Tendencias Seguridad Enero
Páginas: 13 (3214 palabras)
Publicado: 23 de febrero de 2013
TENDENCIAS DE SEGURIDAD
Q1
Abstract
Las tendencias de seguridad son indicadores de comportamientos relacionados con la materialización de riesgos sobre vulnerabilidades comunes en la región. Sur américa constituye un área rica en tecnologías emergentes y suele ser vista como segmento de ataques sencillos a elementos informáticos. Durante los últimos años ese concepto ha venido cambiandoy abriéndose paso a nivel global por medio del fortalecimiento de conceptos de seguridad de vanguardia y de esquemas de unificación a nivel de mercados. Este documento identifica varios de los elementos relevantes detectados a nivel de la región y que permitirán a lo largo del estudio mes a mes, implementar mecanismos de fortalecimiento y aseguramiento de los elementos tecnológicos comunes. El mesde enero se presenta como el inicio de un año regido por nuevos ataques organizados y aprovechamiento de vulnerabilidades por herramientas de interfaz amigable y de uso mas común.
II. Marco de Referencia
La información empleada en este estudio corresponde a las diferentes variables generadas por diversos motores de correlación, los datos del entorno de la seguridad, la disponibilidadde variados sensores, la existencia pública de exploits, malware y scripts que aprovechen las vulnerabilidades reconocidas, la facilidad de implementación y difusión de las herramientas de ataque y las recomendaciones del mercado entre otras variables.
III. Variables de análisis
Los elementos de análisis son extraídos de los indicadores de eventos más representativos del mes.Figura 1. Gráfica de tendencias.
Siendo entonces estas las variables de análisis del mes:
• Código malicioso (Malware)
• Intentos de conexiones
• Actividades de reconocimiento
• Fuentes de conexiones no confiables
• Servicios o configuraciones vulnerables
IV. Indicadores de Tendencia
El proceso de declaración de eventos de seguridad para nuestros clientes nos permiteestablecer el punto de partida de los elementos de estudio para indicadores de este período. Estos datos se comparan con los comportamientos de los eventos más relevantes para cada categoría y se obtiene el resultado de los indicadores de tendencia evaluados sobre datos globales, para nuestras variables locales.
MALWARE
El comportamiento más recurrente en la variable Malware permite determinaruna importante participación de 3 grupos fundamentales de Malware:
Troyanos: Caracterizados por conexiones iterantes a puertos determinados en direcciones IP sospechosas pero dinámicas, permanecen dormidos en la red realizando conexiones ocasionales a su Command & Control o su fuente de Payloads.
Loaders: son tipos de troyanos que no son detectados como MALWARE por antivirus u otroselementos de seguridad pero cuyo objetivo es descargar el malware propiamente dicho (payload) en el momento determinado por el atacante.
Gusanos: Se propagan automáticamente por la red, aprovechando vulnerabilidades de máquinas vecinas o de su entorno.
Los candidatos de tipo Malware , y sus puertos sospechosos más usados para esta categoría fueron:
Puerto Candidatos
80 LOADERS
8080LOADERS
1745 Trojan.Win32.Generic!BT Trojan, Worm.Win32.Downad.Gen
443 Trojan-Spy.Win32.Zbot.gen
1540 Worm.Win32.Downad.Gen
35000 Worm.Win32.Downad.Gen
60000 Worm.Win32.Downad.Gen
N/A W32/VBInjector.KFC!tr
Tabla 1. Malware identificado por comportamiento en puertos
Es importante recordar que los puertos son seleccionados a voluntad del creador del malware y varían subjetivamente tantoentre variantes como en el tiempo. La estadística presentada simplemente determina los comportamientos recurrentes del mes.
• Contención
En primera medida la actualización de los motores de antivirus mínimo al 15 de Enero.
A nivel de firmas en los IPS se recomienda activar en modo DROP y mantener monitoreo sobre las relacionadas con las siguientes palabras clave:
(NOTA: se enumeran...
Q1
Abstract
Las tendencias de seguridad son indicadores de comportamientos relacionados con la materialización de riesgos sobre vulnerabilidades comunes en la región. Sur américa constituye un área rica en tecnologías emergentes y suele ser vista como segmento de ataques sencillos a elementos informáticos. Durante los últimos años ese concepto ha venido cambiandoy abriéndose paso a nivel global por medio del fortalecimiento de conceptos de seguridad de vanguardia y de esquemas de unificación a nivel de mercados. Este documento identifica varios de los elementos relevantes detectados a nivel de la región y que permitirán a lo largo del estudio mes a mes, implementar mecanismos de fortalecimiento y aseguramiento de los elementos tecnológicos comunes. El mesde enero se presenta como el inicio de un año regido por nuevos ataques organizados y aprovechamiento de vulnerabilidades por herramientas de interfaz amigable y de uso mas común.
II. Marco de Referencia
La información empleada en este estudio corresponde a las diferentes variables generadas por diversos motores de correlación, los datos del entorno de la seguridad, la disponibilidadde variados sensores, la existencia pública de exploits, malware y scripts que aprovechen las vulnerabilidades reconocidas, la facilidad de implementación y difusión de las herramientas de ataque y las recomendaciones del mercado entre otras variables.
III. Variables de análisis
Los elementos de análisis son extraídos de los indicadores de eventos más representativos del mes.Figura 1. Gráfica de tendencias.
Siendo entonces estas las variables de análisis del mes:
• Código malicioso (Malware)
• Intentos de conexiones
• Actividades de reconocimiento
• Fuentes de conexiones no confiables
• Servicios o configuraciones vulnerables
IV. Indicadores de Tendencia
El proceso de declaración de eventos de seguridad para nuestros clientes nos permiteestablecer el punto de partida de los elementos de estudio para indicadores de este período. Estos datos se comparan con los comportamientos de los eventos más relevantes para cada categoría y se obtiene el resultado de los indicadores de tendencia evaluados sobre datos globales, para nuestras variables locales.
MALWARE
El comportamiento más recurrente en la variable Malware permite determinaruna importante participación de 3 grupos fundamentales de Malware:
Troyanos: Caracterizados por conexiones iterantes a puertos determinados en direcciones IP sospechosas pero dinámicas, permanecen dormidos en la red realizando conexiones ocasionales a su Command & Control o su fuente de Payloads.
Loaders: son tipos de troyanos que no son detectados como MALWARE por antivirus u otroselementos de seguridad pero cuyo objetivo es descargar el malware propiamente dicho (payload) en el momento determinado por el atacante.
Gusanos: Se propagan automáticamente por la red, aprovechando vulnerabilidades de máquinas vecinas o de su entorno.
Los candidatos de tipo Malware , y sus puertos sospechosos más usados para esta categoría fueron:
Puerto Candidatos
80 LOADERS
8080LOADERS
1745 Trojan.Win32.Generic!BT Trojan, Worm.Win32.Downad.Gen
443 Trojan-Spy.Win32.Zbot.gen
1540 Worm.Win32.Downad.Gen
35000 Worm.Win32.Downad.Gen
60000 Worm.Win32.Downad.Gen
N/A W32/VBInjector.KFC!tr
Tabla 1. Malware identificado por comportamiento en puertos
Es importante recordar que los puertos son seleccionados a voluntad del creador del malware y varían subjetivamente tantoentre variantes como en el tiempo. La estadística presentada simplemente determina los comportamientos recurrentes del mes.
• Contención
En primera medida la actualización de los motores de antivirus mínimo al 15 de Enero.
A nivel de firmas en los IPS se recomienda activar en modo DROP y mantener monitoreo sobre las relacionadas con las siguientes palabras clave:
(NOTA: se enumeran...
Leer documento completo
Regístrate para leer el documento completo.