Abril de 2014IBM Software

Informe sobre liderazgo experto

¿Qué se esconde detrás de un ciberataque?Obtener conocimiento y claridad sobre el qué, el cuándo y el cómo de un incidente que amenaza la seguridad de la empresa

2 ¿Qué se esconde detrás de un ciberataque?

Contenidos

2 Introducción

3 Los atacantes tienen ventaja, pero dejan una huella rastreable

4 La investigación forense avanzada puede incrementar la ventaja de las empresas

4 Los análisis forenses avanzados pueden permitir un enfoque de seguridad integral

5 Crear una información que admita búsquedas con la Plataforma IBM QRadar Security Intelligence

6 Las investigaciones pueden ser más completas y productivas

7 Las investigaciones de seguridad pueden ser más rápidas y sencillas

8 La forma en que los equipos de seguridad ven la información es importante para tener éxito

9 Generar inteligencia puede ayudar en las investigaciones

11 Conclusión

11 Para más información

11 Sobre las soluciones de IBM® Security

IntroducciónLas filtraciones ocurren. Dentro de los entornos empresariales actuales, de alto valor y grandes expectativas, muchas organizaciones asumen, con razón, no solo que sus datos y sistemas informáticos recibirán ataques, sino que algunos de estos tendrán éxito. Un estudio descubrió que, efectivamente, el 97 por ciento de las organizaciones había sufrido ataques de software malicioso.1

Sin embargo, reconocer el problema es solo el primer paso, porque asumir que se producirán ataques en el futuro equivale a reconocer que los ataques pasados han logrado su propósito. Entonces, ¿cuál es la solución? ¿Cómo puede descubrir el qué, el cuándo y el cómo de un incidente de seguridad, y qué daño potencial podría haber ocasionado? Las respuestas a estas preguntas son esenciales para poder subsanar el daño y mejorar las defensas.

Para investigar una filtración, las organizaciones necesitan obtener mayor visibilidad y claridad dentro de su actividad de red. Y lo necesitan con rapidez. Un estudio reciente realizado por Verizon Communications descubrió que, en un 66 por ciento de los casos, fueron necesarios meses para descubrir que se había producido una filtración,2 durante los cuales las organizaciones estuvieron expuestas a que sus operaciones de negocio, sus datos particulares, su propiedad intelectual y su imagen de marca resultaran perjudicados.

La dificultad para evitar los daños radica en la complejidad de utilizar soluciones existentes para recopilar los datos relacionados con la seguridad e investigar la filtración Con las soluciones convencionales, obtener la información y los conocimientos necesarios lleva mucho tiempo y resulta muy difícil, por no decir imposible. Al mismo tiempo, los atacantes emplean unas técnicas cada vez más sofisticadas y tienen éxito con una facilidad sorprendente. A pesar de las defensas establecidas por las empresas, el estudio de Verizon calificó el 78 por ciento de las intrusiones iniciales como ‘de baja dificultad’.2

Este informe analizará los defectos de los enfoques convencionales a la hora de investigar fallos de seguridad y presentará IBM Security QRadar Incident Forensics, una solución rápida, sencilla y completa, diseñada para ayudar a las empresas a defenderse contra las amenazas sofisticadas, persistentes e internas, incluyendo el fraude y los abusos.

3IBM Software

Al utilizar QRadar Incident Forensics, las organizaciones pueden volver a montar los datos de tráfico de paquetes en bruto en su formato original con objeto de simplificar el análisis, y rastrear paso a paso las acciones de un posible atacante para detectar y subsanar los incidentes de seguridad, y así reducir las posibilidades de exfiltración o de recurrencia de filtraciones pasadas.

Los atacantes tienen ventaja, pero dejan una huella rastreableLas teorías bélicas hablan de ‘ventaja asimétrica’ cuando el poder, las estrategias o las tácticas de un ejército son notablemente diferentes a las de otro. Sería también un término apropiado para definir el estado en el que se encuentra actualmente la seguridad de las empresas. Las empresas y los ciberatacantes están en guerra. Además, los requisitos que establecen unas y otros, su experiencia y las motivaciones que tienen en mente son radicalmente distintos.

La infraestructura típica de una empresa incluye miles de dispositivos y aplicaciones, una cantidad ingente de conexiones cada vez más complejas y un número indeterminado de puntos vulnerables desprotegidos. Para tener éxito, el atacante externo o el usuario interno malintencionado únicamente necesitan aprovechar una debilidad. La empresa debe cubrirlas todas y, si las medidas de protección no funcionan, debe encontrar, rastrear y subsanar los ataques que pudieran acechar en cualquier parte.

El resultado es que las empresas se enfrentan a una enorme tarea. La base de datos de seguimiento que mantiene el equipo de investigación y desarrollo de IBM X-Force, que ha recopilado datos sobre 78.000 vulnerabilidades de seguridad reveladas públicamente, registró 8.330 vulnerabilidades nuevas tan solo en 2013.3 En el periodo anual finalizado en marzo de 2013, el software malicioso cuyo objetivo eran las plataformas móviles se convirtió en un nuevo agente de ataque que creció en un 614 por ciento (casi un 450 por ciento más rápido que el año anterior). 4

•

•

•

•

Por el lado de los defensores, cada acción que se lleva a cabo en a red, ya sea desde dentro o fuera de la organización, autorizada no, puede identificarse y analizarse como si formara parte de n incidente de seguridad. El seguimiento de estas impresiones igitales puede revelar posibles vulnerabilidades, las acciones que mprende un atacante para aprovecharlas y la fuente del ataque. uchas organizaciones han utilizado soluciones tradicionales,

omo la gestión de datos de registro y las aplicaciones SIEM, ue les otorgan las competencias básicas para recabar los eventos e la fuente del registro y los datos de NetFlow, pero carecen de apturas de paquetes completos (PCAP), que proporcionan un ontexto de red más rico.

in embargo, las aplicaciones SIEM obtienen grandes cantidades e datos, no solo de los atacantes, sino también de usuarios

egítimos, y la mayoría de las organizaciones no tienen ni el iempo ni los recursos necesarios para cribar todos estos datos y allar cadenas específicas de caracteres incriminatorios.

Las soluciones de análisis forense convencionales pueden constituir un reto

Los analistas deben ser expertos en las investigaciones de seguridad en la red.Añadir soluciones de seguridad puntuales con una

integración mínima generalmente hace aumentar la complejidad y los costes. Establecer dónde y cuándo se ha de iniciar una

investigación puede ocasionar pérdida de productividad. Las consultas complejas dirigidas a repositorios de captura de paquetes pueden exigir dedicarles mucho tiempo, consumen recursos de almacenamiento y procesamiento y no consiguen revelar las relaciones necesarias para poner remedio.

loudeMcqdcc

Sdlth

4 ¿Qué se esconde detrás de un ciberataque?

La investigación forense avanzada puede incrementar la ventaja de las empresasEn un ataque a una empresa, las intrusiones y la defensa no son los únicos elementos asimétricos. Los eventos de la línea temporal del ataque suelen beneficiar también al atacante. Verizon ha descubierto que casi el 85 por ciento de tales eventos tiene lugar en segundos, minutos u horas, y que el 68 por ciento de la exfiltración ocurre en ese mismo periodo. Sin embargo, el 62 por ciento de las detecciones no suceden hasta meses después. El 77 por ciento del esfuerzo de subsanación incluyendo los parches, los cambios de configuración y los bloqueos frente a las intrusiones lleva días, semanas o meses de trabajo, que se añaden al tiempo que se tarda en detectar los fallos.2

Evidentemente, es necesario incrementar la velocidad de respuesta ante un ciberataque. Puede resultar decisivo saber de inmediato la extensión que adquiere cualquier filtración relacionada. Descubrir qué dispositivos o aplicaciones están afectados y establecer una línea temporal del evento puede indicar con exactitud a los administradores dónde y cuándo deben aplicar sus esfuerzos de subsanación. Por ejemplo, si una persona manipula in situ los dispositivos físicos, la localización de los dispositivos y el seguimiento de los eventos de la filtración pueden orientar a los investigadores hacia cámaras de seguridad que les permitan identificar al sospechoso.

Sin embargo, estas operaciones de defensa son complejas y no deben realizarse manualmente, sino que las organizaciones necesitan herramientas automatizadas y completas para convertir sus capturas de paquetes de red en información que admita búsquedas e indexación. Entonces, los equipos de seguridad podrán utilizar esta información para establecer rápidamente las amenazas y sus características, distinguir los ataques reales de los falsos positivos y formular mejores prácticas de prevención para acciones futuras, basadas en una mejor comprensión del ataque.

Si utilizan una solución avanzada de análisis forense de redes, los investigadores dispondrán de una visión más completa de la serie de acontecimientos ocurridos en un ataque, incluyendo componentes identificativos como direcciones IP y MAC, protocolos de aplicación, alojamientos web, consultas del usuario

y certificados Secure Sockets Layer (SSL). Podrán identificar los datos que han sido robados, como números de la Seguridad Social o de tarjetas de crédito. Podrán recabar información que les ayude a identificar el origen de la filtración, si se trata de un atacante externo o de un usuario interno que utiliza una autorización legítima para fines maliciosos.

Las amenazas emergentes exigen claridad para poder detectarlas y subsanarlas

Una solución de análisis forense de red avanzado puede otorgar a los analistas de seguridad claridad de contenido, relaciones y una secuencia de eventos para resolver los incidentes. Por ejemplo:

• Seguridad de la red: Un minorista necesitaba detectar una duplicación no autorizada de los datos de pago de un cliente desde los sistemas de punto de venta (TPV) a sistemas internos comprometidos.

• Fraude y abuso: Una empresa de financiación necesitaba revelar un sofisticado plan de blanqueo de dinero consistente en numerosas interacciones aparentemente sin conexión entre sí.

•Amenaza interna: Una empresa de fabricación necesitaba encontrar al autor, identificar a los colaboradores y señalar con precisión los sistemas y datos participantes en el robo de propiedad intelectual.

• Recogida de pruebas: Una empresa dedicada a las investigaciones relacionadas con la seguridad necesitaba recopilar pruebas contra una entidad maliciosa involucrada en la filtración de un sistema de seguridad y en el robo de datos.

Los análisis forenses pueden permitir un enfoque de seguridad integralEn su esfuerzo por impedir los ataques y las filtraciones, así como por cumplir la normativa gubernamental e industrial en materia de seguridad, muchas organizaciones han desplegado soluciones de análisis forense de redes. Sin embargo, en muchos casos, las soluciones de seguridad que eligen son productos puntuales que proporcionan conocimientos y respuestas que dependen de la competencia de analistas con formación técnica.

5IBM Software

Crear una información que admita búsquedas con un motor de búsqueda de Internet

Fuente de los datos

Dispositivos de seguridad

Servidores y sistemas mainframe

Actividad de la red y virtual

Actividad de los datos

Actividad de la aplicación

Información de configuración

Vulnerabilidades y amenazas

Usuarios e identidades

Inteligencia global contra amenazas

Recopilación, almacenamiento y análisis de datos ilimitados

Clasificación de datos integrada

Servicio de los activos, descubrimiento de usuario y creación de perfiles automáticos

Correlación en tiempo real e inteligencia contra amenazas

Detección de anomalías y líneas de referencia de la actividad

Detección de incidentes preconfigurada

Rápida reducción del tiempo de resolucióngracias a un flujo de trabajo forense intuitivo

Capacidad de los usuarios de hacer uso de su intuición más que de formación técnica

Ayuda para establecer la causa raíz y prevenir recurrencias

Identificación de infracciones automatizada

Investigacionesforenses dirigidas

Un enfoque de estas características trata el análisis forense de redes como un trabajo para obtener búsquedas PCAP sencillas, pero los despliegues en serie resultantes, que colocan una solución puntual sobre otra según van necesitándose nuevas competencias, pueden oscurecer las verdaderas medidas de seguridad de la organización con una complejidad innecesaria. Es más conveniente desplegar una solución completa de análisis forense que pueda investigar no solo los datos PCAP en circulación, sino también los documentos, las bases de datos y otros datos en reposo.

Al utilizar QRadar Incident Forensics, la solución avanzada e integral de análisis forense de redes de IBM, los investigadores no solo podrán recabar información de la red, sino que podrán buscar de manera preventiva posibles filtraciones, basándose en las alertas que le proporciona X-Force Threat Intelligence. Podrán encontrar relaciones dentro de la red e identificar los orígenes del incidente. A continuación, y utilizando datos y conocimientos sobre la red relacionados con el incidente de seguridad, comprenderán las razones por las que determinados ataques tienen éxito y podrán erradicar de un modo más eficaz las actividades maliciosas asociadas a una filtración. Los administradores pueden obtener pruebas que les respalden en las acciones legales o a cumplir las auditorías de cumplimiento de la normativa.

En última instancia, el equipo de seguridad de TI puede hacer uso de la información y conocimiento proporcionados por QRadar Incident Forensics para contribuir al desarrollo de unas contramedidas eficaces y mejores prácticas de seguridad: actualizar las defensas perimetrales como los cortafuegos, parches y aplicaciones de dispositivos finales, ajustar con frecuencia las competencias para la detección de anomalías y redactar normas de correlación SIEM a varios niveles, así como medidas de prevención que reduzcan los falsos positivos y contribuyan a una mejor identificación de los ataques.

Crear una información que admita búsquedas con la Plataforma IBM QRadar Security IntelligenceAsí que, ¿cómo funciona QRadar Incident Forensics? En pocas palabras: comienza una vez ha ocurrido un incidente de seguridad, cuando un analista define una búsqueda o un caso, recupera todos los datos PCAP asociados, reconstruye cada archivo integrado y luego crea índices múltiples haciendo uso de los contenidos del archivo y de los metadatos. Estos pasos dan lugar a una información que admite búsquedas y que los equipos de seguridad pueden conservar para investigar el incidente durante mucho tiempo.

6 ¿Qué se esconde detrás de un ciberataque?

Basándose en sus competencias principales de extracción y correlación, QRadar Incident Forensics puede proporcionar soporte a las tres operaciones principales que se llevan a cabo en las investigaciones de seguridad en la red:

Respuesta a incidentes de seguridadCuando se descubre un fallo de seguridad, QRadar Incident Forensics puede capacitar a los investigadores para rastrear las acciones del atacante paso a paso en tiempo real y elaborar un perfil que se conoce como impresión digital, que rastrea la actividad anterior y actual del autor de la amenaza. La información que se obtiene puede ayudar al equipo de seguridad a subsanar el incidente con rapidez y a elaborar contramedidas para evitar daños futuros.

Clasificación de la alertaEn general, las soluciones SIEM generan un número limitado de supuestas infracciones contra la seguridad y las comparan con otros datos de seguridad. Sin embargo, QRadar Incident Forensics capacita al equipo de seguridad para continuar investigando cada posible infracción, con objeto de establecer si se trata de un ataque real o si es un falso positivo. Con las soluciones de análisis forense convencionales, es posible que se tarde semanas en llevar a cabo estas investigaciones, en función de los niveles de habilidad de los analistas y de las respuestas de los usuarios identificados. Pero al combinar automáticamente la información procedente de los informes SIEM con la información histórica obtenida en la investigación y resolución de incidentes anteriores, QRadar Incident Forensics puede contribuir a reducir notablemente el tiempo necesario para realizar cada investigación.

Análisis de datos preventivo y defensivoDe vez en cuando, los equipos de seguridad escudriñan sus propias redes para comprobar sus medidas de seguridad. Estas búsquedas podrían fundamentarse en una alerta recibida de una organización de expertos frente a las amenazas, como X-Force, o en una política interna en la que se planifiquen actividades de seguridad. En cualquier caso, una búsqueda puede racionalizarse e incrementar su eficacia con la interfaz simplificada y similar a un motor de búsqueda de la solución avanzada QRadar Incident Forensics, con sus competencias de categorización y filtro para reducir el volumen de los datos recibidos y competencias de pivotaje que permiten diversas vistas de la búsqueda.

Las investigaciones pueden ser más completas y productivasQRadar Incident Forensics está diseñada para ayudar a las organizaciones a investigar de un modo rápido e intensivo la actividad maliciosa en la red, al introducir visibilidad y claridad en los incidentes de seguridad de la red.

Disponible como software o como appliance de hardware con software integrado, la solución es totalmente compatible con IBM Security QRadar SIEM e IBM QRadar Security Intelligence Platform, así como con la mayor parte de los formatos de captura de paquetes de terceros disponibles. Este enfoque integral concede a los equipos de seguridad de TI la capacidad de dirigir sus investigaciones de una forma más sencilla y productiva y de tomar unas decisiones más rápidas y acertadas, gracias al análisis de los datos de seguridad en el contexto de la red, y así conseguir un remedio eficaz.

Al utilizar una interfaz similar a un motor de búsqueda para gestionar los datos de la red o los que f luyen a través de ella, QRadar Incident Forensics contribuye tanto a las investigaciones consecuencia de un incidente como a las orientadas a obtener inteligencia contra las amenazas, con el fin de ofrecer a los equipos de seguridad la prueba subyacente que sigue las huellas de las impresiones digitales, categoriza el contenido externo y etiqueta el contenido sospechoso.

QRadar Incident Forensics indexa todo lo que encuentra dentro del tráfico de red capturado (desde documentos a imágenes de sitio web, incluyendo los metadatos y los contenidos de datos estructurados y no estructurados) para contribuir a reducir el tiempo necesario para investigar las infracciones; en muchos casos, tal reducción pasa de días a horas, o incluso minutos. Para mejorar la inteligencia de datos y los conocimientos obtenidos, la solución proporciona una poderosa capacidad de pivotar datos para descubrir y desplegar unas relaciones ampliadas para variables susceptibles de búsqueda, como direcciones IP, direcciones MAC, direcciones de correo electrónico, protocolos de aplicación, certificados SSL y más.

7IBM Software

Detección

Investigar incidentes de seguridad con soluciones IBM Security QRadar:

IBM SecurityQRadar

La información de seguridad y gestión de eventos (SIEM) de IBM Security QRadar descubre una infracción.

Los administradores pueden usar estos datos para construir impresiones digitales que les conduzcan al lugar del incidente.

Los equipos de seguridad de TI pueden entonces evaluar la credibilidad de una amenaza real y utilizar los medios apropiados para bloquear las comunicaciones, parchear las vulnerabilidades, contener los datos esenciales en caso de tratarse de un incidente y subsanar las acciones maliciosas para evitar que vuelvan a producirse.

IBM Security QRadar Incident Forensics vuelve a montar e indexa los datos.

Ubicación de la filtración

Subsanar y contener

Recopilación y procesamiento

El resultado es una vista de los datos de red, de la aplicación y del usuario malicioso más rica y de big-data que la proporcionada por las herramientas de análisis forense tradicionales, que únicamente pueden utilizar PCAP procesadas. Con la ayuda de rutas de navegación electrónicas, los investigadores pueden seguir el camino trazado por el software malicioso o por los atacantes, y seguir el rastro de las interacciones cronológicas de los eventos del incidente, lo que ayuda a los investigadores a descubrir cómo subsanar las filtraciones, con el fin de revertir estas acciones y prevenir las posibles recurrencias. Las organizaciones pueden también registrar su conformidad con las normativas.

Las investigaciones de seguridad pueden ser más rápidas y sencillasPara navegar por los datos PCAP recopilados, entender el significado de dichos datos y saber qué hacer con ellos para subsanar un ataque y evitar incursiones futuras, las soluciones de seguridad convencionales exigen una amplia formación, e incluso la capacidad de escribir código en algunos casos.

QRadar Incident Forensics, por otro lado, concede prácticamente a cualquier miembro del equipo de seguridad (incluso a los miembros de menor categoría sin un conocimiento amplio de los datos de seguridad) la capacidad de establecer todo el contexto de red de un incidente de seguridad.

Una interfaz de consulta intuitiva y de formato libre, integrada en QRadar Incident Forensics, significa que es tan sencillo formular una búsqueda de incidentes de seguridad como buscar datos deportivos utilizando cualquiera de los motores de búsqueda conocidos de Internet. Con la solución de análisis forense integrada en la interfaz de gestión de consola única de QRadar Security Intelligence Incident Forensics, el acceso a todo el conjunto de competencias de análisis forense está a tan solo un clic de distancia. Además, en muchos casos, las búsquedas de toda la red son cuestión de minutos u horas, debido a la amplia indexación, en comparación con los días o semanas que son necesarios con otras soluciones.

En muchas ocasiones, gracias a las búsquedas de QRadar Incident Forensics las investigaciones pueden ser más rápidas y completas y ayudar a identificar los datos que puedan haberse perdido. Cuando la solución ha terminado de recuperar y procesar las PCAP en bruto hasta transformarlas en archivos de documento enriquecidos, su motor de búsqueda comienza a

8 ¿Qué se esconde detrás de un ciberataque?

A través de IBM Security QRadar Incident Forensics, los equipos de seguridad pueden visualizar fácilmente las relaciones entre las entidades sospechosas utilizando direcciones IP, direcciones de correo electrónico, ID de chats, etc.

utilizar los índices de metadatos de red, de archivo y personales para devolver unas búsquedas por palabra clave rápidas de datos estructurados y no estructurados. Incluso puede buscar documentos de red almacenados. La capacidad de la solución de proporcionar información en contexto ayuda a poner de manifiesto los niveles de amenaza y las vulnerabilidades. Genera diversas vistas de los datos, que muestran las relaciones, las líneas temporales y las categorías de fuente y de amenaza. Adicionalmente, permite a los usuarios perfeccionar las búsquedas con un filtrado inteligente de información como las direcciones IP y MAC, los protocolos de aplicación o las direcciones de correo electrónico.

La forma en que los equipos de seguridad ven la información es importante para tener éxitoEs muy revelador que nada de lo que hay en la red escapa a la visión de un caso de búsqueda dirigido de QRadar Incident Forensics. Por ejemplo, la simple búsqueda de la palabra

‘confidencial’ no solamente puede localizar todos los documentos etiquetados como tal, sino también descubrirá todos los eventos que comprenden un documento filtrado externamente, identificará los recorridos por los que puede haberse enviado una copia y revelará qué individuo inició tales acciones. La solución puede presentar la información de diversas maneras, lo que resulta igualmente relevante, dado que permite a los investigadores crear la vista más apropiada para la información que necesitan.

La interfaz permite al personal de seguridad encontrar la información relacionada simplemente haciendo clic en los metadatos. También permite a los investigadores pivotar variables que admiten búsquedas y cambiar el campo de metadatos para ver unas relaciones ampliadas e incluso inesperadas en algunos casos. Empezando por una dirección de correo electrónico, por ejemplo, un investigador puede descubrir la asociación entre una dirección IP y el ID de acceso a Internet, utilizar la información combinada para descubrir quién es el atacante y rastrear sus acciones en la red.

9IBM Software

La visibilidad y claridad que proporciona QRadar Incident Forensics es fundamental para que una organización elimine y remedie los incidentes de seguridad. Con unas soluciones más limitadas, los ataques pueden repetirse y el software malicioso puede volver a infectar la infraestructura; todo porque el equipo de seguridad no vio el elemento de ataque.

Anatomía de un ataque y una respuesta inteligente

Al llegar al lugar de trabajo, el equipo de seguridad de la empresa descubre que su aplicación para la información de seguridad y gestión de eventos (SIEM) ha descubierto una serie de infracciones ocurridas durante la noche. En lugar de abrirse paso manualmente a través de los datos del SIEM, el equipo lanza una sesión de QRadar Incident Forensics tan solo haciendo clic sobre la pestaña de la solución en la consola QRadar Security Intelligence Platform, que reúne todas las capturas de paquete relevantes, lleva a cabo una indexación amplia y arroja rápidamente unos resultados de búsqueda detallados y a varios niveles, en cuestión de minutos en la mayoría de los casos, si no de segundos.

A partir de un amplio conjunto de datos, que abarca desde la dirección IP que originó el incidente hasta un ID de buzón de correo y una dirección MAC, la solución revela categorías de metadatos que proporcionan datos identificativos del atacante y de la huella que el atacante dejó en la red de la empresa. Al utilizar elementos de un contexto de red más grande, el equipo de seguridad puede establecer si los datos SIEM revelan un ataque real o si se trata de un falso positivo para un evento que tiene explicación y que se ha confundido con un ataque.

Si el evento es un falso positivo, el equipo sabe ajustar sus normas de correlación SIEM, de manera que no vuelvan a producirse resultados erróneos en el futuro. Si el ataque es real, el equipo puede actuar de inmediato para poner remedio a la amenaza y contribuir a evitar incidentes futuros que utilicen la misma fuente o las mismas técnicas.

Generar inteligencia puede ayudar en las investigaciones Los atacantes y las filtraciones son cada día más brillantes y sofisticados. Como respuesta, las organizaciones necesitan unas defensas inteligentes, a las que la inteligencia de sus redes aporta aún más información.

QRadar Incident Forensics genera la nueva inteligencia para la defensa que las organizaciones necesitan porque encuentra y reconstruye los incidentes de seguridad en la red y los presenta de manera que permitan inferir unas interpretaciones más profundas, encontrar la causa raíz y contribuir a su subsanación. La solución rastrea las huellas electrónicas dejadas por los atacantes, identifica las inyecciones de código o las adiciones de activos malintencionados, ve la configuración del dispositivo y los cambios en las normas del cortafuegos, y muchas cosas más. Estas tres formas de defensa se logran a través de tres técnicas principales: creación de impresiones digitales, identificación de contenido sospechoso y categorización del contenido de la red.

Impresiones digitalesUna impresión digital es un poderoso índice de metadatos que puede ayudar a una organización a identificar a los atacantes sospechosos o al usuario interno malintencionado mediante el seguimiento de las huellas dejadas por el usuario. Al establecer estas relaciones, QRadar Incident Forensics puede extraer datos de fuentes de red, como direcciones IP, direcciones MAC y puertos y protocolos TCP (protocolo de control de transmisión). Puede encontrar información como el ID del chat y leer información desde el procesador de texto o desde las aplicaciones de hoja de cálculo, como la identificación del autor.

Una impresión digital no solo puede ayudar a la organización a descubrir la identidad de una entidad que atacó la red en una ocasión, sino que puede ayudar también a descubrir asociaciones vinculando la identidad de la entidad con información identificativa para otros usuarios o entidades, y así revelar otros posibles ataques.

10 ¿Qué se esconde detrás de un ciberataque?

Las soluciones IBM Security QRadar son la pieza central de la visibilidad, claridad y protección.

IBM Security Access Manager

IBM Security zSecure

IBM SecurityPrivileged Identity

Manager

IBM Security Identity Manager

IBM InfoSphere Guardium

Trusteer Apex

IBM Security NetworkProtection XGS

IBM Endpoint Manager

IBM Security AppScanIBM Security Directory ServerIBM Security Directory Integrator

Protección dela actividad del usuario

IBM QRadarSecurity Intelligence

Platform

Protecciónde datos

Protecciónavanzada

contra el fraude

Protección de lainfraestructura

Seguridad delas aplicaciones

Categorización de contenidoClasificar por categorías la procedencia del tráfico de la red y distinguir entre fuentes legítimas y fuentes maliciosas es esencial para proteger frente a las filtraciones. Organizaciones de investigación de seguridad como X-Force mantienen unas bases de datos de URLs que rastrean la reputación de una ubicación, de manera que las organizaciones puedan decir si podría tratarse del origen de un ataque que ha sufrido, o de un posible ataque en el futuro.

Filtrar y etiquetar los datos por categoría (por ejemplo, preguntando si un intento de acceder a la red procede de una empresa de confianza o de una organización delictiva), así como restringir el acceso basado en los metadatos y establecer una correlación entre organizaciones puede desempeñar un papel importante a la hora de evitar que el software malicioso y las acciones dañinas vulneren la red.

Contenido sospechosoUna filtración de datos normalmente tiene como objetivo unos tipos de información específicos: números de la Seguridad Social, números de tarjetas de crédito, identificadores médicos o propiedad intelectual etiquetada como ‘confidencial’, entre otros. QRadar Incident Forensics puede ayudar a reconocer esos patrones de información (simplemente buscar ‘confidencial’ en el motor de búsqueda) para revelar rápidamente el robo, el daño malicioso u otras actividades que puedan causar daños a la organización A partir de ahí, el equipo de seguridad puede poner remedio a la acción e implantar medidas diseñadas para evitar que vuelva a ocurrir.

11IBM Software

ConclusiónLa sofisticación de los ataques actuales exige una respuesta rápida y eficaz basada en toda la inteligencia disponible sobre el qué, el cuándo y el cómo del ataque. Las competencias integrales y fáciles de utilizar de IBM Security QRadar Incident Forensics pueden proporcionar la visibilidad y claridad necesarias para abordar un incidente de seguridad de la red, así como el conocimiento sobre el alcance de las actividades infractoras que el equipo de seguridad necesita para subsanarlo y evitar que se repita. Si utilizan QRadar Incident Forensics, las organizaciones pueden reforzar también su documentación de conformidad con las normativas.

Con la información obtenida a través de QRadar Incident Forensics, un equipo de seguridad de TI puede estar bien preparado para elaborar un plan de acción que aproveche la inteligencia de red y todos los recursos de seguridad de la organización para que ésta realice una aproximación de última generación al análisis forense del incidente de seguridad que respalde la seguridad de la red, el análisis de la amenaza ocasionada por un usuario interno (incluyendo el fraude y el abuso) y la documentación de las pruebas relacionadas con el incidente.

Para más informaciónSi desea obtener información adicional acerca de IBM Security QRadar Incident Forensics, póngase en contacto con su representante o Business Partner de IBM o entre en: ibm.com/services/us/en/it-services/security-intelligence.html.

Acerca de las soluciones IBM SecurityIBM Security ofrece una de las carteras más avanzadas e integradas de productos y servicios de seguridad para las empresas. La cartera, respaldada por el equipo de investigación y desarrollo de fama mundial X-Force, ofrece inteligencia de seguridad para ayudar a las organizaciones a proteger de forma integral a sus empleados, su infraestructura, sus datos y aplicaciones mediante soluciones de gestión de identidades y accesos, seguridad de las bases de datos, desarrollo de aplicaciones, gestión de riesgos, gestión de puntos finales, seguridad de redes y mucho más. Estas soluciones capacitan a las organizaciones para gestionar de forma más efectiva los riesgos y aplicar soluciones de seguridad integrales para móviles, sistemas cloud, redes sociales y otras arquitecturas de negocio empresariales. IBM dirige una de las organizaciones de investigación, desarrollo y suministro de productos de seguridad más amplias del mundo, controla 15.000 millones de eventos de seguridad al día en más de 130 países y es titular de más de 3.000 patentes de seguridad.

Además, IBM Global Financing (IGF) puede ayudarle a adquirir las funciones de software que su empresa necesita del modo más rentable y estratégico posible. Nos asociaremos con clientes de crédito cualificado, para así personalizar una solución de financiación que se adapte a sus objetivos de desarrollo y empresariales, permita una gestión eficaz del capital y mejore su coste total de la propiedad (TCO). Financie su inversión estratégica en TI e impulse su negocio con IGF. Para más información, visite: ibm.com/financing/es/

IBM España Santa Hortensia, 26-28 28002 Madrid España

La página principal de IBM es ibm.com/es.

IBM, el logotipo de IBM, ibm.com, QRadar y X-Force son marcas comerciales o marcas comerciales registradas de International Business Machines Corporation en los Estados Unidos y/o en otros países. Si éstas o cualquier otra denominación de IBM protegida por una marca van acompañadas, la primera vez que aparecen en el documento, de un símbolo de marca (® o ™), estos símbolos indican que se trata de marcas registradas o marcas de hecho en los Estados Unidos propiedad de IBM en el momento de publicación de la información. Es posible que estas marcas también estén registradas o sean marcas de hecho en otros países.

Encontrará una lista actual de las marcas de IBM bajo el título ‘Copyright and trademark information’ en ibm.com/legal/copytrade.shtml.

Los demás nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicio de terceros.

Las referencias efectuadas en este documento a productos, programas o servicios de IBM no implican que IBM tenga intención de comercializarlos en todos los países en los que opera.

Las referencias a productos, programas o servicios de IBM no pretenden dar a entender que sólo pueden utilizarse productos, programas o servicios de IBM. Se puede utilizar en su lugar cualquier producto, programa o servicio equivalente desde el punto de vista funcional.

Los productos de hardware de IBM se fabrican a partir de componentes nuevos o de componentes nuevos y usados. En algunos casos, es posible que el producto de hardware no sea nuevo y que haya sido instalado anteriormente. Independientemente de ello, se aplican las condiciones de garantía de IBM.

Esta publicación sirve únicamente como orientación general. La información está sujeta a cambios sin previo aviso. Póngase en contacto con su oficina de ventas o distribuidor local de IBM para obtener la información más reciente acerca de los productos y servicios de IBM.

Este documento contiene direcciones de Internet que no son de IBM.

IBM no se hace responsable de la información que se encuentre en esos sitios web.

IBM no ofrece asesoramiento jurídico, contable ni de auditoría ni manifiesta o garantiza que sus productos o servicios cumplan la legislación. Los clientes son responsables del cumplimiento de las leyes y normativas relativas a valores aplicables, incluidas las leyes y normativas nacionales.

Las fotografías pueden mostrar modelos en fase de diseño.

© Copyright IBM Corporation 2014

1 Ponemon Institute. “2013 Cost of Cyber Cime Study: United States’, octubre de 2013. http://media.scmagazine.com/documents/54/ 2013_us_ccc_report_final_6-1_13455.pdf.

2 Equipo de RIESGO de Verizon, ‘Informe de 2013 de investigación sobrfiltración de datos de Verizon’, Verizon CommunicationsAbril de 2013 http://www.verizonenterprise.com/DBIR/2013/.

3 IBM X-Force, ‘IBM X-Force Threat Intelligence Quarterly – 1Q 2014’ IBM Security SystemsFebrero de 2014. https://www14.software.ibm.com/webapp/iwm/web/signup.do? source=swg-WW_Security_Organic&S_PKG=ov21294.

4 Centro de Amenazas Móviles de Juniper Networks, ‘Third Annual Mobile Threats Report: March 2012 through March 2013,’ Juniper Networks2013. http://www.juniper.net/us/en/local/pdf/additional-resources/3rd-jnpr-mobile-threats-report-exec-summary.pdf.

e

WGW03056-ESES-00