EquationDrug: Sophisticated, stealthy data theft for over a decade

ramnit-header-imagecredsymantec.jpg
Far beyond the capabilities of traditional cybercriminals, The Equation Group’s EquationDrug platform is used to target select victims worldwide.

Kaspersky has published additional details concerning The Equation Group’s toolset, and has revealed the EquationDrug cyberespionage platform as a potent and long-lasting campaign.

Originally revealed at the Kaspersky Labs Security Analyst Summit in February, the security firm said a cybercriminal group dubbed “The Equation Group” surpasses all others in complexity and techniques. Deemed the “ancestor” of Stuxnet and Flame, as Zero Days were used by The Equation Group before other threat actors — and potentially shared by them — additional details concerning the group’s activities now suggest the group may have been in operation since the 1990’s.

According to Kaspersky Lab researchers, The Equation Group uses expensive tools and sophisticated Trojans to steal data from their victims, and they also use “classic” spying techniques to deliver malicious payloads. Tools used by the group include EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish.

The threat actors use a command and control (C&C) center compromising of over 300 domains and more than 100 servers hosted in countries including the US and UK. One part of the network is EquationDrug, a full cyberespionage platform which dates back to 2003. Kaspersky says EquationDrug is the main platform used by the group in cyberespionage. EquationDrug is the main platform used by the group in cyberespionage.

EquationDrug includes a framework which allows specific modules to be deployed on the machines of victims. The platform can be extended through plugins and modules, but is pre-built with a default set of plugins which support basic spying activities — such as file theft and screenshot capture.

However, the EquationDrug platform does show elements of sophistication through the storage of stolen data inside a custom-encrypted virtual file system before it is sent to the C&C center.

When it comes to platform architecture, EquationDrug includes dozens of executables, configurations and protected storage locations. EquationDrug resembles a “mini operating system,” according to Kaspersky, due to the use of kernel-mode and user-mode components which interact with each other via a custom message-passing interface. The platform also includes a set of drivers, a platform core and individually labeled plugins. Some modules are statically linked to the platform core, while others load on demand, according to the team.

equationdrug1.jpg

To date, Kaspersky has uncovered 30 unique plugin IDs, but admits that up to 86 other modules are still in the wild and have yet to be discovered.

“The plugins we discovered probably represent just a fraction of the attackers’ potential. Each plugin is assigned a unique plugin ID number (WORD), such as 0x8000, 0x8002, 0x8004, 0x8006, etc. All plugin IDs are even numbers and they all start from byte 0x80. The biggest plugin ID we have seen is 0x80CA,” Kasperksky says.

The most interesting modules which have been uncovered to date contain functions such as network traffic interception and rerouting and reverse DNS resolution. In addition, some modules focus on computer management and are able to start and stop processes, load drivers and libraries, and gather information about a victim including OS version, location, keyboard layout and timezone. Other interesting functionalities include:

  • Collection of cached passwords.
  • Enumeration of processes and other system objects.
  • Monitoring live user activity in web browsers.
  • Low-level NTFS filesystem access based on the popular Sleuthkit framework.
  • Monitoring removable storage drives.
  • Passive network backdoor (runs Equation shellcode from raw traffic).
  • HDD and SSD firmware manipulation.
  • Keylogging and clipboard monitoring.
  • Browser history, cached passwords and form auto-fill data collection.

The Equation Group is not the only threat actor to use an espionage platform. Regin and Epic Turla also use the same tactic in their campaigns.

An analysis of the platform suggests that developers are English-speaking. However, as noted by Kaspersky, there is a limit number of text strings so its hard to tell if the developers were native. Kaspersky also says the working hours of Equation developers tend to be within the Monday to Friday bracket, and in the UTC timezone, hours worked appear to relate to the traditional 9-5 working day.

EquationDrug has been in use for at least the past 10 years, but considering the existence of components designed to run on Windows 9x, the security researchers believe The Equation Group may have been in operation since the 1990’s. The platform, potentially used by nation-state attackers considering its sophistication, budget and size, separates itself from traditional cybercriminals due to the groups’ sophisticated framework and selection of particular victims. Kaspersky says:

“It is clear that nation-state attackers are looking for better stability, invisibility, reliability and universality in their cyberespionage tools. You can make a basic browser password-stealer or a sniffer within days. However, nation-states are focused on creating frameworks for wrapping such code into something that can be customized on live systems and provide a reliable way to store all components and data in encrypted form, inaccessible to normal users.

While traditional cybercriminals mass-distribute emails with malicious attachments or infect websites on a large scale, nation-states create automatic systems infecting only selected users. While traditional cybercriminals typically reuse one malicious file for all victims, nation-states prepare malware unique to each victim and even implement restrictions preventing decryption and execution outside of the target computer.”

Fuente: http://www.zdnet.com/

 

Anuncios

Herramientas para el análisis de documentos PDF maliciosos

El formato PDF siempre ha sido un vector interesante para la propagación de malware, ya sea por ser un tipo de archivo abierto y multiplataforma, como por las posibilidades de explotar el software que lo interpreta.

Como ejemplo nos referiremos al popular Adobe Reader, ampliamente extendido entre la comunidad… algo que lo hace estar en el punto de mira de muchos atacantes. La elevada posibilidad de ejecución de este tipo de ficheros – por ejemplo mediante una simple campaña de phising – y la escasa percepción entre los usuarios de que puedan contener algún tipo de código nocivo lo hace más que atractivo.

El caso es que el formato PDF ofrece posibilidades de contenidos extensos, entre los que se encuentra la capacidad de ejecución de código JavaScript, una importante funcionalidad que abre un abanico de posibilidades para embeber código e incluso pasar desapercibido mediante técnicas de ofuscación.

Así pues, en el día de hoy vamos a crear un fichero PDF “dañino” como los que podríamos encontrar en cualquier web comprometida o un adjunto de correo… para posteriormente ver cómo podríamos analizar su contenido.

Partimos generando el documento malicioso mediante la utilización del módulo “adobe_pdf_embedded_exe” con las opciones oportunas:

Una vez lo tengamos, vamos a tratar con diferentes herramientas para ver su estructura interna sin ejecutar el contenido dinámico, incluso podríamos comenzar utilizando el comando strings para mostrar la secuencia de cadenas de caracteres imprimibles, etc.

Como podemos observar, existen partes que evidencian que existe código más que sospechoso encargado de lanzar procesos secundarios para su ejecución.

Por nombrar algunas herramientas específicas comenzaremos por pdfid, una aplicación sencilla para explorar “de un vistazo” la estructura del documento (cabecera, objetos, streams…) antes de analizarlo en profundidad. En este caso, confirmaremos que existen el par de objetos (/JS, /JavaScript) sospechosos detectados anteriormente.

Del mismo desarrollador (Didier Stevens) contamos con pdf-parser para analizar el documento e identificar sus elementos fundamentales (opciones como búsqueda de cadenas en objetos indirectos, filtros, salida raw…). Mencionar que existe la alternativa gráfica (wxPthon) conocida como PDFScope que combina las funcionalidades de las dos anteriores.

Otra utilidad común es Origami, un framework escrito en Ruby para el parseo, análisis, modificación y creación de documentos PDF maliciosos. Soporta características avanzadas para cifrado, firmas digitales, formularios, Flash, archivos adjuntos… También dispone de una versión gráfica (pdfwalker).

No podíamos terminar de repasar la lista sin nombrar una las principales herramientas para la exploración y creación/modificación de archivos PDF, peepdf. Esta herramienta nos permitirá realizar todas las funciones necesarias sin tener que recurrir a otras utilidades: visualización de todos los objetos del documento, metadatos, elementos sospechosos, análisis de shellcode y JavaScript (requiere de PyV8 y Pylibemu), modificaciones entre versiones, filtros y codificaciones, vinculación con VirusTotal…

Finalmente, también pueden sernos de ayuda ciertos recursos en línea que nos facilitarán la tarea de extracción de información de un documento dado e incluso la correlación con las vulnerabilidades encontradas [Malware Tracker | Wepawet].

Como hemos visto, la generación de un documento PDF malicioso no tiene mayor complejidad y su simple ejecución podría suponer un grave riesgo para nuestro “sistema”.

Es importante tener conciencia sobre las posibilidades de este tipo de ficheros y no caer en la ciega confianza prestada a nuestra aplicación antimalware, llevando a cabo buenas prácticas como es el análisis específico como los detallados en este artículo.

Para terminar, recalcar la importancia de mantener actualizado nuestro software a sus últimas versiones, o incluso huir de las herramientas comúnmente utilizadas y que contarán con el mayor número de vulnerabilidades.

Prueba de Penetración (PenTest)

La Prueba de Penetración (Penetration Test o PenTest en Inglés) consiste en una evaluación activa de las medidas de seguridad de la información. El propósito es detectar los puntos débiles que puedan ser capitalizados para violar cualquiera de las tres condiciones necesarias de la información: confidencialidad, integridad y disponibilidad.

Generalmente, las vulnerabilidades potenciales resultan de: fallas en el software, de configuraciones inapropiadas de los sistemas,  de la operación deficiente en los procesos o protecciones técnicas y del factor humano.

La Prueba de Penetración se realiza desde la posición de un atacante potencial de manera remota y local, buscando explotar activamente las vulnerabilidades de seguridad para obtener información relevante. Tal como lo intentaría un intruso con propósitos adversos para la organización, pero sin dañar la información, sistemas e infraestructura informática.

En código verde nos distinguimos por realizar las Pruebas de Penetración evaluando la gente, procesos, tecnología, controles técnicos y administrativos. Nuestro método es exhaustivo y por lo tanto más certero.

¿Qué beneficios aporta una Prueba de Penetración?

  • Se determina la factibilidad real de un ataque y su impacto en el negocio.
  • Provee la información necesaria para enfocar la implementación de controles de seguridad y mitigar los riesgos descubiertos.
  • Eleva la conciencia de la alta gerencia acerca de la seguridad de la información.

Entregables

  1. Clasificación y priorización de las vulnerabilidades encontradas
  2. Crónica del ataque
  3. Evidencias obtenidas durante la penetración
  4. Plan de remediación
  5. Recomendaciones para elevar el nivel de Seguridad Informática
  6. Presentación para la Alta Dirección
  7. Presentación Técnica

Principales razones para realizar una Prueba de Penetración:

  1. Es el método más efectivo para determinar el nivel real de seguridad de la información. Sólo con un ataque simulado es posible identificar las vulnerabilidades que plantean riesgos significativos para la organización, tales como:
    • Pérdidas financieras por fraude (hackers, extorsión o empleados molestos) o debido a sistemas de información y procesos poco confiables.
    • Pérdida de confianza de los clientes o cualquier otra parte interesada.
    • Crisis de relaciones públicas si el caso trasciende a los medios masivos.
  2. Ofrece un punto de vista independiente y analítico por un tercero, enriqueciendo la labor del equipo interno responsable de la seguridad de la información.

Las técnicas de Ingeniería Social evolucionaron, ¡presta atención!

Según su definición de referencia, la Ingeniería Social consiste en persuadir a una persona para influenciarla en sus acciones. En otras palabras, es la manipulación de personas influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.

Se busca generar una situación creíble, de confianza, sin dejar nada libre al azar. Un ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace poco les mostramos cuando se utilizó la estética de la gira de los Rolling Stones para crear un sitio que prometía entradas gratis a cambio de clics en Facebook.

Cuando un atacante lleva a cabo una técnica de Ingeniería Social, su efectividad depende del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria, “contribuye” a que un ciberdelincuente se salga con la suya y logre realizar el engaño. Por lo tanto, la clave es la precaución del usuario final, que tiene el poder de frenar la propagacióm de una campaña.

¿Cómo puede esto afectar a la seguridad informática?

La respuesta es simple: con todas las herramientas informáticas disponibles y al alcance de cualquier persona, la posibilidad de realizar ataques se facilita. ¿Qué sucede, por ejemplo, cuando combinamos la curiosidad humana con la explotación de una vulnerabilidad en un sistema informático? Un atacante puede obtener el control de un equipo, o podría robar información sensible como datos bancarios o información personal.

Una de las personas más reconocidas en el mundo informático es Kevin Mitnick, quien se caracterizó por ser uno de los pioneros en técnicas de Ingeniería Social. Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, es decir, el usuario. Este es quien se encargará de interpretar las políticas de seguridad correctamente y buscará que se respeten.

Considerando que es posible fallar en este aspecto y que un ataque de Ingeniería Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta también que incluso es posible que sea llevado a cabo solamente con ayuda de un teléfono, Mitnick establece 4 principios comunes que aplican a todas las personas:

  • Todos queremos ayudar
  • Siempre, el primer movimiento hacia el otro, es de confianza
  • Evitamos decir NO
  • A todos nos gusta que nos alaben

Estos métodos de manipulación, basándose en la confianza del usuario, son los que conducen a engaños como phishing, páginas con códigos maliciosos alojados esperando infectar a sus víctimas, o robo de información, entre otras cosas. Como les contábamos hace algunas semanas, 37.3 millones de usuarios reportaron ataques de phishing el año pasado.

La evolución de las técnicas de Ingeniería Social

Es increíble ver cómo han evolucionado hasta la fecha los ataques de este tipo. Algo que en sus inicios comenzó siendo una impersonalización vía telefónica, hoy busca hacer una experiencia imperceptible al usuario.

Los comienzos de esta técnica se basaban en llamadas telefónicas, haciéndose pasar por entidades que brindan un determinado servicio. La finalidad de este llamado era recabar información sobre la víctima. Con la llegada de Internet a cada hogar, comenzaron a aparecer técnicas de Ingeniería Social vía clientes de mensajería instantánea. Comenzó a ser muy común el famoso mensaje mediante Messenger “Fotos_para_adultos_de_alguien.rar”. Enviando código malicioso a los contactos de la cuenta, hubo muchos casos de infección mediante esta técnica.

Hoy en día, los ciberdelincuentes buscan engañar a sus víctimas para que entreguen voluntariamente su información personal. La mutación se dio no sólo hacia sitios web, sino también se ha transformado en mensajes de texto, y cualquier tipo de mensajería móvil. La importancia de este vector de ataque radica en que estos dispositivos móviles almacenan gran cantidad de información personal, como contactos, fotos, conversaciones, usuarios y contraseñas de redes sociales, de correos electrónicos, inclusive geo localización.

También han aparecido técnicas como pharming, muy similar al phishing, pero que en vez de engañar al usuario mediante un enlace enviado por correo electrónico, busca el robo de información mediante la modificación en tiempo real de las consultas realizadas a los servidores DNS o mediante la toma de control del equipo víctima; así, modifica el archivo lmhost, que se encarga de resolver las consultas web, asociando la dirección IP al dominio.

Distinguiendo una noticia real de una falsa

Ahora bien, pensemos cómo un ciberdelincuente logra (o intenta lograr) que su campaña de propagación de amenazas tenga éxito.

Uno de los factores más aprovechados son las temáticas populares de actualidad. En el Laboratorio de Investigación de ESET Latinoamérica, hemos podido detectar e investigar campañas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas. A continuación recordaremos 6 campañas destinadas a usuarios de Latinoamérica:

Por eso es importante que estés atento ante sucesos de esta masividad, y que tengas en cuenta que es muy probable que los cibercriminales los utilicen para tratar de engañar a los usuarios.

Sólo es cuestión de estar alertas

Lo más importante de todo esto, es que no debemos ser paranoicos a la hora de usar un equipo informático. Existen peligros reales y por eso los compartimos con ustedes, para que tomen los recaudos necesarios y así puedan navegar tranquilos, haciendo un uso consciente y responsable de la tecnología.

Recuerden las premisas de seguridad que aplican en la vida cotidiana, como por ejemplo: si no hablas con desconocidos en la calle, ¿por qué lo harías en Internet? Tengamos en cuenta que a pesar de los peligros que existen en las calles, seguimos saliendo, porque confiamos en que estamos tomando los recaudos necesarios para que no nos pase nada. Bien, en Internet sucede lo mismo: no todo el mundo es quien dice ser, y nunca sabemos cuáles son sus intenciones reales, pero es posible tener una experiencia segura, si se siguen buenas prácticas como las siguientes:

  • En primer lugar, usar soluciones de seguridad como antivirus, que prevendrán infecciones mediantes exploits o códigos maliciosos, entre otros.
  • No aceptar en redes sociales a gente desconocida. La variedad que ofrece la tecnología permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos agregó realmente para saber si es quien dice ser.
  • Ser cuidadosos con los correos electrónicos recibidos de remitentes desconocidos: pueden robar información y estar infectado con archivos maliciosos adjuntos.
  • Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.
  • En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta no usar servicios que requieran información sensible como usuario y contraseña. Algo que podría ayudarte si necesitaras estos servicios, es el uso de VPN, que enviará todas las comunicaciones cifradas.
  • La siempre mencionada política de crear contraseñas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseñas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseñas; información que es almacenada en un archivo cifrado.
  • En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http.

Con estas prácticas, podrán usar Internet sin tantas preocupaciones; la responsabilidad y el sentido común, junto con las buenas prácticas a la hora de navegar, harán que las campañas de Ingeniería Social no tengan el éxito que los cibercriminales esperan.

Cómo detectar direcciones web maliciosas (sin pincharlas)

Las infecciones causadas por enlaces o sitios web maliciosos son uno de los mayores problemas a los que se enfrenta la seguridad informática actualmente. Estas URLs acostumbran a ejecutar programas en el ordenador del usuario, en la mayor parte de los casos furtivamente. Por lo que a este le parece que el sitio funciona con total normalidad. Pero nada más lejos de la realidad.

El malware explota vulnerabilidades en los programas instalados de nuestro ordenador para, de esta forma, sustraer nuestra información, datos personales, desviarnos hacia contenidos indeseables, ilegales o spam, o llevar a cabo cualquier otra actividad con alguna finalidad fraudulenta.

Hacer click en algunos de estos links es más fácil de lo que parece. Sin embargo, existen algunas claves que nos pueden ayudar a no caer en la trampa.

Alterando letras o caracteres

Es una de las prácticas más habituales. Puede parecer que estamos entrando en una dirección web determinada, pero hacerlo en realidad en otra maliciosa. El error se produce porque no hemos leído detenidamente la URL.

Un ejemplo de esto lo tenemos en el dominio http://www.rnicrosoft.com en lugar del correcto http://www.microsoft.com. ¿Les ha resultado complicado distinguirlos? No se preocupen. Es normal. La r y la n juntas parecen una m. Y como este caso hay mil más. Algo de lo que se valen los ciberdelincuentes para crear dominios fraudulentos. Ahora supongan que les sucede con la dirección web de su banco.

No es el único efecto visual del que se aprovechan. En otras ocasiones directamente cambian el tipo de letra logrando que ni el ojo más experto se percate. “Estamos hablando de aquellos hackers que utilizan enlaces con caracteres Unicode pertenecientes a otros alfabetos como el cirílico, pero que pueden confundirse con el nuestro”, ha explicado a Teknautas Josep Albors, director de Comunicación y Laboratorio de Eset España.

Veamos un ejemplo: http://www.exɑmple.com. Aparentemente no hay nada extraño en este enlace, ¿verdad?. Pero en realidad sí que lo hay. “Si nos fijamos con atención veremos que el carácter que nosotros identificamos como una a es en realidad una ɑ. Puede que para nosotros esto no suponga mucha diferencia, pero cuando hablamos de ordenadores que se comunican entre sí hay todo un mundo entre el carácter Unicode U+0061 (a) y el carácter U+0251 (ɑ)”, ha concluido el experto en informática.

Direcciones abreviadas

Cada vez hay más direcciones abreviadas en internet. Sin embargo, esto conlleva muchos peligros. “No sabes dónde estás entrando. Puedes estar metiéndote en una página falsa que te lleve a otra maliciosa y no saberlo. Todos los peligros de los que hablamos cuando navegamos por la red están reunidos en una dirección abreviada. Es como entrar a ciegas. Pero la gente se fía”, ha argumentado a este diario Fernando de la Cuadra, director de Educación de Eset España.

La clave en estos casos está en comprobar la procedencia en aquellos supuestos en los que sospechamos.

Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLsSegún Daniel Creus, informático de Kaspersky: “Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLs. Se aconseja tener en cuenta el contexto en el que nos llega. Si nos hace sospechar lo recomendable es comprobar que la dirección es segura acudiendo al proveedor”. Por ejemplo, el servidor bit.ly ofrece la posibilidad de ver un preliminar de la dirección. Te dice hacia qué sitio apunta e incluso ofrece una captura de pantalla. Esto es una buena medida cautelar, aunque también es cierto que resulta algo incómodo.

En este último caso también se puede además copiar y pegar la URL en el navegador añadiendo un símbolo + al final. De esta forma se accede a la vista preliminar de bit.ly en lugar de ir al destino.

“Si el proveedor no ofrece este servicio se puede buscar en Google y escribir la URL que nos han enviado. Puede ser que haya sido denunciada por el resto de usuarios”, ha añadido Creus.

Por otro lado existen complementos para navegadores que hacen la traducción a la URL larga. Un ejemplo lo tenemos en longURL.

Trampas imposibles de distinguir

Por último, también es habitual que los ciberdelincuentes se aprovechen de la característica de la escritura derecha-a-izquierda de la codificación Unicode para ocultar la verdadera extensión de un fichero malicioso. Es decir, que creen ficheros con una terminación determinada, pongamos por caso, fdp en hebreo, y que al convertirlo nuestro navegador lo transforme en pdf.

“Con esto consigues engañar al usuario y que se crea que está abriendo un documento pdf seguro, cuando en realidad está accediendo a un troyano”, ha explicado Fernando de la Cuadra. No podemos detectar a simple vista este tipo de malware pero sí hacer uso de webs que analizan ficheros como por ejemplo VirusTotal o URL X-ray.

Fuente:http://www.elconfidencial.com/

Servicio Antibotnet, la amenaza de las redes zombies

Imagen decorativa post servicio AntiBotnet

El servicio AntiBotnet de la OSI te permite conocer si desde tu conexión a Internet hay algún equipo que pueda estar afectado por una botnet y en caso afirmativo, te orienta con información y herramientas de desinfección.
El Servicio AntiBotnet pone a tu disposición un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets (ordenadores infectados con un tipo de virus que es capaz de controlar el equipo de forma remota para llevar a cabo acciones maliciosas) asociados a tu conexión a Internet. Para ello se chequea la dirección IP pública que tengas asignada en cada momento contra nuestra base de datos. La finalidad del servicio es proporcionarte información y herramientas que puedan ayudarte en la desinfección de los dispositivos afectados, contribuyendo así a un Internet más confiable y seguro para todos. El servicio AntiBotnet es fruto de una estrecha colaboración público-privada, entre la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), INTECO y los principales operadores de Internet nacionales.
El servicio AntiBotnet complementa a otros nuevos servicios que hemos puesto en marcha a lo largo de este año (CONAN mobile, Historias reales, y “Qué deberías saber”). Con una nueva imagen desde junio, la OSI evoluciona manteniendo la esencia. A través de nuestra página web (www.osi.es) queremos ayudarte a evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet. Por eso, hemos puesto a tu disposición contenidos multimedia, herramientas para proteger tu smartphone y tableta, un sistema de alerta de amenazas, etc. Además contamos con un servicio de atención al internauta donde podremos resolver tus dudas y problemas relacionados con la seguridad online.

Fuente:https://www.osi.es/es/

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco ha presentado hoy el primer firewall de próxima generación (NGFW, Next-Generation Firewall) de la industria enfocado en las amenazas avanzadas, diseñado para cambiar la forma en que las organizaciones se protegen frente a las amenazas más sofisticadas.

Cisco ASA con Servicios FirePOWER proporciona toda la información contextual y los controles dinámicos necesarios para analizar las amenazas de manera automática, correlacionar inteligencia y optimizar las defensas con el fin último de proteger todas las redes.

Al integrar el contrastado firewall Cisco ASA 5500 Series con control de aplicaciones con los sistemas de Prevención de Intrusiones de próxima generación (NGIPS, Next-Generation Intrusion Prevention Systems) y la Protección frente a Malware Avanzado (AMP, Advanced Malware Protection) de Sourcefire, Cisco proporciona una defensa integrada frente a las amenazas en todas las etapas de los ataques: antes, durante y después.

Cisco ASA con Servicios FirePOWER constituye así una nueva generación de sistemas NGFW con mayores capacidades, adaptivos y enfocados en las amenazas que facilitan una protección multi-capa superior. Hasta ahora, los equipos NGFW se han centrado en el control de políticas y aplicaciones, siendo incapaces de proteger frente a las amenazas avanzadas y los ataques de día cero. Cisco ASA con Servicios FirePOWER transforma este escenario, ofreciendo una aproximación con completa visibilidad, enfocada en las amenazas y basada en plataforma:

  • Completa visibilidad, ofreciendo información contextual de usuarios, dispositivos móviles, aplicaciones cliente, comunicaciones máquina-a-máquina virtuales, vulnerabilidades, amenazas, URLs y otra información telemétrica relevante. Sus capacidades de gestión de clase empresarial proporcionan a los usuarios cuadros de mando e informes estructurados sobre hosts, aplicaciones, amenazas e indicadores de compromiso (IoCs) descubiertos para obtener así una completa visibilidad.
  • Enfocada en las amenazas, incorporando sistemas de Prevención de Intrusiones de próxima generación para facilitar una completa protección frente a amenazas conocidas y avanzadas, así como Protección frente a Malware Avanzado, ataques de día cero y ataques persistentes. Su analítica de Big Data, la funcionalidad de análisis continuo y Cisco Collective Security Intelligence (CSI) trabajan conjuntamente para proporcionar capacidades de detección, bloqueo, seguimiento, análisis y eliminación que permiten a las organizaciones protegerse frente a todo el espectro de ataques, conocidos y no conocidos.
  • Basada en plataforma, combinando en un mismo dispositivo funcionalidad firewall contrastada y control de aplicaciones, capacidad de prevención de intrusiones de próxima generación líder y detección y eliminación avanzada de brechas de seguridad. Esta integración proporciona a las organizaciones una mayor protección a la par que minimiza la complejidad y los costes operativos reduciendo el número de dispositivos de seguridad que se necesitan desplegar y gestionar, además de evitar la adquisición de licencias añadidas que tradicionalmente se necesitan para ampliar la funcionalidad de los equipos heredados.

Como consecuencia del actual escenario de amenazas -que evolucionan rápidamente en número y complejidad- y de los cambiantes modelos de negocio, las organizaciones deben transformar sus estrategias de seguridad reduciendo el tiempo que se tarda en mitigar las amenazas mediante una aproximación verdaderamente integrada y enfocada en las amenazas.

Igualmente, frente a la posibilidad del robo de propiedad intelectual o información confidencial y la consecuente pérdida de credibilidad, se requiere una completa cobertura de todos los vectores de ataque potenciales y la capacidad de aprender de nuevos métodos de ataque para después aplicar dicha inteligencia en beneficio propio. Cisco ASA con Servicios FirePOWER ofrece esa defensa integrada frente a amenazas para ayudar verdaderamente a los negocios a protegerse frente al mayor riesgo de seguridad: las amenazas avanzadas y los ataques de día cero.

Cisco ASA con Servicios FirePOWER proporciona una visibilidad superior y un análisis continuo para detectar amenazas avanzadas multi-vector y optimizar y automatizar la respuesta tanto para el malware conocido como para el no conocido. También ofrece funcionalidad holística de Indicadores de Compromiso para acelerar el análisis de amenazas y la eliminación retrospectiva, así como respuesta integrada frente a incidentes y detección de actualización de políticas automática.

Todas estas novedades se apoyan en un firewall con seguimiento de estado de clase empresarial, VPN, clustering avanzado y controles granulares de capa de aplicaciones y basados en el riesgo que evocan las políticas NGIPS personalizadas de detección de intrusiones para optimizar su efectividad. Además, la integración de seguridad open source con Snort, OpenAppID y ClamAV permite a las organizaciones personalizar la seguridad de forma sencilla para responder a nuevas amenazas o amenazas y aplicaciones específicas tan rápido como sea posible.

Las organizaciones pueden aprovechar las ventajas de esta nueva solución de dos maneras:

  • Cisco ASA con Servicios FirePOWER (los clientes pueden adquirir los equipos ASA 5500-X Series y ASA 5585-X Series con una licencia de Servicios FirePOWER).
  • Servicios FirePOWER para Cisco ASA (los clientes pueden habilitar los servicios FirePOWER en sus actuales equipos ASA 5500-X Series y ASA 5585-X Series).

Junto a sus partners, Cisco también ofrece servicios de seguridad técnicos y profesionales para ayudar a los negocios a acelerar la migración desde sus actuales entornos de seguridad hacia la nueva aproximación de defensa integrada frente a amenazas que proporciona Cisco ASA con Servicios FirePOWER. Avalados por una gran experiencia, herramientas y procesos contrastados y disponibilidad global, los servicios de seguridad de Cisco ayudan a las organizaciones a realizar esta transformación con rapidez y de manera sencilla.

 

Entrevista a Bernardo Quintero fundador de Virustotal, comprada por Google

empresa

Con motivo de la compra de Virustotal por parte de Google entrevistamos a Bernardo Quintero, fundador de la empresa. Muy recomendable también leer la nota que ha publicado en el boletín de noticias una-al-día donde muestra su filosofía sobre cómo se deben crear las empresas de internet y lanza algunos consejos muy interesantes para emprendedores.

De dónde nace tu interés por la seguridad informática? cuáles crees que son los principales retos a los que se enfrenta este sector de aquí en adelante?

Mi historia con la informática supongo que es muy similar a la de cualquiera de mi generación. Cuando era un crío quería una consola de videojuegos, mi padre en su lugar, y con buen criterio, me compró un Spectrum con 16kB de memoria. Ahí empecé a interesarme en la programación y la informática en general, desarrollando juegos a nivel totalmente amateur.

El mundo de la seguridad no llegaría hasta la época adolescente, cuando tuve mi primer PC, un Amstrad PC1512 sin disco duro, y me infecté por primera vez con un virus Se trataba del “Ping-Pong”, un virus de boot que se propagaba a través del sector de arranque de los disquetes, cuando se activa te muestra en pantalla una especie de pelotita rebotando en los márgenes de la pantalla y borrando todos los caracteres que encuentra a su paso. Me fascinó aquello, era capaz de reproducirse y pasar de disquete en disquete y de ordenador en ordenador, era una especie de vida artificial. Así que me puse a investigar sobre el tema y terminé desarrollando un pequeño detector para ese tipo de virus para poder protegerme. Después de aquello no volví a tocar el tema de los virus hasta el primer curso en la universidad, donde surgió otra oportunidad.

La incursión a nivel profesional en seguridad informática vendría con la creación del boletín “una-al-día” e Hispasec, en 1998. En principio fue simplemente un boletín de noticias sobre seguridad informática, sin ninguna otra pretensión, pero dos años más tarde nos vimos “forzados” a crear la sociedad limitada para poder satisfacer los servicios que los lectores del boletín nos pedían de forma espontánea. Llegamos a tener más de 100.000 suscriptores del boletín por e-mail, sólo por el boca a boca, sin ningún tipo de publicidad. Fuimos una empresa creada a demanda del mercado, sin plan de negocio, sin idea de donde nos estábamos metiendo. Hispasec me llevó a sumergirme en todo tipo de disciplinas relacionadas con la seguridad informática e Internet, así que soy aprendiz de todo y experto en nada 🙂

Para tí cuál ha sido el principal motivo para que Virustotal haya tenido tanto éxito y haya llegado a llamar la atención de Google?

VirusTotal se diseñó para dar solución a un problema, no pensando en un modelo de negocio. En mi opinión ese enfoque fue parte de su éxito, si hubiéramos pensado en inicio en como monetizar el servicio probablemente no hubiéramos ido muy lejos. Hay proyectos donde, por su naturaleza, el dinero no llega hasta que has conseguido una masa de usuarios importantes alrededor de él, y en muchos casos el modelo de negocio aparece o evoluciona de una forma que no hubieras imaginado inicialmente. Mi forma de emprender es poner el foco en solucionar un problema de la mejor manera posible, no de la manera más rentable económicamente, así que supongo soy un “mal empresario”.

Cómo ves el panorama de las startups en España y dónde crees que están las mejores oportunidades de negocio en estos momentos?

Respecto al sector, todo lo relacionado con seguridad TIC no ha dejado de crecer en los últimos 15 años, y los indicadores apuntan a que seguirá así. Además es un mercado especialmente estable, incluso en momentos de crisis como los actuales se acentúa la necesidad de estar protegidos por un aumento en los ataques e intentos de fraude. Es un sector que recomiendo tanto a emprendedores como a jóvenes técnicos a los que les apasione el tema, es una profesión con presente y futuro.

Cuáles son tus planes a partir de ahora tras la compra de Virustotal por parte de Google?

Mis planes siguen siendo los mismos que antes de la adquisición, nuestra filosofía y objetivos no han cambiado. Google comparte nuestra visión de proteger a los usuarios del malware, así como de proveer de servicios a la comunidad e industria de la seguridad para incrementar la seguridad de toda la web. VirusTotal seguirá su camino, pero sin duda ahora tendremos más posibilidades de acelerar la consecución de nuestros objetivos.

Y para el que le haya sabido a poco aquí tenéis otra entrevista más extensa y centrada en los temas de seguridad informática.