FlagJueves, 24 Mayo 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

cylance under

 

Cylance llevó a cabo el Underworld Tour con el objetivo de mostrar en tiempo real cómo el ransomware puede afectar a las organizaciones. Como parte de sus actividades de generación de demanda, el evento contó con la asistencia de canales y usuario final.

Richard Melick, Technical Marketing Manager en Cylance, expresó a los asistentes la importancia de repensar su estrategia de seguridad, enfocada hacia la protección de la propiedad intelectual, IP y datos en términos generales.

Desde su perspectiva, la reactividad con la cual funciona la mayoría de las soluciones de seguridad comienzan a no ser válidas en el mundo actual de seguridad informática. Esto porque la historia del malware evolucionó de una actividad creativa, al tipo armamentista en los años 90’s, a la era de monetizar los ataques, la cual posteriormente dio paso a la época de comoditizar el código malicioso.

Para demostrarlo, con ayuda de los asistentes ingresó a diversos portales que ofrecen “con fines educativos” la creación de código malicioso, específicamente ransomware. Los pasos son por demás sencillos y un asistente ayuda al usuario en cuestión de definir funciones como son el tipo de recompensa que desea cobrar en bitcoins por el rescate de los datos cifrados. Cabe destacar que dicho software puede encontrarse desde una versión gratuita hasta aquellas con un pago como servicio.

Con ayuda de una máquina virtual para simular la computadora de un atacante, y otra que pretende ser el usuario final con un sistema operativo Windows XP, se demostró la efectividad del ataque recién generado. De la demostración hecha en tiempo real, destacó que los dos archivos ejecutables, creados en ese momento, se enviaron a dos diferentes sitios de seguridad que evalúan el archivo en busca de código malicioso. Después de analizar la muestra, muchas firmas actuales de seguridad no pudieron detectarlo como ransomware; tan sólo un porcentaje minoritario pudo clasificarlo correctamente.

El mismo proceso se realizó con otra máquina virtual que tiene instalado el cliente ligero de Cylance Protect. El desarrollador utiliza la inteligencia artificial para calificar los archivos según las diferentes funcionalidades que conforman a la muestra en cuestión. El cliente ligero asigna un puntaje de riesgo y en caso de que ese número se encuentre dentro de un rango de peligro, se detiene la ejecución del archivo y se pone en cuarentena.

Lo interesante del caso es que el cliente no impacta en el desarrollo de la máquina virtual ya que se demostró igualmente que no utiliza más del 1% de recursos. Otro factor interesante es que la creación de este cliente con un peso de 45 MB tomó un desarrollo de 2 años analizando las características de diversos archivos, para lograr la creación del puntaje, por lo cual no requieren de firmas. Cylance actualiza esta plataforma cada 6 meses, puesto que se enfoca en refinar la eficacia del modelo matemático de inteligencia que utilizan, para la prevención de amenazas.

Otro punto importante del cliente es que para la demostración se utilizó una versión actualizada hasta el 2015, con el propósito de identificar la velocidad de respuesta de Cylance Protect, asimismo, la eficacia de la inteligencia artificial ante malware recién creado, bajo el modelo de “Comodity”.

Esta tendencia se vio reforzada por actividades como la NSA que liberó 97 scripts con vulnerabilidades de sistemas; el resultado fue la creación de EternalBlue con el cual se creó ransomware como el sonado caso de WannaCry, apuntó más adelante el vocero de Cylance. Los canales interesados en conocer más de cerca el recurso pueden ingresar a cylance.com/tfy