Tecnologías de protección contra programas maliciosos STAR

Descripción general

Security Technology and Response (STAR) es la división de Symantec responsable de la innovación y el desarrollo de nuestras tecnologías de seguridad que brindan protección en cinco áreas diferentes: archivo, red, comportamiento, reputación y reparación.

Dentro de Symantec, Security Technology and Response (STAR) se encarga de supervisar los esfuerzos de investigación y desarrollo en torno a todas nuestras tecnologías de seguridad contra programas maliciosos. Estas capacidades conforman la protección básica que ofrecen los productos de seguridad para clientes y empresas de Symantec.

La organización Security Technology and Response (STAR), que incluye Security Response, es un equipo de ingenieros de seguridad, analistas de amenazas e investigadores de todo el mundo que ofrecen la funcionalidad, el contenido y la asistencia subyacentes para todos los productos de seguridad de Symantec para consumidor y empresa. Gracias a los centros de respuesta distribuidos en diferentes países, STAR puede supervisar los informes de códigos maliciosos de más de 130 millones de sistemas por Internet, recibir datos de 240 000 sensores de red de más de 200 países y realizar el seguimiento de más de 25 000 vulnerabilidades que afectan a más de 55 000 tecnologías de más de 8000 proveedores. El equipo usa esta inteligencia para desarrollar y ofrecer las capacidades de protección de la seguridad más completas a nivel mundial. STAR cuenta con aproximadamente 550 empleados.

Hace algunos años, no hacía falta más que las tecnologías antivirus tradicionales para proteger un endpoint contra ataques. Sin embargo, en los últimos años, el panorama de las amenazas sufrió un cambio drástico y el uso exclusivo de tecnologías basadas en antivirus ya no es suficiente. Para afrontar este problema, STAR ha desarrollado un ecosistema colaborativo de tecnologías de seguridad para proteger a los usuarios de Symantec de los ataques maliciosos.

Principales vectores de amenazas contra los cuales brindan protección estas tecnologías:

  • Descargas no autorizadas y ataques web
  • Ataques de ingeniería social: antivirus y códecs falsos
  • Bots y botnets
  • Amenazas no relativas a procesos e inyectadas (NPT, Non-Process and Injected Threats)
  • Ataques dirigidos, que incluyen amenazas avanzadas persistentes (APT), troyanos y amenazas de día cero de programas maliciosos generales
  • Programas maliciosos incluidos en descargas no autorizadas que sorteó otras capas de protección
  • Programas maliciosos que usan técnicas de rootkit para ocultarse

Este ecosistema está compuesto por las siguientes cinco áreas que trabajan en colaboración:

  • Protección basada en archivo: sigue desempeñando una función de protección importante dadas las innovaciones en análisis heurísticos de archivos estáticos.
  • Protección basada en red: puede detectar cuándo se usan vulnerabilidades conocidas y desconocidas para entrar en el sistema de un usuario.
  • Protección basada en comportamiento: analiza el comportamiento dinámico de las actividades maliciosas en lugar de las características estáticas.
  • Protección basada en reputación: examina los metadatos de un archivo, es decir, la antigüedad, el origen, el método de transmisión, la ubicación, etc.
  • Reparación: conjunto de tecnologías que permiten limpiar un sistema infectado.

Al trabajar en colaboración, cada tecnología puede operar con eficiencia y eficacia para determinar si una actividad determinada es maliciosa. Cuando cada tecnología detecta diferentes atributos de un proceso o un archivo, los comparte con las demás tecnologías. Por ejemplo, las tecnologías de protección basadas en red son capaces de detectar dónde se originan los archivos descargados de la Web y, luego, comparten esta información con las otras tecnologías.

En las siguientes fichas, se puede obtener más información sobre cada tipo de tecnología.

Protección basada en archivo

Un error de concepto común sobre los analizadores antivirus de archivos es que realizan sus análisis simplemente en busca de patrones conocidos que les permiten determinar si se trata de un archivo malicioso. Pero en realidad, las soluciones antivirus modernas no solo ofrecen una simple búsqueda de coincidencias con ciertos patrones, sino que también aplican técnicas genéricas y heurísticas de búsqueda de amenazas. De hecho, los mejores motores antivirus ofrecen varios métodos de identificación de amenazas conocidas y desconocidas. La protección basada en archivo de Symantec es una de esas tecnologías.

La seguridad basada en archivo tiene una larga trayectoria como uno de los pilares de nuestras tecnologías de protección. STAR sigue invirtiendo en innovación y enfocando sus esfuerzos en la seguridad basada en archivo para poder mantenerse al día con el desarrollo de nuevas amenazas. La introducción de archivos infectados en un equipo de destino es uno de los principales métodos mediante el cual las amenazas pueden permanecer en un equipo después del ataque inicial. Por este motivo, la protección basada en archivo siempre será fundamental para la detección, la neutralización y la eliminación de amenazas en los equipos de nuestros clientes. Entre los vectores de amenazas comunes contra los cuales brinda protección la tecnología basada en archivo, se incluyen los siguientes:

  • Programas maliciosos y virus
  • Ataques dirigidos, que incluyen amenazas avanzadas persistentes (APT), troyanos y programas maliciosos generales
  • Ataques de ingeniería social: antivirus y códecs falsos
  • Bots y botnets
  • Rootkits
  • Archivos PDF y documentos de Microsoft Office (PowerPoint, Excel y Word) maliciosos
  • Archivos comprimidos maliciosos
  • Spyware y publicidad no deseada
  • Registradores de pulsaciones

Para hacer frente a estas amenazas, ofrecemos cuatro componentes básicos de nuestra tecnología de protección basada en archivo: el motor antivirus, Auto Protect, el motor ERASER y nuestras tecnologías heurísticas denominadas Malheur y Bloodhound.

Motor antivirus

El motor de análisis exclusivo de Symantec se implementa ampliamente en más de 350 millones de equipos. Es una tecnología de seguridad estable de alto rendimiento que ofrece la detección avanzada de las amenazas más recientes. El motor se actualiza en el campo con frecuencia por medio de LiveUpdate a fin de responder constantemente ante las nuevas amenazas. Esto permite actualizar las capacidades de detección de nuestro producto sin la necesidad de realizar una actualización completa del producto.

Auto Protect

El analizador de archivos en tiempo real de Symantec detecta amenazas que se escriben en un sistema de archivos o provienen de él. Auto Protect está escrito en el nivel del kernel y es un motor de análisis de alto rendimiento y bajo perfil que brinda protección contra las amenazas más recientes sin generarle molestias al usuario. Cuando se escriben archivos en el disco de un equipo, Auto Protect se activa y usa los motores antivirus Malheur y Bloodhound para analizar los archivos. Al ejecutarse en un nivel tan bajo, Auto Protect puede bloquear un archivo infectado antes de que se ejecute e infecte el sistema. Además de la protección de archivos, Auto Protect ofrece la funcionalidad clave para Diagnóstico Insight de descargas, que forma parte de nuestras tecnologías avanzadas de análisis de reputación.

Motor ERASER

El motor ERASER de Symantec ofrece capacidades de reparación y eliminación para las amenazas que detectan nuestras diferentes tecnologías en el sistema de un cliente. ERASER también es responsable de comprobar si los controladores y las aplicaciones que se ejecutan al iniciar el sistema son maliciosos. Para garantizar que nuestro producto no sea vulnerable a rootkits u otros tipos de programas maliciosos, ERASER usa una serie de técnicas que le permiten evitar las búsquedas habituales del registro del sistema y del disco. Estas técnicas permiten a ERASER acceder de forma directa al registro y al disco.

Malheur y Bloodhound

Además de las detecciones basadas en firmas, ofrecemos tecnologías que pueden condenar a un archivo que, aunque no se haya detectado nunca antes, presenta características comunes a archivos maliciosos. Esta protección basada en heurística es la que brindan nuestras tecnologías Malheur y Bloodhound. Las firmas heurísticas pueden detectar un programa malicioso desconocido en función de los atributos del archivo, los intentos de aprovechar vulnerabilidades y otras acciones comunes que se presentan en los programas maliciosos conocidos.

Conocer en profundidad las funciones

En cada una de las siguientes secciones, se describe una función de la tecnología basada en archivo que resulta esencial para los componentes básicos descritos anteriormente.

Amplia compatibilidad con archivos

Algunos de los archivos que forman parte del conjunto de tipos de archivos que se pueden examinar en busca de programas maliciosos ocultos son los archivos comprimidos o incorporados en otros archivos. Una lista parcial de los tipos de archivos analizados incluye los siguientes:

.DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, .AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX, .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Motor descompresor

En algunos casos, los programas maliciosos usan la tecnología “compresora” para ocultar sus archivos e intentar que los algoritmos de búsqueda de coincidencia con patrones simples no los detecten. Nuestro motor descompresor puede realizar lo siguiente:

  • Descomprimir los archivos ejecutables afectados.
  • Reconocer cientos de familias de paquetes diferentes.
  • Descomprimir recursivamente archivos que están comprimidos varias veces hasta acceder al programa malicioso principal.

Máquina virtual genérica

La máquina virtual genérica (GVM, Generic Virtual Machine) permite ejecutar códigos en un entorno aislado seguro.

  • Los sistemas basados en códigos de bytes, como Java o C#, permiten producir rápidamente y con una seguridad extrema nuevas tecnologías de protección sin causar bloqueos ni faltas de respuesta en el sistema.
  • Aplica tecnologías heurísticas extremadamente complejas y firmas de familia para las amenazas, como Trojan.Vundo.
  • Realiza todo el análisis de formatos de archivos no tradicionales, por ejemplo, PDF, DOC, XLS, WMA, JPG, etc.

Motor antipolimórfico

Incluye la tecnología avanzada de imitación de CPU que permite engañar a los programas maliciosos polimórficos para que queden al descubierto.

Tecnología antirootkit

Symantec tiene 3 tecnologías antirootkit diferentes diseñadas para buscar y eliminar hasta los rootkits más difíciles, como Tidserv y ZeroAccess, sorteando las técnicas de ocultamiento que usan generalmente los rootkits. Estas técnicas incluyen:

  • Acceso directo a los volúmenes del disco duro.
  • Análisis directo del subárbol del registro.
  • Análisis de la memoria del kernel.

Motor antitroyano

Incluye técnicas avanzadas de hashing que permiten realizar análisis simultáneos en busca de millones de troyanos y amenazas de spyware en cuestión de microsegundos.

  • Localiza y extrae regiones de archivos clave donde se suele ubicar la lógica del programa malicioso.
  • Toma hashes de cifrado de cada sección y los busca en la base de datos de huellas digitales.
  • Los algoritmos avanzados permiten al motor antitroyano realizar análisis simultáneos en busca de decenas de millones de variedades de programas maliciosos en tan solo unos microsegundos.

Motor fotónico

Usa firmas 'aproximadas' para identificar variantes de programas maliciosos conocidas y nuevas.

  • Analiza archivos con cientos de miles de firmas aproximadas de forma simultánea y, de esa manera, mejora drásticamente el rendimiento del análisis.
  • Las firmas aproximadas pueden detectar variantes completamente nuevas de programas maliciosos a partir del momento en que se dan a conocer.

Motores heurísticos avanzados

Detección enfocada en las variantes polimórficas del servidor.

  • Más de una docena de diferentes análisis heurísticos (y la cuenta sigue creciendo) buscan diversas características sospechosas en los archivos.
  • Todos los archivos sospechosos se correlacionan con la nube de reputación de Symantec y nuestra lista de firmas digitales de confianza.
  • Los motores usan el contexto para ajustar la sensibilidad del análisis heurístico, por ejemplo, un análisis heurístico considera más sospechoso un archivo recién descargado que una aplicación instalada.

Red

La protección basada en red es un conjunto de tecnologías diseñadas para bloquear los ataques maliciosos antes de que logren introducir programas maliciosos en un sistema. A diferencia de la protección basada en archivo,que requiere esperar a que un archivo se cree físicamente en el equipo de un usuario, la protección basada en red comienza a analizar los flujos de datos que llegan al equipo de un usuario mediante conexiones de red y bloquea las amenazas antes de que ataquen el sistema.

Principales vectores de amenazas contra los cuales brinda protección la tecnología basada en red de Symantec:

  • Descargas no autorizadas y kits de herramientas de ataques web
  • Ataques de ingeniería social: antivirus y códecs falsos
  • Ataques por medio de redes sociales, como Facebook
  • Detección de sistemas infectados con programas maliciosos, rootkits y bots
  • Protección contra amenazas de red ocultas
  • Amenazas de día cero
  • Protección de vulnerabilidades de software sin revisiones
  • Protección de dominios maliciosos y direcciones IP

Esta categoría cuenta con tres tecnologías de protección diferentes:

Solución de Prevención de intrusiones de red (IPS de red)

El sistema de prevención de intrusiones (IPS, Intrusion Prevention System) basado en protocolo conoce y analiza más de 200 protocolos diferentes. Separa los protocolos binarios y de red con inteligencia y precisión para buscar signos de tráfico malicioso. Esta inteligencia permite realizar un análisis de red más preciso y, de ese modo, brindar una protección más eficaz. En sí, se trata de un motor de bloqueo de vulnerabilidades genérico que permite bloquear los ataques a las vulnerabilidades sin posibilidades de evasión. Una característica particular del IPS de Symantec es que no requiere ninguna configuración para habilitar las capacidades de protección de IPS de red inmediatamente. En cada producto Norton para el consumidor y en Symantec Endpoint Protection 12.1 y versiones posteriores, esta tecnología fundamental está habilitada de forma predeterminada.

Protección del navegador

Este motor de protección se encuentra en el navegador y puede detectar las amenazas más complejas que los métodos tradicionales antivirus y de IPS de red no pueden detectar. Muchos ataques basados en red de la actualidad usan técnicas de ocultamiento para evitar que los detecten. Dado que la Protección del navegador trabaja en el navegador, puede ver el código descubierto en el momento de la ejecución y, de esa manera, puede detectar y bloquear ataques que se omiten en capas más bajas de inspección dentro de la pila de protección.

Protección de descargas no autorizadas (UXP)


En la capa de protección basada en red, esta última línea de defensa ofrece una capa adicional de seguridad contra ataques de día cero que permite mitigar las vulnerabilidades desconocidas y sin revisiones, sin usar firmas.

Enfrentarse a los problemas

Al utilizar estas tecnologías de protección basadas en red en conjunto, se pueden abordar los siguientes problemas.

Descargas no autorizadas y kits de herramientas de ataques web

Las tecnologías de Protección contra amenazas de red de Symantec aprovechan el método de IPS de red, el motor de Protección del navegador y nuestra tecnología de Protección de descargas no autorizadas (UXP) para bloquear descargas no autorizadas y evitar que los programas maliciosos accedan al sistema final. Usamos una serie de métodos de prevención junto con estas tecnologías, como nuestra tecnología de bloqueo genérico de puntos vulnerables (mencionada más adelante) y nuestro motor de detección de kits de herramientas de ataques web. El motor de detección de kits de herramientas de ataques web analiza las características de red de los kits de herramientas de ataques web, independientemente de las vulnerabilidades que se ataquen, lo cual brinda protección adicional de día cero contra nuevas vulnerabilidades, además de protección contra los kits de herramientas de ataques web en sí. Lo mejor de esta protección contra kits de herramientas de ataques web y descargas no autorizadas es que los programas maliciosos que afectarían de forma sigilosa al sistema de un usuario se detienen proactivamente, lo cual impide que ingresen al sistema, algo que, por lo general, las tecnologías tradicionales de detección no ofrecen. Symantec continúa bloqueando decenas de millones de tipos de programas maliciosos que normalmente no se detectan por ningún otro medio.

Ataques de ingeniería social   

Dado que nuestras tecnologías de protección analizan la red y el tráfico del navegador a medida que se representa, podemos usar la inteligencia del endpoint para determinar si está emergiendo algún ataque de ingeniería social, como una solución antivirus falsa o un códec falso. Nuestras tecnologías se utilizan para bloquear ataques de ingeniería social antes de que se visualicen y frustrar sus intentos de engaño al usuario final. La mayoría de las soluciones competitivas no incluyen esta gran función. Nuestra solución detiene millones de ataques que, si se ejecutaran, otras tecnologías tradicionales basadas en firmas no detectarían.

Symantec bloquea cientos de millones de ataques de ingeniería social mediante la tecnología de Protección contra amenazas de red.

Ataques hacia las aplicaciones de redes sociales

Las aplicaciones de redes sociales se han convertido en un recurso mediante el cual se comparten instantáneamente actualizaciones personales y profesionales, así como información y vídeos interesantes con miles de amigos. La búsqueda instantánea de actualizaciones y el alcance de las redes son aspectos clave que los piratas informáticos usan para infectar un sistema. Algunas de las técnicas más comunes de los hackers son: infectar cuentas y enviar spam o vínculos maliciosos; engañar a usuarios para que contesten encuestas falsas, o lanzar ataques que fuerzan un “me gusta” en Facebook mediante los cuales se insta a un usuario a hacer clic en un vínculo para ver un vídeo, mientras un botón “Me gusta” invisible sigue al cursor del ratón. De esta forma, indica instantáneamente que le gusta una actualización sin importar si realmente es así.

La tecnología IPS de Symantec puede brindar protección contra este tipo de ataques y, muchas veces, bloquearlos antes de que engañen al usuario para que haga clic en algún vínculo. Symantec detiene direcciones URL, aplicaciones y estafas maliciosas mediante la tecnología de protección basada en red.

Detección de sistemas infectados por programas maliciosos, rootkits y bots


¿Le gustaría saber en qué parte de la red se encuentran los equipos infectados? Nuestra solución IPS de red ofrece esta capacidad e incluye la detección y la reparación de las amenazas que hayan podido sortear otras capas de protección. Detectamos programas maliciosos y bots mediante los cuales se intenta realizar ‘llamadas’ u obtener actualizaciones para propagar más actividades maliciosas. Esto les brinda a los gerentes de TI, que poseen una lista de sistemas infectados pendientes de investigar, la seguridad de que sus empresas están protegidas. Las amenazas polimórficas y desafiantes que usan rootkits para ocultarse, como Tidserv, ZeroAccess, Koobface y Zbot, se pueden detectar y detener con este método.

Protección contra amenazas ocultas


Los ataques basados en Web actuales usan métodos complejos para ocultar sus ataques. La protección del navegador de Symantec se encuentra en el navegador y puede detectar las amenazas más complejas que los métodos tradicionales por lo general no detectan.

Vulnerabilidades de día cero y sin revisiones

Una de nuestras incorporaciones más recientes es la capa adicional de protección contra vulnerabilidades de día cero y sin revisiones. Por medio de la protección sin firmas, interceptamos llamadas a la API del sistema y proporcionamos protección contra la descarga de programas maliciosos. A esta función la denominamos Protección de descargas no autorizadas (UXP). Esta es la última línea de defensa de nuestra tecnología de Protección contra amenazas de red que ayuda a mitigar las vulnerabilidades desconocidas y sin revisiones sin la necesidad de usar firmas. Esta tecnología lleva incluida desde el debut de Norton 2010 y se habilita automáticamente.

Protección de vulnerabilidades de software sin revisiones

Los programas maliciosos aprovechan vulnerabilidades de software para instalarse de forma sigilosa en los sistemas. Las soluciones de protección de navegador de Symantec brindan una capa adicional de protección denominada Bloqueo genérico de puntos vulnerables (GEB). Independientemente de que el sistema cuente con revisiones o no, la tecnología GEB brinda una protección ‘genérica’ contra el aprovechamiento de vulnerabilidades subyacentes. En el panorama de amenazas actual, suelen encontrarse vulnerabilidades en Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, controles ActiveX o QuickTime. Creamos nuestra protección de Bloqueo genérico de puntos vulnerables mediante la aplicación de ingeniería inversa para determinar cómo se podría aprovechar la vulnerabilidad y, luego, analizar las características del aprovechamiento en la red, aplicando principalmente una revisión en el nivel de la red. Una sola firma de GEB o vulnerabilidad puede brindar protección contra miles de variedades de programas maliciosos que Symantec u otros proveedores de seguridad nunca hayan visto.

Bloqueo de direcciones IP y dominios maliciosos

La protección basada en red de Symantec también incluye capacidades de bloqueo de direcciones IP y dominios maliciosos que impiden la entrada de tráfico y programas maliciosos de sitios web maliciosos conocidos. Gracias al análisis realizado por el equipo de Security Technology and Response en busca de sitios web maliciosos y la actualización de estos mediante LiveUpdate, Symantec brinda protección en tiempo real contra las amenazas que cambian constantemente.

Mayor resistencia ante las evasiones

Se ha agregado mayor compatibilidad de codificación para mejorar la eficacia de la detección y la resistencia ante las evasiones en el caso de los ataques codificados con técnicas comunes, como base64 y gzip.

Detección de auditoría de red para la aplicación de políticas e identificación de fugas de datos

La solución IPS de red se puede usar para identificar las aplicaciones y herramientas que pueden infringir las políticas de uso empresarial o para brindar protección contra la fuga de datos mediante la red. Es posible detectar, alertar o prevenir el tráfico de mensajería instantánea, de punto a punto o de inicio de sesión en sitios de uso compartido abierto y redes sociales, además de otras variedades de tráfico 'interesante'.

Bus de comunicación inteligente de STAR

La tecnología de protección de red no funciona de forma independiente. Este motor comparte la inteligencia con nuestras tecnologías de protección mediante el uso del protocolo de comunicación inteligente de STAR (STAR ICB). El motor IPS de red se comunica con el motor SONAR de Symantec y el motor Insight de reputación, lo cual permite brindar una protección más informada y precisa que la de otras compañías de seguridad.

Productos de Symantec

A continuación, se enumeran diferentes formas de protección basada en red.                               

Protección basada en comportamiento

En la actualidad, millones de usuarios finales son víctimas de engaños que les llevan a hacer clic en programas maliciosos disfrazados como reproductores de vídeo o aplicaciones antivirus maliciosas cuyo único objetivo es infectar al usuario o aplicar ingeniería social para convencer al usuario de que pague un software que no ofrece ningún beneficio. Las descargas no autorizadas y los kits de herramientas de ataques web infectan de forma sigilosa a cientos de millones de usuarios que visitan sitios web comunes. Algunos programas maliciosos instalan rootkits o insertan código malicioso en programas que están en ejecución y en procesos del sistema. Hoy en día, los programas maliciosos pueden generarse con tal dinamismo que la detección basada en archivo resulta insuficiente para proteger a los sistemas de usuarios finales.

¿Por qué elegir la seguridad basada en comportamiento?

En 2010, Symantec detectó más de 286 millones de variedades de programas maliciosos y bloqueó más de tres mil millones de ataques. A raíz del constante crecimiento de las amenazas y los tipos de programas maliciosos, Symantec observó la necesidad de crear soluciones innovadoras y líderes del mercado para prevenir infecciones de programas maliciosos y proteger a los usuarios de forma sigilosa y automática, sin importar lo que hagan los usuarios finales ni la manera en que los programas maliciosos accedan a los sistemas de los usuarios finales. La tecnología Insight de reputación de Symantec y la seguridad basada en comportamiento denominada Red en línea de Symantec para respuesta avanzada (SONAR, Symantec Online Network for Advanced Response) son dos de esas soluciones innovadoras.

Las tecnologías de seguridad basada en comportamiento se encuentran en una mejor posición para afrontar este vertiginoso nivel de crecimiento, ya que los comportamientos pueden generalizar una vasta población de archivos maliciosos y archivos seguros con mucha más rapidez que las tecnologías heurísticas basadas en archivo. Los comportamientos prácticamente no cambian o no pueden cambiar sin realizar un verdadero esfuerzo en detrimento de las estrategias de creación y propagación de programas maliciosos.

La tecnología de protección basada en comportamiento brinda protección eficaz y no invasiva contra amenazas informáticas de día cero nunca antes vistas. SONAR es la solución que brinda protección contra amenazas en función de las acciones que realiza la aplicación en lugar de su apariencia. SONAR es el motor principal de la tecnología y las funciones basadas en comportamiento: un motor de clasificación basado en inteligencia artificial, firmas de comportamiento generadas por seres humanos y un motor de bloqueo de políticas de comportamiento. Estos componentes se combinan para brindar la protección de la seguridad líder del mercado contra amenazas que, con frecuencia, implican ingeniería social y ataques dirigidos.

Principales vectores de amenazas contra los cuales brinda protección la tecnología basada en comportamiento de Symantec:

  • Ataques dirigidos, que incluyen amenazas avanzadas persistentes (APT), troyanos, spyware, registradores de pulsaciones y programas maliciosos generales
  • Ataques de ingeniería social: antivirus falsos, generadores de claves maliciosos y códecs falsos
  • Bots y botnets
  • Amenazas no relativas a procesos e inyectadas (NPT, Non-Process and Injected Threats)
  • Amenazas de día cero
  • Programas maliciosos incluidos en descargas no autorizadas que sorteó otras capas de protección
  • Programas maliciosos que usan técnicas de rootkit para ocultarse

¿En qué situaciones brinda protección la tecnología basada en comportamiento de Symantec?

Independientemente de que el usuario ejecute la aplicación maliciosa a propósito (engañado mediante ingeniería social) o de que un programa malicioso intente instalarse de forma automática y sigilosa mediante un ataque basado en Web, como por una descarga no autorizada, SONAR impide que el programa malicioso infecte los sistemas en tiempo real después de que el programa malicioso se ejecuta, se inicia o intenta inyectarse en procesos que están en ejecución (NPT). Dada la protección de día cero que brinda contra Hydraq/Aurora, Stuxnet y los rootkits que tienen incorporados programas maliciosos, como Tidserv y ZeroAccess, SONAR ha demostrado ser una tecnología esencial para la protección de endpoints.

¿Cómo funciona? Motor de clasificación basado en inteligencia artificial

Symantec ha desarrollado una de las bases de datos más grandes el mundo con perfiles de comportamiento de alrededor de 1200 millones de instancias de aplicaciones. Al analizar los atributos de las acciones que realizan las aplicaciones seguras y las aplicaciones maliciosas mediante un análisis de aprendizaje de máquina, Symantec puede crear perfiles de comportamiento para aplicaciones que aún no se han creado. A partir de una cantidad aproximada de 1400 atributos de comportamiento diferentes y el vasto contexto que podemos recopilar de los demás componentes de seguridad de endpoints, como los motores Insight, IPS y AV, el motor de clasificación SONAR puede identificar rápidamente comportamientos maliciosos y tomar medidas para eliminar aplicaciones maliciosas antes de que causen daños. En 2011, se analizaron más de 586 millones de aplicaciones y archivos ejecutables y DLL mediante SONAR para los clientes de Norton y Symantec.

Protección contra amenazas no basada en procesos

Las amenazas actuales no siempre son solo archivos ejecutables de programas maliciosos independientes. Intentan ocultarse en la medida de lo posible inyectándose en procesos o aplicaciones que, por lo general, están en ejecución o registrando componentes en aplicaciones que admiten extensiones y, de esa manera, realizar sus actividades maliciosas en nombre de procesos del sistema operativo o aplicaciones de confianza. Por ejemplo, cuando se ejecuta un programa malicioso, puede insertar código malicioso en procesos que están en ejecución, como explorer.exe (proceso de shell de escritorio) o IExplorer.exe (navegador Internet Explorer) o registrar componentes maliciosos como extensiones de esas aplicaciones. A partir de ese momento, la actividad maliciosa proviene de componentes conocidos y de confianza del sistema operativo. SONAR impide la inserción del código en los procesos de destino mediante la clasificación del proceso de origen que intenta insertar el código. Además, clasifica el código malicioso y, si es necesario, impide su carga o ejecución en el proceso de confianza de destino.

Bloqueo de políticas de comportamiento

Las descargas no autorizadas utilizan las vulnerabilidades de los complementos de navegador, como Adobe Reader, Oracle Sun Java y Adobe Flash. Una vez que se aprovecha la vulnerabilidad, la descarga no autorizada puede provocar que la aplicación vulnerable inicie de forma sigilosa cualquier aplicación que desee. Al crear una definición de bloqueo de políticas de comportamiento, podemos bloquear comportamientos maliciosos, por ejemplo, al indicar que “Adobe Acrobat no debe crear otros archivos ejecutables” o que “No se debe permitir la inserción de archivos DLL en procesos explorer.exe" con el fin de proteger el sistema. Esto se puede describir como bloqueo de un comportamiento en función de una política o una regla. El equipo de STAR de Symantec crea estas definiciones o políticas, que se implementan de forma automática en el modo de bloqueo y no requieren gestión por parte del cliente. Esto evita los comportamientos sospechosos de las aplicaciones seguras y protege de forma automática a los usuarios.

Firmas de aplicación de políticas de comportamiento (BPE)

La esencia de la tecnología SONAR es la capacidad de evolucionar constantemente a medida que cambia el panorama de amenazas y expandir nuestra protección con la posibilidad de atacar también las amenazas del futuro. Cuando se conoce una nueva familia de amenazas, como un nuevo rootkit, troyano, antivirus falso u otro tipo de programa malicioso, ahora, podemos crear firmas de comportamientos para detectar una nueva familia de amenazas y aplicarlas sin necesidad de realizar actualizaciones de códigos en el producto. Este tipo de firmas se denominan firmas de aplicación de políticas de comportamiento SONAR. Estas firmas son rápidas de escribir, probar e implementar, y brindan a SONAR la flexibilidad y la capacidad de adaptarse para responder a ciertas clases de amenazas emergentes con un índice muy bajo de falsos positivos. Contamos con muchas firmas de BPE (del inglés Behavioral Policy Enforcement: aplicación de políticas de comportamiento) SONAR que dirigen aplicaciones antivirus falsas a amenazas de programas maliciosos específicos y rootkits, como Graybird, Tidserv, ZeroAccess y Gammima.

Entonces, ¿cómo funcionan las firmas BPE?

Analicemos el caso de una aplicación que se ejecuta.

  • Coloca ciertos componentes en el directorio temporal de Windows.
  • Agrega muchas entradas de registro.
  • Cambia el archivo de hosts.
  • No tiene una interfaz de usuario.
  • Establece comunicaciones en puertos altos.

Estos comportamientos, de forma individual, pueden no parecer “maliciosos”, pero al analizarlos en conjunto, el perfil de comportamiento es malicioso. Nuestro analista de STAR crea una regla que indica que, si aparece esta secuencia de comportamientos con archivos ejecutables que contienen ciertas características de reputación Insight, se debe detener la ejecución del proceso y revertir los cambios. SONAR tiene la capacidad de implementar un espacio aislado virtual para la aplicación que está infectada, pero es legítima, y de esa manera, puede impedir que la aplicación infectada realice acciones maliciosas que puedan dañar al equipo del usuario. Este es un paradigma bastante nuevo en el ámbito de la protección de la seguridad de endpoints, ya que aprovecha las acciones y el comportamiento de las aplicaciones, en lugar de su apariencia.

Reparación automática de archivos maliciosos mediante el aislamiento de procesos

El motor de protección en tiempo real basada en comportamiento supervisa y aísla las aplicaciones, los procesos y los eventos a medida que aparecen, en lugar de hacerlo de forma estática. Los cambios del sistema se pueden revertir para impedir que las actividades maliciosas afecten el sistema.

Supervisión de aplicaciones y procesos en tiempo real


SONAR ofrece capacidades de supervisión y brinda protección contra más de 1400 aspectos de todas las aplicaciones, los archivos DLL y los procesos que están en ejecución por medio de la protección en tiempo real contra amenazas a medida que se ejecutan.

Bus de comunicación inteligente de STAR

La tecnología SONAR no funciona de forma independiente. Este motor comparte la inteligencia con nuestras tecnologías de protección mediante el uso del protocolo de comunicación inteligente de STAR (STAR ICB). El motor SONAR se comunica con el motor IPS de red, AV e Insight de reputación, lo cual permite brindar una protección más informada y precisa que la de otras empresas de seguridad.   

Protección basada en reputación

La incorporación más reciente al paquete de tecnologías de protección desarrollado por STAR, la seguridad basada en reputación, aborda el desarrollo de las amenazas más recientes y los programas maliciosos microdistribuidos. Gracias al conocimiento combinado de más de 130 millones de usuarios colaboradores, nuestro sistema de reputación detecta si las aplicaciones son seguras o maliciosas en función de los patrones de adopción anónimos de nuestros usuarios. Luego, usa esta inteligencia para clasificar de forma automática prácticamente todos los archivos de software del planeta. Todos los productos de Symantec utilizan estos datos de reputación para bloquear de forma automática los nuevos programas maliciosos y, por otro lado, identificar y permitir las nuevas aplicaciones legítimas.

El problema: el panorama de amenazas es cambiante

Hace algunos años, se distribuían relativamente pequeñas cantidades de amenazas en millones de equipos. Se podía detener a cada una de ellas con facilidad mediante la implementación de una sola firma antivirus en cada sistema protegido. Al darse cuenta de esto, los creadores de programas maliciosos modificaron sus técnicas y, hoy en día, usan una serie de técnicas de ocultamiento que les permiten cambiar rápidamente la apariencia de las amenazas que producen. Ahora, resulta habitual ver que un atacante genere un nuevo tipo de amenaza en tiempo real para cada víctima o para un conjunto de víctimas y, como consecuencia, se crean cientos de millones de distintas amenazas al año.

Luego, estas amenazas se distribuyen mediante ataques basados en Web o de ingeniería social a determinados equipos. Según la información que recopilamos, la mayoría de las amenazas actuales acceden a menos de 20 equipos de todo el mundo, lo cual significa que es prácticamente imposible que las empresas de seguridad detecten estas amenazas, capturen un espécimen, lo analicen y escriban una firma reactiva tradicional. Dado que se crean más de 600 000 variedades nuevas por día (el año pasado, Symantec recibió 240 millones de hashes de amenazas únicos de los equipos de clientes protegidos), resulta imposible crear, probar y distribuir el volumen de firmas tradicionales necesarias para abordar el problema.

La solución: protección basada en reputación

La búsqueda de huella digital tradicional de un virus requiere que el proveedor tenga un espécimen de cada amenaza para poder brindar protección contra ella. La seguridad basada en reputación de Symantec aplica un enfoque totalmente diferente. No solo se centra en los archivos maliciosos, sino que intenta clasificar con precisión todos los archivos de software, ya sean seguros o maliciosos, en función de incontables "pings" de telemetría anónimos que envía a Symantec cada segundo de cada día desde cualquier parte del mundo. Estos pings en tiempo real le brindan a Symantec la siguiente información:

  • Las aplicaciones que se están implementando en los equipos de nuestros clientes (cada aplicación se identifica únicamente por su hash SHA2).
  • La ubicación de la Web de donde provinieron las aplicaciones.
  • Si las aplicaciones están firmadas digitalmente.
  • La antigüedad de las aplicaciones.
  • Una serie de otros atributos.

Agregamos esta información que recibimos por parte de Global Intelligence Network, nuestra organización de Security Response, y legitimamos a los proveedores de software que ofrecen instancias de aplicaciones a Symantec.

Esta información se agrega a un modelo de gran escala, similar a la red social Facebook, y se compone con vínculos entre las aplicaciones y los usuarios anónimos, en lugar de hacerlo solo con conexiones entre usuarios. Esto permite codificar las relaciones entre todos los archivos y nuestros millones de usuarios anónimos. Luego, analizamos esta red de usuarios de aplicaciones para obtener calificaciones de seguridad sobre cada una de las aplicaciones e identificar si son seguras, maliciosas o híbridas. En este momento, este sistema está realizando un seguimiento de más de 1980 millones de archivos seguros y maliciosos, y está descubriendo nuevos archivos a una velocidad de más de 20 millones por semana.

Funciones

Los productos de cliente, servidor y pasarela de Symantec usan los datos de reputación para mejorar su protección de las siguientes maneras:

Protección superior

El sistema de reputación computa calificaciones de reputación muy precisas sobre cada uno de los archivos, ya sea seguro o malicioso. Esto no solo es eficaz para la protección contra programas maliciosos populares, sino que también permite identificar las amenazas más ocultas, incluso las que afectan solo a una pequeña cantidad de usuarios de todo el Internet. Esto aumenta la velocidad de detección de todas las categorías de programas maliciosos.

El aspecto más visible del aumento de protección proporcionado por la reputación se puede observar en la función Diagnóstico Insight de descargas (DI, Download Insight) en los productos Norton y en la función Inteligencia sobre descargas (DA, Download Advisor) de nuestro producto Symantec Endpoint Protection. Las funciones DI y DA interceptan cada archivo ejecutable nuevo en el momento en que se descarga de Internet. Luego, consultan su calificación a la nube de reputación de Symantec. En función de las calificaciones que reciben de la nube, las funciones DI y DA toman una de las siguientes medidas:

  • Si el archivo desarrolló una mala reputación, directamente se bloquea.
  • Si el archivo desarrolló una buena reputación, se permite su ejecución.
  • Si el archivo aún no ha terminado de desarrollar su reputación y se desconoce su nivel de seguridad, se avisa al usuario de que el archivo no está comprobado. El usuario, entonces, puede decidir si desea usar el archivo en función de su tolerancia al riesgo. Opcionalmente, en el caso de implementaciones corporativas, el administrador puede especificar diferentes umbrales de bloqueo o permiso para diferentes departamentos en función de la tolerancia al riesgo de cada departamento.

Reducción de falsos positivos

Hay dos aspectos de la tecnología que contribuyen a una mayor disminución de los índices de falsos positivos de Symantec, que ya se consideran bajos, en el caso de software legítimo:

En primer lugar, dado que la tecnología basada en reputación deriva las calificaciones de los archivos en función del gráfico de adopción social en lugar de hacerlo según el contenido de cada archivo (como lo hacen las tecnologías de análisis antivirus tradicionales), brinda una segunda opinión que permite incrementar nuestras tecnologías de detección tradicionales, como los análisis antivirus heurísticos o el bloqueo de comportamiento. Si ambas opiniones apuntan a un archivo considerado 'malicioso', la probabilidad de que la condena resulte incorrecta es infinitamente pequeña.

En segundo lugar, ya que el sistema mantiene información primordial sobre todo el contenido ejecutable, se puede incluir esta información en la toma de la decisión de la condena. Por ejemplo, una condena ambigua sobre un archivo que se encuentra en solo dos sistemas de todo el mundo sería menos nociva que una condena similar sobre un archivo que se encuentra en millones de equipos. El uso de esta información para tomar cada decisión da como resultado decisiones más informadas que permiten proteger mejor a nuestros usuarios.

Mayor rendimiento

El equipo de un usuario típico tiene miles de archivos que jamás cambian y, salvo muy pocas excepciones, todos los archivos son seguros. Sin embargo, ya que los antivirus tradicionales enfocan sus búsquedas de archivos maliciosos en función de una lista de amenazas maliciosas conocidas, deben analizar cada archivo del sistema de un usuario para compararlo con la lista de amenazas conocidas. Luego, cuando se descubren nuevas amenazas, se debe volver a analizar cada archivo del sistema del usuario con nuevas firmas para determinar si el archivo coincide con una de las amenazas recién descubiertas.

Este proceso parece muy ineficiente al considerar que los proveedores de seguridad publican miles de nuevas firmas de virus por día. La seguridad basada en reputación, sin embargo, tiene calificaciones de seguridad precisas de todos los archivos, tanto seguros como maliciosos. Esto permite a los productos que cuentan con la tecnología de reputación analizar el sistema de un usuario, marcar definitivamente los archivos seguros y apartarlos para no volver a analizarlos, a menos que su contenido cambie. Este método ejerce un importante impacto sobre el rendimiento, ya que reduce la necesidad de implementar un análisis tradicional y una protección en tiempo real hasta un 90 %, lo cual significa una experiencia mucho mejor para el usuario.

Bloqueo basado en políticas

Las soluciones de seguridad tradicionales se han enfocado en el bloqueo de programas maliciosos de manera binaria: cualquier archivo identificado definitivamente como malicioso se elimina del equipo del usuario y todos los demás archivos se permiten (aunque no se determine si realmente son maliciosos). En realidad, hay muchas oportunidades para que los programas maliciosos tomen control del sistema de un usuario que aún no se combaten. Considere un nuevo programa malicioso recién creado por un cibercriminal: es muy probable que las firmas antivirus existentes no puedan detectar esta amenaza, ya que el proveedor nunca antes tuvo la oportunidad de analizarlo. A menos que la nueva amenaza aproveche una vulnerabilidad conocida o muestre un patrón predeterminado de comportamiento sospechoso, es posible que las técnicas de seguridad existentes no la detecten. La seguridad basada en reputación ayuda a los usuarios y los administradores de TI a abordar esta situación mediante la toma de decisiones mejores y más informadas sobre el contenido ejecutable que permiten en sus equipos.

Además de gestionar la información sobre la calificación de un archivo, el sistema basado en reputación de Symantec mantiene atributos adicionales, como la prevalencia y la antigüedad. Estos atributos se pueden usar para implementar políticas en los futuros productos empresariales que permitan a los administradores controlar lo que se puede instalar en el sistema de un usuario. Por ejemplo, en el caso de una nueva amenaza, aunque no se haya marcado aún como maliciosa, su antigüedad será poca y los usuarios y administradores de TI pueden usar esta información de reputación para implementar políticas sobre lo que pueden admitir en sus equipos. Otro ejemplo puede ser el de un administrador de TI que decide restringir las descargas para los empleados del departamento de finanzas solo a las aplicaciones que tienen al menos 1000 usuarios certificados y al menos dos semanas de disponibilidad en Internet, mientras que al personal del departamento de asistencia técnica de TI le permite descargar archivos de cualquier antigüedad con al menos 100 usuarios y una calificación de reputación moderada. Estas políticas permiten a los administradores adaptar su protección en función de la tolerancia al riesgo específica de cada departamento. Según los estudios que realizamos, es una forma muy eficaz de mitigar la exposición al riesgo de nuevos programas maliciosos en una empresa.

Reparación

Si bien nuestra meta es impedir que una amenaza acceda a un equipo, en realidad, aún hay situaciones en las que el sistema de un usuario puede resultar infectado. Los siguientes pueden ser algunos ejemplos de estas circunstancias:

  • Usuarios que antes no tenían ningún producto de seguridad instalado.
  • Usuarios cuya suscripción al producto caducó.
  • Usuarios atacados por una nueva amenaza de día cero.

Para afrontar estas situaciones, las tecnologías de reparación de Symantec ofrecen capacidades de limpieza de los equipos ya infectados. El conjunto principal de estas tecnologías constituye todos nuestros productos de seguridad contra programas maliciosos.

En los últimos tiempos, pusimos a disposición un conjunto de herramientas independientes que brindan asistencia para la reparación de infecciones más agresivas. Estas herramientas incluyen Norton Power Eraser y Symantec Power Eraser (incluido en la herramienta de asistencia de Symantec Endpoint Protection). Entre las funciones que ofrecen estas herramientas de reparación, se encuentran las siguientes:

Un motor ágil y fácilmente actualizable

Dado que el panorama de amenaza cambia constantemente con el fin de evadir las soluciones de seguridad, estas herramientas se pueden actualizar fácilmente para reaccionar ante las nuevas amenazas de día cero.

Reparación completa de infecciones

Desde los descargadores hasta las cargas de trabajo y los rootkits que las ocultan, las infecciones actuales son complejas y, al utilizar varios componentes, permiten a los piratas informáticos lograr resultados muy beneficiosos. El motor Power Eraser está optimizado para detectar y eliminar estos riesgos mediante la búsqueda de patrones de comportamiento no solo de la amenaza en sí, sino también del descargador que introdujo en primer lugar la amenaza en el sistema.

Técnicas intensivas de detección

El motor Power Eraser utiliza varios motores heurísticos nuevos y puntos de análisis de datos para detectar una amplia variedad de amenazas. Entre ellos, se incluyen: análisis heurístico de paquetes, análisis de puntos de carga, análisis heurístico de rootkits, análisis de comportamiento, análisis de distribución y supervisión de configuraciones del sistema.