panda security presentación adaptive defense
Post on 14-Apr-2017
113 Views
Preview:
TRANSCRIPT
Adaptive Defense
CLOSING THE GAP OF MALWARE DETECTION
24/03/2015 Audit Service 2
Contenido
1. Los tres factores que definen la
seguridad informática en las
empresas
2. ¿Qué es Panda Adaptive
Defense?
3. ¿A quién va dirigido?
4. Características y beneficios
5. ¿Cómo funciona?
6. Opiniones de nuestros clientes
24/03/2015 Audit Service 3
Los tres factores que definen la
seguridad informática en las
empresas
24/03/2015 Panda Adaptive Defense 4
Los 3 factores… Ev
olu
ció
n
1998 2014
1
2
3
Sofisticación del Malware
Evolución de los entornos IT
Evolución de los antivirus
tradicionales
24/03/2015 Panda Adaptive Defense 5
Primer factor:
Sofisticación del
malware
a. Malware cada vez más sofisticado y difícil de
detectar
o Desarrollos mas complejos
o Con capacidades avanzadas para
pasar inadvertidos
b. Evolución de las estrategias de infección
o Investigación previa sobre el objetivo
o Ataques espaciados y coordinados,
que utilizan varios vectores
simultáneamente (Advanced
Persistent Threat)
c. Cambio en las motivaciones de los creadores de malware
o Del reconocimiento personal hacia
motivos económicos. Espionaje
industrial, robo de tarjetas,…
Las empresas desarrollan sus actividades
en un entorno mucho más peligroso para su
capital intelectual
Ev
olu
ció
n d
el M
alw
are
1998 2014
VIRUS
SPYWARE
BOTS TROYANOS
ATAQUES
DIRIGIDOS
ATAQUES
ZERO-DAY
TROYANOS
DINAMICOS 100 nuevas muestras encontradas cada día
1.369 nuevas muestras encontradas cada día
Más de 200,000 nuevas muestras encontradas cada día
24/03/2015 Panda Adaptive Defense 6
Segundo factor:
Tendencia de los
entornos IT en las
empresas
Infraestructura más compleja de gestionar.
o BYOD.
o Trabajadores en itinerancia y en
oficinas remotas.
o Sistemas heterogéneos.
o Mas software instalado, más
vulnerabilidades.
Mayor dependencia tecnológica de los
procesos internos de la empresa.
Dimensionamiento de los departamentos de IT
sin cambios o a la baja.
El incremento de la complejidad de los sistemas
de IT de las empresas incrementa su
vulnerabilidad ante el malware
Ev
olu
ció
n
de
lo
s e
nto
rno
s IT
24/03/2015 Panda Adaptive Defense 7
Tercer factor:
Evolución de los
antivirus
tradicionales
Volumen de malware
o MÁS recursos diseccionando malware
o MAYOR tamaño ficheros de firmas
o MÁS detecciones heurísticas
Complejidad y peligrosidad del malware
o MÁS motores de detección
o MÁS vectores de infección a proteger
Complejidad de las infraestructuras de IT...)
o MÁS plataformas compatibles
o MÁS modelos de protección
(SaaS, endpoint, perimetral...)
Ev
olu
ció
n A
ntiv
iru
s
Tra
dic
ion
ale
s
1998 2014
Fichero de firmas
Motor de detección
Heurísticas
- Altos consumos de memoria y CPU - Alto riesgo de infección - Gestión compleja de la seguridad
24/03/2015 Panda Adaptive Defense 8
“Detecting attacks often takes an alarmingly
long time—46% of respondents report an
average detection time of hours or days.
Resolution once an attack has been identified
takes even longer, with 54% reporting average
resolution times of days, weeks or months.”
IDG Research, DARKReading, 2014
Nuevo malware: la
ventana de
oportunidad
2%
4%
7%
9%
18%
70% 75% 80% 85% 90% 95% 100%
3 meses
1 mes
7 dias
3 dias
24h
% VIRUS detectados
% VIRUS no detectados
El 18% del malware nuevo no se detecta en las 24
primeras horas y un 2% sigue sin detectarse 3
meses después.
Análisis realizado por Panda Security
24/03/2015 Audit Service 9
¿Qué es Panda Adaptive
Defense?
24/03/2015 Audit Service 10
Panda
Adaptive Defense
Panda Adaptive Defense es un nuevo modelo de
seguridad capaz de ofrecer protección completa para
dispositivos y servidores mediante la clasificación del 100%
de los procesos ejecutados en cada puesto y cada
servidor de tu parque informático, supervisando y
controlando su comportamiento.
Más de 1.200 millones de aplicaciones ya clasificadas
La nueva versión de Adaptive Defense(1.5) incluye el
motor AV, añadiendo la capacidad de desinfección, y
posibilitando el reemplazo del antivirus de la empresa.
Información
forense para
investigar en
profundidad cada
intento de ataque
… y trazabilidad de
cada acción
realizada por las
aplicaciones en
ejecución.
… y bloqueo de
aplicaciones, aislando
los sistemas para
prevenir futuros
ataques
… y bloqueo en
tiempo real y sin
necesidad de ficheros
de firmas de todos los
ataques Zero-day y
dirigidos
24/03/2015 Audit Service 11
¿A quién va dirigido?
MB (101-1000)
End-users (companies)
Key Accounts
SOHO (1-25)
SB (26-100)
Objetivo: Gran Cuenta
Idealmente clientes con más de 500 PCs (100 mínimo) y
preocupados por los riesgos de seguridad
Algunos verticales que demandan este tipo de soluciones son:
• Gran Comercio (POS):
• Visibilidad y control con bajo impacto en rendimiento
• Total visibilidad de las aplicaciones ejecutadas
• Capacidad de Black-listing y lockdown (a partir de
v2.0)
• Sectores Financiero, Energético and Farmacéutico
• Visibilidad, prevención y bloqueo de ataques dirigidos
a este tipo de organizaciones:
• Bancos e instituciones financieras
• Compañías de seguros
• Fondos de inversión
• Investigación Farmacéutica, …
• Administración/Gobierno
• Buscan protección frente a cyber amenazas y
herramientas para identificar, combatir y detener a los
cyber criminales
Clie
nt
seg
me
nt
24/03/2015 Adaptive Defense & Audit Service Sales
Policy 12
24/03/2015 Audit Service 13
Características y beneficios
24/03/2015 Panda Adaptive Defense 14
Control preciso y configurable de las aplicaciones en ejecución
Protección de sistemas vulnerables
Protección ante ataques dirigidos hacia tu capital intelectual
Información forense.
Protección
Productividad Identificación y bloqueo de programas no autorizados
por la empresa
Solución ligera y fácil de desplegar
Gestión Informes diarios e inmediatos.
Gestión sencilla y centralizada en una consola web
Mayor servicio, menor gestión
Contra fabricantes de AV
Contra fabricantes de WL*
Contra nuevos fabricantes de ATDs
Gap en la detección, no clasifican
todos los ejecutables
Requieren creación y gestión
de las listas blancas
Las soluciones perimetrales
no cubren todos los vectores de
infección
No son transparentes para los usuarios
finales y administradores (gestión falsos
positivos, cuarentenas, …)
El despliegue es
laborioso y complejo
Supervidar entornos virtuales (sandboxing) no es tan efectivo como
supervisar entornos reales
Los sistemas WL suponen
una costosa sobrecarga
para el administrador
Otros ATDs previenen/bloquean los
ataques, solo los detectan
24/03/2015 Panda Adaptive Defense 15
Qué Diferencia a Adaptive Defense
* WL=Whitelisting. Bit9, Lumension, etc
** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc
24/03/2015 Panda Adaptive Defense 16
Capacidad de detección de nuevo malware* Antivirus
Tradicional (25) Panda Adaptive Defense
Modelo Standard Modelo Extendido
Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%
Nuevo malware detectado en los primeros 7 días 93% 100% 100%
Nuevo malware detectado en los primeros 3 meses 98% 100% 100%
% detecciones de PAPS no detectadas por
ningún antivirus
3,30%
Detección de Sospechosos SI NO (no hay incertidumbre)
Clasificación de ficheros Agente
Universal ** Panda Adaptive Defense
Ficheros clasificados automáticamente 60,25% 99,56%
Nivel de confianza de la clasificación 99,928% 99,9991%
< 1 error / 100.000 ficheros
* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y
cookies no han sido incluidos en este estudio.
Adaptive Defense vs Antivirus Tradicionales
** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda
Security
24/03/2015 Audit Service 17
Como funciona Adaptive
Defense?
24/03/2015 Panda Adaptive Defense 18
Un nuevo modelo de seguridad cloud en tres
fases
1ª Fase: Monitorización
minuciosa de cada una de las
acciones que desencadenan los
programas en los equipos.
2ª Fase: Análisis y correlación
de todas las acciones
monitorizadas en todos los
clientes gracias a técnicas de
inteligencia basadas en Data
Mining y Big Data.
3ª Fase: Fortificación y
securización de los equipos,
impidiendo la ejecución de
cualquier proceso sospechoso o
peligroso y alertando al
administrador de la red.
24/03/2015 Panda Adaptive Defense 19
El endpoint instalado en cada equipo
inspecciona todos los eventos desencadenados
por cada proceso en ejecución. Cada evento
es catalogado (mas de 2000 tipos) y enviado a
la nube.
o Descarga de ficheros
o Instalación de software
o Creación de Drivers
o Procesos de comunicación
o Carga de DLLs
o Creación de servicios
o Creación y borrado de carpetas y ficheros
o Creación y borrado de ramas del Registro
o Acceso local a datos (más de 200 formatos)
Fase 1:
Monitorización
continua del equipo
24/03/2015 Panda Adaptive Defense 20
Fase 2: Análisis Big Data
(*) Clasificación basada en patrones realizada por Panda Labs con un tiempo de respuesta menor de 24h de media
(**) El nivel de confianza determina si un proceso es confiable o no, en cuyo caso se impide su ejecución.
Información
Estática
Contextual
Externa (3º parties)
Ejecución controlada y clasificación* en máquinas
físicas
Análisis Big Data
Clasificación continuada
de ejecutables*
Cálculo del nivel de confianza
El nivel de confianza** de cada proceso se recalcula según el
comportamiento dinámico de los mismos.
El nivel de confianza se recalcula
en base a la nueva evidencia recibida (Análisis Retrospectivo).
24/03/2015 Panda Adaptive Defense 21
Fase 3: Fortificación
y securización del
endpoint
Todos los ejecutables son clasificados con
una precisión cercana al 100% (99,9991%).
Todo ejecutable clasificado como malware
se bloquea inmediatamente.
Protección contra vulnerabilidades.
Aplicaciones tales como Java, Adobe,
Microsoft Office y navegadores son
protegidos contra ataques basados en fallos
de software utilizando reglas contextuales y
de comportamiento.
Data hardening.
Únicamente se permite el acceso a los datos
y a ciertas áreas sensibles del sistema
operativo a aquellas aplicaciones que han
sido clasificadas como seguras.
Bloqueo de todos los procesos sin clasificar.
Los procesos desconocidos son bloqueados
hasta que les sea asignado un MCL
(Maximum Confidence Level) por el sistema.
En caso de no ser clasificado
automáticamente, la aplicación será
clasificado por un analista.
MO
DO
ESTÁ
ND
AR
MO
DO
EX
TEN
DID
O
24/03/2015 Global 22
Arquitectura de la Solución Adaptive Defense y otros Productos Panda
Collective Intelligence
Adaptive Defense Big Data
Endpoint Agent/s
Endpoint Management Console
Continuous Analysis
Continuous Exec
Classification
Adaptive Defense Agent/s
Central Management
Center
Security & IT Managers
Central Office
Other branches location
Employees Seats
Adaptive Defense Management Console
Systems Management Management Console
Systems Management Agent/s
Adaptive Defense Big Data Comms
Endpoint Protection Collective Intelligence Comms
Endpoint Protection Agents Comms
Adaptive Defense Agents Comms
Systems Management Agents Comms
Management Console Comms
24/03/2015 Audit Service 23
Opiniones de nuestros clientes
24/03/2015 Audit Service 24
"Gracias a Panda Adaptive Defense podemos ofrecer una garantía de protección completa sobre los
puestos y servidores de nuestros clientes, supervisando y controlando de forma granular el
comportamiento de cada máquina. Además, nos permite ofrecer servicios de análisis forense a petición
de nuestros clientes.“ “Adaptive Defense nos permite de una forma sencilla ofrecer garantías de
seguridad frente al cibercrimen y los ataques dirigidos, un punto clave que no estábamos seguros de
poder alcanzar cuando comenzamos a evaluar soluciones.” Alfonso Martín Palma, Senior Manager del
Indra Cybersecurity Operations Center (i-CSOC).
“Estamos muy satisfechos con la calidad del servicio ofrecido por Panda Security durante estos meses.
Gracias a su innovador servicio de clasificación de aplicaciones, podemos contar con alertas y bloqueos
en tiempo real que nos permite protegernos contra ciberamenazas avanzadas como meta-exploits, APTs
basadas en adware, PUPs, etc.”
“Después del éxito de este proyecto, y gracias a la calidad de los servicios ofrecidos, Eulen centra su
atención en la seguridad de nuevos sistemas operativos, como Android, y para ello tiene en
consideración una nueva colaboración con Panda Security.”
Gracias
top related