1 dic. 2014

Análisis de herramientas antiAPT

El término amenaza persistente avanzada (APT) se refiere a que un potencial atacante podría tener la capacidad y la intención de realizar ataques avanzados contra objetivos de alto perfil específicos, con el fin de poner en peligro sus sistemas y mantener un control permanente sobre ellos de una manera furtiva.

A menudo se utilizan nuevos tipos de malware, no reconocidos por las soluciones de seguridad tradicional. Los atacantes suelen utilizar técnicas de "phishing", explotan vulnerabilidades o tientan al usuario a abrir un archivo que contiene el malware o un enlace dañino.

Las técnicas tradicionales antivirus productos son bastante ineficaces en detectar nuevo malware y por lo tanto han aparecido nuevas soluciones para mitigar los ataques APT. Estas herramientas antiAPT suelen identificar archivos y tráfico sospechoso de red, ejecutan archivos en entornos de sandbox, analizan el comportamiento y tratan de identificar anomalías que puedan indicar la presencia de malware o un intento de explotación.

Existen herramientas de detección de ataque de Cisco, SourceFire, Checkpoint, Damballa, Fidelis XPS, FireEye, Fortinet,
LastLine, LastLine, Palo Alto, Trend Micro y Websense. Estas nuevas herramientas pueden resultar útiles y han ayudado a identificar varios ataques recientemente 0-Day.
MRG Effitas y CrySyS Lab han realizado distintos análisis [PDF] a estas herramientas antiAPT con el objetivo de determinar la efectividad de de las mismas en base a una metodología propia y no basada en la cantidad de APTs detectadas.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!