Trazando la Galaxia de Amenazas Desconocidas

Luis V. Sintes Martinez Analista de Seguridad - Vintegris, opina sobre los ataques cibernéticos

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Actualmente vivimos en un mundo en el que el panorama de las amenazas cibernéticas es muy dinámico.

La inteligencia práctica de amenazas está oculta en lo más profundo de los terabytes de datos que aparentemente son interesantes, pero que al final resultan irrelevantes. La negación plausible, los positivos falsos, la falta de trazabilidad y atribución, los atacantes hábiles, la adaptación de las técnicas de ataque, entre otros, sólo contribuyen más a la confusión.

¿Cómo se puede extraer la inteligencia de amenazas práctica de una manera automática desde lo más hondo de las pilas de datos? En Vintegris nos apoyamos en Websense Security Labs porque creemos que la respuesta radica en utilizar las técnicas de big data con el aprendizaje de máquinas sin supervisión, con el fin de identificar las similitudes y las diferencias de entidades como URLs, direcciones IP, archivos, correos electrónicos, usuarios, otros.

Esto ofrece una manera de agrupar el comportamiento de acuerdo con el número de atributos junto, con la analítica de propagación de riesgos (contexto alrededor de los nodos agrupados) de una manera automática.

AMENAZAS

AMENAZAS

En la mayoría de las recientes brechas de alto perfil (como las que afectaron a Target, Sony, etc.) hemos observado que, en retrospectiva, se descubrió que todos los indicadores estuvieron muy presentes en el entorno durante amplios periodos de tiempo, ocultos en los terabytes de datos y registros de varios dispositivos de seguridad. Si de algún modo se hubiese dado prioridad a estos indicadores oportunamente, podrían haberse detenido o por lo menos se habrían descubierto meses antes de que salieran a la luz, limitando así el daño potencial y las pérdidas económicas graves.

En un alto nivel de abstracción, fue posible descubrir la Galaxia de Amenazas gracias al agrupamiento mediante una definición amplia y versátil de los indicadores que generaliza este enfoque en los canales de amenazas (como el correo electrónico, la web, los archivos, la reputación, etc.) al tiempo de ser capaz de modelar dinámicamente los comportamientos para observar los cambios y tendencias. Consideremos un ejemplo de grupo de interés:

Leyenda: Rojo – malicioso, Rosa – sospechoso, Blanco – benigno

Antes de la propagación de riesgos             Después de la propagación de riesgos

 Amenazas1                    Amenazas2

Como lo demuestra la comparación de las dos pantallas anteriores, al mostrar el mismo grupo de nodos antes y después de la propagación de los riesgos, se clasificaron muchos más nodos como maliciosos o sospechosos. Específicamente, este grupo alberga amenazas como Zeus C&C, Phishing/Fraudkit, Malicious Injection, Alina PoS C&C, Phishing/FakeBank y FakeEmailPortal. El grupo cubre las etapas de Lure, Dropper, Exploit Kit y Call Home de la cadena de ataques.

 

 

                           Amenazas                                            Etapas de la cadena de ataque

amenazas3                    amenazas4

 

Tal como se demostró anteriormente, esta estrategia permitió la identificación automática de nodos adicionales (indicadores de compromiso) que pertenecen a las amenazas del grupo. En términos numéricos, descubrimos 31 % más de nodos que podrían clasificarse como peligrosos en forma automática, realzando así la protección contra estas amenazas.

por Luis V. Sintes Martinez  Analista de Seguridad – Vintegris