Detenga los ataques de redes de malware antes de que se inicien La seguridad fortalece el negocio INFORME DE SEGURIDAD Blue Coat WebPulse INFORME DE SEGURIDAD La seguridad fortalece el negocio Un nuevo tipo de seguridad web para una nueva era de amenazas web El último informe de seguridad de Blue Coat revela que las redes de malware surgieron como el siguiente avance en el panorama de amenazas web. Las redes de malware son infraestructuras web distribuidas creadas y mantenidas para iniciar diferentes ataques contra usuarios desprevenidos durante un período prolongado. La cantidad de redes de malware identificadas en 2012 aumentó a 1 500, y el 98 % de ellas está dirigido a usuarios web mediante tácticas, como el envenenamiento de buscadores y los ataques de suplantación de identidad. Estos ataques victimizan a los usuarios en el momento y en el lugar en los que menos se lo esperan: en sitios confiables, como redes sociales u otros destinos web cotidianos. Una vez que está en marcha, el ataque dirige a los usuarios desprevenidos al malware, mediante servidores de retransmisión, explotación y carga que continuamente se trasladan a nuevos dominios y ubicaciones. Las redes de malware se han vuelto sumamente adeptas a infectar a muchos usuarios, porque pueden escalar rápidamente la infraestructura de los ataques y explotar nuevas vulnerabilidades web con una velocidad sorprendente. Ahora que sabemos lo que caracteriza al nuevo entorno de amenazas, el siguiente paso es comprender cómo detener proactivamente estos ataques. Las defensas tradicionales y estáticas no responden a los ataques de redes de malware altamente dinámicos. Las medidas de seguridad web actuales deben ser: conscientes: deben ofrecer información significativa sobre el panorama de amenazas web en constante cambio; inteligentes: deben ofrecer la capacidad de ver más allá de los puntos de entrada del ataque, hasta los vínculos y nodos cambiantes y pasajeros de las redes de distribución de malware. Una protección eficaz también debe permitir controles de políticas que anulen las vulnerabilidades de seguridad en los dominios de redes sociales; Estructura de una red de malware: Cada nodo representa un punto de entrada o de distribución. Blue Coat WebPulse © proactivas: la seguridad web dinámica debe funcionar en tiempo real para poder brindar protección contra ataques de redes de malware. Confiar en descargas o ciclos de actualización una o dos veces por día ya no es eficaz para combatir la mayoría de las amenazas web. BLUE COAT SYSTEMS, INC 2 INFORME DE SEGURIDAD La seguridad fortalece el negocio Por qué las redes empresariales son vulnerables a los ataques de redes de malware Dado que las redes de malware rápidamente encuentran y explotan las brechas en las defensas web estáticas, las empresas deben mirar más allá de la seguridad de red tradicional para proteger datos y usuarios. ¿Por qué? La seguridad convencional generalmente funciona como una estructura sólida alrededor de la red. Depende del filtrado de URL estático basado en reputación, que es demasiado lento para estar a la altura de estas amenazas web tan ágiles. La seguridad web que depende de la reputación no es suficiente por dos motivos. En primer lugar, con frecuencia, las redes de malware tienen como objetivo sitios web “confiables” o de muy buena reputación que los filtros web no detectan. En segundo lugar, las redes de malware pueden generar miles de URL nuevas por día, lo cual hace que sea prácticamente imposible clasificarlas todas. Otros enfoques convencionales de seguridad, como los antivirus, a veces no detectan los ataques de malware hasta que pasan días o meses, cuando ya es muy tarde. Las empresas necesitan un nuevo tipo de defensa web Los sistemas de seguridad convencionales emplean un enfoque reactivo, es decir, esperan que se inicie un ataque para analizarlo, crear una firma y enviar una actualización a los usuarios. Sin embargo, en una era de amenazas de malware altamente dinámicas, las organizaciones necesitan una seguridad web que no solo identifique el malware, sino que bloquee de manera proactiva el mecanismo de distribución antes de que el ataque llegue a su objetivo. La seguridad web proactiva puede bloquear ataques en su origen, antes de que tengan la oportunidad de iniciarse. Una vez que se identifica el origen de la amenaza, pueden bloquearse todos los ataques futuros de esa fuente. Por lo tanto, no importa si la carga es un registrador de claves, un gusano, un troyano u otro tipo de malware, porque el ataque se detiene antes de su inicio. Este enfoque difiere de los enfoques de seguridad reactivos tradicionales que esperan que ocurra un ataque para analizarlo y bloquearlo en el futuro. Además de la seguridad web proactiva, se necesita análisis en tiempo real de resultados de búsqueda para identificar vínculos malintencionados. Debido a que los motores de búsqueda son la categoría de contenido web más visitada, representan un objetivo valioso para las redes de malware. De hecho, muchas redes de malware se centran exclusivamente en el envenenamiento de buscadores. Pero como bloquear los buscadores es poco realista, se necesita análisis en tiempo real para proteger a los usuarios de los resultados de los buscadores que conducen a páginas web y descargas malintencionadas. WebPulse Collaborative Defense de Blue Coat: consciente, inteligente y proactiva WebPulse Collaborative Defense de Blue Coat ofrece seguridad web proactiva y en tiempo real diseñada para detener ataques de malware en el origen. WebPulse es un servicio de clasificación y análisis orientado a la comunidad y basado en la nube que proporciona clasificaciones en tiempo real a los usuarios mediante los productos de seguridad web de Blue Coat, como el servicio de nube de Blue Coat y PacketShaper de Blue Coat. WebPulse dispone de una defensa altamente eficaz frente a los ataques de redes de malware, ya que brinda: Blue Coat WebPulse © BLUE COAT SYSTEMS, INC 3 INFORME DE SEGURIDAD La seguridad fortalece el negocio Detección en todo el ecosistema web WebPulse ofrece un sistema integral de detección para todo el ecosistema web, gracias a una comunidad diversa y global de más de 75 millones de usuarios que continuamente agregan, analizan y clasifican nuevas URL en la base de datos de WebPulse. WebPulse comparte información aportada de manera anónima a la nube y distribuye clasificaciones precisas y protección en tiempo real entre los productos de seguridad web de Blue Coat y la comunidad de usuarios. WebPulse procesa más de mil millones de solicitudes web por día, que se analizan y categorizan con una precisión del 99,9 %. Ofrece clasificaciones integrales de URL empleando 300 bibliotecas de clasificación en tiempo real por categoría de idiomas: la colección más grande de tecnología de clasificación web automatizada del sector. Asimismo, WebPulse dispone de 84 categorías con hasta cuatro clasificaciones por solicitud web. También ofrece clasificaciones en 55 idiomas, 21 de ellos en tiempo real. Información para identificar y bloquear tráfico malintencionado WebPulse cuenta con la información de seguridad que las organizaciones necesitan, ya que analiza automáticamente los aportes de la comunidad de usuarios y correlaciona datos de los registros y motores de análisis de Blue Coat. Por ejemplo, Blue Coat ofrece análisis de ADN de servidores/ sitios, que examina los sitios web para determinar su relación, si existiera, con otros sitios y redes malintencionados. Al hacer un seguimiento de la trayectoria de cualquier URL y su relación con otros sitios, WebPulse puede identificar comportamiento potencialmente malintencionado y cerrar las brechas de seguridad. WebPulse recopila información crítica de la creciente comunidad de 75 millones de usuarios de Blue Coat. Con este valioso conjunto de datos en tiempo real, WebPulse puede analizar factores de reputación, como información WHOIS, direcciones IP compartidas con hosts de malware conocidos, patrones de nombres de dominio sospechosos e información histórica sobre contenido malintencionado en el sitio. Estos factores se combinan y analizan usando un proceso llamado Web Reputator. Los sitios que, de acuerdo con estos factores, tienen una mala reputación se categorizan como sospechosos. WebPulse también utiliza diversos métodos de comportamiento para analizar contenido web y el comportamiento de sitios web. Por ejemplo, Blue Coat utiliza un método patentado para identificar automáticamente descargas malintencionadas de entornos simulados. Este método se combina con técnicas automáticas similares a aquellas utilizadas en la tecnología DRTR (clasificación dinámica en tiempo real). Asimismo, Blue Coat incorpora técnicas de “detector de mentiras” en DRTR que permiten reconocer si las respuestas que WebPulse recibe de un sitio web son extrañas o sospechosas. Protección contra amenazas proactiva Negative Day Defense (defensa de día negativo) identifica y bloquea componentes nuevos La defensa de día negativo continúa bloqueando infraestructura de redes de malware Los motores AV comienzan la detección Se aplica la política UTM Fase de amenaza activa -30 días 0 días +1 día +30 días Fase de infraestructura Nueva subred, dirección IP y nombre de host Servidor de explotación Comienza el ataque La carga dinámica cambia de dominio El ataque finaliza Línea de tiempo de Negative Day Defense (defensa de día negativo) Negative Day Defense (defensa de día negativo) de WebPulse ofrece protección proactiva contra amenazas vinculando nuevos servidores y dominios con amenazas conocidas para bloquearlas en su origen. Esta defensa es un paso importante, ya que las empresas no tienen que esperar hasta el inicio de un ataque para estudiar y desarrollar una defensa contra este. Asimismo, WebPulse dispone de análisis de vínculos dinámicos, una función que identifica contenido malintencionado al rastrear vínculos de buscadores y redes sociales en las retransmisiones cambiantes que conforman las redes de distribución de malware. Blue Coat WebPulse © BLUE COAT SYSTEMS, INC 4 WebPulse en el mundo real: estudio de caso de la red de malware “Vulnerabilidad en Java” INFORME DE SEGURIDAD La seguridad fortalece el negocio A fines de agosto de 2012, se identificó el ataque de la red de malware Vulnerabilidad en Java. Sin embargo, en realidad, los cimientos del ataque se asentaron en enero, cuando se descubrió que estaba activo un nuevo sitio de vulnerabilidad, ok.aa24.net. WebPulse clasificó el sitio como sospechoso y bloqueó el acceso. En abril de 2012, se activó un nuevo sitio de comando y control. WebPulse clasificó la dirección IP como sospechosa y comenzó a bloquear el acceso a ella. La actividad malintencionada comenzó el 26 de agosto, cuando ok.aa24.net empezó a distribuir un ejecutable malintencionado que utiliza la vulnerabilidad en Java de día cero CVE-2012-4681. Los equipos infectados comenzaron a comunicarse inmediatamente con el dominio de comando y control. Sin embargo, WebPulse ya había comparado automáticamente el ADN del servidor de toda la red de malware y había reafirmado las clasificaciones sospechosas. Blue Coat ya estaba bloqueando automáticamente el malware y sus sitios de comando y control, lo cual protegió a los usuarios durante más de 120 días, incluso antes de que se iniciara el ataque. Dos días después, el ataque terminó sin afectar a la comunidad de WebPulse de Blue Coat. Dado que WebPulse puede identificar los componentes utilizados en un ataque antes de que este se inicie, ofrece una defensa sumamente eficaz frente a amenazas de redes de malware. Negative Day Defense (defensa de día negativo) en acció Bloqueo una vulnerabilidad de día cero en Java Negative Day Defensede (defensa de día negativo) en acción Bloqueo de una vulnerabilidad en Java de día cero Un nuevo sitio de vulnerabilidad llamado ok.aa24.net se activa 2012 ENE. -225 días WebPulse lo clasifica como fuente de malware y lo bloquea Aparece en línea el nuevo sitio C&C ABR. -120 días WebPulse clasifica la dirección IP como sospechosa y la bloquea ok.aa24.net distribuye activamente ejecutables malintencionados que utilizan vulnerabilidad de día cero en Java 26 de AGO. 0 días bloquea automáticamente todas las solicitudes del sitio Los sistemas infectados comienzan a comunicarse con el dominio de comando y control 26 de AGO. 0 días WebPulse bloquea automáticamente todas las solicitudes del dominio Blue Coat WebPulse © BLUE COAT SYSTEMS, INC Bloqueo de una vulnerabilidad en Java con Negative Day Defense (defensa de día negativo) 5 INFORME DE SEGURIDAD La seguridad fortalece el negocio WebPulse: el futuro de la seguridad web Las soluciones de seguridad tradicionales se centran en identificar y bloquear cargas de malware, pero no las infraestructuras que las distribuyen. Hasta hace poco, las organizaciones generalmente esperaban a que surgiera una nueva amenaza para desarrollar una firma que la bloqueara. Una defensa web en tiempo real es esencial para proteger a los usuarios de ataques de redes de malware en constante evolución. Actualmente, todas las empresas deben contar con la capacidad de analizar el tráfico web sobre la marcha y descubrir amenazas ocultas en vínculos que cambian dinámicamente. A fin de garantizar una protección continua y proactiva, WebPulse aprovecha el poder de navegación web de 75 millones de usuarios para ver y analizar enormes cantidades de contenido web en tiempo real. Al emplear este conjunto de información inmenso y bien desarrollado, WebPulse puede detener malware basado en la Web, ataques de suplantación de identidad y spyware en tiempo real. Y gracias a que dispone de centros de datos en los puntos geográficos más importantes, Blue Coat puede distribuir al instante tecnologías nuevas para combatir las últimas amenazas web sin necesidad de parches, que a menudo llegan tarde. Todas las soluciones de seguridad web de Blue Coat están conectadas a WebPulse. Al funcionar juntas, pueden bloquear 3,3 millones de amenazas por día, e incluso el tráfico de notificación de instalación de computadores de escritorio infectados. En consecuencia, los productos de seguridad web de Blue Coat ofrecen una solución de seguridad integral y unificada que brinda la detección, la información y la protección proactiva que las organizaciones necesitan para estar un paso adelante de los ataques sofisticados de las redes de malware. Blue Coat ofrece seguridad web integral con: • Protección global de amenazas: Con la tecnología de WebPulse, la solución de seguridad unificada de Blue Coat ofrece seguridad local y basada en la nube, y garantiza clasificaciones de URL coherentes y su aplicación para la actividad web. • Política universal: Blue Coat utiliza el mismo motor de políticas en los dispositivos locales y en la nube para generar resultados coherentes, independientemente de dónde se encuentre el usuario. • Informes unificados: Las organizaciones cuentan con una sola vista de todos los usuarios, tanto si están protegidos con seguridad en la nube como con un dispositivo local. Para obtener más información sobre WebPulse y otros productos de seguridad de Blue Coat, visite nuestro sitio web, www.bluecoat.com/security. Blue Coat WebPulse © BLUE COAT SYSTEMS, INC 6 NOTAS DEL PRODUCTO La seguridad fortalece el negocio Blue Coat Systems Inc. www.bluecoat.com Sede central corporativa Sunnyvale, CA, EE. UU. +1 408 220 2200 Blue Coat Brasil São Paulo +55 11 3443 6879 Blue Coat México México D.F. +52 55 3300 5825 © 2013 Blue Coat Systems, Inc. Todos los derechos reservados. Ninguna parte de este documento puede ser reproducida por ningún medio ni traducida a ningún medio electrónico sin el consentimiento escrito de Blue Coat Systems, Inc. La información de este documento se considera precisa y confiable en la fecha de publicación; no obstante, no debe interpretarse como un compromiso de parte de Blue Coat, y Blue Coat no puede garantizar la precisión de ningún dato presentado luego de la fecha de publicación. Este documento solo tiene fines informativos. Blue Coat no asume ninguna garantía, expresa, implícita o legal con respecto a la información de este documento. La información incluida en este documento fue desarrollada para productos y servicios ofrecidos en los Estados Unidos. Es posible que Blue Coat no ofrezca en otros países los productos, los servicios o las características que se analizan en este documento. Comuníquese con su representante local de Blue Coat para obtener información sobre los productos y servicios actualmente disponibles en su área. Los productos, servicios técnicos y cualquier otro dato técnico de Blue Coat mencionado en este documento están sujetos a leyes, reglamentaciones y requisitos de control y sanciones a la exportación en los EE. UU., y pueden estar sujetos a reglamentaciones de exportación e importación en otros países. Usted acepta cumplir estrictamente estas leyes, reglamentaciones y requisitos, y reconoce que tiene la responsabilidad de obtener cualquier licencia, permiso u otra aprobación que pudiera exigirse para exportar, reexportar, transferir en el país o importar luego de haber recibido el envío. Blue Coat puede tener patentes o solicitudes de patentes pendientes sobre el objeto de este documento. La entrega de este documento no le otorga ninguna licencia de estas patentes. Blue Coat, ProxySG, PacketShaper, CacheFlow, IntelligenceCenter y BlueTouch son marcas comerciales registradas de Blue Coat Systems, Inc. en los Estados Unidos y en todo el mundo. Todas las demás marcas comerciales mencionadas en este documento son propiedad de sus respectivos dueños. v.BC-2013-WEBPULSE-STOP-MALWARE-ATTACKS-A4-EN-v2a-0413 Blue Coat Argentina Buenos Aires +54 (11) 4850 1215 7