Blog de McAfee Defenders: Verificación de la realidad para sus defensas


Bienvenido a la realidad

Desde que comencé a trabajar en seguridad de TI hace más de 10 años, me preguntaba, ¿qué ayuda mejor a defenderme contra el malware?

Esta simple pregunta no se sostiene por sí sola, ya que hay varias preguntas complementarias:

  1. ¿Cómo se define el malware? ¿Nos centramos únicamente en virus y troyanos, o también incluimos Adware y otros?
  2. ¿Qué tipos de malware se encuentran actualmente diseminados por todo el mundo? ¿Qué murió de vejez y qué es nuevo?
  3. ¿Cómo opera el malware? ¿Es el malware sin archivos una tendencia de corta duración o ha llegado para quedarse?
  4. ¿Qué se debe hacer para defenderse adecuadamente contra el malware? ¿Qué capacidades se necesitan?
  5. ¿Qué defensas ya existen? ¿Están configurados correctamente?

¡Este blog lo guiará a través de mi investigación y proceso de pensamiento en torno a estas preguntas y cómo puede permitirse responderlas para su propia organización!

Una mirada rápida al pasado

Como se mencionó anteriormente, la pregunta central "¿qué ayuda mejor?" me ha seguido a lo largo de los años, pero mis métodos para poder responder a esta pregunta han evolucionado. La primera interacción que tuve con IT Security fue hace más de 10 años, cuando tuve que implementar manualmente un nuevo software antivirus desde una llave USB en alrededor de 100 dispositivos. Los ajustes fueron configurados por un colega de nuestro equipo de TI, y mi trabajo consistía en ayudar a eliminar las infecciones cuando aparecían, generalmente revisando las distintas carpetas o claves de registro y limpiando los restos. El malware más común era el adware y las odiosas barras de acceso rápido que se agregaron al navegador. Recuerdo que un colega llamó a TI y dijo "mi Internet se ha vuelto tan pequeño que apenas puedo leer 5 líneas de texto", que luego traducimos en "Tenía 6 barras de acceso rápido instaladas en mi Internet Explorer, por lo que casi no quedaba espacio para el contenido que se mostrará ”.

Imagen ejemplar del "Internet" cada vez más pequeño.

Un par de años más adelante, comencé a trabajar con McAfee ePolicy Orchestrator para administrar e implementar Anti-Malware desde un lugar central automáticamente, y no solo para nuestra propia TI, sino que se me permitió implementar McAfee ePO en los entornos de nuestros clientes. Esto amplió enormemente mi visión de lo que sucede en el mundo del malware y comencé a usar la herramienta central de informes para averiguar de dónde venían todas estas amenazas:

Además, pude entender cómo las diferentes herramientas de McAfee me ayudaron a detectar y bloquear estas amenazas:

Pero esto solo mostró el punto de vista de un cliente y tuve que superponerlo manualmente para averiguar qué mecanismo de defensa funcionaba mejor. Además, no pude ver lo que se perdieron por los mecanismos de defensa, ya sea debido a la configuración, firmas faltantes o módulos deshabilitados. Entonces, estos informes me dieron un buen punto de vista sobre los clientes que administraba, pero no la imagen completa. Necesitaba una perspectiva diferente, tal vez de otros clientes, otras herramientas o incluso otras ubicaciones geográficas.

Avancemos más en mi cronograma de seguridad de TI personal hasta aproximadamente junio de 2020:

Cómo una nueva solución de McAfee cambió mi percepción, al mismo tiempo que se convirtió en un juego de palabras constante

Como pudo ver arriba, dediqué bastante tiempo a optimizar las instalaciones y configuraciones para ayudar a los clientes a aumentar la seguridad de sus terminales. A medida que pasaba el tiempo, quedó claro que el uso exclusivo de Endpoint Protection, especialmente solo basado en firmas, no era lo último en tecnología. La protección debe ser una combinación de controles de seguridad en lugar de la desagradable bala de plata que se exagera en ciberseguridad. Y aún así, el mejor producto o conjunto de soluciones no ayuda si no sabe lo que está buscando (preguntas 1 y 2), cómo prepararse (pregunta 4) o si configuró mal el producto, incluidas todas las subcarpetas de "C: " ”Como una exclusión para el escaneo en tiempo real (pregunta 5).

Luego, McAfee lanzó MVISION Insights este verano y me hizo clic en la cabeza:

  1. Ya no puedo usar la palabra "conocimientos", ya que todos pensarían que la uso como un juego de palabras.
  2. MVISION Insights me presentó datos verificados de campañas actuales que se ejecutan en la naturaleza.
  3. MVISION Insights también alinea la descripción de amenazas con el Marco MITRE ATT & CK®, haciéndolas comparables
  4. Desde el marco de ATT & CK ™ también pude vincular la amenaza a las capacidades defensivas

Con estos datos disponibles, fue posible crear un mapa de calor no solo por ubicación geográfica o un número muy alto de nuevas amenazas cada día, hora o incluso minuto, sino sobre cómo funcionan los tipos específicos de campañas en la naturaleza. Para comenzar a evaluar los datos, tomé 60 campañas de ransomware que datan entre enero y junio de 2020 y extraje todas las técnicas de MITRE ATT & CK © que se han utilizado y las mostré en un mapa de calor:

Ámbar / Naranja: se usa más, verde: solo se usa en 1 o 2 campañas

Verificación de la realidad 1: ¿Este mapeo parece exacto?

Para mí lo hace, y aquí está la razón:

  1. El acceso inicial proviene de tener ya acceso a un sistema o de enviar archivos adjuntos de spear phishing
  2. La ejecución utiliza varias técnicas, desde CLI hasta PowerShell y WMI.
  3. Se están descubriendo archivos y recursos compartidos de red para que el ransomware sepa qué cifrar
  4. Deben existir técnicas de comando y control para comunicarse con el proveedor de servicios de ransomware
  5. Los archivos se cifran en el momento del impacto, lo cual es una obviedad, pero por otro lado está muy a prueba de sonido sobre lo que sentimos que está haciendo el ransomware, y está subrayado por el trabajo de los investigadores de amenazas y los datos resultantes.

A continuación, debemos comprender qué se puede hacer para detectar e idealmente bloquear el ransomware en sus pistas. Para esto, resumí las capacidades clave de defensa contra malware y las asigné a las tácticas que más se utilizan:

Táctica MITRE Capacidad de seguridad Ejemplo de características de la solución de McAfee
Ejecución Reducción de la superficie de ataque Protección de acceso de ENS y prevención de exploits, recomendaciones de MVISION Insights
Detección multicapa ENS Exploit Prevention, telemetría MVISION Insights, seguimiento MVISION EDR, análisis de archivos ATD
Protección multicapa Escaneo en tiempo real de ENS mediante firmas, GTI, aprendizaje automático y más
Análisis basado en reglas y riesgos Seguimiento de MVISION EDR
Contención Contención dinámica de aplicaciones ENS
Persistencia Reducción de la superficie de ataque Protección de acceso de ENS o prevención de exploits, recomendaciones de MVISION Insights
Detección multicapa ENS Exploit Prevention, telemetría MVISION Insights, seguimiento MVISION EDR, análisis de archivos ATD
Sandboxing y análisis de amenazas Análisis de archivos ATD
Análisis basado en reglas y riesgos Seguimiento de MVISION EDR
Contención Contención dinámica de aplicaciones ENS
Evasión de defensa Reducción de la superficie de ataque Protección de acceso de ENS y prevención de exploits, recomendaciones de MVISION Insights
Detección multicapa ENS Exploit Prevention, telemetría MVISION Insights, seguimiento MVISION EDR, análisis de archivos ATD
Sandboxing y análisis de amenazas Análisis de archivos ATD
Análisis basado en reglas y riesgos Seguimiento de MVISION EDR
Contención Contención dinámica de aplicaciones ENS
Descubrimiento Reducción de la superficie de ataque Protección de acceso de ENS y prevención de exploits
Detección multicapa ENS Exploit Prevention, MVISION EDR Tracing, análisis de archivos ATD
Sandboxing y análisis de amenazas Análisis de archivos ATD
Análisis basado en reglas y riesgos Seguimiento de MVISION EDR
Comando y control Reducción de la superficie de ataque Recomendaciones de MVISION Insights
Detección multicapa Reputación de IP de cortafuegos ENS, telemetría MVISION Insights, seguimiento MVISION EDR, análisis de archivos ATD
Protección multicapa Cortafuegos ENS
Análisis basado en reglas y riesgos Seguimiento de MVISION EDR
Contención Firewall ENS y contención dinámica de aplicaciones
Impacto Detección multicapa Seguimiento de MVISION EDR, análisis de archivos ATD
Análisis basado en reglas y riesgos Seguimiento de MVISION EDR
Contención Contención dinámica de aplicaciones ENS
Remediación avanzada Reversión avanzada de ENS

Una descripción de las soluciones de McAfee es proporcionado a continuación.

Ahora bien, esto me permitió mapear las soluciones de la cartera de McAfee para cada capacidad, y con eso indirectamente a las tácticas MITRE. Pero no quería terminar aquí, ya que diferentes herramientas podrían tener un papel diferente en la arquitectura defensiva. Por ejemplo, MVISION Insights puede brindarle detalles sobre su configuración actual y la superpone automáticamente con las campañas de amenazas actuales en la naturaleza, lo que le brinda la capacidad de preparar y fortalecer sus sistemas de manera proactiva. Otro ejemplo sería usar McAfee Endpoint Security (ENS) para bloquear todos los scripts de PowerShell sin firmar, reduciendo efectivamente el riesgo de ser atacado por un malware sin archivos basado en esta tecnología a casi el 0%. En el otro extremo de la escala, soluciones como MVISION EDR le brindarán una gran visibilidad de las acciones que han ocurrido, pero esto sucede después del hecho, por lo que existe una alta probabilidad de que tenga que hacer una limpieza. Esto me lleva al tema de "mejorar la protección antes de pasar a la detección", pero esto es para otra publicación de blog.

Volviendo al mapeo que se muestra arriba, hagamos rápidamente …

Verificación de la realidad 2: ¿Este mapeo también se siente preciso?

Para mí lo hace, y aquí está la razón:

  1. La ejecución, la persistencia y la evasión de defensa son tácticas en las que están presentes muchas capacidades, porque tenemos muchos controles de seguridad maduros para controlar lo que se está ejecutando, en qué contexto y especialmente las técnicas de evasión de defensa son buenas para detectar y protegerse.
  2. Discovery no tiene una capacidad de protección real asignada, ya que las herramientas pueden brindarle indicadores de que está sucediendo algo sospechoso, pero bloquear cada actividad potencial de descubrimiento de archivos tendrá un impacto operativo muy grande. Sin embargo, puede utilizar sandboxing u otras técnicas para evaluar qué está haciendo el ransomware y utilizar el resultado de este análisis para detener los procesos maliciosos en curso.
  3. Impact tiene una historia similar, ya que no puede bloquear ningún proceso que cifra un archivo, ya que existen muchas razones legítimas para hacerlo y cientos de formas de realizar esta tarea. Pero nuevamente, puede monitorear bien estas acciones y con la tecnología adecuada, incluso revertir el daño que se ha hecho.

Ahora, con todos estos datos a la mano, podemos llegar al paso final y reunirlos todos en un gráfico simple.

Un gráfico para vincularlos …

Antes de saltar a nuestra conclusión, aquí hay un resumen rápido de las acciones que he tomado:

  1. Recopile datos de 60 campañas de ransomware
  2. Extraiga las técnicas MITRE ATT & CK que se están utilizando
  3. Asignar las capacidades de seguridad necesarias a estas técnicas
  4. Agrupe las capacidades en función de dónde se encuentren en el ciclo de vida de la defensa contra amenazas
  5. Asigne las soluciones de McAfee a las capacidades y aplique una ponderación a la puntuación
  6. Calcule la puntuación de cada solución
  7. Cree un gráfico para el puntaje de detección y protección de ransomware para nuestros paquetes de terminales más comunes y diseñe la arquitectura de seguridad que mejor se ajuste

Entonces, sin más preámbulos y con un breve redoble de tambores, quiero presentarles la arquitectura de seguridad de McAfee que mejor defiende contra las campañas de malware actuales:

Como referencia, aquí hay un desglose rápido de los componentes que componen la arquitectura anterior:

METROVISIÓN ePO es la versión basada en SaaS de nuestra famosa solución de gestión de seguridad, que permite gestionar un conjunto heterogéneo de sistemas, políticas y eventos desde un lugar central. Aunque he mencionado aquí la versión basada en SaaS, lo mismo ocurre con nuestro software local de ePO.

METROPerspectivas de VISION es una fuente de datos clave que ayuda a las organizaciones a comprender qué campañas y amenazas están en tendencia. Esto se basa en la investigación de nuestro equipo de Investigación avanzada de amenazas (ATR), que utiliza nuestros datos de telemetría dentro de nuestra plataforma de big data de Global Threat Intelligence (GTI) para mejorar los detalles que se proporcionan.

METROVISION Endpoint Detect & Response (EDR) está presente en varios cuadros aquí, ya que es un sensor en un lado, que se encuentra en el punto final y recopila datos, y también es un servicio en la nube que recibe, almacena y analiza los datos.

EPP es nuestra plataforma de protección de endpoints, que contiene varios elementos que funcionan en conjunto. Primero está McAfee Endpoint Security (ENS) que se encuentra en el dispositivo y tiene múltiples capacidades de detección y protección. Para mi, el McAfee Threat Intelligence Exchange (TIE) El servidor es siempre una pieza fundamental para la plataforma de protección de endpoints de McAfee y ha evolucionado de una función independiente a un bloque de construcción integrado dentro de ePO y, por lo tanto, no se muestra en el gráfico anterior.

McAfee Advanced Threat Defense (ATD) amplía las capacidades de EPP y EDR, ya que puede ejecutar archivos sospechosos en un entorno separado y comparte la información recopilada con los otros componentes de la arquitectura de McAfee e incluso 3rd-Herramientas de fiesta. También va al revés, ya que ATD permite que otros controles de seguridad reenvíen archivos para su análisis en nuestra caja de arena, pero este podría ser un tema para otra publicación de blog.

Todos los elementos enumerados anteriormente se pueden adquirir mediante la licencia de nuestro paquete MVISION Premium en combinación con McAfee ATD.

Basándome en los componentes y el mapeo de las capacidades, también pude crear un gráfico basado en nuestros paquetes de seguridad de dispositivos más comunes y su respectivo puntaje de defensa contra malware:

En el gráfico anterior, puede ver cuatro de nuestros paquetes más vendidos, que van desde el estándar básico MVISION hasta MVISION Premium en combinación con McAfee Advanced Threat Defense (ATD). La línea muestra la puntuación de detección y protección de ransomware, que aumenta constantemente a medida que avanza de izquierda a derecha. Curiosamente, el costo por punto, es decir, cuánto dólar necesita gastar para obtener un punto, es mucho menor al comprar la opción más grande en comparación con las más pequeñas. Como el costo absoluto varía en demasiadas variables, he omitido un ejemplo aquí. Póngase en contacto con su representante de ventas local para obtener un cálculo estimado para su entorno.

Entonces, ¿he llegado a esta conclusión por accidente? Averigüemos en la última entrega del reality check:

Verificación de la realidad 3: ¿Esta arquitectura de seguridad es adecuada para las amenazas actuales?

Para mí lo hace, y aquí está la razón:

  1. Todo comienza con la tecnología en el punto final. Una buena plataforma de protección de endpoints no solo puede prevenir ataques y fortalecer el sistema, sino que también puede proteger contra amenazas cuando se escriben en un disco o se ejecutan y luego inician actividades maliciosas. Pero lo que comúnmente se pasa por alto: una buena solución de punto final también puede brindar mucha visibilidad, lo que la convierte en la base de toda buena práctica de respuesta a incidentes.
  2. ATD juega un papel muy importante en la arquitectura general, como puede ver en el aumento de puntos entre MVISION Premium y MVISION Premium + ATD en el gráfico anterior. Permite que el endpoint tenga otra opinión, que no está limitada en tiempo y recursos para llegar a una conclusión, y no tiene aplicadas excepciones de escaneo al verificar un archivo. Como está integrado en la protección, ayuda a bloquear las amenazas antes de propagarse y, sin duda, proporciona tremendos detalles sobre el malware que se descubrió.
  3. MVISION Insights también juega un papel muy importante tanto en las acciones preventivas, para que pueda fortalecer sus máquinas antes de que lo golpeen, como también en la detección de cosas que podrían haberse escapado o donde han surgido nuevos indicadores solo después de un cierto período de tiempo.
  4. MVISION EDR tiene menos impacto en la puntuación, ya que es una tecnología de detección pura. Sin embargo, también tiene una ventaja similar a nuestra McAfee ATD, ya que el cliente solo reenvía los datos y el trabajo pesado se realiza en otro lugar. También retrocede, ya que EDR puede extraer datos de otras herramientas que se muestran arriba, como ENS, TIE o ATD, solo por nombrar algunas.
  5. MVISION ePO debe estar presente en cualquier arquitectura de McAfee, ya que es el corazón y el alma de cada tarea operativa. Desde la gestión de políticas, implementaciones, tareas del cliente, informes y mucho más, desempeña un papel fundamental y lo ha hecho durante más de dos décadas.

Y la respuesta no es 42

Mientras escribía mis pensamientos en la publicación del blog, me acordé de la “Guía para autoestopistas de la galaxia”, ya que mi viaje en ciberseguridad comenzó con la búsqueda de la respuesta a todo. Pero a lo largo de los años, se convirtió en las múltiples preguntas que planteé al comienzo del artículo:

  1. ¿Cómo se define el malware? ¿Nos centramos únicamente en virus y troyanos, o también incluimos Adware y otros?
  2. ¿Qué tipos de malware se encuentran actualmente diseminados por todo el mundo? ¿Qué murió de vejez y qué es nuevo?
  3. ¿Cómo opera el malware? ¿Es el malware sin archivos una tendencia de corta duración o ha llegado para quedarse?
  4. ¿Qué se debe hacer para defenderse adecuadamente contra el malware? ¿Qué capacidades se necesitan?
  5. ¿Qué defensas ya existen? ¿Están configurados correctamente?

Y ciertamente, las respuestas a estas preguntas son un objetivo en movimiento. No solo evolucionan las herramientas y técnicas de los adversarios, también evolucionan todas las capacidades del lado defensivo.

Le invito a que tome la información proporcionada por mi investigación y la aplique a su propia arquitectura de seguridad:

  • ¿Tiene las capacidades adecuadas para protegerse contra las técnicas utilizadas por las campañas de ransomware actuales?
  • ¿La detección ya es una parte clave de su entorno y cómo ayuda a mejorar su protección?
  • ¿Ha probado recientemente sus defensas contra una campaña de amenazas común?
  • ¿Está compartiendo detecciones dentro de su arquitectura de una herramienta de seguridad a otra?
  • ¿Qué puntuación alcanzaría su entorno?

Gracias por leer esta publicación de blog y seguir mi línea de pensamiento. Me encantaría saber de usted cómo se evalúa a sí mismo, cuál podría ser la próxima área de enfoque para mi investigación o si desea aplicar el mecanismo de puntuación en su entorno. Así que búscame en LinkedIn o Twitter, escríbeme un mensaje corto o simplemente di "¡Hola!".

También debo enviar un gran "¡GRACIAS!" a todos mis colegas de McAfee que me ayudaron durante mi investigación: Mo Cashman, Christian Heinrichs, John Fokker, Arnab Roy, James Halls y todos los demás.





Enlace a la noticia original