Red Seguridad 081

red seguridad segundo trimestre 2018 45 endopoint opinión (IoA), originadas por los propios hunters de la compañía tras validar nuevas hipótesis de ataque, por la compartición o el uso de inteligencia de amenazas de fuentes externas, etc. La clave de este servicio es que los threat hunters de Panda Security tienen la misión de descubrir proacti- vamente nuevos patrones de ataque, nuevas técnicas no conocidas hasta hoy, elaborando hipótesis de trabajo en base al conocimiento del compor- tamiento anonimizado de millones de aplicaciones, endpoint y perfiles de usuarios en las organizaciones clien- tes y validándolas antes de convertir- se en nuevos indicadores de ataque. El partner puede utilizar e investigar directamente sobre esas hipótesis, y añadir las suyas propias, que pueden ser específicas para sus clientes en función de su contexto. Además, probablemente, estos proveedores de servicios ya están monitorizando otros elementos de la infraestructura de seguridad, con lo que pueden integrar y correlacionar la visibilidad, monitorización y servicios de los endpoints , gracias a Panda Adaptive Defense (conector SIEMFeeder que permite la integración de eventos). Por último, la visibilidad obtenida de la actividad de los endpoints permite la prestación de servicios comple- mentarios, relacionados con el uso de aplicaciones, vulnerabilidades, descubrimiento de datos personales sujetos al Reglamento General de Protección de Datos en formatos no estructurados, etc. ¿Cómo funciona? El servicio de Threat Hunting and Investigation incluido en Panda Adaptive Defense desempeña tres fases. 1. Generación de hipótesis. Las hipótesis se pueden generar de dos formas: ‡ Hipótesis que formulan los expertos: son reglas con cierto nivel de complejidad (secuencias de suce- sos relacionados entre sí de alguna forma –a nivel de máquina, a nivel de parque o a nivel "universal"–). ‡ Hipótesis que se apoyan en el análisis estadístico del comporta- miento de las distintas "entidades" dentro de un parque, que pueden ser usuarios, procesos, máquinas, etc. De esta forma es posible modelizar el comportamiento de estas entida- des, y se generan perfiles "norma- les" de las mismas, de manera que comportamientos anómalos puedan desencadenar un disparador que haga sospechar alguna intrusión; por ejemplo, un proceso realizando un número de conexión muy por encima de la media o un número de ejecu- ciones muy por encima de lo normal de un proceso en una máquina. 2. En ambos casos, un paso crítico del proceso de generación de hipó- tesis es la validación de las mis- mas . La plataforma cuenta con una funcionalidad que permite testearlas contra todo el histórico de eventos almacenados para obtener un indi- cador de cómo de valiosa es la regla como indicador IOA ( Indicator Of Attack ). Despliegue en el streaming de eventos en tiempo real. Una vez que una regla o hipóte- sis está validada como potencial indicador, puede ser entregada y desplegada en la plataforma sobre el flujo de datos entrante desde los endpoints protegidos. 3. Confirmación del incidente. La fase de confirmación tiene como objetivo la revisión por parte de un analista de las "detonaciones" o evi- dencias producidas para determinar detrás de cuáles hay verdaderamen- te una intrusión. La plataforma per- mite investigar y explotar los datos de forma que los analistas puedan hacer este trabajo de manera autó- noma y rápida. Así, mediante una consola forense, el analista puede analizar cualquier entidad, de cual- quier máquina, de cualquier periodo, con un alto nivel de granularidad, pudiendo extraer la foto en el tiempo del estado de la máquina, con su árbol de procesos, comunicaciones, registro y demás eventos captura- dos. Por utilizar una analogía, sería como tener un Time Machine de los endpoints en lo que respecta a su actividad interna. En cualquier caso, siempre que haya una alerta confirmada de ata- que, los analistas, en primera ins- tancia, se focalizan en minimizar el tiempo de detección de la amenaza en todos los sistemas impactados donde posiblemente el atacante haya hecho cambios en su configu- ración. Seguidamente, trabajaran en minimizar el tiempo de respuesta al atacante. Para ello, el analista comunica inmediatamente a los equipos técni- cos, ya sea de Panda Security o a los analistas del proveedor de servicio de seguridad (MSSP o proveedor MDR), los detalles del ataque des- cubierto para que estos lo validen con el cliente y tengan en cuenta su contexto. En caso positivo, los analistas y el equipo técnico trabajan conjunta- mente en la contención inmediata del atacante para así evitar, en muchos casos, el daño o al menos mitigarlo. Acompañando al plan de contención, se establece también un plan de vuel- ta a la actividad del negocio normali- zado, definitiva o transitoria hasta la recuperación total post-ataque. Fases del proceso de Threat Hunting and Investigation incluido en Panda Adaptive Defense.