En un mismo agente de TRAPS se proporcionan muchas capacidades de prevención de un ataque antes de que este se produzca sin depender de firmas de AntiVirus, poniendo múltiples niveles de bloqueo y compartiendo la inteligencia de amenazas de la plataforma de seguridad de Palo Alto Networks. Una buena implementación de las soluciones deber partir de un buen análisis del proceso.

La posibilidad de proteger a los endpoints*, desde los primeros AntiVirus, ha existido durante décadas, pero las tecnologías y los métodos de ataque han avanzado significativamente y no todos los fabricantes especializados en soluciones de seguridad endpoint han evolucionado lo suficiente o por el camino adecuado para hacer frente a las amenazas de hoy en día. La mayoría de las opciones del mercado se siguen basando en firmas**, lo que les hace ir continuamente detrás de los atacantes, dado que no protegerán de nada nuevo que éstos descubran y por lo tanto estarán indefensos a ataques de día cero. Claramente esta estrategia no es la adecuada, ni tampoco el hecho de centrarse en prevenir malware***, no haciendo nada frente a exploits****. Otras soluciones están diseñadas para detectar el post ataque, requiriendo de mucho esfuerzo manual de especialistas que deben leer todas las alertas y ser capaces de entender de todos esos datos qué es un riesgo y qué no.

Mediante la combinación de múltiples métodos de prevención en un ligero agente, TRAPS se distingue por su capacidad para proteger los endpoints tanto online como offline. TRAPS minimiza el potencial de exposición a un ataque al insertarse en fases críticas del ciclo de vida del ataque para detener la ejecución de programas maliciosos y parar la explotación de vulnerabilidades de aplicaciones legítimas. Esto lo hace independientemente del Sistema Operativo y de si el equipo está conectado a la red o no.

Como ya se mencionó en el artículo en el que hablábamos de Machine Learning (https://www.optimumtic.com/blog/52), TRAPS consta de un módulo local que se basa en el análisis estático de los archivos para obtener un veredicto incluso cuando no se tiene acceso a los servidores de TRAPS. Este módulo examina cientos de características de un ejecutable desconocido para determinar la probabilidad de que sea malware. Por otro lado, en caso de tener acceso a la red, siempre se podrá disponer de un veredicto inequívoco del comportamiento que realiza dicho fichero y por lo tanto de si es malicioso, gracias al análisis dinámico que se realiza en WildFire*****. Además de esta prevención frente a malware, TRAPS dispone de un módulo Anti-Exploit que permite proteger a los equipos frente a intentos de acceso de los atacantes, utilizando un enfoque completamente nuevo y único para evitar exploits en el endpoint. En lugar de centrarse en los millones de ataques individuales o sus vulnerabilidades de software subyacentes, TRAPS se centra en las técnicas básicas de explotación utilizadas en todos los ataques basados en exploits, dado que cambian con poca frecuencia y, en cualquier caso, es necesario utilizar más de una para llevar a cabo un ataque, por lo que sólo detectando una de ellas, el ataque queda neutralizado. Al bloquear las técnicas básicas, TRAPS evita de forma efectiva la explotación de vulnerabilidades de las aplicaciones, ya sean conocidas o desconocidas. Otra de las capacidades de TRAPS es la de analizar y detener actividad de ransomware****** antes de que ocurra una pérdida de información, para lo que dispone de ciertos ficheros a modo de señuelo, en lugares estratégicos del equipo, para detectar si son alterados.

Otro gran punto a favor de TRAPS es su soporte a múltiples Sistemas Operativos (Windows, Mac, Linux y Android), proporcionando seguridad en equipos legacy como Windows XP o Windows Server 2003, tan antiguos como presentes en muchas compañías, sobre todo en el mundo industrial, donde TRAPS también es especialmente útil para proteger un entorno que normalmente nunca se actualiza ni parchea.

TRAPS, además de ser muy potente por sí solo, es parte de algo mucho más grande. La habilidad de enviar toda la información recolectada en el endpoint, la red o el cloud y que por lo tanto se pueda examinar la información a través de toda la plataforma, proporcionando análisis de amenazas adicionales, inteligencia compartida y contención automatizada, le da a Palo Alto Networks una enorme ventaja respecto a sus competidores.

Además de su versión on-premise, TRAPS dispone de un servicio de administración entregado en la nube que simplifica la implementación y reduce los costes. Los eventos y los incidentes que TRAPS captura se almacenan en Logging Service de Palo Alto Networks, asegurando una transferencia limpia a otros componentes de la plataforma operativa de seguridad, como el servicio de análisis de amenazas contextuales AutoFocus, la gestión de seguridad de red Panorama y el análisis de comportamiento Magnifier, para mayor investigación y respuesta a incidentes. TRAPS está integrado con toda la plataforma, facilitando el descubrimiento, la detección, la contención y, en última instancia, una prevención automatizada más amplia en toda la arquitectura de seguridad.

OptimumTIC PARTNER certificado de Palo Alto desde 2010, aplicamos soluciones de CiberSeguridad completas, que se basan en el Análisis del Proceso de tráfico de datos, la prevención, las medidas regulatorias y por ultimo las herramientas. Aplicamos un control PDACT en todas nuestras soluciones.

Aparte de ello creemos en la concienciación y formación desde el primer eslabón de la cadena, el usuario, ya que los riesgos a los que se expone un trabajador realizando sus funciones en una compañía, o nosotros como usuarios de nuestras propias aplicaciones y funciones cotidianas, es muy alto, y la capacitación y asesoramiento del personal sobre el impacto que pueda tener una acción de contestar un mail de una procedencia dudosa, reenviar un mail en cadena o simplemente entrar a una URL que no parecía maliciosa puede permitir robo de datos, fraude, suplantación de identidad, escalado de privilegios….

Desde OptimumTIC realizamos y formamos a todos los equipos de una Compañía con herramientas propias de gamificación y/o con formaciones continuas prácticas, que van desde el correo a la seguridad en los accesos, pasando por el conocimiento en normativas, regulaciones y en definitiva formar y mantener en alerta a todos los empleados.

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com

* Endpoint: se entiende como cualquier tipo de equipo: PCs de usuarios, servidores, maquinaria industrial, etc.

** Firma: patrón que identifica de forma única un malware específico y conocido.

*** Malware: ficheros o programas maliciosos con el objetivo de infiltrarse o dañar de alguna forma un equipo.

**** Exploits: técnicas de explotación de vulnerabilidades de los equipos. Es la manera en la que los atacantes consiguen penetrar en las máquinas.

***** WildFire: infraestructura en la nube de Palo Alto Networks que se utiliza para ejecutar ficheros y así comprobar si son maliciosos, de forma que, en un entorno controlado, mediante análisis dinámico, se pueden detectar amenazas de día cero.

****** Ransomware: tipo de malware que encripta ficheros del equipo y los hace inaccesibles. Tras este tipo de ataque se suele pedir una dotación económica mediante bitcoins para recuperar los ficheros.