¿Qué se puede hacer para obtener mayores niveles de protección ante las nuevas amenazas de Malware, como el conocido Crypt0L0cker y sus derivados?
El problema de Crypt0L0cker y sus variantes
¿Por qué las empresas han invertido tanto dinero en protección y, aun así, amenazas como Crypt0L0cker consiguen hacer tanto daño?
– El Perímetro y Sandboxing:
La tendencia general ante estas amenazas es la protección en el perímetro, con equipamiento con Sandboxing que permita identificar amenazas APT y Zero-Day.
– ¿A qué coste?
Porque muchas empresas no pueden permitirse la adquisición de equipos dedicados a ello.
– Ineficacia:
¿Cómo es posible que, utilizando vulnerabilidades en su mayoría ya conocidas, este tipo de amenazas consigan burlar los filtrados de seguridad perimetrales tradicionales?
Y en los entornos virtualizados, ¿qué se puede hacer?
La Solución de Palo Alto Networks: WildFire y TRAPS
Entonces, ¿cómo nos protegemos contra este malware a un coste reducido?
El Malware nos obliga a afinar nuestras políticas de seguridad, ya que actúa “escondiéndose” en puertos no estándar, y a entender su comportamiento.
Desde OPEN3S apostamos por WildFire y TRAPS de Palo Alto. Ambas soluciones se integran dentro de los equipos de NGFW.
¿Y cómo lo hacen? En el siguiente vídeo vemos cómo actúan frente a un ataque dirigido (Crypt0L0ocker) y cómo las diferentes técnicas de defensa permiten mitigarlo
Ahora bien, si la protección del perímetro es importante (WildFire), hay que tener muy en cuenta que en la actualidad este perímetro se ha “desvanecido”: Movilidad, Tele-trabajo, múltiples dispositivos,… lo que se ha llamado BYOD ha hecho que no sea suficiente con utilizar barreras externas para esta protección. Es aquí cuando surge la necesidad de buscar un nivel de protección extra en los EndPoint.
TRAPS, protege en los EndPoint de las vías usadas por los ATPspara infectar (siempre usan más de una en cada ataque). Utiliza un cliente ligero y su enfoque permite detener los ataques sin necesidad de tener un conocimiento previo de cada amenaza Zero-Day, como sí necesitan las herramientas basadas en firmas.
TRAPS frustra el ataque antes de que se produzca cualquier actividad maliciosa y, como segundo paso, se integra con la solución en la nube WildFire (solución anti-APT).
En caso de que la ejecución de un archivo no esté limitada por las restricciones basadas en políticas, WildFire nos permitirá mediante diversas técnicas determinar si el archivo es malicioso o no, a la vez que se notifica de dicho análisis al usuario.
¿Y qué ocurre en los entornos virtualizados?
Las tecnologías evolucionan y Palo Alto se integra con NSX y sistemas virtualizados de última generación, adaptándose y cambiando el nuevo paradigma de infraestructura corporativa… pero esto lo dejamos para una siguiente newsletter.