DE SEGURIDAD CON EL MONITOREO DE AMENAZAS A 3-STEP PLAN FOR MOBILE SECURITY Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas Resumen ejecutivo A medida que las amenazas evolucionan y la efectividad de la seguridad web basada en rmas disminuye, es necesarios que los departamentos de TI tengan un rol ms importante y activo en la seguridad web. Para luchar contra los delincuentes informticos actuales, los gerentes de TI necesitan tener informacin sobre las amenazas avanzadas y mejorar su capacidad de respuesta a las amenazas que las defensas ms actuales no detectan. Necesitan una herramienta que pueda proporcionar visibilidad de los sistemas infectados, ataques combinados, comunicaciones de llamada a casa, extraccin de datos y otras amenazas avanzadas a travs del monitoreo de amenazas en la red y sandboxing de archivos. Y es necesario que esta herramienta genere datos de gran utilidad en paneles e informes listos para usar. Websense TRITON RiskVision es una solucin inigualable para el monitoreo de amenazas. Combina defensas contra amenazas avanzadas en tiempo real, inteligencia de seguridad global, sandboxing de archivos y deteccin de prdida/robo de datos en un slo dispositivo de fcil implementacin a travs de un TAP de red o SPAN de puerto. TRITON RiskVision proporciona visibilidad inmediata de amenazas avanzadas, extraccin de datos y sistemas infectados mediante la unicacin de cuatro defensas clave en una sola plataforma: Websense ACE (Advanced Classication Engine) Websense ThreatSeeker Intelligence Cloud Motor de Prevencin de la Prdida de Datos (DLP, por sus siglas en ingls) de Websense Websense TRITON ThreatScope TRITON RiskVision tambin incluye slidos informes de negocio, paneles de amenazas e informes forenses. La necesidad de monitorear amenazas/redes Es imposible pelear contra un enemigo invisible El Informe de amenazas de 2013 de Websense revela una tendencia preocupante: la web se torn signicativamente ms maliciosa en 2012, como vector de ataque y tambin como elemento de apoyo principal de otras trayectorias de ataque (por ej., redes sociales, dispositivos mviles, correo electrnico). Websense registr un aumento de cerca de seis veces ms en el total de sitios maliciosos, 85% de los cuales fueron encontraron en hosts web legtimos que haban sido comprometidos. Ms alarmante fue la informacin brindada por los ejecutivos de seguridad que comunicaron que la mayora de las amenazas eludieron sus controles tradicionales, y expresaron que no se sienten preparados para hacer frente a las amenazas emergentes como el phishing dirigido. Este crecimiento de amenazas y contenido malicioso en la Web ha creado un creciente mercado para el anlisis de amenazas, y contrasta intensamente con la reducida ecaciade la mayora de las soluciones de seguridad web implementadas en la actualidad. Los analistas de la industria estiman que las tecnologas de defensa de seguridad tradicionales slo brindan proteccin contra el 30 al 50% de las amenazas actuales, y esto las vuelve cada vez ms inecaces. La generacin de rmas y las defensas tradicionales simplemente no pueden mantenerse a la par del crecimiento de nuevas amenazas y ataques avanzados. Para tomar las medidas preventivas apropiadas, los departamentos de TI necesitan tener la capacidad de ver las amenazas avanzadas y los ataques que son invisibles a sus defensas actuales. Las soluciones de monitoreo de amenazas y redes pueden proporcionar esta solucin, siempre que cumplan con tres requisitos clave: Deteccin de amenazas avanzadas Deteccin del robo o prdida de datos Anlisis forense y de comportamiento Requisito 1: Deteccin de amenazas avanzadas La mayora de las soluciones de seguridad web actuales proporcionan defensas antivirus (AV) basadas en rmas o bases de datos de URL, sin anlisis adicionales. El problema es que el aumento de las amenazas en todo el mundo hace que sea casi imposible desarrollar rmas y bases de datos ecaces, y esto deja a las organizaciones vulnerables a los ataques de las amenazas avanzadas que no tienen rmas. De este modo, 1 http://www.websense.com/assets/reports/websense-2013-threat-report.pdf Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas las redirecciones dinmicas, los kits exploits y otras tecnologas innovadoras implementadas por los hackers pueden pasar desapercibidas y abrirse paso con facilidad en las redes corporativas. La capacidad para ver estas amenazas y responder a ellas con eciencia es esencial para los profesionales de TI actuales. El trco web requiere un potente anlisis que pueda dejar expuestas a las amenazas que anteriormente eran invisibles. Requisito 2: Deteccin del robo o prdida de datos La pregunta no es si un atacante atravesar las defensas de una red, sino cundo lo har. Una vez dentro deuna red, la mayora de los atacantes buscan robar informacin valiosa. Lamentablemente, la mayor parte de las defensas de seguridad web actuales se centran nicamente en las amenazas entrantes y no pueden combatir con ecacia y tampoco alertar a los profesionales de TI sobre el robo de datos salientes. La capacidad para detectar actividad sospechosa o robo de datos mientras est sucediendo le proporciona a los departamentos de TI informacin sumamente valiosa y de gran utilidad sobre los niveles de amenazas. Requisito 3: Anlisis forense y de comportamiento El sandboxing para archivos la capacidad de jugar con el malware en un ambiente seguro para ver cmo se comportara en la red de una empresa se est convirtiendo rpidamente en un requisito clave paramuchos profesionales de TI. Una solucin que incorpora sandboxing para archivos, y lo hace en forma automtica, puede ofrecer a los equipos de seguridad informacin valiosa sobre soluciones potenciales. Presentacin de Websense TRITON RiskVision TRITON RiskVision combina defensas contra amenazas avanzadas en tiempo real, inteligencia de seguridad global, sandboxing para archivos y deteccin de prdida/robo de datos en un slo dispositivo. Se implementa fcilmente a travs de un TAP de red o SPAN de puerto y proporciona visibilidad inmediata de amenazas avanzadas, extraccin de datos y sistemas infectados mediante la unicacin de cuatro defensas clave en una sola plataforma: Websense ACE (Advanced Classication Engine) utiliza siete reas de evaluacin de defensas con ms de 10.000 anlisis para proporcionar anlisis de las amenazas del trco web en tiempo real. Websense ThreatSeeker Intelligence Cloud une ms de 900 millones de puntos nales y analiza entre 3 y 5 mil millones de solicitudes por da, lo que proporciona a ACE el reconocimiento global de amenazas y anlisis de defensas vitales. La capacidad para detectar actividad sospechosa o robo de datos mientras est sucediendo les proporciona a los departamentos de TI informacin sumamente valiosa y de gran utilidad sobre los niveles de amenazas. 2 Market Analysis: Worldwide Specialized Threat Analysis and Protection: 20132017 Forecast and 2012 Vendor Shares (Anlisis del mercado: Anlisis y proteccin especializados contra amenazas en todo el mundo: Pronstico 2013-2017 y Participacin de Proveedores 2012). IDC #242346, Volumen 1, p. 13., agosto de 2013. 3 http://www.websense.com/assets/white-papers/whitepaper-websense-reality-check-report.pdf Figura 1: Cuatro tecnologas clave distinguen a TRITON RiskVision de la competencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Defensas contra amenazas avanzadas Inteligencia global contra amenazas Sandboxing para archivos/objetos Deteccin de prdida/ robo de datos WWW Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas El motor de prevencin de prdida de datos (DLP) de Websense es reconocido por los analistas como lder en la industria. Incluye reconocimiento de la ubicacin geogrca del destino, reconocimiento ptico de caracteres (OCR) de texto dentro de imgenes y deteccin de: extraccin de datos para datos registrados y descritos, cargas cifradas por delincuentes, robo de datos de archivos con contrasea y fugas lentas de datos. El Sandbox en lnea de Websense TRITON ThreatScope analiza el comportamiento de archivos web para descubrir amenazas y comunicaciones avanzadas y proporciona informes forenses. Tecnologas esenciales de TRITON RiskVision Websense ACE ACE es la defensa principal detrs de TRITON RiskVision y proporciona defensas contextuales en lnea y en tiempo real para la seguridad web, de correo electrnico, de datos y mvil, utilizando la calicacin de riesgos compuesta y el anlisis predictivo para proporcionar las capacidades de deteccin ms efectivas disponibles. Analiza el trco entrante y saliente con defensas atentas a los datos para brindar proteccin contra el robo de datos. Los clasicadores de seguridad y anlisis de contenido y de datos en tiempo real permiten que ACE detecte ms amenazas que los motores antivirus tradicionales todos los das. ACE est respaldado por ThreatSeeker Intelligence Cloud. por da. Este reconocimiento extensivo de amenazas de seguridad permite a ThreatSeeker Intelligence Cloud ofrecer actualizaciones de seguridad en tiempo real que detectan amenazas avanzadas, malware, ataques de phishing, seuelos y estafas, adems de proporcionar las ltimas calicaciones web. ThreatSeeker Intelligence Cloud es inigualable en tamao y en el uso de las defensas de ACE en tiempo real para analizar entradas colectivas. Websense DICE (motor de identicacin y clasicacin de datos) Websense DICE combina valiosos clasicadores con reconocimiento contextual en tiempo real de usuarios, datos y destinos para proporcionar un alto grado de precisin y DLP consistente para TRITON RiskVision. DICE acepta tres categoras de datos: descritos, registrados y aprendidos. Los datos descritos incluyen expresiones regulares, diccionarios, clasicadores de lenguaje natural y ms de 1700 polticas y plantillas. Los datos registrados incluyen impresin digital, que puede comprimirse y almacenarse en el punto nal para brindar proteccin fuera de la red. Los datos aprendidos son habilitados por la tecnologa de aprendizaje automtico avanzado que analiza muestras pequeas de datos para llenar la brecha entre los datos descritos y los datos registrados y garantizar una mayor precisin y eciencia. Las capacidades de proteccin contra el robo de datos incluyen OCR de texto dentro de imgenes,
4 Gartner nombra a Websense lder en Magic Quadrant para Prevencin de la Prdida de Datos Atenta al Contenido
5 La prueba se actualiza todos los das en securitylabs.websense.com. Figura 2: Las investigaciones de terceros demuestran que ACE detecta ms amenazas que otras tecnologas. Websense ThreatSeeker Intelligence Cloud ThreatSeeker Intelligence Cloud, administrada por Websense Security Labs, proporciona la inteligencia de seguridad colectiva central para TRITON RiskVision. Une ms de 900millones de puntos nales, incluyendo entradas de Facebook. Junto con ACE, ThreakSeeker Intelligence Cloud analiza entre 3 y 5 mil millones de solicitudes Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas Figura 3: La creacin de polticas es fcil e intuitiva con TRITON RiskVision deteccin de archivos cifrados en forma personalizada, robo de archivos con contrasea y fugas lentas de datos, y reconocimiento de la ubicacin geogrca. Sandboxing para archivos La capacidad de sandboxing para archivos de TRITON RiskVision es proporcionada por la solucin de sandboxing TRITON ThreatScope. TRITON ThreatScope utiliza los anlisis de ACE para monitorear toda la actividad de malware y genera un informe detallado que incluye: El proceso de infeccin. Las actividades posteriores a la infeccin, que incluyen comunicaciones de red. Eventos y procesos de nivel de sistema. TRITON ThreatScope tambin correlaciona el comportamiento observado con las amenazas conocidas para brindar informacin valiosa incluso para amenazas del da cero. Uso de TRITON RiskVision Conguracin de polticas TRITON RiskVision permite la creacin y la administracin de polticas web unicadas con la capacidad para controlar la seguridad del contenido entrante y saliente, el monitoreo de URL avanzado y ms de 125 aplicaciones y protocolos de red. Las amenazas de seguridad se agrupan en categoras diferentes, como phishing o redes bot. El motor de escaneo de seguridad en tiempo real dentro de ACE va ms all del anlisis AV tradicional para identicar ataques basados en secuencias de comandos y otros ataques avanzados en navegadores web y aplicaciones vulnerables. Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas Panel de amenazas avanzadas con informes forenses El panel de amenazas avanzadas de TRITON RiskVision est organizado en cuatro chas: Amenazas, Riesgos, Uso de la Web y Sistemas. La pestaa de Amenazas presenta la visibilidad de los eventos de malware avanzado entrantes y salientes que se detectaron, como por ejemplo quin fue atacado, cmo, dnde estaba destinado el ataque y qu datos fueron atacados. Esto proporciona datos forenses de gran utilidad que permiten a los usuarios comprender rpidamente la gravedad de las amenazas y tomar las medidas de reparacin apropiadas. Figura 4: El panel de amenazas avanzadas proporciona respuestas sobre quin fue atacado, adnde estaban destinados los datos, qu datos fueron atacados y cmo se plane el ataque. Tambin establece un enlace con los detalles forenses. La pestaa de Riesgos muestra varios cuadros que proporcionan diferentes vistas de los eventos de seguridad. La pestaa de Uso de la Web proporciona varios cuadros e informacin sobre actividades en la web, y tambin un resumen de los resultados del monitoreo de polticas. La pestaa de Sistemas proporciona una vista centralizada de los eventos de salud del sistema y el estado del servicio de monitoreo. Las alertas de gravedad evalan la gravedad de cada incidente y permiten a los usuarios separar los eventos crticos de los menos importantes. Este panel muestra los eventos principales agrupados por ubicacin geogrca, los eventos bloqueados agrupados por categora y una lista tabular de eventos con detalles que incluyen gravedad, usuario, nombre del host, categora de seguridad y otra informacin (esta tabla tambin se puede personalizar fcilmente). En forma general, el panel de Amenazas proporciona informacin clara y de gran utilidad sobre incidente de malware y una gua sobre las posibles medidas de reparacin. Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas Motor de prevencin de la prdida de datos (DLP) TRITON RiskVision incluye DICE, un motor de DLP empresarial incorporado para monitorear y controlar la comunicacin de datos corporativos condenciales. Esta capacidad de DLP web es administrada a travs de TRITON Unied Security Center. Los asistentes de polticas proporcionan una prescripcin para la implementacin de controles de cumplimiento de mejores prcticas para una gran diversidad de reglamentaciones en todo el mundo agrupadas por pas e industria y ofrecen ms de 1,700 polticas y plantillas que Websense mantiene actualizadas. Los patrones de datos predenidos proporcionan la mejor precisin de su clase sin necesidad de crear y adecuar los patrones en forma manual con palabras clave o expresiones regulares. TRITON RiskVision tambin incluye las ltimas tecnologas de prevencin del robo de datos, como OCR para detectar el robo de datos a travs de imgenes que contienen datos condenciales. Otras capacidades avanzadas incluyen la deteccin de envos cifrados personalizados, el robo de datos de archivos con contrasea y la prevencin de fugas lentas de datos (o DLP por goteo), adems del reconocimiento de la ubicacin geogrca del destino. Todas estas defensas de DLP tienen por objeto proporcionar la mayor cantidad de informacin posible sobre intentos de robo o prdida de datos. Anlisis del sandboxing para archivos El sandboxing para archivos incluido en TRITON RiskVision simula entornos de punto nal tpicos. Los archivos se ejecutan de la misma manera que lo haran en el entorno real de la vctima y esto proporciona a los profesionales de TI informacin valiosa sobre las vulnerabilidades de los sistemas. El anlisis conductual incluye actividad previa y posterior a la infeccin, como comunicaciones para redes bot, robo de datos y otras actividades. Figura 4: El Informe de anlisis de ThreatScope muestra los resultados del anlisis conductual en un formato de fcil lectura Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas Informes y alertas TRITON RiskVision ofrece ms de 60 informes predenidos que abarcan el rango completo de informacin empresarial ytcnica. Es posible generar y presentar nuevos informes en unos pocos clics y se pueden generar y distribuir en forma automtica. Los formatos de cuadros personalizables facilitan la comunicacin de informacin importante sobre el comportamiento de la fuerza de trabajo a las partes interesadas que no poseen conocimientos tcnicos. Para complementar las capacidades de informes de presentacin, los informes de investigacin proporcionan informacin detallada para el anlisis forense de un ataque o la violacin de una poltica. Tambin permiten la elaboracin de informes especcos para clientes que necesitan informacin especial. Es posible congurar alertas personalizadas para noticar a los administradores sobre actividades sospechosas. Estas alertas pueden resultar una herramienta valiosa para abordar cualquier amenaza detectada en la red. Figura 7: Los administradores pueden optar por recibir alertas por correo electrnico. Este ejemplo muestra una alerta sobre una posible fuga lenta de datos. Facilitando respuestas rpidas a los incidentes de seguridad con el monitoreo de amenazas Conclusin Ante un panorama de amenazas en constante evolucin, la mayora de las soluciones de seguridad web existentes slo brindan proteccin contra las amenazas conocidas por bases de datos de rmas, y dejan libres a muchas amenazas desconocidas einvisibles que roban datos condenciales o causan otros daos. La visibilidad de amenazas previamente desconocidas es esencial para fortalecer la seguridad de las redes y responder a los ataques. TRITON RiskVision proporciona valiosa informacin sobre amenazas avanzadas con tecnologa y funciones lderes en la industria. Permite a los profesionales de TI responder a las amenazas avanzadas y los intentos de robo de datos de manera oportuna. Hay cuatro reas clave de defensa que distinguen a TRITON RiskVision de las soluciones de monitoreo de redes. Estas tecnologas proporcionan deteccin de amenazas avanzadas, reconocimiento global de amenazas, funcionalidad de DLP incorporada y servicios de sandboxing para archivos. 2013 Websense, Inc. Todos los derechos reservados. Websense, TRITON y el logotipo de Websense son marcas comerciales registradas de Websense, Inc. en los Estados Unidos y varios pases. Todas las dems marcas comerciales son propiedad de sus respectivos dueos. 28-08-2013-LA ES Para obtener ms informacin sobre el monitoreo de amenazas o sobre la solucin TRITON RiskVision, visite www.websense.com/riskvision. TRITON DETIENE MS AMENAZAS. PODEMOS DEMOSTRARLO. Ms informacin en www.websense.com/LATAM