Panda security Presentación Adaptive Defense

Adaptive Defense

CLOSING THE GAP OF MALWARE DETECTION

24/03/2015 Audit Service 2

Contenido

1. Los tres factores que definen la

seguridad informática en las

empresas

2. ¿Qué es Panda Adaptive

Defense?

3. ¿A quién va dirigido?

4. Características y beneficios

5. ¿Cómo funciona?

6. Opiniones de nuestros clientes


Los tres factores que definen la

seguridad informática en las

empresas

24/03/2015 Panda Adaptive Defense 4

Los 3 factores… Ev

olu

ció

n

1998 2014

1

2

3

Sofisticación del Malware

Evolución de los entornos IT

Evolución de los antivirus

tradicionales


Primer factor:

Sofisticación del

malware

a. Malware cada vez más sofisticado y difícil de

detectar

o Desarrollos mas complejos

o Con capacidades avanzadas para

pasar inadvertidos

b. Evolución de las estrategias de infección

o Investigación previa sobre el objetivo

o Ataques espaciados y coordinados,

que utilizan varios vectores

simultáneamente (Advanced

Persistent Threat)

c. Cambio en las motivaciones de los creadores de malware

o Del reconocimiento personal hacia

motivos económicos. Espionaje

industrial, robo de tarjetas,…

Las empresas desarrollan sus actividades

en un entorno mucho más peligroso para su

capital intelectual

Ev

olu

ció

n d

el M

alw

are

1998 2014

VIRUS

SPYWARE

BOTS TROYANOS

ATAQUES

DIRIGIDOS

ATAQUES

ZERO-DAY

TROYANOS

DINAMICOS 100 nuevas muestras encontradas cada día

1.369 nuevas muestras encontradas cada día

Más de 200,000 nuevas muestras encontradas cada día


Segundo factor:

Tendencia de los

entornos IT en las

empresas

Infraestructura más compleja de gestionar.

o BYOD.

o Trabajadores en itinerancia y en

oficinas remotas.

o Sistemas heterogéneos.

o Mas software instalado, más

vulnerabilidades.

Mayor dependencia tecnológica de los

procesos internos de la empresa.

Dimensionamiento de los departamentos de IT

sin cambios o a la baja.

El incremento de la complejidad de los sistemas

de IT de las empresas incrementa su

vulnerabilidad ante el malware

Ev

olu

ció

n

de

lo

s e

nto

rno

s IT


Tercer factor:

Evolución de los

antivirus

tradicionales

Volumen de malware

o MÁS recursos diseccionando malware

o MAYOR tamaño ficheros de firmas

o MÁS detecciones heurísticas

Complejidad y peligrosidad del malware

o MÁS motores de detección

o MÁS vectores de infección a proteger

Complejidad de las infraestructuras de IT...)

o MÁS plataformas compatibles

o MÁS modelos de protección

(SaaS, endpoint, perimetral...)

Ev

olu

ció

n A

ntiv

iru

s

Tra

dic

ion

ale

s

1998 2014

Fichero de firmas

Motor de detección

Heurísticas

- Altos consumos de memoria y CPU - Alto riesgo de infección - Gestión compleja de la seguridad


“Detecting attacks often takes an alarmingly

long time—46% of respondents report an

average detection time of hours or days.

Resolution once an attack has been identified

takes even longer, with 54% reporting average

resolution times of days, weeks or months.”

IDG Research, DARKReading, 2014

Nuevo malware: la

ventana de

oportunidad

2%

4%

7%

9%

18%

70% 75% 80% 85% 90% 95% 100%

3 meses

1 mes

7 dias

3 dias

24h

% VIRUS detectados

% VIRUS no detectados

El 18% del malware nuevo no se detecta en las 24

primeras horas y un 2% sigue sin detectarse 3

meses después.

Análisis realizado por Panda Security


¿Qué es Panda Adaptive

Defense?


Panda

Adaptive Defense

Panda Adaptive Defense es un nuevo modelo de

seguridad capaz de ofrecer protección completa para

dispositivos y servidores mediante la clasificación del 100%

de los procesos ejecutados en cada puesto y cada

servidor de tu parque informático, supervisando y

controlando su comportamiento.

Más de 1.200 millones de aplicaciones ya clasificadas

La nueva versión de Adaptive Defense(1.5) incluye el

motor AV, añadiendo la capacidad de desinfección, y

posibilitando el reemplazo del antivirus de la empresa.

Información

forense para

investigar en

profundidad cada

intento de ataque

… y trazabilidad de

cada acción

realizada por las

aplicaciones en

ejecución.

… y bloqueo de

aplicaciones, aislando

los sistemas para

prevenir futuros

ataques

… y bloqueo en

tiempo real y sin

necesidad de ficheros

de firmas de todos los

ataques Zero-day y

dirigidos


¿A quién va dirigido?

MB (101-1000)

End-users (companies)

Key Accounts

SOHO (1-25)

SB (26-100)

Objetivo: Gran Cuenta

Idealmente clientes con más de 500 PCs (100 mínimo) y

preocupados por los riesgos de seguridad

Algunos verticales que demandan este tipo de soluciones son:

• Gran Comercio (POS):

• Visibilidad y control con bajo impacto en rendimiento

• Total visibilidad de las aplicaciones ejecutadas

• Capacidad de Black-listing y lockdown (a partir de

v2.0)

• Sectores Financiero, Energético and Farmacéutico

• Visibilidad, prevención y bloqueo de ataques dirigidos

a este tipo de organizaciones:

• Bancos e instituciones financieras

• Compañías de seguros

• Fondos de inversión

• Investigación Farmacéutica, …

• Administración/Gobierno

• Buscan protección frente a cyber amenazas y

herramientas para identificar, combatir y detener a los

cyber criminales

Clie

nt

seg

me

nt

24/03/2015 Adaptive Defense & Audit Service Sales

Policy 12


Características y beneficios


Control preciso y configurable de las aplicaciones en ejecución

Protección de sistemas vulnerables

Protección ante ataques dirigidos hacia tu capital intelectual

Información forense.

Protección

Productividad Identificación y bloqueo de programas no autorizados

por la empresa

Solución ligera y fácil de desplegar

Gestión Informes diarios e inmediatos.

Gestión sencilla y centralizada en una consola web

Mayor servicio, menor gestión

Contra fabricantes de AV

Contra fabricantes de WL*

Contra nuevos fabricantes de ATDs

Gap en la detección, no clasifican

todos los ejecutables

Requieren creación y gestión

de las listas blancas

Las soluciones perimetrales

no cubren todos los vectores de

infección

No son transparentes para los usuarios

finales y administradores (gestión falsos

positivos, cuarentenas, …)

El despliegue es

laborioso y complejo

Supervidar entornos virtuales (sandboxing) no es tan efectivo como

supervisar entornos reales

Los sistemas WL suponen

una costosa sobrecarga

para el administrador

Otros ATDs previenen/bloquean los

ataques, solo los detectan


Qué Diferencia a Adaptive Defense

* WL=Whitelisting. Bit9, Lumension, etc

** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc


Capacidad de detección de nuevo malware* Antivirus

Tradicional (25) Panda Adaptive Defense

Modelo Standard Modelo Extendido

Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%

Nuevo malware detectado en los primeros 7 días 93% 100% 100%

Nuevo malware detectado en los primeros 3 meses 98% 100% 100%

% detecciones de PAPS no detectadas por

ningún antivirus

3,30%

Detección de Sospechosos SI NO (no hay incertidumbre)

Clasificación de ficheros Agente

Universal ** Panda Adaptive Defense

Ficheros clasificados automáticamente 60,25% 99,56%

Nivel de confianza de la clasificación 99,928% 99,9991%

< 1 error / 100.000 ficheros

* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y

cookies no han sido incluidos en este estudio.

Adaptive Defense vs Antivirus Tradicionales

** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda

Security


Como funciona Adaptive

Defense?


Un nuevo modelo de seguridad cloud en tres

fases

1ª Fase: Monitorización

minuciosa de cada una de las

acciones que desencadenan los

programas en los equipos.

2ª Fase: Análisis y correlación

de todas las acciones

monitorizadas en todos los

clientes gracias a técnicas de

inteligencia basadas en Data

Mining y Big Data.

3ª Fase: Fortificación y

securización de los equipos,

impidiendo la ejecución de

cualquier proceso sospechoso o

peligroso y alertando al

administrador de la red.


El endpoint instalado en cada equipo

inspecciona todos los eventos desencadenados

por cada proceso en ejecución. Cada evento

es catalogado (mas de 2000 tipos) y enviado a

la nube.

o Descarga de ficheros

o Instalación de software

o Creación de Drivers

o Procesos de comunicación

o Carga de DLLs

o Creación de servicios

o Creación y borrado de carpetas y ficheros

o Creación y borrado de ramas del Registro

o Acceso local a datos (más de 200 formatos)

Fase 1:

Monitorización

continua del equipo


Fase 2: Análisis Big Data

(*) Clasificación basada en patrones realizada por Panda Labs con un tiempo de respuesta menor de 24h de media

(**) El nivel de confianza determina si un proceso es confiable o no, en cuyo caso se impide su ejecución.

Información

Estática

Contextual

Externa (3º parties)

Ejecución controlada y clasificación* en máquinas

físicas

Análisis Big Data

Clasificación continuada

de ejecutables*

Cálculo del nivel de confianza

El nivel de confianza** de cada proceso se recalcula según el

comportamiento dinámico de los mismos.

El nivel de confianza se recalcula

en base a la nueva evidencia recibida (Análisis Retrospectivo).


Fase 3: Fortificación

y securización del

endpoint

Todos los ejecutables son clasificados con

una precisión cercana al 100% (99,9991%).

Todo ejecutable clasificado como malware

se bloquea inmediatamente.

Protección contra vulnerabilidades.

Aplicaciones tales como Java, Adobe,

Microsoft Office y navegadores son

protegidos contra ataques basados en fallos

de software utilizando reglas contextuales y

de comportamiento.

Data hardening.

Únicamente se permite el acceso a los datos

y a ciertas áreas sensibles del sistema

operativo a aquellas aplicaciones que han

sido clasificadas como seguras.

Bloqueo de todos los procesos sin clasificar.

Los procesos desconocidos son bloqueados

hasta que les sea asignado un MCL

(Maximum Confidence Level) por el sistema.

En caso de no ser clasificado

automáticamente, la aplicación será

clasificado por un analista.

MO

DO

ESTÁ

ND

AR

MO

DO

EX

TEN

DID

O

24/03/2015 Global 22

Arquitectura de la Solución Adaptive Defense y otros Productos Panda

Collective Intelligence

Adaptive Defense Big Data

Endpoint Agent/s

Endpoint Management Console

Continuous Analysis

Continuous Exec

Classification

Adaptive Defense Agent/s

Central Management

Center

Security & IT Managers

Central Office

Other branches location

Employees Seats

Adaptive Defense Management Console

Systems Management Management Console

Systems Management Agent/s

Adaptive Defense Big Data Comms

Endpoint Protection Collective Intelligence Comms

Endpoint Protection Agents Comms

Adaptive Defense Agents Comms

Systems Management Agents Comms

Management Console Comms


Opiniones de nuestros clientes


"Gracias a Panda Adaptive Defense podemos ofrecer una garantía de protección completa sobre los

puestos y servidores de nuestros clientes, supervisando y controlando de forma granular el

comportamiento de cada máquina. Además, nos permite ofrecer servicios de análisis forense a petición

de nuestros clientes.“ “Adaptive Defense nos permite de una forma sencilla ofrecer garantías de

seguridad frente al cibercrimen y los ataques dirigidos, un punto clave que no estábamos seguros de

poder alcanzar cuando comenzamos a evaluar soluciones.” Alfonso Martín Palma, Senior Manager del

Indra Cybersecurity Operations Center (i-CSOC).

“Estamos muy satisfechos con la calidad del servicio ofrecido por Panda Security durante estos meses.

Gracias a su innovador servicio de clasificación de aplicaciones, podemos contar con alertas y bloqueos

en tiempo real que nos permite protegernos contra ciberamenazas avanzadas como meta-exploits, APTs

basadas en adware, PUPs, etc.”

“Después del éxito de este proyecto, y gracias a la calidad de los servicios ofrecidos, Eulen centra su

atención en la seguridad de nuevos sistemas operativos, como Android, y para ello tiene en

consideración una nueva colaboración con Panda Security.”

Gracias

Software

Panda security Presentación Adaptive Defense