EF481 - Eurofach Electrónica

INVESTIGACIÓN 46 perimetrándolo, colocándolo en zona de cuarentena, en sandbox, etc.) erradicando las infecciones y recuperándose del ciber-incidente malware (por ejemplo, utilizando los backups redundantes, utili- zando canales-enlaces de respaldo, utilizando dispositivos-recursos redundantes-replicados, etc.). Se puede necesitar volver a la fase 2 durante la fase 3, por ejemplo, para comprobar las infecciones adicio- nales que hayan ocurrido desde la realización de la detección original. • Actividades después del ciber- incidente. Después de gestionar un ciber-incidente malware se debe emitir un informe detallado de las causas y costos del ciber- incidente malware y las medidas que se deberían tomar para prevenir futuros ciber-incidentes malware y preparase anticipadamente (saltando a la fase 1) y más eficientemente para gestionar lo que hacer en futuros ciber-incidentes malware (aplicando todas las lecciones aprendidas). En todo lo anterior yace la incertidumbre de no poder detectar malware de la última generación sigiloso, mul- tifuncional y multi-carga útil. ESTRATEGIASYMECANISMOSDE DEFENSACONTRAELMALWARE Algunosmecanismos, técnicas y estrate- gias de defensa contra el malware son: • Monitorización. Utilizar la monitori- zación en tiempo real del tráfico de red, de los sistemas y dispositivos finales. Empleo de rastreadores preventivos multinivel. Se deben utilizar herramientas como firewalls, escaners de malware en tiempo real (incluso en RAM buscando modi- ficaciones maliciosas), sistemas de prevención de fuga de datos, inspección profunda de paquetes de red, sistemas de detección y pre- vención de intrusiones en los puntos de entrada y salida de la red para saber lo que accede o sale de la red. Las conexiones IP entrantes y salientes no usuales son un indica- dor de que algo malo ocurre. Los cambios en los sistemas de ficheros del dispositivo de un usuario que sean los normales de una utiliza- ción usual, son una evidencia que indica una infección. Realizar test de penetración y auditorías estáticas y dinámicas internas y externas. • Logging. Se basa en la monitoriza- ción, se trata de recoger logs para registrar y determinar el instante de tiempo, los eventos, la metodolo- gía de la infección inicial, etc. que permite realizar trazabilidad de las etapas de la infección malware. El logging de red en firewalls, sistemas de ficheros, el logging de eventos en servidores y clientes, los logs de los resultados del escaneo antimalware, los logs que indican las actividades de login y logout del usuario local o remoto, etc. son algunos de los repositorios de información más útiles desde la perspectiva de un equipo de remedio que deberían utilizar herramientas SIEM. Los logs proporcionan una base para la inves- tigación de infecciones y pueden reducir el tiempo necesario para evaluar la trayectoria del malware y sus métodos de persistencia. Los ficheros de log son datos muy valio- sos y consecuentemente se deben hacer backups redundantes (para tolerancia a fallos) y guardarlos durante largos períodos de tiempo para analizar tipos de malware de funcionamiento extremadamente lento. El uso de tecnologías como Big-Data ayuda cuando semanipulan elevados volúmenes de datos. • Exploración y reparación de vul- nerabilidades. Existen infinitas vulnerabilidades. Las vulnerabilidades 0-day aún no se saben. Las vulnera- bilidades son deficiencias, bugs (en implementación), flaws (en diseño y código), debilidades, confianzas, negligencias, fallos (endiseño, configu- ración, implementación, etc.), errores de política, organización, gobernanza, etc., fallos de software, firmware y hardware, etc. Se suelen cometer fallos casi siempre en sistemas y aplicaciones/APPs, frecuentemente en ingeniería e implementación y a veces en algoritmos y protocolos (por ejemplo, SMB v.1.0). Existen numero- sos organismos que se encargan de registrar las vulnerabilidades conoci- das como CVE, CWE, NVD, OSVDB. Existen numerosas herramientas para el escaneo de vulnerabilidades como Nessus, W3af, Nikto, Metasploit (adqui- rido por Rapid7 en el 2009), OpenVAS. Herramientas del tipo analizadores estáticos (sin ejecución del código) son Coverity, Fortify, Veracode, Grep, Lint (JSLint es Lint para JavaScript). Herramienta del tipo analizadores dinámicos (con ejecución del código) es Valgrind. Las vulnerabilidades son explotadas por exploits. Algunas herra-