Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

MetaDefender : detección unificada de vulnerabilidades de día cero en el perímetro

Cómo OPSWAT redefiniendo la defensa contra vulnerabilidades de día cero para ganar en rapidez, escala y desbaratar los planes de los adversarios
Por OPSWAT
Última actualización:
Comparte esta publicación

La realidad de los vulnerabilidades de día cero

Las amenazas de día cero ya no son casos aislados. Ahora son el arma preferida de los atacantes modernos.

Según OPSWAT , la complejidad del malware aumentó un 127 % durante el último año, y uno de cada catorce archivos clasificados inicialmente como seguros por fuentes de reputación resultó ser malicioso posteriormente. Estas amenazas están diseñadas para eludir los análisis estáticos, retrasar su ejecución, burlar los sistemas de identificación de sandboxes y camuflarse entre los flujos de trabajo legítimos.

Al mismo tiempo, las organizaciones se enfrentan a una disyuntiva insuperable:

  • Reducción del flujo de expedientes para realizar una inspección más exhaustiva
  • O bien, mantener la velocidad y aceptar los puntos ciegos

Los archivos ejecutables, los archivos de parches, los scripts, los archivos comprimidos y los documentos regulados a menudo no pueden ser depurados ni modificados. Esto genera una brecha de seguridad cada vez mayor en la que las herramientas tradicionales fallan.

MetaDefender se ha diseñado para cubrir esa necesidad.

Este blog es un análisis en profundidad delanuncio del lanzamientoMetaDefender . En él se explica por qué es importante la detección unificada de vulnerabilidades de día cero en el perímetro, cómoMetaDefender aborda toda la «pirámide del dolor» y cómo OPSWAT esta capacidad a través de cuatro productos estrechamente integrados, cada uno de ellos diseñado para una realidad operativa específica, pero todos ellos basados en el mismo proceso de detección de cuatro capas.

Mira el vídeo de presentaciónMetaDefender que aparece a continuación para hacerte una idea más clara en poco tiempo:

Este breve vídeo presenta los principales retos que resuelve MetaDefender y cómo detiene las amenazas de día cero y las amenazas evasivas antes de que entren en el entorno, sin ralentizar el flujo de archivos ni sobrecargar a los equipos del SOC.

Por qué la detección de vulnerabilidades de día cero debe trasladarse al perímetro

El perímetro es el único lugar por el que pasan todos los archivos.

Los archivos adjuntos de correo electrónico, las actualizaciones de software, los elementos de la cadena de suministro, los soportes extraíbles, las transferencias de archivos, las subidas a la nube y los intercambios entre dominios se acumulan antes de que los archivos lleguen a los usuarios o a los sistemas. Una vez que un archivo malicioso se ejecuta internamente, los costes de la respuesta se multiplican.

Sin embargo, las defensas tradicionales se diseñaron para detectar lo que ya se conoce. Los ataques de día cero, por definición, aprovechan lo que los defensores aún no reconocen: nuevas familias de malware, cargadores modificados, técnicas de «living-off-the-land» e infraestructuras que cambian más rápido de lo que tardan en actualizarse las fuentes de reputación.

Al mismo tiempo, las organizaciones están observando que:

  • Crecimiento vertiginoso de los vectores de ataque basados en archivos (documentos, instaladores, scripts, archivos comprimidos)
  • La presión normativa que exige un análisis dinámico del malware
  • El agotamiento del equipo de control de seguridad (SOC) provocado por el exceso de herramientas y la falta de coherencia en las conclusiones
  • Entornos Cloud, híbridos y aislados físicamente que no pueden basarse en un único modelo de implementación

Esta es la base de la solución de detección de vulnerabilidades de día cero OPSWAT.

La única solución para abordar toda la pirámide del dolor

La mayoría de las herramientas de seguridad operan en la base de la «pirámide del dolor»: hash, direcciones IP y dominios. Estos elementos son fáciles de modificar para los atacantes y baratos de reemplazar.

MetaDefender es diferente. Está diseñado para ejercer una presión progresiva en todos los niveles de la pirámide, lo que obliga a los atacantes a replantearse continuamente sus operaciones.

MetaDefender aborda toda la pirámide del dolor

Correlación deMetaDefender con la «pirámide del dolor»

ObjetivosResultado
Nivel 1
Reputación de amenazas
Hashes, direcciones IP, dominios
MetaDefender comienza con comprobaciones de reputación de amenazas en tiempo real y sin conexión. Esta capa bloquea al instante el malware conocido, las infraestructuras de phishing y los indicadores reutilizados.
  • Detiene las amenazas de los productos básicos con una latencia prácticamente nula
  • Obliga a los atacantes a cambiar de infraestructura
  • Interrumpe las campañas automatizadas
Capa 2
Análisis dinámico [Emulación]
Artefactos y herramientas
Los archivos desconocidos y sospechosos se ejecutan en un entorno basado en emulación que elude las técnicas de evasión de máquinas virtuales y de sincronización. Esto permite detectar cadenas de cargadores, cargas útiles que solo residen en memoria, archivos descargados, cambios en el registro y llamadas de retorno de red.
  • Detecta el comportamiento evasivo del malware
  • Obliga a los atacantes a rediseñar sus cargas útiles y sus cargadores
  • Detecta amenazas que los entornos de pruebas tradicionales no detectan
Capa 3
Puntuación de amenazas
Herramientas y técnicas
Los indicadores de comportamiento se correlacionan y puntúan utilizando cientos de señales maliciosas alineadas con el marco MITRE ATT&CK. Esto permite priorizar los riesgos reales y reducir el ruido para los analistas.
  • Ofrece un único veredicto fiable
  • Reduce la fatiga por alertas
  • Obliga a los atacantes a modificar el comportamiento del malware
Capa 4
Búsqueda de amenazas [Búsqueda por similitud]
TTPs
La búsqueda de similitudes basada en el aprendizaje automático establece correlaciones entre variantes, familias e infraestructura en todas las muestras. Incluso cuando los artefactos cambian, las campañas quedan al descubierto.
  • Detecta variantes desconocidas
  • Las Fuerzas Armadas completan la remodelación de las técnicas de ataque
  • Inflige el máximo daño al adversario

En conjunto, estas capas convierten a MetaDefender en la única solución unificada de detección de vulnerabilidades de día cero diseñada para hacer frente a toda la «pirámide del dolor».

El resultado global: Aether maximiza el coste para el atacante al hacer frente a toda la «pirámide del dolor».

¿Qué diferencia aMetaDefender ?

MetaDefender es la solución unificada de detección de amenazas de día cero OPSWAT, que combina cuatro capas de detección en un único proceso de autoaprendizaje:

El proceso de detección de amenazas de cuatro capas MetaDefender

Reputación de amenazas de nivel 1

Pregunta respondida:¿Se sabe que el archivo es malicioso? 
 


La función «Reputación de amenazas» compara archivos, URL, direcciones IP y dominios con una base de datos global que se actualiza constantemente para identificar al instante las amenazas conocidas. Esta capa detiene de forma temprana el malware común y el phishing, lo que obliga a los atacantes a cambiar constantemente de infraestructura y a reutilizar los indicadores de forma menos eficaz. 

Análisis dinámico de la capa 2 mediante emulación

Pregunta respondida:¿Muestra el archivo un comportamiento desconocido o sospechoso?

El análisis dinámico ejecuta los archivos sospechosos en un entorno basado en emulación que evita las técnicas de evasión de entornos aislados y los trucos de sincronización. De este modo, pone de manifiesto comportamientos ocultos, como cadenas de cargadores, cargas útiles que solo residen en memoria y ejecuciones en varias etapas, que el análisis estático y los entornos aislados basados en máquinas virtuales suelen pasar por alto.

Puntuación de amenazas en la capa 3

Pregunta respondida:¿Cuál es el nivel real de riesgo de la amenaza de día cero?
 


La puntuación de amenazas correlaciona los indicadores de comportamiento, el contexto de reputación y las señales de detección para asignar una puntuación de riesgo basada en el nivel de confianza. Esto permite priorizar las amenazas reales, reduce la fatiga por alertas y permite a los equipos del SOC centrarse en lo que requiere una acción inmediata.

Detección de amenazas en la capa 4 mediante búsqueda de similitudes con aprendizaje automático

Pregunta respondida: ¿Estárelacionada la amenaza de día cero con campañas de malware más amplias?
 


La búsqueda de amenazas utiliza la búsqueda de similitudes basada en el aprendizaje automático para correlacionar muestras desconocidas con familias de malware, variantes e infraestructuras conocidas. Esto permite obtener una visibilidad a nivel de campaña y detectar amenazas incluso cuando los atacantes cambian las cargas útiles, las herramientas o los indicadores. 

En lugar de múltiples herramientas y resultados contradictorios,MetaDefender ofrece un único resultado fiable, a gran escala y en el perímetro.

Cómo detecta MetaDefender las amenazas en cuatro niveles: reputación de amenazas, análisis dinámico, puntuación de amenazas y búsqueda de amenazas

Los cuatro productos que impulsan la detección unificada de vulnerabilidades de día cero

MetaDefender se ofrece a través de cuatro soluciones estrechamente coordinadas. Cada una de ellas resuelve un reto operativo concreto, al tiempo que aporta información de inteligencia al mismo proceso de detección.

MetaDefender (versión independiente)

MetaDefender Standalone: búsqueda de similitudes basada en el aprendizaje automático mediante el correlador de patrones de amenazas OPSWAT

Para equipos de seguridad de operaciones (SOC) y cazadores de amenazas que necesitan una visibilidad y un control exhaustivos

  • Más información sobreMetaDefender aquí.
  • Descargaaquí el resumen de la solución.

El reto

Los equipos de seguridad suelen recurrir a entornos aislados que son lentos, detectables como máquinas virtuales y están desconectados de la información sobre amenazas. Las investigaciones requieren cambiar manualmente de una herramienta a otra.

Lo que ofrece Aether

  • Análisis dinámico basado en emulación que elude las técnicas de evasión de entornos de pruebas
  • Evaluación de amenazas y búsqueda de similitudes integradas directamente en el veredicto
  • Informes detallados sobre el comportamiento y extracción de indicadores de compromiso (IOC)

La transformación

Las organizaciones obtienenlos mejores resultados en el análisis de archivos, una clasificación más rápida y una visión detallada a nivel de campaña, sin sacrificar el rendimiento.

¿Quién se beneficia?

Analistas de SOC, analistas de malware, cazadores de amenazas y equipos de DFIR.

MetaDefender para Cloud 

MetaDefender para Cloud gráfico que muestra las amenazas prevenidas

Para entornos nativos de la nube, DevSecOps y de gran volumen

El reto

Los entornos de pruebas tradicionales no se adaptan a los flujos de trabajo en la nube y generan una carga operativa adicional. 

Qué resuelve

  • Detonación basada en SaaS y en emulación a escala de la nube 
  • Integración API con procesos de CI/CD, almacenamiento y canalizaciones SaaS 
  • No hay que instalar ni mantener ninguna infraestructura 

La transformación

Las organizaciones mantienen la velocidad y el volumen de los archivos, al tiempo que incorporan la detección de amenazas de día cero en todos los lugares por donde se mueven los archivos.

¿Quién se beneficia?

Arquitectos Cloud , equipos de DevSecOps, MSSP y centros de operaciones de seguridad (SOC) distribuidos.

MetaDefender para Core

MetaDefender for Core: IndicadoresSandbox y veredictoSandbox Adaptive

Para entornos locales, regulados y aislados físicamente

El reto

Los entornos de infraestructuras críticas y gubernamentales no pueden enviar archivos a la nube, pero siguen necesitando un análisis dinámico.

Qué resuelve

  • Entorno de pruebas aislado basado en emulación integrado enMetaDefender Core 
  • Funcionamiento totalmente sin conexión con flujos de trabajo basados en políticas 
  • No se necesita ninguna infraestructura nueva 

La transformación

La detección de vulnerabilidades de día cero pasa a ser conforme a las normas, auditable y fácil de implementar, incluso en redes aisladas.

¿Quién se beneficia?

Arquitectos de seguridad, operadores de sistemas de tecnología operativa (OT) y sistemas de control industrial (ICS), equipos gubernamentales y de defensa.

MetaDefender Threat Intelligence

MetaDefender Threat Intelligence: Enriquecimiento y búsqueda de amenazas

Para la correlación, el enriquecimiento y la defensa proactiva

  • Más información sobreMetaDefender Threat Intelligence aquí.  
  • Descargaaquí el resumen de la solución. 

El reto

La información sobre amenazas basada únicamente en la reputación no da abasto ante los ataques modernos, que evolucionan a gran velocidad.

Qué resuelve

  • IOC enriquecidos con información sobre el comportamiento a partir de la telemetría de Sandbox
  • Búsqueda de similitudes basada en el aprendizaje automático para detectar variantes y agrupaciones
  • Integración perfecta de SIEM, SOAR, MISP y STIX

La transformación

Cada amenaza desconocida se convierte en información útil, lo que mejora la detección futura y reduce el tiempo de permanencia.

¿Quién se beneficia?

Equipos de inteligencia sobre amenazas, SOC, CISO, ingenieros de plataformas.

Un nuevo estándar para la defensa contra vulnerabilidades de día cero 

MetaDefender supone un cambio de la detección reactiva a la resiliencia proactiva. 

Las organizaciones que implementan Aether se benefician de: 

  • Los mejores resultados en análisis de archivos (hasta un 99,9 % de eficacia en la detección de vulnerabilidades de día cero) 
  • Alta velocidad de procesamiento de archivos(hasta 20 veces más rápido que los entornos de pruebas tradicionales) 
  • Compatibilidad con grandes volúmenes de archivos enel perímetro 
  • Reducción de la sobrecarga del SOCgracias a un único veredicto fiable 
  • Capacidad demostrablepara cumplir conla normativa vigente 

Y lo que es más importante, MetaDefender cambia la dinámica de los ataques al obligar a los adversarios a reinventar constantemente sus tácticas.

Las amenazas de día cero no dan tregua. Tus defensas tampoco deberían hacerlo.

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.