FACILITANDO RESPUESTAS

RPIDAS A LOS INCIDENTES

DE SEGURIDAD CON
EL MONITOREO
DE AMENAZAS
A 3-STEP PLAN FOR MOBILE SECURITY
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
Resumen ejecutivo
A medida que las amenazas evolucionan
y la efectividad de la seguridad
web basada en rmas disminuye, es
necesarios que los departamentos
de TI tengan un rol ms importante y
activo en la seguridad web. Para luchar
contra los delincuentes informticos
actuales, los gerentes de TI necesitan
tener informacin sobre las amenazas
avanzadas y mejorar su capacidad
de respuesta a las amenazas que las
defensas ms actuales no detectan.
Necesitan una herramienta que pueda
proporcionar visibilidad de los sistemas
infectados, ataques combinados,
comunicaciones de llamada a casa,
extraccin de datos y otras amenazas
avanzadas a travs del monitoreo
de amenazas en la red y sandboxing
de archivos. Y es necesario que esta
herramienta genere datos de gran
utilidad en paneles e informes listos
para usar.
Websense TRITON RiskVision es una
solucin inigualable para el monitoreo
de amenazas. Combina defensas
contra amenazas avanzadas en tiempo
real, inteligencia de seguridad global,
sandboxing de archivos y deteccin
de prdida/robo de datos en un slo
dispositivo de fcil implementacin
a travs de un TAP de red o SPAN de
puerto.
TRITON RiskVision proporciona
visibilidad inmediata de amenazas
avanzadas, extraccin de datos y
sistemas infectados mediante la
unicacin de cuatro defensas clave
en una sola plataforma:
Websense ACE (Advanced
Classication Engine)
Websense ThreatSeeker
Intelligence Cloud
Motor de Prevencin de la Prdida
de Datos (DLP, por sus siglas en
ingls) de Websense
Websense TRITON ThreatScope
TRITON RiskVision tambin incluye
slidos informes de negocio, paneles
de amenazas e informes forenses.
La necesidad
de monitorear
amenazas/redes
Es imposible pelear contra
un enemigo invisible
El Informe de amenazas de 2013
de Websense revela una tendencia
preocupante: la web se torn
signicativamente ms maliciosa en
2012, como vector de ataque y tambin
como elemento de apoyo principal
de otras trayectorias de ataque (por ej.,
redes sociales, dispositivos mviles,
correo electrnico). Websense registr
un aumento de cerca de seis veces
ms en el total de sitios maliciosos, 85%
de los cuales fueron encontraron en
hosts web legtimos que haban sido
comprometidos. Ms alarmante fue la
informacin brindada por los ejecutivos
de seguridad que comunicaron que la
mayora de las amenazas eludieron sus
controles tradicionales, y expresaron
que no se sienten preparados para
hacer frente a las amenazas emergentes
como el phishing dirigido.
Este crecimiento de amenazas y
contenido malicioso en la Web ha
creado un creciente mercado para
el anlisis de amenazas, y contrasta
intensamente con la reducida
ecaciade la mayora de las soluciones
de seguridad web implementadas en la
actualidad. Los analistas de la industria
estiman que las tecnologas de defensa
de seguridad tradicionales slo brindan
proteccin contra el 30 al 50% de las
amenazas actuales, y esto las vuelve
cada vez ms inecaces. La generacin
de rmas y las defensas tradicionales
simplemente no pueden mantenerse a la
par del crecimiento de nuevas amenazas
y ataques avanzados.
Para tomar las medidas preventivas
apropiadas, los departamentos de TI
necesitan tener la capacidad de ver las
amenazas avanzadas y los ataques que
son invisibles a sus defensas actuales.
Las soluciones de monitoreo de
amenazas y redes pueden proporcionar
esta solucin, siempre que cumplan
con tres requisitos clave:
Deteccin de amenazas avanzadas
Deteccin del robo o prdida de
datos
Anlisis forense y de
comportamiento
Requisito 1: Deteccin
de amenazas avanzadas
La mayora de las soluciones de
seguridad web actuales proporcionan
defensas antivirus (AV) basadas en
rmas o bases de datos de URL, sin
anlisis adicionales. El problema es
que el aumento de las amenazas en
todo el mundo hace que sea casi
imposible desarrollar rmas y bases
de datos ecaces, y esto deja a las
organizaciones vulnerables a los
ataques de las amenazas avanzadas
que no tienen rmas. De este modo,
1
http://www.websense.com/assets/reports/websense-2013-threat-report.pdf
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
las redirecciones dinmicas, los kits
exploits y otras tecnologas innovadoras
implementadas por los hackers pueden
pasar desapercibidas y abrirse paso con
facilidad en las redes corporativas.
La capacidad para ver estas amenazas
y responder a ellas con eciencia es
esencial para los profesionales de
TI actuales. El trco web requiere
un potente anlisis que pueda dejar
expuestas a las amenazas que
anteriormente eran invisibles.
Requisito 2: Deteccin
del robo o prdida de datos
La pregunta no es si un atacante
atravesar las defensas de una red,
sino cundo lo har. Una vez dentro
deuna red, la mayora de los atacantes
buscan robar informacin valiosa.
Lamentablemente, la mayor parte de
las defensas de seguridad web actuales
se centran nicamente en las amenazas
entrantes y no pueden combatir
con ecacia y tampoco alertar a los
profesionales de TI sobre el robo de
datos salientes.
La capacidad para detectar actividad
sospechosa o robo de datos mientras
est sucediendo le proporciona a los
departamentos de TI informacin
sumamente valiosa y de gran utilidad
sobre los niveles de amenazas.
Requisito 3: Anlisis forense
y de comportamiento
El sandboxing para archivos la
capacidad de jugar con el malware
en un ambiente seguro para ver
cmo se comportara en la red de
una empresa se est convirtiendo
rpidamente en un requisito clave
paramuchos profesionales de TI.
Una solucin que incorpora
sandboxing para archivos, y lo hace
en forma automtica, puede ofrecer a
los equipos de seguridad informacin
valiosa sobre soluciones potenciales.
Presentacin de
Websense TRITON
RiskVision
TRITON RiskVision combina defensas
contra amenazas avanzadas en tiempo
real, inteligencia de seguridad global,
sandboxing para archivos y deteccin
de prdida/robo de datos en un slo
dispositivo. Se implementa fcilmente
a travs de un TAP de red o SPAN
de puerto y proporciona visibilidad
inmediata de amenazas avanzadas,
extraccin de datos y sistemas
infectados mediante la unicacin
de cuatro defensas clave en una sola
plataforma:
Websense ACE (Advanced
Classication Engine) utiliza siete
reas de evaluacin de defensas
con ms de 10.000 anlisis para
proporcionar anlisis de las
amenazas del trco web en
tiempo real.
Websense ThreatSeeker
Intelligence Cloud une ms
de 900 millones de puntos
nales y analiza entre 3 y 5 mil
millones de solicitudes por da,
lo que proporciona a ACE el
reconocimiento global de amenazas
y anlisis de defensas vitales.
La capacidad para detectar
actividad sospechosa o
robo de datos mientras est
sucediendo les proporciona
a los departamentos de TI
informacin sumamente
valiosa y de gran utilidad
sobre los niveles de amenazas.
2
Market Analysis: Worldwide Specialized Threat Analysis and Protection: 20132017 Forecast and 2012 Vendor Shares (Anlisis del mercado:
Anlisis y proteccin especializados contra amenazas en todo el mundo: Pronstico 2013-2017 y Participacin de Proveedores 2012).
IDC #242346, Volumen 1, p. 13., agosto de 2013.
3
http://www.websense.com/assets/white-papers/whitepaper-websense-reality-check-report.pdf
Figura 1: Cuatro tecnologas clave distinguen a TRITON RiskVision de la competencia.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Defensas contra
amenazas avanzadas
Inteligencia global
contra amenazas
Sandboxing para
archivos/objetos
Deteccin de prdida/
robo de datos
WWW
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
El motor de prevencin de prdida de datos (DLP) de Websense es
reconocido por los analistas como lder en la industria. Incluye reconocimiento
de la ubicacin geogrca del destino, reconocimiento ptico de caracteres
(OCR) de texto dentro de imgenes y deteccin de: extraccin de datos para
datos registrados y descritos, cargas cifradas por delincuentes, robo de datos
de archivos con contrasea y fugas lentas de datos.
El Sandbox en lnea de Websense TRITON ThreatScope analiza el
comportamiento de archivos web para descubrir amenazas y comunicaciones
avanzadas y proporciona informes forenses.
Tecnologas esenciales de TRITON RiskVision
Websense ACE
ACE es la defensa principal detrs de TRITON RiskVision y proporciona defensas
contextuales en lnea y en tiempo real para la seguridad web, de correo electrnico,
de datos y mvil, utilizando la calicacin de riesgos compuesta y el anlisis
predictivo para proporcionar las
capacidades de deteccin ms efectivas
disponibles. Analiza el trco entrante
y saliente con defensas atentas a los
datos para brindar proteccin contra
el robo de datos. Los clasicadores de
seguridad y anlisis de contenido y de
datos en tiempo real permiten que ACE
detecte ms amenazas que los motores
antivirus tradicionales todos los das.
ACE est respaldado por ThreatSeeker
Intelligence Cloud.
por da. Este reconocimiento extensivo
de amenazas de seguridad permite a
ThreatSeeker Intelligence Cloud ofrecer
actualizaciones de seguridad en tiempo
real que detectan amenazas avanzadas,
malware, ataques de phishing, seuelos
y estafas, adems de proporcionar las
ltimas calicaciones web. ThreatSeeker
Intelligence Cloud es inigualable
en tamao y en el uso de las defensas
de ACE en tiempo real para analizar
entradas colectivas.
Websense DICE (motor de
identicacin y clasicacin
de datos)
Websense DICE combina valiosos
clasicadores con reconocimiento
contextual en tiempo real de usuarios,
datos y destinos para proporcionar
un alto grado de precisin y DLP
consistente para TRITON RiskVision.
DICE acepta tres categoras de datos:
descritos, registrados y aprendidos.
Los datos descritos incluyen
expresiones regulares, diccionarios,
clasicadores de lenguaje natural y
ms de 1700 polticas y plantillas.
Los datos registrados incluyen
impresin digital, que puede
comprimirse y almacenarse en el
punto nal para brindar proteccin
fuera de la red.
Los datos aprendidos son
habilitados por la tecnologa de
aprendizaje automtico avanzado
que analiza muestras pequeas
de datos para llenar la brecha
entre los datos descritos y los
datos registrados y garantizar
una mayor precisin y eciencia.
Las capacidades de proteccin
contra el robo de datos incluyen
OCR de texto dentro de imgenes,

4
Gartner nombra a Websense lder en Magic Quadrant para Prevencin de la Prdida de Datos Atenta al Contenido

5
La prueba se actualiza todos los das en securitylabs.websense.com.
Figura 2: Las investigaciones de terceros demuestran que ACE detecta ms amenazas
que otras tecnologas.
Websense ThreatSeeker
Intelligence Cloud
ThreatSeeker Intelligence Cloud,
administrada por Websense Security
Labs, proporciona la inteligencia de
seguridad colectiva central para TRITON
RiskVision. Une ms de 900millones
de puntos nales, incluyendo entradas
de Facebook. Junto con ACE,
ThreakSeeker Intelligence Cloud analiza
entre 3 y 5 mil millones de solicitudes
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
Figura 3: La creacin de polticas es fcil e intuitiva con TRITON RiskVision
deteccin de archivos cifrados en forma personalizada, robo de archivos con contrasea y fugas lentas de datos,
y reconocimiento de la ubicacin geogrca.
Sandboxing para archivos
La capacidad de sandboxing para archivos de TRITON RiskVision es proporcionada por la solucin de sandboxing TRITON
ThreatScope. TRITON ThreatScope utiliza los anlisis de ACE para monitorear toda la actividad de malware y genera un
informe detallado que incluye:
El proceso de infeccin.
Las actividades posteriores a la infeccin, que incluyen comunicaciones de red.
Eventos y procesos de nivel de sistema.
TRITON ThreatScope tambin correlaciona el comportamiento observado con las amenazas conocidas para brindar
informacin valiosa incluso para amenazas del da cero.
Uso de TRITON RiskVision
Conguracin de polticas
TRITON RiskVision permite la creacin y la administracin de polticas web unicadas con la capacidad para controlar
la seguridad del contenido entrante y saliente, el monitoreo de URL avanzado y ms de 125 aplicaciones y protocolos de
red. Las amenazas de seguridad se agrupan en categoras diferentes, como phishing o redes bot. El motor de escaneo
de seguridad en tiempo real dentro de ACE va ms all del anlisis AV tradicional para identicar ataques basados en
secuencias de comandos y otros ataques avanzados en navegadores web y aplicaciones vulnerables.
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
Panel de amenazas avanzadas
con informes forenses
El panel de amenazas avanzadas de
TRITON RiskVision est organizado en
cuatro chas: Amenazas, Riesgos, Uso
de la Web y Sistemas.
La pestaa de Amenazas presenta la
visibilidad de los eventos de malware
avanzado entrantes y salientes que se
detectaron, como por ejemplo quin
fue atacado, cmo, dnde estaba
destinado el ataque y qu datos fueron
atacados. Esto proporciona datos
forenses de gran utilidad que permiten
a los usuarios comprender rpidamente
la gravedad de las amenazas y tomar
las medidas de reparacin apropiadas.
Figura 4: El panel de amenazas avanzadas proporciona respuestas sobre quin fue atacado,
adnde estaban destinados los datos, qu datos fueron atacados y cmo se plane el ataque.
Tambin establece un enlace con los detalles forenses.
La pestaa de Riesgos muestra varios
cuadros que proporcionan diferentes
vistas de los eventos de seguridad.
La pestaa de Uso de la Web
proporciona varios cuadros
e informacin sobre actividades en
la web, y tambin un resumen de los
resultados del monitoreo de polticas.
La pestaa de Sistemas proporciona
una vista centralizada de los eventos
de salud del sistema y el estado del
servicio de monitoreo.
Las alertas de gravedad evalan la
gravedad de cada incidente y permiten
a los usuarios separar los eventos
crticos de los menos importantes.
Este panel muestra los eventos
principales agrupados por ubicacin
geogrca, los eventos bloqueados
agrupados por categora y una lista
tabular de eventos con detalles que
incluyen gravedad, usuario, nombre
del host, categora de seguridad y
otra informacin (esta tabla tambin
se puede personalizar fcilmente). En
forma general, el panel de Amenazas
proporciona informacin clara y de gran
utilidad sobre incidente de malware y
una gua sobre las posibles medidas de
reparacin.
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
Motor de prevencin de la prdida de datos (DLP)
TRITON RiskVision incluye DICE, un motor de DLP empresarial incorporado para monitorear y controlar la comunicacin de
datos corporativos condenciales. Esta capacidad de DLP web es administrada a travs de TRITON Unied Security Center.
Los asistentes de polticas proporcionan una prescripcin para la implementacin de controles de cumplimiento de mejores
prcticas para una gran diversidad de reglamentaciones en todo el mundo agrupadas por pas e industria y ofrecen ms de
1,700 polticas y plantillas que Websense mantiene actualizadas. Los patrones de datos predenidos proporcionan la mejor
precisin de su clase sin necesidad de crear y adecuar los patrones en forma manual con palabras clave o expresiones regulares.
TRITON RiskVision tambin incluye las ltimas tecnologas de prevencin del robo de datos, como OCR para detectar el robo
de datos a travs de imgenes que contienen datos condenciales. Otras capacidades avanzadas incluyen la deteccin de
envos cifrados personalizados, el robo de datos de archivos con contrasea y la prevencin de fugas lentas de datos (o DLP
por goteo), adems del reconocimiento de la ubicacin geogrca del destino. Todas estas defensas de DLP tienen por objeto
proporcionar la mayor cantidad de informacin posible sobre intentos de robo o prdida de datos.
Anlisis del sandboxing para archivos
El sandboxing para archivos incluido en TRITON RiskVision simula entornos de punto nal tpicos. Los archivos se ejecutan de
la misma manera que lo haran en el entorno real de la vctima y esto proporciona a los profesionales de TI informacin valiosa
sobre las vulnerabilidades de los sistemas. El anlisis conductual incluye actividad previa y posterior a la infeccin, como
comunicaciones para redes bot, robo de datos y otras actividades.
Figura 4: El Informe de anlisis de ThreatScope muestra los resultados del anlisis conductual
en un formato de fcil lectura
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
Informes y alertas
TRITON RiskVision ofrece ms de 60 informes predenidos que abarcan el rango completo de informacin empresarial
ytcnica. Es posible generar y presentar nuevos informes en unos pocos clics y se pueden generar y distribuir en forma
automtica. Los formatos de cuadros personalizables facilitan la comunicacin de informacin importante sobre el
comportamiento de la fuerza de trabajo a las partes interesadas que no poseen conocimientos tcnicos.
Para complementar las capacidades de informes de presentacin, los informes de investigacin proporcionan informacin
detallada para el anlisis forense de un ataque o la violacin de una poltica. Tambin permiten la elaboracin de informes
especcos para clientes que necesitan informacin especial.
Es posible congurar alertas personalizadas para noticar a los administradores sobre actividades sospechosas. Estas alertas
pueden resultar una herramienta valiosa para abordar cualquier amenaza detectada en la red.
Figura 7: Los administradores pueden optar por recibir alertas por correo electrnico.
Este ejemplo muestra una alerta sobre una posible fuga lenta de datos.
Facilitando respuestas rpidas a los incidentes
de seguridad con el monitoreo de amenazas
Conclusin
Ante un panorama de amenazas en constante evolucin, la mayora de las soluciones de seguridad web existentes slo brindan
proteccin contra las amenazas conocidas por bases de datos de rmas, y dejan libres a muchas amenazas desconocidas
einvisibles que roban datos condenciales o causan otros daos. La visibilidad de amenazas previamente desconocidas es
esencial para fortalecer la seguridad de las redes y responder a los ataques.
TRITON RiskVision proporciona valiosa informacin sobre amenazas avanzadas con tecnologa y funciones lderes en la industria.
Permite a los profesionales de TI responder a las amenazas avanzadas y los intentos de robo de datos de manera oportuna.
Hay cuatro reas clave de defensa que distinguen a TRITON RiskVision de las soluciones de monitoreo de redes. Estas
tecnologas proporcionan deteccin de amenazas avanzadas, reconocimiento global de amenazas, funcionalidad de DLP
incorporada y servicios de sandboxing para archivos.
2013 Websense, Inc. Todos los derechos reservados. Websense, TRITON y el logotipo de Websense son marcas comerciales registradas de Websense, Inc. en los Estados Unidos y varios pases. Todas las dems marcas comerciales son propiedad
de sus respectivos dueos. 28-08-2013-LA ES
Para obtener ms informacin sobre el monitoreo de amenazas o sobre la solucin TRITON RiskVision,
visite www.websense.com/riskvision.
TRITON DETIENE MS AMENAZAS. PODEMOS DEMOSTRARLO.
Ms informacin en www.websense.com/LATAM