Desde el blog de Websense Security Labs:  Trazando la Galaxia de Amenazas Desconocida

Actualmente vivimos en un mundo en el que el panorama de las amenazas cibernéticas es muy dinámico. La inteligencia práctica de amenazas está oculta en lo más profundo de los terabytes de datos que aparentemente son interesantes, pero que al final resultan irrelevantes. La negación plausible, los positivos falsos, la falta de trazabilidad y atribución, los atacantes hábiles, la adaptación de las técnicas de ataque, entre otros, sólo contribuyen más a la confusión. ¿Cómo se puede extraer la inteligencia de amenazas práctica de una manera automática desde lo más hondo de las pilas de datos?

En Websense Security Labs creemos que la respuesta radica en utilizar las técnicas de big data con el aprendizaje de máquinas sin supervisión, con el fin de identificar las similitudes y las diferencias de entidades como URLs, direcciones IP, archivos, correos electrónicos, usuarios, otros. Esto ofrece una manera de agrupar el comportamiento de acuerdo con el número de atributos junto, con la analítica de propagación de riesgos (contexto alrededor de los nodos agrupados) de una manera automática.

image002

En la mayoría de las recientes brechas de alto perfil (como las que afectaron a Target, Sony, etc.) hemos observado que, en retrospectiva, se descubrió que todos los indicadores estuvieron muy presentes en el entorno durante amplios periodos de tiempo, ocultos en los terabytes de datos y registros de varios dispositivos de seguridad. Si de algún modo se hubiese dado prioridad a estos indicadores oportunamente, podrían haberse detenido o por lo menos se habrían descubierto meses antes de que salieran a la luz, limitando así el daño potencial y las pérdidas económicas graves.

En un alto nivel de abstracción, fue posible descubrir la Galaxia de Amenazas gracias al agrupamiento mediante una definición amplia y versátil de los indicadores que generaliza este enfoque en los canales de amenazas (como el correo electrónico, la web, los archivos, la reputación, etc.) al tiempo de ser capaz de modelar dinámicamente los comportamientos para observar los cambios y tendencias. Consideremos un ejemplo de grupo de interés:

Leyenda: Rojo – malicioso, Rosa – sospechoso, Blanco – benigno

websense_mapa_propagación

Como lo demuestra la comparación de las dos pantallas anteriores, al mostrar el mismo grupo de nodos antes y después de la propagación de los riesgos, se clasificaron muchos más nodos como maliciosos o sospechosos. Específicamente, este grupo alberga amenazas como Zeus C&C, Phishing/Fraudkit, Malicious Injection, Alina PoS C&C, Phishing/FakeBank y FakeEmailPortal. El grupo cubre las etapas de Lure, Dropper, Exploit Kit y Call Home de la cadena de ataques.

websense_mapa_propagación_b

Tal como se demostró anteriormente, esta estrategia permitió la identificación automática de nodos adicionales (indicadores de compromiso) que pertenecen a las amenazas del grupo. En términos numéricos, descubrimos 31 % más de nodos que podrían clasificarse como peligrosos en forma automática, realzando así la protección contra estas amenazas.

Resumen

Ya que cada día los ataques son más sofisticados y avanzados, es necesario combinar la ingeniería de big data, el aprendizaje de máquinas sin supervisión, la inteligencia de amenazas global y los conocimientos en seguridad cibernética para enfrentarlos de forma oportuna, automática y eficiente. Sin embargo, esta es una rara combinación y nosotros en Websense Security Labs estamos haciendo un mapa de la galaxia de amenazas inexplorada para nuestros clientes, para así  encontrar proactivamente los indicadores de compromiso (IoC) adicionales que ayudan a detectar y prevenir los ataques anticipadamente.

Para obtener más información por favor visite el blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/27/Charting-the-Unexplored-Threat-Galaxy.aspx