CIS Control 8: Defensas contra malware

Controle la instalación, propagación y ejecución de código malicioso en múltiples puntos de la empresa, mientras optimiza el uso de la automatización para permitir una actualización rápida de la defensa, la recopilación de datos y la acción correctiva.

El malware es un componente clave de los ataques cibernéticos y continúa siendo una carrera armamentista entre los profesionales de la seguridad y los hackers. El malware se puede utilizar para comprometer una amplia variedad de activos de TI y se puede implementar a través de muchas vías diferentes, incluidos archivos adjuntos de correo electrónico, páginas web maliciosas, servicios en la nube y medios extraíbles (como dispositivos USB). Mantenerse al día con el cambio constante en la entrega de malware y las técnicas de ofuscación es un desafío importante que requiere la implementación de una variedad de controles como se define en Critical Security Control 8.

Recomendaciones:

  • Emplee herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles con antivirus, antispyware, firewalls personales y funcionalidad IPS basada en host. Todos los eventos de detección de malware deben enviarse a las herramientas de administración antimalware de la empresa y a los servidores de registro de eventos.
  • Emplee software anti-malware que ofrezca una infraestructura centralizada que compile información sobre la reputación de los archivos o haga que los administradores envíen actualizaciones manualmente a todas las máquinas. Después de aplicar una actualización, los sistemas automatizados deben verificar que cada sistema haya recibido su actualización de firma.
  • Limite el uso de dispositivos externos a aquellos con una necesidad comercial documentada y aprobada. Supervise el uso e intento de uso de dispositivos externos. Configure computadoras portátiles, estaciones de trabajo y servidores para que no ejecuten automáticamente contenido de medios extraíbles, como tokens USB (es decir, “unidades de memoria USB”), discos duros USB, CD / DVD, dispositivos FireWire, dispositivos de conexión de tecnología avanzada en serie externos, y recursos compartidos de red montados. Configure los sistemas para que realicen automáticamente un análisis antimalware de los medios extraíbles cuando se inserten.

Herramientas que pueden ayudar

  1. Sophos

Sophos tiene una gran cantidad de soluciones que pueden ayudar a la defensa del malware, y que van desde el Anti-exploit, anti-ransomware a la protección de la ejecución de código malicioso en el endpoint.  Pasando por herramientas de threat intelligence en tiempo real, IPS, APT y Sandboxing. Las Soluciones de Sophos, que aplican a este control son:

  • Sophos Intercept X
  • Sophos Email Appliance
  • Sophos XG Firewall
  • Sophos Sandstorm
  • Sophos Mobile
  1. Qualys

Qualys aborda este control haciendo uso de sus módulos de WEB APPLICATION SCANNING (WAS), WEB APPLICATION FIREWALL (WAF), INDICATION OF COMPROMISE (IOC), POLICY COMPLIANCE (PC) y FILE INTEGRITY MONITORING (FIM). los cuales identifican hoyos de seguridad en aplicaciones web, servicios web y REST APIs. y son capaces de reportar infecciones de malware en forma detallada.

  1. Netskope

Netskope Cloud Platform ofrece capacidades avanzadas de Threat Protection incorporando diversas tecnologías como engines de detección en base a firmas, Netskope Threat Intelligence, engines de heurística avanzada, cloud sandboxing y UEBA (User Entity Behaviour Analytics) para la detección y bloqueo de amenazas conocidas y de dia cero a las cuales se pueden ver expuestos los usuarios al consumir servicios en Internet y la nube

  1. Faronics

El servicio Anti-Virus de Faronics ofrece protección contra amenazas de seguridad a través de un poderoso software antivirus, antirootkit, firewall y antispyware “todo en uno” que protege los equipos de las complejas amenazas de malware actuales.

  1. Security scorecard.

Security scorecard permite detectar desde una visión externa los siguientes puntos:

  • High Severity Vulnerabilities Found in Last Observation
  • High Severity CVEs Patching Cadence
  • Medium Severity Vulnerabilities Found in Last Observation
  • Medium Severity CVEs Patching Cadence
  • Low Severity Vulnerabilities Found in Last Observation
  • Low Severity CVEs Patching Cadence
  • Malware Events, Last Day
  • High, Medium and Low Severity Content Management System vulnerabilities identified
  1. Core Network Insight

Una vez que una amenaza ha sido detectada, Network Insight usa un sofisticado Case Analyzer (analizador de casos), que elimina los falsos positivos mediante el uso de inteligencia de amenazas de CoreLabs, para examinar la evidencia forense y poder detectar la infección de forma concluyente. Los equipos de Seguridad solo reciben una notificación cuando se confirma una infección, lo que reduce la sobrecarga de alertas y facilita la acción inmediata.