Cisco Advanced Malware Protection

El cibercrimen es lucrativo y la barrera de entrada a ese mundo es muy baja, con lo que cualquiera puede entrar y, porque no, crecer llegando a ser un peligro para la mayoría de organizaciones. Los hackers son cada vez más cuidadosos y tienen recursos para comprometer cualquier organización con un malware que ha ido sofisticándose a medida que van pasando los años hasta llegar a una complejidad preocupante.

imagen seguridad

Actualmente el 95% de las empresas son objetivos de trafico malicioso i el 100% de las empresas interactúan con webs que hospedan malware. Por lo tanto, deberíamos concienciarnos y aprender a focalizar nuestros esfuerzos para protegernos frente a estos ataques.

¿Cómo lo haremos?

· Prevención bloqueando el acceso a nuestras redes mediante los ataques ya conocidos hasta la fecha.
· Rápida detección del ataque, respuesta y cura para dicha infección.
· Poder hacer frente a las amenazas desconocidas totalmente, comúnmente llamadas como amenazas de día 0 que no aparecen en ninguna base de datos de amenazas y tendremos que interceptar e inmunizar nuestra red a tiempo real.
Para ello, Cisco, lleva trabajando en un concepto llamado “Attack Continuum” basándose en segmentar nuestra defensa en 3 fases (Antes, Durante y Después) comunicándose entre ellas para estar preparados para reaccionar frente a cualquier amenaza.

· Antes: Es donde tendremos que preocuparnos de las tareas de contención sobre lo que ya conocemos anteriormente. Realizaremos tareas para descubrir, ejecutar e inmunizar nuestra red con equipos tipo Firewall, VPN o un control de accesos.
· Durante: Inspeccionaremos lo que ya hemos dejado entrar e iremos controlándolo e inspeccionándolo por si debiéramos bloquearlo por algún motivo al detectar un comportamiento fuera de lo común. Realizaremos tareas de detección i bloqueo para defendernos frente a esos ataques.
· Después: Realizaremos las tareas para comprobar el alcance que ha tenido dicha infección, la contendremos y le pondremos remedio para que no vuelva a producirse la misma situación en ocasiones futuras.
Cisco Advanced Malware Protection (AMP) nos da tanto protección en un instante del tiempo puntual como una protección continua analizando en todo momento nuestra red y el comportamiento de todos sus integrantes como son los dispositivos finales como ordenadores, teléfonos IP, dispositivos móviles, entornos virtualizados o Cloud, y sobretodo nuestros servicios de correo y web.

imagen seguridad 2

La detección puntual se basa en:
· Inspeccionar las firmas o certificados, ya que podemos descartar de antemano algo que sabemos que ya es malicioso al no contener una firma verificada.
· Fuzzy Finger-printing: es una base de datos de todas las firmes donde podremos comprobar si la que estamos inspeccionando se parece o no a alguna que ya está previamente almacenada en la base de datos para poder bloquear algún tipo de objeto que se haya podido modificar mínimamente generando el ataque que está teniendo lugar en ese momento.
· El Análisis dinámico consiste tomar una muestra del objeto y analizarlo en un entorno virtualizado (llamado “Sandboxing”) para ver cómo se comporta dicho objeto para poder obtener esa información para reforzar mi seguridad contra ataques similares.

Mientras que el análisis continúo podríamos explicarlo con un ejemplo donde un usuario se descarga un archivo y se estudia cómo se propaga el archivo por toda nuestra red. Aunque, actualmente, existe malware que envía señuelos para engañar al sistema para poder llegar al destino deseado, debemos poder distinguir entre el bueno y el señuelo y siguiendo la cadena de infección, realizar las medidas de contención necesarias para que no lleguemos a límites irreparables y podamos protegernos frente ataques futuros.
Mediante AMP podremos visualizar todos esos datos y diferenciarlos según las 5 “W”s (Who, What, Where, When & How).

imagen seguridad 3

· Quien (Who): Primero nos centraremos en estos usuarios que son los que han sufrido dicho ataque, luego el resto.
· Que (What): Comprobaremos que aplicaciones se han visto afectadas por dicho malware.
· Donde (Where): Comprobaremos las áreas que ha podido afectar dicho ataque y luego el resto para asegurarnos que no se haya propagado a otras.
· Cuando (When): Nos centraremos en saber en qué momento ha sido ejecutado dicho ataque.
· Como (How):
Veremos todo el proceso de la amenaza, desde su inicio hasta que la hemos podido inmunizar y eliminar.

¿Qué equipos soportan actualmente dicho software?

imagen seguridad 4

Escrito por: Jose Manuel Rodríguez (Ingeniero de Soporte en MIRA Telecomunicaciones)

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *