panda adaptive defense - la evolución del malware
TRANSCRIPT
![Page 1: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/1.jpg)
Evolución del Malware y la
Próxima Generación Endpoint
Protection contra los Ataques
Dirigidos
![Page 2: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/2.jpg)
02/07/2015Malware Evolution 2
Contenidos
1. Volumen de muestras de Malware
2. Épocas del Malware
3. Panda Adaptive Defense
a. Qué es
b. Características y Beneficios
c. Cómo funciona
d. Historia de éxito
![Page 3: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/3.jpg)
02/07/2015Malware Evolution 3
Volumen de Muestras de
Malware
![Page 4: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/4.jpg)
Evolución del
volumen de muestras
de Malware
100 nuevas
muestras
diarias
1.369 nuevas
muestras
diarias
Más de 200.000
nuevas muestras
diarias
VIRUS
SPYWARES
BOTS
TROJANS
TARGETED ATTACKS
ZERO-DAY ATTACKS
DYNAMIC TROJANS
02/07/2015Malware Evolution 4
![Page 5: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/5.jpg)
02/07/2015Malware Evolution 5
Épocas del Malware
![Page 6: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/6.jpg)
1ª Época
• Muy pocas muestras y familias de
Malware
• Virus hechos por diversión, algunos
muy dañinos, otros inocuos, pero no
buscan nada más que eso.
• Propagación lenta (meses, años) ya
que era a través de disquetes.
Algunos nombres de virus pertenecen
a la localidad donde se creó o
descubrió.
• Análisis de todas las muestras por
técnicos.
• Análisis estático de las muestras y
desensamblado de las mismas
(Reversing).
02/07/2015Malware Evolution 6
![Page 7: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/7.jpg)
02/07/2015Malware Evolution 7
W32.Kriz Jerusalem
![Page 8: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/8.jpg)
2ª Época
• Comienza a aumentar el número de
muestras
• Internet comienza a popularizarse
tímidamente, comienzan a los virus de
macro, gusanos de correo, etc..
• En general poca complejidad, utilizan
ataques de ingeniería social por email
pero su distribución es limitada, no se
envían de forma masiva
• Tecnologías heurísticas
• Aumento frecuencia actualizaciones
02/07/2015Malware Evolution 8
![Page 9: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/9.jpg)
02/07/2015Malware Evolution 9
Melissa Happy 99
![Page 10: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/10.jpg)
3ª Época• Aparición de los gusanos de masivos que
saturaban internet
• Via mail: I Love You
• Via exploits: Blaster, Sasser, SqlSlammer
• Tecnologías proactivas
• Dinámicas: Proteus
• Estáticas: KRE y Heurísticos de Machine
Learning
• Identificación de procesos malware por sus
acciones
• Un proceso en el equipo
• Accede a lista de contactos de email
• Abre una conexión a internet por un puerto
no estándar
• Abre múltiples conexiones usando puerto 25
• Se añade en una clave de autorun
• Hookea navegadores
02/07/2015Malware Evolution 10
![Page 11: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/11.jpg)
02/07/2015Malware Evolution 11
I love you Blaster
![Page 12: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/12.jpg)
Sasser
02/07/2015Malware Evolution 12
![Page 13: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/13.jpg)
Tecnologías
proactivas estáticas
Reducción tiempos respuesta a 0
detectando el malware desconocido
Algoritmos Machine Learning aplicados
en los problemas clásicos de
clasificación.
El nuestro TAMBIÉN es un problema de
“clases”: malware vs goodware.
02/07/2015Malware Evolution 13
![Page 14: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/14.jpg)
4ª Época
• Los hackers cambiaron de perfil:
Principal motivación del Malware es el
beneficio económico mediante
troyanos bancarios y ataques de
phishing.
• Se generalizan los
droppers/downloaders/EK
• El salto a la Inteligencia Colectiva.
• Clasificación masiva de ficheros.
• Entrega de conocimiento desde la
nube.
02/07/2015Malware Evolution 14
![Page 15: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/15.jpg)
02/07/2015Malware Evolution 15
Banbra Tinba
![Page 16: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/16.jpg)
El salto a la
Inteligencia Colectiva
La entrega del conocimiento desde la
nube como alternativa al fichero de
firmas.
Escalabilidad de los servicios de
entrega de firmas de malware a los
clientes mediante la automatización
completa de todos los procesos de
backend (procesado, clasificación y
detección).
02/07/2015Malware Evolution 16
![Page 17: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/17.jpg)
La llegada de Big
Data
Working set actual de 12 TB
400K millones de registros
600 GB de muestras/día
400 millones de muestras
almacenadas
Innovación: hacer viable el
procesamiento de datos derivado de la
estrategia de IC aplicando tecnologías
de Big Data.
02/07/2015Malware Evolution 17
![Page 18: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/18.jpg)
5º Época• Primer ciberataque masivo contra un país,
Estonia, por parte de Rusia.
• Anonymous empieza una campaña contra
organismos como la RIAA, la MPAA o la SGAE, entre
otras, etc.).
• Profesionalización del Malware
• Uso de técnicas de marketing en campañas de
spam.
• Distribución de diferentes variantes en función
de horario/país
• Ransomware
• APTs
• Detección por contexto
• No se analiza solo que hace un proceso, sino
que se tiene en cuenta en qué contexto se está
ejecutando...
02/07/2015Malware Evolution 18
![Page 19: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/19.jpg)
Reveton
02/07/2015Malware Evolution 19
Ransomware
![Page 20: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/20.jpg)
02/07/2015Malware Evolution 20
![Page 21: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/21.jpg)
APTs…
02/07/2015Malware Evolution 21
![Page 22: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/22.jpg)
02/07/2015Malware Evolution 22
- Noviembre / Diciembre 2013
- 40 millones de tarjetas de
crédito/debito robadas
- Ataque a través de la empresa de
mantenimiento de A/C
- TPVs
- Autoría incierta
- Borrado de información
- Robo de TB de información
![Page 23: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/23.jpg)
02/07/2015Malware Evolution 23
Carbanak
- Año 2013/2014
- 100 entidades afectadas
- Países afectados: Rusia, Ucrania, EEUU, Alemania, China
- Cajeros: 7.300.000 US$
- Transferencias: 10.000.000 US$
- Total estimado: 1.000.000.000 US$
![Page 24: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/24.jpg)
¿Qué es Panda Adaptive Defense?
02/07/2015Malware Evolution 24
![Page 25: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/25.jpg)
02/07/2015Adaptive Defense 25
Panda Adaptive Defense es un nuevo modelo
de seguridad capaz de ofrecer protección
completa para dispositivos y servidores
mediante la clasificación del 100% de los
procesos ejecutados en cada puesto y cada
servidor de tu parque informático,
supervisando y controlando su
comportamiento.
Más de 1.200 millones de aplicaciones ya
clasificadas.
La nueva versión de Adaptive Defense
(1.5) incluye el motor AV, añadiendo la
capacidad de desinfección, y posibilitando el
reemplazo del antivirus de la empresa.
RESPUESTA… e
información
forense para
investigar en
profundidad
cada intento
de ataque
VISIBILIDAD… y
trazabilidad de cada
acción realizada por las
aplicaciones en
ejecución
PREVENCIÓN… y bloqueo
en tiempo real y sin
necesidad de ficheros de
firmas de todos los ataques
Zero-day y dirigidos
DETECCIÓN… y
bloqueo de
aplicaciones,
aislando los
sistemas para
prevenir futuros
ataques
![Page 26: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/26.jpg)
02/07/2015Adaptive Defense 26
Características y Beneficios
![Page 27: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/27.jpg)
02/07/2015Adaptive Defense 27
Informes diarios e inmediatos.
Gestión sencilla y centralizada en una consola web
Mayor servicio, menor gestión
Control preciso y configurable de las
aplicaciones en ejecución
Protección de sistemas vulnerables
Protección ante ataques dirigidos
hacia tu capital intelectual
Información forense.
Protección
ProductividadIdentificación y bloqueo de programas
no autorizados por la empresa
Solución ligera y fácil de desplegar
Gestión
![Page 28: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/28.jpg)
02/07/2015Adaptive Defense 28
Diferencias Clave
Categorizes all running processes on the endpoint
minimizing risk of unknown malware: Continuous monitoring
and attestation of all processes fills the detection gap of AV
products
Automated investigation of events significantly reduces
manual intervention by the security team: Machine learning
and collective intelligence in the cloud definitively identifies
goodware & blocks malware
Integrated remediation of identified malware: Instant access
to real time and historical data provides full visibility into the
timeline of malicious endpoint activity
Minimal endpoint performance impact (<3%)
![Page 29: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/29.jpg)
Contra fabricantes
de AV
Contra fabricantes
de WL*
Contra nuevos fabricantes
de ATDs
Gap en la detección, no
clasifican todos los ejecutables
Requieren creación y gestión
de las listas blancas
Las soluciones perimetrales
no cubren todos los vectores de
infección
No son transparentes para los
usuarios finales y administradores
(gestión falsos positivos,
cuarentenas, …)
El despliegue es
laborioso y complejo
Supervidar entornos virtuales
(sandboxing) no es tan efectivo
como supervisar entornos reales
Los sistemas WL suponen
una costosa sobrecarga
para el administrador
Otros ATDs previenen/bloquean
los ataques, solo los detectan
02/07/2015Panda Adaptive Defense 29
¿Qué diferencia a Adaptive Defense?
* WL=Whitelisting. Bit9, Lumension, etc
** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc
![Page 30: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/30.jpg)
02/07/2015Panda Adaptive Defense 30
Capacidad de detección de nuevo malware*Antivirus
Tradicional (25)
Modelo Standard Modelo Extendido
Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%
Nuevo malware detectado en los primeros 7 días 93% 100% 100%
Nuevo malware detectado en los primeros 3 meses 98% 100% 100%
% detecciones de PAPS no detectadas por ningún antivirus 3,30%
Detección de Sospechosos SI NO (no hay incertidumbre)
Clasificación de ficherosAgente
Universal **
Ficheros clasificados automáticamente 60,25% 99,56%
Nivel de confianza de la clasificación 99,928%99,9991%
< 1 error / 100.000 ficheros
* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y
cookies no han sido incluidos en este estudio.
Adaptive Defense vs Antivirus Tradicionales
** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda
Security
![Page 31: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/31.jpg)
02/07/2015Adaptive Defense 31
Como funciona Adaptive
Defense?
![Page 32: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/32.jpg)
02/07/2015Adaptive Defense 32
Un nuevo modelo de seguridad cloud en
tres fases
1ª Fase: Monitorización
minuciosa de cada una de
las acciones que
desencadenan los
programas en los equipos.
2ª Fase: Análisis y correlación
de todas las acciones
monitorizadas en todos los
clientes gracias a técnicas de
inteligencia basadas en Data
Mining y Big Data.
3ª Fase: Fortificación y
securización de los equipos,
impidiendo la ejecución de
cualquier proceso sospechoso o
peligroso y alertando al
administrador de la red.
![Page 33: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/33.jpg)
02/07/2015Adaptive Defense 33
Arquitectura Panda Adaptive Defense
![Page 34: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/34.jpg)
02/07/2015Adaptive Defense 34
Historia de Éxito
![Page 35: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/35.jpg)
02/07/2015Adaptive Defense 35
+1,2 mil millones de aplicaciones ya categorizadas
+100 despliegues. Malware detectado en 100% de los escenarios
+100,000 endpoints y servidores
protegidos
+200,000 brechas de seguridad mitigadas en el último año
+230,000 horas de recursos IT
ahorrados reducción de coste estimado de 14,2M€
Veamos un ejemplo…
Adaptive Defense
en números
![Page 36: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/36.jpg)
02/07/2015Adaptive Defense 36
Escenario
Concepto Valor
Duraciónd el PoC 60 días
Máquinas monitorizadas +/- 690
Máquinas con malware 73
Máquinas con malware ejecutado 15
Máquinas con PUP 91
Archivos PUP ejecutados 13
Archivos ejecutablesclasificados
27.942
Concepto Valor
Malware bloquedo 160
PUP bloqueado 623
TOTAL amenazasmitigadas
783
![Page 37: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/37.jpg)
02/07/2015Adaptive Defense 37
Distribución del software por fabricante
sobre 100% de archivos ejecutados
![Page 38: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/38.jpg)
02/07/2015Adaptive Defense 38
Skillbrains Igor Pavilov
![Page 39: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/39.jpg)
02/07/2015Adaptive Defense 39
Sandboxie
Holdings LLCEolsoft
![Page 40: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/40.jpg)
02/07/2015Adaptive Defense 40
Opera SoftwareDropbox Inc.
![Page 41: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/41.jpg)
02/07/2015Adaptive Defense 41
Aplicaciones
Vulnerables
Actividad aplicaciones
vulnerables:
- …
- (22 aplicaciones vulnerables en TODOS los puestos = 2074)
Inventario aplicaciones vulnerables:
- Excel v14.0.7 - v15.0 (279)
- Firefox v34.0 - v36 (178)
- Java v6 – v7 (80)
![Page 42: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/42.jpg)
02/07/2015Adaptive Defense 42
Top Malware
![Page 43: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/43.jpg)
02/07/2015Adaptive Defense 43
Top Malware
![Page 44: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/44.jpg)
02/07/2015Adaptive Defense 44
PUP (Spigot)
![Page 45: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/45.jpg)
02/07/2015Adaptive Defense 45
PUP (Spigot)
Potentially confidential information
extraction
![Page 46: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/46.jpg)
02/07/2015Adaptive Defense 46
Panda Endpoint Protection + Adaptive
Defense
![Page 47: Panda Adaptive Defense - La evolución del malware](https://reader033.vdocuments.pub/reader033/viewer/2022042604/5886070b1a28ab0a3f8b6a27/html5/thumbnails/47.jpg)
Muchas gracias