Symantec Adaptative Protection demuestra que tiene la capacidad de bloquear posibles ataques LotL 4 segundos más rápido.
Cuándo pensamos cómo los actores maliciosos eligen la forma para introducir sus cargas útiles dentro de un sistema, a menudo imaginamos sitios web evidentemente maliciosos o malware espantosos creados por los atacantes.
Esto fue verdad durante un tiempo en el que los cibercriminales utilizaron malware con la intención de causar daño antes de que los antivirus pudieran identificar sus firmas y aislar la amenaza. Sin embargo, los delincuentes de hoy en se camuflan en aplicaciones legítimas para encubrirse y de esta manera, utilizar el código bueno con fines malintencionados.
¿Qué dice el informe de Symantec: Ransomware threat Landscape 2024 al respecto?
En el informe se señala un uso cada vez más frecuente de técnicas LotL en la que los ciberdelincuentes lanzan ataques sofisticados a través de funciones del sistema operativo o herramientas legítimas. Muestra de esto es que entre 2021 y 2023 casi la mitad de los ataques de ransomware aplciaron herramientas LotL y 6 de cada 10 herramientas más usadas en todos los ataques de ransomware eran software legítimo.
Entre las más utilizadas se encuentran componentes del sistema operativo Windows, PsExcec, PowerShell, WMI, AnyDesk, Atera, Splashtop y ConnectWise. Estas se han convertido en los principales objetivos de explotación por parte de los atacantes.
Aquí el problema radica en que los administradores de sistemas confían en dichas herramientas para mantener las operaciones funcionando de forma segura y sin problemas. De aquí se deriva que sea más complicado para los administradores diferenciar entre las acciones normales y los comportamientos extraños que indican actividad potencialmente maliciosa.
De esta capacidad de diferenciación es que se fían los atacantes y es el motor de desarrollo que impulsó al equipo de Symantec a crear la protección adaptativa.
¿Qué es la protección adaptativa de Symantec?
Es una característica exclusiva de Symantec Endpoint Security (SES) que aprende constantemente los comportamientos individuales de los miembros de su organización o división y aplica un bloqueo preventivo a las combinaciones que quedan fuera de estos parámetros.
A través del análisis del comportamiento y el machine learning, Adaptative Protection puede aplicar excepciones automáticamente, observar y bloquear elementos fuera del uso normal sin afectar los flujos de trabajo y los comportamientos aprobados o reconocidos.
Esta función simplifica la vida de los equipos de seguridad ya que reduce la superficie de ataque y detecta comportamientos anómalos que pueden apuntar a un ataque LotL en desarrollo.
Los equipos que cuentan con esta funcionalidad pueden:
- Monitorear e identificar comportamientos normales en grupos individuales o toda la organización
- Desarrollar políticas que parametricen estos comportamientos normales y bloquee aquellos que se encuentren fuera, incluyendo algunas variaciones.
- Reducir la superficie de ataque.
- Optimizar la detección de las amenazas potenciales.
Beneficios de Symantec Adaptative Protection para las organizaciones
Al implementar la protección adaptativa de Symantec en un entorno corporativo, el software inicia un aprendizaje de los comportamientos normales de los usuarios dentro de un sistema que luego se supervisan y se marcan (sin ser bloqueados). Después de un período que puede oscilar entre los 90, 180 o 365 días el administrador del sistema tiene un panorama amplio de comportamientos para determinar cuáles permitir y cuáles bloquear.
De esta forma, los administradores pueden bloquear comportamientos anómalos para evitar para reducir la superficie de ataque sin afectar negativamente el entorno o los usuarios.
Adaptative Protection tiene la potencia para bloquear más de 450 acciones individuales. Para dar un ejemplo: si Microsoft Word ejecuta PowerShell, pero esta ejecución queda fuera de los parámetros de comportamiento establecidos, se puede bloquear a través del conjunto de directivas establecidas dentro de una organización.
Estos beneficios impactan positivamente a los equipos de seguridad ya que la protección adaptativa de Symantec permite el flujo de procesos legítimos, bloqueando los ilegítimos, es decir, aquellos que están fuera del uso normal, desarmando a los atacantes en su intento de llevar a cabo ataques LotL incluso antes de ser detectados por las funciones de los sistemas de seguridad.
¿Adaptative Protection funciona en el mundo real?
Recientemente Symantec sometió a una prueba rigurosa las capacidades de esta funcionalidad en entornos que simulan fielmente el funcionamiento operativo informático real de los clientes, con el fin de poder evaluar la eficiencia de la solución para bloquear los ataques en las primeras etapas de la cadena.
Se eligío a MRG Effitas «líder mundial en pruebas independientes de eficacia de seguridad de TI e investigación de amenazas» ya que cuenta con un entorno de pruebas avanzados llamado Tempus, que evalúa los productos Endpoint Protection Plataform (EPP) de cara a las últimas amenazas cibernéticas, con la finalidad de proporcionar alertas instantáneas a través de correo electrónico u otras plataformas, cuando estas pasan por alto muestras de malware.
Tempus permite a los equipos de seguridad contar con un entorno de prueba eficaz y adicionalmente brindar la oportunidad de realizar mejoras rápidas y eficientes de los productos.
¿Cómo se ejecutó la prueba y cuáles fueron sus resultados?
Se configuraron 6 máquinas que ejecutan Symantec Endpoint Protection, de las cuales una actuó como control y las otras utilizaron cinco configuraciones de políticas de permiso/denegación implementadas por clientes reales de Symantec Endpoint Security (SES).
Luego, para simular el comportamiento real de un usuario, se abrió un enlace malicioso desde Chrome, se descargó la muestra y se ejecutó. Cada una de estas muestras se accionó en sistemas no protegidos y se comparó en resultados con su ejecución en sistemas protegidos. Allí, el uso de máquinas virtuales reforzadas mantuvo el entorno invisible para el malware lo que permitió observar y comprender mejor el ciclo de vida completo del ataque.
Los resultados permitieron comprobar que Symantec Adaptative Protection funciona muy bien, ya que en el período de pruebas, se encontró más de una docena de evidencias en los que la funcionalidad ofrecía una protección proactiva contra amenazas basada únicamente en reducción de superficie de ataque. De forma particular, Adaptative Protection detectó el malware 4 segundos más rápido en comparación a los sistemas que no lo ejecutaban, mostrando así las capacidades de este componente para limitar las opciones y oportunidades de los atacantes.
eSoft LATAM, su aliado estratégico en ciberseguridad
Somos Partner Premier de Symantec y Tier 1 / VAD Expert Adavantage Partner de Broadcom gracias a nuestros logros y por ofrecer soporte técnico de alto valor agregado a empresas en toda la región. Las capacidades técnicas y estratégicas de nuestro equipo de consultores especializados y certificados nos permite ofrecerle soluciones de Symantec que están en constante evolución para brindarle más innovación, protección de última generación y fortalecimiento de la postura de ciberseguridad en su organización. Agende una assessment con nuestros equipo de consultores especializados en el botón.
Continúe leyendo: Symantec confirma que invertir en innovación trae mejores resultados.
Fuente: https://symantec-enterprise-blogs.security.com/product-insights/adaptive-protection-put-test