A medida que el panorama de las ciberamenazas se vuelve cada vez más desafiante, los equipos de seguridad se encuentran lidiando con un número de amenazas en rápido crecimiento. Muchas organizaciones luchan contra un elevado volumen de alertas y falsos positivos, lo que da lugar a un juego perpetuo de ponerse al día que grava los recursos y disminuye la eficacia de la seguridad.
La defensa automatizada de objetivos móviles (AMTD) es un concepto emergente desarrollado y defendido por Gartner, que pretende cambiar esa dinámica. Los productos y servicios de seguridad que emplean tecnologías AMTD aumentan el coste para los atacantes orquestando cambios controlados dentro de los entornos de TI para interrumpir proactivamente los ataques y confundir las actividades de violación.
Intrínsecamente agnósticas a las amenazas por naturaleza, las soluciones basadas en AMTD proporcionan a las organizaciones grandes ventajas de protección, ya que dan la vuelta a la tortilla y hacen inútiles gran parte de las tácticas, técnicas y procedimientos (TTP) maliciosos.
AMTD en los Endpoints
Sophos tiene la misión de bloquear por adelantado el mayor número posible de amenazas, aprovechando una amplia gama de tecnologías de protección.
Además de la reducción de la superficie de amenazas, el análisis de comportamiento y los modelos de IA de aprendizaje profundo, Sophos Endpoint también mejora la seguridad de las aplicaciones instalando barreras agnósticas de amenazas para cada proceso. Esto hace más difícil que cualquier programa ejecute código arbitrario que no forme parte originalmente de la aplicación, y obliga a los atacantes a replantearse y hacer cambios arquitectónicos en las funciones principales de su malware.
Sophos despliega tecnologías AMTD para establecer barreras y tender trampas que interceptan y desbaratan automáticamente las amenazas en el endpoint. Como resultado, incluso las nuevas variantes de amenazas que consigan evadir otros mecanismos de protección tendrán más dificultades para ejecutar acciones maliciosas en máquinas protegidas por Sophos.
He aquí algunas formas en que Sophos utiliza AMTD para proteger a sus clientes.
Adaptación
Con la Protección adaptativa contra ataques (AAP), Sophos Endpoint aplica dinámicamente una protección agresiva cuando detecta un ataque en curso.
En caso de que un atacante obtenga acceso inicial a un dispositivo del entorno, la AAP disminuye drásticamente la probabilidad de éxito del ataque y proporciona a los defensores más tiempo para neutralizarlo. Lo hace activando medidas de defensa adicionales, incluido el bloqueo de acciones que pueden no ser intrínsecamente maliciosas en un contexto cotidiano, pero que son peligrosas en el contexto de un ataque.
La AAP detecta la presencia de un adversario activo de dos formas principales: 1) mediante el uso de conjuntos de herramientas de ataque comunes y 2) mediante combinaciones de comportamientos maliciosos activos que pueden ser indicativos de las primeras fases de un ataque.
Tras la detección, la AAP activa restricciones temporales que no son adecuadas para el uso diario, pero que son necesarias cuando se detecta un adversario activo en un endpoint. Un ejemplo es impedir el reinicio en Modo Seguro, ya que los atacantes lo utilizan para eludir la detección.
La AAP está respaldada por los investigadores de SophosLabs, que mejoran continuamente tanto la detección de adversarios como las medidas de protección dinámica en respuesta a los cambios en el panorama de las amenazas.
Aleatorización
Cuando un módulo de recursos (DLL) dentro de una aplicación se carga sistemáticamente en la misma dirección de memoria predecible, resulta más fácil para los atacantes explotar las vulnerabilidades.
Aunque los desarrolladores pueden optar por la aleatorización de la disposición del espacio de direcciones (ASLR) durante la compilación -que aleatoriza las direcciones una vez por reinicio-, cualquier software de terceros que carezca de ASLR puede socavar esta estrategia.
Sophos Endpoint mejora la seguridad de las aplicaciones de productividad orientadas a Internet asegurándose de que cada módulo se carga en una dirección de memoria aleatoria cada vez que se inicia la aplicación, lo que añade complejidad a la posible explotación.
Engaño
Los atacantes suelen intentar ocultar su código malicioso de los escáneres de archivos y memoria con ofuscación.
Si no lo hicieran, tendrían que generar un código único para cada víctima para evitar que se pareciera a alguno de sus códigos anteriores, que podría ser detectado y bloqueado por los productos de protección endpoint.
Afortunadamente, la ofuscación del código malicioso debe invertirse (mediante una breve rutina de inicialización o cargador) antes de que pueda ejecutarse en la máquina. Este proceso de inversión suele depender de API específicas del sistema operativo, y los atacantes intentan evitar revelar esta dependencia desde el principio, ya que puede ser un indicador de ataque.
Como resultado, esta dependencia se omite con frecuencia en la tabla de importación de los binarios de malware, y en su lugar se configura el cargador para que busque directamente el módulo de Windows residente en memoria que proporciona la API necesaria.
Sophos coloca estratégicamente elementos señuelo que imitan las API relacionadas con la memoria que suelen emplear los atacantes para inicializar y ejecutar su código malicioso. Esta defensa agnóstica de amenazas y código puede romper el código malicioso sin obstaculizar las aplicaciones benignas.
Límites
Para eludir las defensas, el código malicioso suele estar envuelto en ofuscación y a menudo se apoya en aplicaciones benignas. Antes de la ejecución del código encubierto -como un implante de varias fases-, la amenaza debe revertir en última instancia su ofuscación, lo que lleva a la creación de una región de memoria apta para ejecutar el código, que es un requisito de hardware de la CPU.
Las instrucciones subyacentes, u opcodes, necesarias para crear una región de memoria apta para código son tan cortas y genéricas que por sí solas no bastan para que otras tecnologías de protección las condenen como maliciosas, ya que los programas benignos dejarían de poder funcionar.
Sin embargo, Sophos Endpoint mantiene de forma exclusiva el historial, rastrea la propiedad y correlaciona las asignaciones de memoria apta para código entre aplicaciones, lo que permite novedosas mitigaciones de bajo nivel que de otro modo no serían posibles.
Refuerzo
Sophos impide la manipulación de procesos erigiendo barreras alrededor de las regiones de memoria sensibles a la seguridad de cada aplicación.
Ejemplos de regiones de memoria sensibles son el Bloque de Entorno de Proceso (PEB) y el espacio de direcciones de módulos relacionados con la seguridad, como la Interfaz de Escaneado Antimalware (AMSI).
Los atacantes que pretenden asumir la identidad de un proceso benigno ocultan parámetros de la línea de comandos, desactivan o ejecutan código arbitrario en su propio espacio de direcciones (o en el de otro proceso), y manipulan regularmente código o datos dentro de estas regiones sensibles.
Al blindarlas, Sophos protege genéricamente contra una plétora de técnicas de adversarios existentes y futuras, terminando y revelando automáticamente un ataque activo.
Vallas
Sophos instala vallas alrededor de la ejecución de código. Esto evita que la ejecución de código fluya entre secciones de código individuales y entre en un espacio de direcciones que, aunque forme parte de la aplicación original, está destinado a contener solo datos, lo que también se conoce como cueva de código.
Sophos también impide activamente la inyección de APC y la utilización de otras funciones del sistema en tiempo de ejecución que no utilizan las aplicaciones empresariales.
En cambio, muchas otras plataformas de protección de endpoints se basan principalmente en la detección de técnicas de ataque específicas basadas en código malicioso conocido asociado, llamadas a instrucciones secuenciales específicas y contexto de entrega. En consecuencia, estas plataformas pueden proporcionar una protección ineficaz si el autor del malware reorganiza su código y su distribución.
Conclusión
Cuando se despliega correctamente, AMTD añade una capa de defensa inestimable contra las amenazas persistentes avanzadas (APT), los ataques basados en exploits y el ransomware.
Sophos Endpoint utiliza tecnologías AMTD en el endpoint para mejorar automáticamente la resistencia de todas las aplicaciones sin necesidad de configuración, cambios en el código fuente ni evaluaciones de compatibilidad.
AMTD transforma fundamentalmente el entorno informático, subiendo el listón al introducir mayor incertidumbre y complejidad para los atacantes. En resumen, los endpoints protegidos por Sophos son más resistentes a los ataques.
Dejar un comentario