Alerting: Comprender la detección de amenazas automatizadas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
 

En este tema se proporciona una descripción general de la detección de amenazas automatizadas. La detección de amenazas automatizadas es un servicio que se implementa en ESA. Analítica del comportamiento: El módulo Dominios sospechosos examina el tráfico HTTP para detectar dominios que posiblemente se traten de servidores de control y comando de malware que se conectan a su ambiente. Una vez que la detección de amenazas automatizadas examina el tráfico HTTP, genera puntajes según diversos aspectos del comportamiento del tráfico (como la frecuencia y la regularidad con las cuales se establece contacto con un dominio determinado). Si estos puntajes alcanzan un umbral establecido, se genera una alerta de ESA. Esta alerta de ESA también activa una alerta en el administrador de incidentes. La alerta en el administrador de incidentes se enriquece con datos que ayudan a interpretar los puntajes para determinar los pasos de moderación que se deben seguir. 

Esta versión de detección de amenazas automatizadas proporciona puntuación para detectar las comunicaciones de comando y control. Las comunicaciones de comando y control se producen cuando el malware ha puesto en riesgo un sistema y envía datos a un origen. A menudo, el malware de comando y control se puede detectar a través de un comportamiento de Beacon. La señalización ocurre cuando el malware envía comunicaciones al servidor de comando y control para informarle que se ha puesto en riesgo una máquina y que espera más instrucciones. La capacidad de detectar el malware en esta etapa de riesgo puede evitar que se produzcan daños a la máquina en riesgo y se considera una etapa crítica en la “cadena de ataques”.  

Esta función resuelve varios problemas comunes que se producen cuando se busca malware:

  • Capacidad de usar algoritmos en lugar de firmas. Debido a que muchos creadores de malware han comenzado a usar segmentos de código polimórfico o cifrado para los cuales es muy difícil crear una firma, es posible que en ocasiones este enfoque no detecte el malware.  Debido a que la detección de amenazas automatizadas usa un algoritmo basado en comportamiento, puede detectar malware de forma más rápida y eficaz. 
  • Capacidad de automatizar la búsqueda. La búsqueda manual en los datos es un método eficaz de encontrar malware, pero también es extremadamente lento. La automatización de este proceso permite que un analista use su tiempo con mayor eficacia. 
  • Capacidad de buscar un ataque rápidamente. En lugar de la creación de lotes y el posterior análisis de los datos, Detección de amenazas automatizadas los analiza a medida que Security Analytics los recopila, lo cual permite la detección de los ataques casi en tiempo real. 

Flujo de trabajo

La detección de amenazas automatizadas funciona de manera muy similar a un sistema de filtrado. Comprueba si se produce un comportamiento determinado (o si existen ciertas condiciones) y, si se produce ese comportamiento o condición, continúa con el paso siguiente del proceso.  Esto ayuda a hacer que el sistema sea eficiente y libera recursos, de modo que los eventos que no se consideran amenazas no se mantengan en la memoria.  En el siguiente diagrama se proporciona una versión simplificada del flujo de trabajo. 

1.) Los paquetes HTTP se enrutan a ESA. Los paquetes HTTP se analizan en el Decoder y se envían al dispositivo de ESA.

2.) Se comprueba la lista blanca. Si creó una lista blanca mediante Context Hub, ESA comprueba esta lista para descartar dominios. Si un dominio del evento está en la lista blanca, se ignora el evento.

3.) Se comprueba el perfil de dominio. La detección de amenazas automatizadas comprueba si el dominio se vio recientemente (aproximadamente tres días), si tiene pocas conexiones de IP de origen, muchas conexiones sin un remitente o conexiones con un agente de usuario poco frecuente.  Si una o varias de estas condiciones son verdaderas, se comprueba el Beacon periódico en el dominio. Para obtener una descripción detallada de estos puntajes de perfil de dominio, consulte “Trabajar con puntajes de detección de amenazas automatizadas”.

4.) Se comprueba el Beacon periódico del dominio. El proceso de Beacon ocurre cuando el malware envía comunicaciones periódicas al servidor de comando y control para informarle que se ha puesto en riesgo una máquina y que espera más instrucciones. Si el sitio muestra un comportamiento de Beacon, se comprueba la información de registro del dominio. 

5.) Se comprueba la información de registro del dominio. Se usa el servicio Whois para ver si el dominio se registró recientemente o si está por vencer. Los dominios que poseen una vida útil muy breve a menudo son aspectos distintivos del malware. 

6.) Puntajes de agregado de comando y control (C2) .  Cada uno de los factores anteriores genera un puntaje independiente, el cual se pondera para denotar diversos niveles de importancia. Los puntajes ponderados determinan si se debe generar una alerta. Si se genera una alerta, las alertas agregadas aparecen en el administrador de incidentes y se pueden investigar adicionalmente desde ahí. Una vez que las alertas comienzan a aparecer en el administrador de incidentes, continúan agregándose bajo el incidente asociado. Esto facilita ordenar los volúmenes de alertas que pueden generarse para un incidente de comando y control. 

Si es un analista, puede ver las alertas generadas en el módulo Resumen de alertas o en el módulo del administrador de incidentes. Si utiliza SecOps, puede ver las alertas en SecOps, versiones 1.2 y 1.3. 

 

You are here
Table of Contents > Alerting: Comprender la detección de amenazas automatizadas

Attachments

    Outcomes