primer ciberataque masivo contra un país,
Estonia, por parte de Rusia.
• Anonymous empieza una campaña contra
organismos como la RIAA, la MPAA o la SGAE, entre
otras, etc.).
• Profesionalización del Malware
• Uso de técnicas de marketing en campañas de
spam.
• Distribución de diferentes variantes en función
de horario/país
• Ransomware
• APTs
• Detección por contexto
• No se analiza solo que hace un proceso, sino
que se tiene en cuenta en qué contexto se está
ejecutando...
02/07/2015Malware Evolution 18
Reveton
02/07/2015Malware Evolution 19
Ransomware
02/07/2015Malware Evolution 20
APTs…
02/07/2015Malware Evolution 21
02/07/2015Malware Evolution 22
- Noviembre / Diciembre 2013
- 40 millones de tarjetas de
crédito/debito robadas
- Ataque a través de la empresa de
mantenimiento de A/C
- TPVs
- Autoría incierta
- Borrado de información
- Robo de TB de información
02/07/2015Malware Evolution 23
Carbanak
- Año 2013/2014
- 100 entidades afectadas
- Países afectados: Rusia, Ucrania, EEUU, Alemania, China
- Cajeros: 7.300.000 US$
- Transferencias: 10.000.000 US$
- Total estimado: 1.000.000.000 US$
¿Qué es Panda Adaptive Defense?
02/07/2015Malware Evolution 24
02/07/2015Adaptive Defense 25
Panda Adaptive Defense es un nuevo modelo
de seguridad capaz de ofrecer protección
completa para dispositivos y servidores
mediante la clasificación del 100% de los
procesos ejecutados en cada puesto y cada
servidor de tu parque informático,
supervisando y controlando su
comportamiento.
Más de 1.200 millones de aplicaciones ya
clasificadas.
La nueva versión de Adaptive Defense
(1.5) incluye el motor AV, añadiendo la
capacidad de desinfección, y posibilitando el
reemplazo del antivirus de la empresa.
RESPUESTA… e
información
forense para
investigar en
profundidad
cada intento
de ataque
VISIBILIDAD… y
trazabilidad de cada
acción realizada por las
aplicaciones en
ejecución
PREVENCIÓN… y bloqueo
en tiempo real y sin
necesidad de ficheros de
firmas de todos los ataques
Zero-day y dirigidos
DETECCIÓN… y
bloqueo de
aplicaciones,
aislando los
sistemas para
prevenir futuros
ataques
02/07/2015Adaptive Defense 26
Características y Beneficios
02/07/2015Adaptive Defense 27
Informes diarios e inmediatos.
Gestión sencilla y centralizada en una consola web
Mayor servicio, menor gestión
Control preciso y configurable de las
aplicaciones en ejecución
Protección de sistemas vulnerables
Protección ante ataques dirigidos
hacia tu capital intelectual
Información forense.
Protección
ProductividadIdentificación y bloqueo de programas
no autorizados por la empresa
Solución ligera y fácil de desplegar
Gestión
02/07/2015Adaptive Defense 28
Diferencias Clave
Categorizes all running processes on the endpoint
minimizing risk of unknown malware: Continuous monitoring
and attestation of all processes fills the detection gap of AV
products
Automated investigation of events significantly reduces
manual intervention by the security team: Machine learning
and collective intelligence in the cloud definitively identifies
goodware & blocks malware
Integrated remediation of identified malware: Instant access
to real time and historical data provides full visibility into the
timeline of malicious endpoint activity
Minimal endpoint performance impact (<3%)
Contra fabricantes
de AV
Contra fabricantes
de WL*
Contra nuevos fabricantes
de ATDs
Gap en la detección, no
clasifican todos los ejecutables
Requieren creación y gestión
de las listas blancas
Las soluciones perimetrales
no cubren todos los vectores de
infección
No son transparentes para los
usuarios finales y administradores
(gestión falsos positivos,
cuarentenas, …)
El despliegue es
laborioso y complejo
Supervidar entornos virtuales
(sandboxing) no es tan efectivo
como supervisar entornos reales
Los sistemas WL suponen
una costosa sobrecarga
para el administrador
Otros ATDs previenen/bloquean
los ataques, solo los detectan
02/07/2015Panda Adaptive Defense 29
¿Qué diferencia a Adaptive Defense?
* WL=Whitelisting. Bit9, Lumension, etc
** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc
02/07/2015Panda Adaptive Defense 30
Capacidad de detección de nuevo malware*Antivirus
Tradicional (25)
Modelo Standard Modelo Extendido
Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%
Nuevo malware detectado en los primeros 7 días 93% 100% 100%
Nuevo malware detectado en los primeros 3 meses 98% 100% 100%
% detecciones de PAPS no detectadas por ningún antivirus 3,30%
Detección de Sospechosos SI NO (no hay incertidumbre)
Clasificación de ficherosAgente
Universal **
Ficheros clasificados automáticamente 60,25% 99,56%
Nivel de confianza de la clasificación 99,928%99,9991%
< 1 error / 100.000 ficheros
* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y
cookies no han sido incluidos en este estudio.
Adaptive Defense vs Antivirus Tradicionales
** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda
Security
02/07/2015Adaptive Defense 31
Como funciona Adaptive
Defense?
02/07/2015Adaptive Defense 32
Un nuevo modelo de seguridad cloud en
tres fases
1ª Fase: Monitorización
minuciosa de cada una de
las acciones que
desencadenan los
programas en los equipos.
2ª Fase: Análisis y correlación
de todas las acciones
monitorizadas en todos los
clientes gracias a técnicas de
inteligencia basadas en Data
Mining y Big Data.
3ª Fase: Fortificación y
securización de los equipos,
impidiendo la ejecución de
cualquier proceso sospechoso o
peligroso y alertando al
administrador de la red.
02/07/2015Adaptive Defense 33
Arquitectura Panda Adaptive Defense
02/07/2015Adaptive Defense 34
Historia de Éxito
02/07/2015Adaptive Defense 35
+1,2 mil millones de aplicaciones ya categorizadas
+100 despliegues. Malware detectado en 100% de los escenarios
+100,000 endpoints y servidores
protegidos
+200,000 brechas de seguridad mitigadas en el último año
+230,000 horas de recursos IT
ahorrados reducción de coste estimado de 14,2M€
Veamos un ejemplo…
Adaptive Defense
en números
02/07/2015Adaptive Defense 36
Escenario
Concepto Valor
Duraciónd el PoC 60 días
Máquinas monitorizadas +/- 690
Máquinas con malware 73
Máquinas con malware ejecutado 15
Máquinas con PUP 91
Archivos PUP ejecutados 13
Archivos ejecutablesclasificados
27.942
Concepto Valor
Malware bloquedo 160
PUP bloqueado 623
TOTAL amenazasmitigadas
783
02/07/2015Adaptive Defense 37
Distribución del software por fabricante
sobre 100% de archivos ejecutados
02/07/2015Adaptive Defense 38
Skillbrains Igor Pavilov
02/07/2015Adaptive Defense 39
Sandboxie
Holdings LLCEolsoft
02/07/2015Adaptive Defense 40
Opera SoftwareDropbox Inc.
02/07/2015Adaptive Defense 41
Aplicaciones
Vulnerables
Actividad aplicaciones
vulnerables:
- …
- (22 aplicaciones vulnerables en TODOS los puestos = 2074)
Inventario aplicaciones vulnerables:
- Excel v14.0.7 - v15.0 (279)
- Firefox v34.0 - v36 (178)
- Java v6 – v7 (80)
02/07/2015Adaptive Defense 42
Top Malware
02/07/2015Adaptive Defense 43
Top Malware
02/07/2015Adaptive Defense 44
PUP (Spigot)
02/07/2015Adaptive Defense 45
PUP (Spigot)
Potentially confidential information
extraction
02/07/2015Adaptive Defense 46
Panda Endpoint Protection + Adaptive
Defense
Muchas gracias