Francesc Xavier Vendrell – Senior Security Consultant

Avui en dia, quan veiem un Ciberatac a una empresa o organització, ens podem trobar amb les següents afectacions:

• • Encriptació de les dades i sistemes, i petició de rescat per la recuperació.
  • Robatori de dades. També aquí demanen rescat per no fer-les públiques.
  • Afectació de tots els equips, no només servidors, sinó també NAS, ordinadors, IoT… Equips preparats per desinfectar i tornar a posar-los en producció.

I tenir unes bones còpies de seguretat (que és imprescindible tenir-les) no ens salva de molts dies (o setmanes) de recuperació dels sistemes. O si ens han robat les dades, de poc ens serveix tenir còpies de seguretat: les dades les tenen els dolents i poden utilitzar-les com els interessi.

Els costos per una empresa o institució que els hi passa això són molt alts. Dies parats, dades de l’empresa corrent per internet, afectació a la imatge de l’empresa…

Posem l’exemple de la UAB: 1200
servidors i uns 10.000 ordinadors
compromesos. Robatori de dades i amenaça de
fer-les públiques si no es paga un rescat. Per
molt que tinguin còpies (que les tindran),
tardaran mesos a revisar tots els equips i
servidors, i a part, o paguen (i tot i això ves
a saber què passarà si ho fan…) o les dades
que hagin pogut robar els delinquents
sortiran a la llum pública.

I ara anem per parts, com va dir Jack “el destripador”. Qui ha mort: els antivirus. Qui els succeeix: els EDR.

Els antivirus de tota la vida (bé, ara els hi diem EPP, de “Enpoint Protection Platform”) ja no ens protegeixen. I això és degut al fet que “no són prou ràpids” a l’hora de reconèixer els nous virus.

És a dir, un antivirus (o EPP) ha de conèixer “al virus” per poder detectar-lo. Si no el coneix, no pot fer res per saber que l’equip o sistema està infectat. Analitza només els fitxers de l’equipament. S’estima que passen setmanes entre que un virus nou apareix fins que els antivirus el reconeixen. I durant aquest temps, els sistemes estan cecs a aquests programes maliciosos.

I aquí entren els Ramsomware i atacs Zero-day. Solen utilitzar Malware d’última generació, es distribueixen molt ràpid, moltes vegades no existeixen fitxers per analitzar, ja que s’executen només amb memòria (atacs Fileless), i abans que els antivirus puguin reconèixe’ls, ja han fet mal.

Un EDR (Enpoint Detection and Response) funciona una mica diferent d’un EPP. (Simplificant molt) no se centra a detectar virus coneguts sinó que es basa en monitorar i avaluar totes les activitats de la xarxa (esdeveniments dels usuaris, arxius, processos, registres, memòria i xarxa). Utilitzem tècniques com ara:

• • Machine Learning i l’analítica
  • Sandboxing
  • Alertes generades per sistemes externs (IOC o indicadors de compromís), categorització dels incidents per actuar sobre els més crítics amb rapidesa.
  • Investigació dels incidents des del punt de vista històric: es rastreja l’origen i evolució del malware per prendre mesures preventives de cara a incidents futurs.
  • Eines de remediació per eliminar els fitxers infectats, posar en quarantena i tornar a l’estat anterior a la infecció.
  • Correlació d’esdeveniments

Fent això, som capaços de detectar amenaces que els antivirus se les passarien per alt. Podem detenir l’amenaça molt més ràpid, i una vegada detectades, combatre-les amb moltes més armes.

Per aquestes raons avui en dia hem de substituir els antics EPP pels nous EDR.

A rei mort, rei posat.