Francesc Xavier Vendrell – Senior Security Consultant

Hoy en día, cuando vemos un Ciberataque a una empresa o organización, nos podemos encontrar con las siguientes afectaciones:

• • Encriptación de los datos y sistemas, y petición de rescate para la recuperación.
  • Robo de datos. También aquí piden rescate para no hacerlos públicos
  • Afectación de todos los equipos, no solo servidores, sino también NAS, ordenadores, IoT,… Equipos parados para desinfectar y volver a ponerlos en producción.

Y tener unas buenas copias de seguridad (que es imprescindible tenerlas) no nos salva de muchos días (o semanas) de recuperación de los sistemas. O si nos han robado los datos, de poco nos sirve tener copias de seguridad: los datos los tienen los malos y pueden usarlos como les interese.

Los costes para una empresa o institución que les pase esto son muy altos. Días parados, datos de la empresa corriendo por internet, afectación a la imagen de la empresa, ….

Pongamos el ejemplo de la UAB: 1200
servidores y unos 10.000 ordenadores
comprometidos. Robo de datos y amenaza de
hacerlos públicos si no se paga un rescate. Por
mucho que tengan copias (que las tendrán),
tardaran meses en revisar todos los equipos y
servidores, y aparte, o pagan (y aun así vete
tú a saber qué pasará si lo hacen…) o los datos
que hayan podido robar los delincuentes
saldrán a la luz pública.

Y ahora vamos por partes, como dijo Jack “el destripador”. Quien ha muerto: los antivirus. Quien los sucede: los EDR

Los antivirus de toda la vida (bueno, ahora los llamamos EPP, de “Enpoint Protection Platform”) ya no nos protegen. Y eso es debido a que “no son suficientemente rápidos” a la hora de reconocer los nuevos virus.

Es decir, un antivirus (o EPP) ha de conocer “al virus” para poder detectarlo. Si no lo conoce, no puede hacer nada para saber que el equipo o sistema está infectado. Analiza solo los ficheros del equipo. Se estima que pasan semanas entre que un virus nuevo aparece hasta que los antivirus lo reconocen. Y durante este tiempo, los sistemas están ciegos a estos programas maliciosos.

Y aquí entran los Ransomware y ataques Zero-day. Suelen usar Malware de última generación, se distribuyen muy rápido, muchas veces no existen ficheros para analizar ya que se ejecutan solo en memoria (ataques Fileless), y antes que los antivirus puedan reconocerlos, ya han hecho daño.

Un EDR (Enpoint Detection and Response) funciona un poco distinto a un EPP. (Simplificando mucho) no se centra en detectar virus conocidos sino que se basa en monitorizar y evaluar todas las actividades de la red (eventos de los usuarios, archivos, procesos, registros, memoria y red). Utilizamos técnicas tales como:

• • Machine Learning y la analítica.
  • Sandboxing.
  • Alertas generadas por sistemas externos (IOC o indicadores de compromiso), categorización de los incidentes para actuar sobre los más críticos con rapidez.
  • Investigación de los incidentes desde el punto de vista histórico: se rastrea el origen y evolución del malware para tomar medidas preventivas de cara a incidentes futuros
  • Herramientas de remediación para eliminar los ficheros infectados, poner en cuarentena y volver al estado anterior a la infección.
  • Correlación de eventos

Haciendo esto, somos capaces de detectar amenazas que los antivirus se les pasarían por alto. Podemos detener la amenaza mucho más rápido, y una vez detectadas, combatirlas con muchas más armas.

Por estas razones hoy en día tenemos que substituir los antiguos EPP por los nuevos EDR.

A rey muerto, rey puesto